Bezpieczne dodawanie niepewnych urządzeń do mojej sieci domowej

39

Mam kilka urządzeń podłączonych do Internetu, których nie ufam, że są bezpieczne, ale i tak chciałbym z nich korzystać (inteligentny telewizor i niektóre gotowe urządzenia automatyki domowej). Nie chcę ich w tej samej sieci co moje komputery.

Moje obecne rozwiązanie polega na podłączeniu modemu kablowego do przełącznika i podłączeniu do niego dwóch routerów bezprzewodowych. Moje komputery łączą się z pierwszym routerem, wszystko inne łączy się z drugim routerem.

Czy to wystarczy, aby całkowicie oddzielić moje komputery od wszystkiego innego?

Czy jest też prostsze rozwiązanie wykorzystujące pojedynczy router, które skutecznie zrobiłoby to samo? Mam następujące routery, oba z DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Wszystkie urządzenia (bezpieczne i niepewne) łączą się bezprzewodowo, z wyjątkiem jednego komputera w bezpiecznej sieci.

security nat Chris B.
źródło
4
Oddzielenie od komputerów jest świetne, ale co z oddzieleniem niezabezpieczonego inteligentnego telewizora od niepewnego tostera Wi-Fi? ;)
ZX9,
Hmm ... Mam jeszcze kilka starych routerów. Zastanawiam się, ile adresów IP poda mi mój dostawca usług internetowych?
Chris B
reakcja.gifs.com/r/but-why.gif
Alexander

Odpowiedzi:

22

Tak, twoje rozwiązanie jest również w porządku, ale zwiększy jeden przeskok przełączania plus narzut konfiguracji, możesz to osiągnąć za pomocą jednego routera, wykonując następujące czynności:

  • Skonfiguruj dwie sieci VLAN, podłącz zaufane hosty do jednej sieci VLAN i niezaufane do drugiej.
  • Skonfiguruj iptables, aby nie zezwalał na ruch zaufany i niezaufany (odwrotnie).

Mam nadzieję że to pomoże!

Anirudh Malhotra
źródło
1
Chyba wiem, jak prawidłowo skonfigurować wiele sieci VLAN przy użyciu portów LAN, ale wszystko jest połączone przez Wi-Fi. Czy można podzielić ruch Wi-Fi na wiele sieci VLAN w jednym punkcie dostępu?
Chris B
1
@ user1152285 Tak, wszystkie rozsądnie nowoczesne urządzenia WLAN mogą obsługiwać wiele sieci bezprzewodowych (na tym samym kanale). Czy oprogramowanie na to pozwala, to kolejne pytanie.
Daniel B
2
Nie jestem w 100% pewien, ale dd-wrt powinien być w stanie podać wiele identyfikatorów SSID na tym samym AP z segregacją VLAN. Więc uruchomisz dwa wirtualne interfejsy bezprzewodowe, jeden dla zaufanych i jeden dla niezaufanych urządzeń.
Saiboogu
@ user1152285 Tak, szukałem i stwierdziłem, że dd-wrt to obsługuje. Znalazłem również link, który pokazuje mapowanie interfejsu na interfejs wirtualny wlan. Możesz także dodać tagi vlan (genialne! :))
Anirudh Malhotra,
1
Uzgodniony z @ ZX9. Ponieważ pytający konkretnie wspomina, że ​​mają DD-WRT, przynajmniej niektóre linki do dokumentacji dotyczącej konfiguracji sieci VLAN, wielu identyfikatorów SSID i segregacji ruchu byłyby bardzo pomocne.
Doktor J
10

Jest to całkowicie możliwe, ale najpierw chciałbym poruszyć kilka rzeczy.

Moje obecne rozwiązanie polega na podłączeniu modemu kablowego do przełącznika i podłączeniu do niego dwóch routerów bezprzewodowych. Moje komputery łączą się z pierwszym routerem, wszystko inne łączy się z drugim routerem.

