Безопасное добавление небезопасных устройств в мою домашнюю сеть


39

У меня есть несколько подключенных к Интернету устройств, которые я не доверяю, чтобы быть безопасными, но которые я бы все равно хотел использовать (умный телевизор и некоторые готовые устройства домашней автоматизации). Я не хочу, чтобы они были в той же сети, что и мои компьютеры.

Мое текущее решение состоит в том, чтобы подключить мой кабельный модем к коммутатору и подключить к нему два беспроводных маршрутизатора. Мои компьютеры подключаются к первому маршрутизатору, все остальное подключается ко второму маршрутизатору.

Достаточно ли этого, чтобы полностью отделить мои компьютеры от всего остального?

Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Все устройства (безопасные и незащищенные) подключаются по беспроводной сети, за исключением одного компьютера в защищенной сети.


4
Отделение от ваших компьютеров - это здорово, но как насчет отделения вашего небезопасного смарт-телевизора от небезопасного тостера WiFi? ;)
ZX9

Хм ... Ну, у меня есть еще несколько старых роутеров. Интересно, сколько IP-адресов даст мне мой провайдер?
Крис Б

Ответы:


22

Да, ваше решение также в порядке, но увеличит один переход, плюс накладные расходы на конфигурацию, вы можете достичь этого с одним маршрутизатором, выполнив следующие действия:

  • Настройте две VLAN, подключите доверенные узлы к одной VLAN и не доверяйте другой.
  • Сконфигурируйте iptables, чтобы не разрешать доверенный трафик (не наоборот).

Надеюсь это поможет!


1
Я думаю, что знаю, как правильно настроить несколько VLAN с использованием портов LAN, но все подключено через Wi-Fi. Можно ли разделить трафик Wi-Fi на несколько VLAN на одной точке доступа?
Крис Б

1
@ user1152285 Да, все достаточно современные устройства WLAN способны поддерживать несколько беспроводных сетей (на одном канале). Позволяет ли программное обеспечение это еще один вопрос.
Даниэль Б

2
Я не уверен на 100%, но dd-wrt должен иметь возможность дать вам несколько SSID на одной точке доступа с разделением VLAN. Таким образом, вы будете использовать два виртуальных беспроводных интерфейса: один для доверенных и один для ненадежных устройств.
Сайбугу

@ user1152285 Да, я искал и обнаружил, что dd-wrt поддерживает его. Также нашел ссылку, которая показывает отображение интерфейса на виртуальный интерфейс WLAN. И вы также можете добавить теги VLAN (блестящий! :))
Анирудх Малхотра

1
Согласился с @ ZX9. Так как спрашивающий особо упоминает, что у них есть DD-WRT, по крайней мере, некоторые ссылки на документацию о том, как настроить VLAN, множественные SSID и разделение трафика, были бы очень полезны.
Доктор J

10

Это вполне возможно, но я бы хотел сначала остановиться на нескольких вещах.

Мое текущее решение состоит в том, чтобы подключить мой кабельный модем к коммутатору и подключить к нему два беспроводных маршрутизатора. Мои компьютеры подключаются к первому маршрутизатору, все остальное подключается ко второму маршрутизатору.

Интересно, что оба маршрутизатора имеют доступ в Интернет, когда ваш кабельный модем выглядит просто как модем. Ваш провайдер делает NAT? Если нет, я бы порекомендовал отключить коммутатор (действительно ли это коммутатор или коммутатор поддерживает NAT?) И установить один из ваших маршрутизаторов DD-WRT в качестве шлюза. Ваша текущая настройка (без знания того, к какому порту подключены маршрутизаторы) может иметь конфликты IP-адресов или может иногда вызывать случайную и случайную потерю соединения в одной или другой сети.

Можно ли разделить трафик Wi-Fi на несколько VLAN на одной точке доступа?

Да, но это займет немного работы с конфигурацией и некоторое тестирование. Я сам использую аналогичную настройку для разделения гостевой сети. Метод, который я опишу ниже, не включает VLAN.


DD-WRT (среди прочих) поддерживает создание нескольких SSID на одной и той же точке доступа. Единственное, что нужно сделать, - это создать другой мост, назначить его другой подсети, а затем заблокировать его в остальной части основной сети.

