Mam kilka urządzeń podłączonych do Internetu, których nie ufam, że są bezpieczne, ale i tak chciałbym z nich korzystać (inteligentny telewizor i niektóre gotowe urządzenia automatyki domowej). Nie chcę ich w tej samej sieci co moje komputery.
Moje obecne rozwiązanie polega na podłączeniu modemu kablowego do przełącznika i podłączeniu do niego dwóch routerów bezprzewodowych. Moje komputery łączą się z pierwszym routerem, wszystko inne łączy się z drugim routerem.
Czy to wystarczy, aby całkowicie oddzielić moje komputery od wszystkiego innego?
Czy jest też prostsze rozwiązanie wykorzystujące pojedynczy router, które skutecznie zrobiłoby to samo? Mam następujące routery, oba z DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Wszystkie urządzenia (bezpieczne i niepewne) łączą się bezprzewodowo, z wyjątkiem jednego komputera w bezpiecznej sieci.
Odpowiedzi:
Tak, twoje rozwiązanie jest również w porządku, ale zwiększy jeden przeskok przełączania plus narzut konfiguracji, możesz to osiągnąć za pomocą jednego routera, wykonując następujące czynności:
Mam nadzieję że to pomoże!
źródło
Jest to całkowicie możliwe, ale najpierw chciałbym poruszyć kilka rzeczy.
Ciekawe, że oba routery mają dostęp do Internetu, gdy modem kablowy wydaje się być tylko modemem. Czy twój dostawca usług internetowych wykonuje NAT? Jeśli nie, zalecam wyjęcie przełącznika (czy to naprawdę przełącznik, czy jest on zdolny do NAT?) I umieszczenie jednego z routerów DD-WRT jako bramy. Bieżąca konfiguracja w obecnej postaci (bez wiedzy, do którego portu podłączone były routery), może powodować konflikty adresów IP lub sporadycznie powodować sporadyczną utratę łączności w jednej lub drugiej sieci.
Tak, ale zajmie to trochę pracy konfiguracyjnej i trochę testów. Sam używam podobnej konfiguracji do segregowania sieci gości. Metoda, którą opiszę poniżej, nie obejmuje sieci VLAN.
DD-WRT (między innymi) obsługuje tworzenie wielu identyfikatorów SSID na tym samym AP. Jedyne, co trzeba zrobić, to utworzyć kolejny most, przypisać go do innej podsieci, a następnie zaporę ogniową poza resztą głównej sieci.
Minęło trochę czasu, odkąd ostatnio to zrobiłem w ten sposób, ale powinno iść gdzieś tak dalej (przygotuj się na utratę łączności):
Network Configuration
doBridged
włączAP Isolation
jak chceszbr1
?br1
do Interfejsuwl.01
lub nazwę jego interfejsu [^ virtif], zapisz i zastosujW obszarze Wiele serwerów DHCP kliknij Dodaj i przypisz go
br1
Przejdź do Administracja => Polecenia i wklej je (może być konieczne dostosowanie nazw interfejsów) [^ note2]
iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
I kliknij Zapisz zaporę
Myślę, że powinieneś być gotowy
Więcej informacji można znaleźć na stronie http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
Zastrzeżenie polega na tym, że ta konfiguracja działa tylko w przypadku routera / punktu dostępowego bramy. Jeśli chcesz, aby ta sama konfiguracja działała dla drugiego routera, musisz użyć sieci VLAN. Konfiguracja jest podobna, ale jest nieco bardziej zaangażowana. Różnica polega na tym, że będziesz musiał skonfigurować i zmostkować nową sieć VLAN z identyfikatorem SSID IoT i być może wykonać pewne reguły routingu.
[^ virtif]: Pierwszy to zazwyczaj interfejs fizyczny i często oznaczony jako wl0. Twoje wirtualne interfejsy (do trzech, jeśli się nie mylę) będą oznaczone jako wl0.1, wl0.2 i tak dalej.
[^ nazwa]: będzie to nazwa interfejsu, którą DD-WRT nada interfejsowi mostu.