Ciekawe, że oba routery mają dostęp do Internetu, gdy modem kablowy wydaje się być tylko modemem. Czy twój dostawca usług internetowych wykonuje NAT? Jeśli nie, zalecam wyjęcie przełącznika (czy to naprawdę przełącznik, czy jest on zdolny do NAT?) I umieszczenie jednego z routerów DD-WRT jako bramy. Bieżąca konfiguracja w obecnej postaci (bez wiedzy, do którego portu podłączone były routery), może powodować konflikty adresów IP lub sporadycznie powodować sporadyczną utratę łączności w jednej lub drugiej sieci.

Czy można podzielić ruch Wi-Fi na wiele sieci VLAN w jednym punkcie dostępu?

Tak, ale zajmie to trochę pracy konfiguracyjnej i trochę testów. Sam używam podobnej konfiguracji do segregowania sieci gości. Metoda, którą opiszę poniżej, nie obejmuje sieci VLAN.

DD-WRT (między innymi) obsługuje tworzenie wielu identyfikatorów SSID na tym samym AP. Jedyne, co trzeba zrobić, to utworzyć kolejny most, przypisać go do innej podsieci, a następnie zaporę ogniową poza resztą głównej sieci.

Minęło trochę czasu, odkąd ostatnio to zrobiłem w ten sposób, ale powinno iść gdzieś tak dalej (przygotuj się na utratę łączności):

  1. Otwórz stronę konfiguracji punktu dostępu
  2. Przejdź do Wireless => Basic Settings
  3. W obszarze Interfejsy wirtualne kliknij Dodaj [^ virtif]
  4. Nadaj nowy Iot SSID nazwę i pozostawić Network Configurationdo Bridgedwłącz AP Isolationjak chcesz
  5. Przejdź do zakładki Wireless Security, ustaw hasła i ustaw tryb zabezpieczeń na nic innego niż WPA2-Personal-AES, jeśli to możliwe [^ nDS]
  6. Przejdź do zakładki Setup => Sieć
  7. W obszarze Bridging kliknij Add
  8. Może nadać swojemu mostowi dowolną nazwę [^ brname] br1?
  9. Podaj swojemu mostowi adres IP, który nie znajduje się w tej samej podsieci, co sieć główna [^ ipaddr]
  10. (Może być konieczne kliknięcie Zapisz, a następnie Zastosuj ustawienia, aby pojawiło się). W obszarze Przypisz do mostu kliknij Dodaj, a następnie przypisz br1do Interfejsu wl.01lub nazwę jego interfejsu [^ virtif], zapisz i zastosuj

  11. W obszarze Wiele serwerów DHCP kliknij Dodaj i przypisz go br1

  12. Przejdź do Administracja => Polecenia i wklej je (może być konieczne dostosowanie nazw interfejsów) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    I kliknij Zapisz zaporę

  13. Myślę, że powinieneś być gotowy

Więcej informacji można znaleźć na stronie http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Zastrzeżenie polega na tym, że ta konfiguracja działa tylko w przypadku routera / punktu dostępowego bramy. Jeśli chcesz, aby ta sama konfiguracja działała dla drugiego routera, musisz użyć sieci VLAN. Konfiguracja jest podobna, ale jest nieco bardziej zaangażowana. Różnica polega na tym, że będziesz musiał skonfigurować i zmostkować nową sieć VLAN z identyfikatorem SSID IoT i być może wykonać pewne reguły routingu.

[^ virtif]: Pierwszy to zazwyczaj interfejs fizyczny i często oznaczony jako wl0. Twoje wirtualne interfejsy (do trzech, jeśli się nie mylę) będą oznaczone jako wl0.1, wl0.2 i tak dalej.

[^ nazwa]: będzie to nazwa interfejsu, którą DD-WRT nada interfejsowi mostu.

[^ ipaddr]: Powiedz, że twoja główna sieć działa pod br1adresem 172.16.1.0/24, podaj adres 172.16.2.0/24.

[^ nDS]: Jeśli masz konsolę Nintendo DS, musisz użyć WEP. Alternatywnie możesz utworzyć kolejny identyfikator SSID tylko dla NDS i zmontować go br1dla wygody.