Прошло много времени с тех пор, как я последний раз делал это таким образом, но это должно происходить где-то так (будьте готовы потерять связь):

  1. Откройте страницу конфигурации точки доступа
  2. Перейти к беспроводной связи => Основные настройки
  3. Под Виртуальными интерфейсами нажмите Добавить [^ virtif]
  4. Дайте вашему новому IoT SSID имя и оставьте, Network Configurationчтобы Bridgedвключить, AP Isolationкак вы хотите
  5. Перейдите на вкладку «Беспроводная безопасность», задайте свои пароли и установите режим безопасности, если это возможно, на WPA2-Personal-AES. [^ NDS]
  6. Перейти на вкладку Настройка => Сеть
  7. Под Bridging нажмите Add
  8. Дайте вашему мосту произвольное имя [^ brname], может быть br1?
  9. Дайте вашему мосту IP-адрес, который не находится в той же подсети, что и ваша основная сеть [^ ipaddr]
  10. (Возможно, вам придется нажать «Сохранить», затем «Применить настройки», чтобы это отобразилось). В разделе «Присвоить мосту» нажмите «Добавить», затем назначьте « br1Интерфейс» wl.01или укажите имя его интерфейса [^ virtif], сохраните и примените.
  11. В разделе «Несколько серверов DHCP» нажмите «Добавить» и назначьте его br1

  12. Перейдите в Администрирование => Команды и вставьте их (вам может потребоваться настроить имена интерфейсов) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    И нажмите Сохранить брандмауэр

  13. Вы должны быть все готово, я думаю

Для получения более подробной информации вы можете посмотреть на http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Предостережение для этого - то, что эта настройка эффективна только для маршрутизатора / AP шлюза. Если вы хотите, чтобы такая же настройка работала для другого маршрутизатора, вам придется использовать VLAN. Настройка похожа, но она немного сложнее. Разница здесь в том, что вам придется настроить и подключить новую VLAN к SSID IoT и, возможно, выполнить некоторые правила маршрутизации.

[^ virtif]: Первый - это обычно физический интерфейс, который часто обозначается как wl0. Ваши виртуальные интерфейсы (до трех, если я не ошибаюсь) будут помечены как wl0.1, wl0.2 и так далее.

[^ brname]: это будет имя интерфейса, которое DD-WRT даст интерфейсу моста.

[^ ipaddr]: скажем, ваша основная сеть находится на 172.16.1.0/24, укажите br1адрес 172.16.2.0/24.

[^ nDS]: если у вас Nintendo DS, вам придется использовать WEP. В качестве альтернативы, вы можете создать другой SSID только для NDS и подключить его br1для удобства.

[^ note1]: в этот момент после применения настроек все, что подключается к SSID IoT, теперь будет назначено другой подсети. Тем не менее, две подсети могут по-прежнему общаться друг с другом.

[^ note2]: этот бит может нуждаться в некоторой работе.


Спасибо за информацию, мне придется больше погрузиться в это, когда я вернусь домой. Для справки, он определенно использует (тупой, без NAT) 4-портовый коммутатор. Оба маршрутизатора подключены к коммутатору через свои порты WAN. Диапазоны DHCP на маршрутизаторах различны, хотя с текущей настройкой это не должно иметь значения. Возможно, я получаю два разных IP-адреса от моего интернет-провайдера
Chris B

Если оба маршрутизатора подключены к своим портам WAN, это не должно иметь значения. И да, можно получить два разных IP-адреса от вашего интернет-провайдера (вам очень повезет, если они это сделают, что я бы дал за второй IPv4-адрес прямо сейчас ...)
gjie

@ user1152285, если вы сделаете небольшое исследование, это может быть буквально лучшим вариантом! я не знал, что ddwrt может использовать AP ISOLATION ... попробуйте сначала!
Брайан Серрати

Обновление: я только что проверил, и каждый из моих маршрутизаторов имеет свой публичный IP-адрес. Так что, похоже, мой провайдер дает мне несколько IP-адресов
Крис Б

@BryanCerrati AP изоляция является частью решения, но не весь ответ. Защищает вас от беспроводных до беспроводных клиентов, но не поможет вам от беспроводной до проводной.
gjie

6

Достаточно ли этого, чтобы полностью отделить мои компьютеры от всего остального?

Предполагая, что ваше соединение от маршрутизатора 1 к коммутатору использует WANпорт маршрутизатора, и вы не разделяете WAN и LAN в OpenWRT (то есть вы не изменили настройки по умолчанию и выполнили кабели, как при подключении напрямую к модему), ты в основном в порядке.

Конечно, ваши устройства на маршрутизаторе 2 могут отправлять трафик кому угодно, что само по себе может быть проблемой (статистика использования, изображения с камер, звук через микрофоны, информация о WLAN, приемниках GPS и т. Д. В зависимости от устройств).

Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

Вы можете настроить свои порты отдельно и направлять плохой трафик отдельно от хорошего трафика. Ваше ключевое слово будет DMZ, есть много учебных пособий.

Если вы хотите иметь более сложную структуру, вы также можете включить VLAN, таким образом вы можете разместить дополнительные устройства с поддержкой VLAN за маршрутизатором и подключить к ним оба типа устройств, по сути, сделав весь дом таким, как если бы каждое устройство было подключено непосредственно к порт одного из обоих маршрутизаторов, даже если у вас есть только один маршрутизатор и 5 коммутаторов за ним с гирляндным подключением ... но делайте это только в случае необходимости, так как вероятность ошибки значительна, а выгода зависит от вашего кабеля ( почти нет при использовании звездной топологии, отлично подходит при использовании кольцевой топологии).


Я должен был упомянуть, что почти все устройства подключаются к маршрутизатору через Wi-Fi. Если все устройства подключаются к одной и той же точке доступа, есть ли способ, чтобы они не видели друг друга (учитывая, что это довольно стандартные домашние маршрутизаторы)?
Крис Б

1
OpenWRT позволяет создавать разные беспроводные сети с разными SSID и паролями. Затем вы можете использовать их как коммутируемую сеть (ваш телевизор видит вашу стереосистему, но не ваш ПК) или использовать VLAN с 802.1x и аутентификацией RADIUS для полного разделения ваших устройств (802.1x использует RADIUS, чтобы проверить, разрешено ли устройство и назначить это его собственная или общая VLAN). С OpenWRT все возможно, но это может стать PITA, чтобы все это настроить.
user121391

802.1x решит все ... кроме того, что все устройства являются беспроводными.
Брайан Серрати

2
@BryanCerrati: 802.1x также работает с беспроводной связью.
Бен Фойгт

6

Некоторые маршрутизаторы Wi-Fi потребительского уровня имеют «гостевой режим», то есть сеть, отделенную от обычной сети.

Вы можете ограничить свои ненадежные устройства точкой доступа «Гость» .

Не то чтобы каждый маршрутизатор с такой функцией был особенно безопасен.

Хотя статья « Предупреждение:« Гостевой режим »на многих маршрутизаторах Wi-Fi не защищена» говорит о небезопасности, основной недостаток, который они обсуждают, - это конфиденциальность. Если вас не волнует, звонит ли ваш телевизор по сети домой, чтобы сообщить производителю, что вы смотрите, то кому это нужно, если соседи смотрят это, сделайте это.


1
На сетевом языке это DMZ.
Легкость гонки с Моникой

3

Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

Большинство домашних WiFi-роутеров позволяют настроить «гостевую сеть». Этой беспроводной локальной сети разрешено подключаться к Интернету, но нельзя подключаться к устройствам в основных проводных или беспроводных локальных сетях. Таким образом, вы можете подключить устройства IoT к сети, и они не смогут скомпрометировать ваши компьютеры.


0

Создание отдельной сети должно быть лучшим способом защиты небезопасных устройств от защищенной локальной сети, чтобы злоумышленники / устройства не могли получить доступ к вашим общим файлам или сетевым устройствам. Этого можно добиться, включив сеть GUEST с помощью функций Netgar WNDR3700v3. с надежными и разными паролями.

Отключить UPnP

Вирус, троянский конь, червь или другая вредоносная программа, которой удается заразить компьютер в локальной сети, может использовать UPnP, как и легальные программы. Хотя маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый злонамеренный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр. Например, троянский конь может установить программу удаленного управления на вашем компьютере и открыть для нее дыру в брандмауэре вашего маршрутизатора, обеспечивая круглосуточный доступ к вашему компьютеру из Интернета. Если UPnP был отключен, программа не смогла бы открыть порт - хотя она могла обойти брандмауэр другими способами и позвонить домой

Отключите удаленный доступ через WIFI к роутерам

большинство маршрутизаторов предлагают функцию «удаленного доступа», которая позволяет получить доступ к этому веб-интерфейсу из любой точки мира. Даже если вы установите имя пользователя и пароль, если у вас есть уязвимость D-Link, любой сможет войти в систему без каких-либо учетных данных. Если у вас отключен удаленный доступ, вы будете в безопасности от людей, которые получают удаленный доступ к вашему маршрутизатору и вмешиваются в его работу.

Также не подключайте небезопасные устройства без необходимости.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.