[^ ipaddr]: Powiedz, że twoja główna sieć działa pod
br1
adresem 172.16.1.0/24, podaj adres 172.16.2.0/24.[^ nDS]: Jeśli masz konsolę Nintendo DS, musisz użyć WEP. Alternatywnie możesz utworzyć kolejny identyfikator SSID tylko dla NDS i zmontować go
br1
dla wygody.[^ note1]: W tym momencie po zastosowaniu ustawień wszystko, co łączy się z SSID IoT, zostanie teraz przypisane do innej podsieci. Jednak dwie podsieci nadal mogą się ze sobą komunikować.
[^ note2]: Ten bit może wymagać trochę pracy.
źródło
Zakładając, że twoje połączenie z routera 1 do Switcha korzysta z
WAN
portu routera i nie udostępniasz sieci WAN i LAN w OpenWRT (co oznacza, że nie zmieniłeś ustawień domyślnych i wykonałeś okablowanie tak, jak w przypadku bezpośredniego połączenia z modemem), jesteś w porządku.Oczywiście twoje urządzenia na routerze 2 mogą wysyłać ruch do każdego, co może stanowić sam w sobie problem (statystyki użytkowania, obrazy z kamery, dźwięk przez mikrofony, informacje o sieci WLAN, odbiornikach GPS itp. W zależności od urządzeń).
Możesz skonfigurować porty osobno i kierować zły ruch oddzielnie od dobrego ruchu. Słowem kluczowym byłoby
DMZ
, istnieje wiele samouczków.Jeśli chcesz mieć większą złożoność, możesz również włączyć sieci VLAN, w ten sposób możesz umieścić dodatkowe urządzenia obsługujące VLAN za routerem i podłączyć do nich oba typy urządzeń, co zasadniczo czyni cały dom tak, jakby każde urządzenie było podłączone bezpośrednio do port jednego z obu routerów, nawet jeśli masz tylko jeden router i 5 przełączników za nim szeregowo ... ale rób to tylko wtedy, gdy musisz, ponieważ możliwość wystąpienia błędu jest znaczna, a korzyść zależy od okablowania ( prawie żadna, gdy używa się topologii gwiazdy, świetnie, gdy trzeba użyć topologii pierścienia).
źródło
Niektóre routery Wi-Fi klasy konsumenckiej mają „tryb gościa”, czyli sieć oddzieloną od normalnej sieci.
Możesz ograniczyć swoje niezaufane urządzenia do AP „Gość” .
Nie każdy router z tą funkcją jest szczególnie bezpieczny.
Chociaż artykuł Ostrzeżenie: „Tryb gościa” na wielu routerach Wi-Fi nie jest bezpieczny, mówi o niepewności, główną wadą, którą omawiają, jest prywatność. Jeśli nie obchodzi Cię, czy telewizor z obsługą sieci dzwoni do domu, aby powiedzieć producentowi, co oglądasz, to kogo to obchodzi, czy sąsiedzi to oglądają.
źródło
Większość domowych routerów WiFi umożliwia skonfigurowanie „sieci dla gości”. Ta bezprzewodowa sieć LAN może łączyć się z Internetem, ale nie może łączyć się z urządzeniami w głównych przewodowych lub bezprzewodowych sieciach LAN. Możesz więc umieścić urządzenia IoT w sieci, a one nie będą mogły naruszyć twoich komputerów.
źródło
Utworzenie oddzielnej sieci powinno być najlepszym sposobem na utrzymanie niezabezpieczonych urządzeń z dala od bezpiecznej sieci LAN, aby uniemożliwić złośliwym użytkownikom / urządzeniom dostęp do twoich udostępnionych plików lub urządzeń sieciowych, można to osiągnąć poprzez włączenie sieci GOŚCINNEJ za pomocą funkcji Netgar WNDR3700v3 z silnymi i różnymi hasłami.
Wyłącz UPnP
Wyłącz dostęp zdalny przez sieć WIFI do routerów
Nie podłączaj także niezabezpieczonych urządzeń, chyba że musisz.
źródło