[^ note1]: W tym momencie po zastosowaniu ustawień wszystko, co łączy się z SSID IoT, zostanie teraz przypisane do innej podsieci. Jednak dwie podsieci nadal mogą się ze sobą komunikować.

[^ note2]: Ten bit może wymagać trochę pracy.

gjie
źródło
Dzięki za informację, będę musiał zagłębić się w to, kiedy wrócę do domu. Dla porównania, zdecydowanie używa 4-portowego przełącznika (głupi, bez NATowania). Oba routery są podłączone do przełącznika za pośrednictwem portów WAN. Zakresy DHCP na routerach są różne, choć przy obecnej konfiguracji nie powinno to mieć znaczenia. Możliwe, że otrzymuję dwa różne adresy IP od mojego dostawcy usług internetowych
Chris B
Jeśli oba routery są podłączone do portów WAN, tak, nie powinno to mieć znaczenia. I tak, to jest możliwe, aby uzyskać dwa różne adresy IP od dostawcy usług internetowych (jesteś bardzo szczęśliwy, jeśli to robią, co bym dał za drugi adres IPv4 teraz ...)
gjie
@ user1152285, jeśli przeprowadzisz trochę badań, może to być dosłownie lepsza opcja! nie wiedziałem, że ddwrt może użyć AP ISOLATION ... spróbuj tego najpierw!
Bryan Cerrati
Aktualizacja: Właśnie sprawdziłem i każdy z moich routerów ma inny publiczny adres IP. Wygląda na to, że mój dostawca usług internetowych podał mi wiele adresów IP
Chris B
@BryanCerrati AP izolacji jest częścią rozwiązania, ale nie całą odpowiedzią. Chroni Cię od klientów bezprzewodowych do bezprzewodowych, ale nie pomoże ci z bezprzewodowego na przewodowy.
gjie
6

Czy to wystarczy, aby całkowicie oddzielić moje komputery od wszystkiego innego?

Zakładając, że twoje połączenie z routera 1 do Switcha korzysta z WANportu routera i nie udostępniasz sieci WAN i LAN w OpenWRT (co oznacza, że ​​nie zmieniłeś ustawień domyślnych i wykonałeś okablowanie tak, jak w przypadku bezpośredniego połączenia z modemem), jesteś w porządku.

Oczywiście twoje urządzenia na routerze 2 mogą wysyłać ruch do każdego, co może stanowić sam w sobie problem (statystyki użytkowania, obrazy z kamery, dźwięk przez mikrofony, informacje o sieci WLAN, odbiornikach GPS itp. W zależności od urządzeń).

Czy jest też prostsze rozwiązanie wykorzystujące pojedynczy router, które skutecznie zrobiłoby to samo? Mam następujące routery, oba z DD-WRT:

Możesz skonfigurować porty osobno i kierować zły ruch oddzielnie od dobrego ruchu. Słowem kluczowym byłoby DMZ, istnieje wiele samouczków.

Jeśli chcesz mieć większą złożoność, możesz również włączyć sieci VLAN, w ten sposób możesz umieścić dodatkowe urządzenia obsługujące VLAN za routerem i podłączyć do nich oba typy urządzeń, co zasadniczo czyni cały dom tak, jakby każde urządzenie było podłączone bezpośrednio do port jednego z obu routerów, nawet jeśli masz tylko jeden router i 5 przełączników za nim szeregowo ... ale rób to tylko wtedy, gdy musisz, ponieważ możliwość wystąpienia błędu jest znaczna, a korzyść zależy od okablowania ( prawie żadna, gdy używa się topologii gwiazdy, świetnie, gdy trzeba użyć topologii pierścienia).

użytkownik121391
źródło
Powinienem wspomnieć, że prawie wszystkie urządzenia łączą się z routerem przez Wi-Fi. Jeśli wszystkie urządzenia łączą się z tym samym punktem dostępu, czy istnieje sposób, aby uniemożliwić im wzajemne widzenie (biorąc pod uwagę, że są to dość standardowe routery domowe)?
Chris B
1
OpenWRT umożliwia tworzenie różnych sieci bezprzewodowych o różnych SSID i hasłach. Następnie możesz użyć ich jak sieci przełączanej (telewizor widzi Twój zestaw stereo, ale nie komputer) lub użyć sieci VLAN z uwierzytelnianiem 802.1x i RADIUS do całkowitego oddzielenia urządzeń (802.1x używa RADIUS do sprawdzenia, czy urządzenie jest dozwolone i przypisania do swojej własnej lub współdzielonej sieci VLAN). Dzięki OpenWRT wszystko jest możliwe, ale ustawienie go może stać się PITA.
user121391,
802.1x rozwiązałoby wszystko ... oprócz tego, że wszystkie urządzenia są bezprzewodowe.
Bryan Cerrati
2
@BryanCerrati: 802.1x działa również z siecią bezprzewodową.
Ben Voigt,
6

Niektóre routery Wi-Fi klasy konsumenckiej mają „tryb gościa”, czyli sieć oddzieloną od normalnej sieci.

Możesz ograniczyć swoje niezaufane urządzenia do AP „Gość” .

Nie każdy router z tą funkcją jest szczególnie bezpieczny.

Chociaż artykuł Ostrzeżenie: „Tryb gościa” na wielu routerach Wi-Fi nie jest bezpieczny, mówi o niepewności, główną wadą, którą omawiają, jest prywatność. Jeśli nie obchodzi Cię, czy telewizor z obsługą sieci dzwoni do domu, aby powiedzieć producentowi, co oglądasz, to kogo to obchodzi, czy sąsiedzi to oglądają.

naprawiony
źródło
1
W mowie sieciowej jest to DMZ.
Lekkość wyścigów z Monicą
3

Czy jest też prostsze rozwiązanie wykorzystujące pojedynczy router, które skutecznie zrobiłoby to samo? Mam następujące routery, oba z DD-WRT:

Większość domowych routerów WiFi umożliwia skonfigurowanie „sieci dla gości”. Ta bezprzewodowa sieć LAN może łączyć się z Internetem, ale nie może łączyć się z urządzeniami w głównych przewodowych lub bezprzewodowych sieciach LAN. Możesz więc umieścić urządzenia IoT w sieci, a one nie będą mogły naruszyć twoich komputerów.

Barmar
źródło
0

Utworzenie oddzielnej sieci powinno być najlepszym sposobem na utrzymanie niezabezpieczonych urządzeń z dala od bezpiecznej sieci LAN, aby uniemożliwić złośliwym użytkownikom / urządzeniom dostęp do twoich udostępnionych plików lub urządzeń sieciowych, można to osiągnąć poprzez włączenie sieci GOŚCINNEJ za pomocą funkcji Netgar WNDR3700v3 z silnymi i różnymi hasłami.

Wyłącz UPnP

Wirus, koń trojański, robak lub inny złośliwy program, któremu udało się zainfekować komputer w sieci lokalnej, może korzystać z UPnP, podobnie jak legalne programy. Podczas gdy router zwykle blokuje połączenia przychodzące, zapobiegając złośliwemu dostępowi, UPnP może pozwolić złośliwemu programowi całkowicie ominąć zaporę. Na przykład koń trojański może zainstalować program zdalnego sterowania na komputerze i otworzyć dla niego dziurę w zaporze routera, umożliwiając dostęp do komputera 24/7 z Internetu. Gdyby UPnP był wyłączony, program nie mógłby otworzyć portu - chociaż mógłby ominąć zaporę ogniową na inne sposoby i zadzwonić do domu

Wyłącz dostęp zdalny przez sieć WIFI do routerów

większość routerów oferuje funkcję „zdalnego dostępu”, która umożliwia dostęp do tego interfejsu internetowego z dowolnego miejsca na świecie. Nawet jeśli ustawisz nazwę użytkownika i hasło, jeśli masz router D-Link dotknięty tą luką, każdy będzie mógł zalogować się bez żadnych poświadczeń. Jeśli masz wyłączony dostęp zdalny, będziesz bezpieczny przed ludźmi, którzy będą zdalnie uzyskiwać dostęp do routera i manipulować nim.

Nie podłączaj także niezabezpieczonych urządzeń, chyba że musisz.

GAD3R
źródło