Безопасное добавление небезопасных устройств в мою домашнюю сеть

У меня есть несколько подключенных к Интернету устройств, которые я не доверяю, чтобы быть безопасными, но которые я бы все равно хотел использовать (умный телевизор и некоторые готовые устройства домашней автоматизации). Я не хочу, чтобы они были в той же сети, что и мои компьютеры.

Мое текущее решение состоит в том, чтобы подключить мой кабельный модем к коммутатору и подключить к нему два беспроводных маршрутизатора. Мои компьютеры подключаются к первому маршрутизатору, все остальное подключается ко второму маршрутизатору.

Достаточно ли этого, чтобы полностью отделить мои компьютеры от всего остального?

Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT :

• Netgear WNDR3700-v3

• Linksys WRT54G-v3

Все устройства (безопасные и незащищенные) подключаются по беспроводной сети, за исключением одного компьютера в защищенной сети.

Да, ваше решение также в порядке, но увеличит один переход, плюс накладные расходы на конфигурацию, вы можете достичь этого с одним маршрутизатором, выполнив следующие действия:

• Настройте две VLAN, подключите доверенные узлы к одной VLAN и не доверяйте другой.
• Сконфигурируйте iptables, чтобы не разрешать доверенный трафик (не наоборот).

Надеюсь это поможет!

Это вполне возможно, но я бы хотел сначала остановиться на нескольких вещах.

Мое текущее решение состоит в том, чтобы подключить мой кабельный модем к коммутатору и подключить к нему два беспроводных маршрутизатора. Мои компьютеры подключаются к первому маршрутизатору, все остальное подключается ко второму маршрутизатору.

Интересно, что оба маршрутизатора имеют доступ в Интернет, когда ваш кабельный модем выглядит просто как модем. Ваш провайдер делает NAT? Если нет, я бы порекомендовал отключить коммутатор (действительно ли это коммутатор или коммутатор поддерживает NAT?) И установить один из ваших маршрутизаторов DD-WRT в качестве шлюза. Ваша текущая настройка (без знания того, к какому порту подключены маршрутизаторы) может иметь конфликты IP-адресов или может иногда вызывать случайную и случайную потерю соединения в одной или другой сети.

Можно ли разделить трафик Wi-Fi на несколько VLAN на одной точке доступа?

Да, но это займет немного работы с конфигурацией и некоторое тестирование. Я сам использую аналогичную настройку для разделения гостевой сети. Метод, который я опишу ниже, не включает VLAN.

DD-WRT (среди прочих) поддерживает создание нескольких SSID на одной и той же точке доступа. Единственное, что нужно сделать, - это создать другой мост, назначить его другой подсети, а затем заблокировать его в остальной части основной сети.

Прошло много времени с тех пор, как я последний раз делал это таким образом, но это должно происходить где-то так (будьте готовы потерять связь):

1. Откройте страницу конфигурации точки доступа
2. Перейти к беспроводной связи => Основные настройки
3. Под Виртуальными интерфейсами нажмите Добавить [^ virtif]
4. Дайте вашему новому IoT SSID имя и оставьте, Network Configurationчтобы Bridgedвключить, AP Isolationкак вы хотите
5. Перейдите на вкладку «Беспроводная безопасность», задайте свои пароли и установите режим безопасности, если это возможно, на WPA2-Personal-AES. [^ NDS]
6. Перейти на вкладку Настройка => Сеть
7. Под Bridging нажмите Add
8. Дайте вашему мосту произвольное имя [^ brname], может быть br1?
9. Дайте вашему мосту IP-адрес, который не находится в той же подсети, что и ваша основная сеть [^ ipaddr]
10. (Возможно, вам придется нажать «Сохранить», затем «Применить настройки», чтобы это отобразилось). В разделе «Присвоить мосту» нажмите «Добавить», затем назначьте « br1Интерфейс» wl.01или укажите имя его интерфейса [^ virtif], сохраните и примените.

11. В разделе «Несколько серверов DHCP» нажмите «Добавить» и назначьте его br1

12. Перейдите в Администрирование => Команды и вставьте их (вам может потребоваться настроить имена интерфейсов) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
    И нажмите Сохранить брандмауэр

13. Вы должны быть все готово, я думаю

Для получения более подробной информации вы можете посмотреть на http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Предостережение для этого - то, что эта настройка эффективна только для маршрутизатора / AP шлюза. Если вы хотите, чтобы такая же настройка работала для другого маршрутизатора, вам придется использовать VLAN. Настройка похожа, но она немного сложнее. Разница здесь в том, что вам придется настроить и подключить новую VLAN к SSID IoT и, возможно, выполнить некоторые правила маршрутизации.

[^ virtif]: Первый - это обычно физический интерфейс, который часто обозначается как wl0. Ваши виртуальные интерфейсы (до трех, если я не ошибаюсь) будут помечены как wl0.1, wl0.2 и так далее.

[^ brname]: это будет имя интерфейса, которое DD-WRT даст интерфейсу моста.

[^ ipaddr]: скажем, ваша основная сеть находится на 172.16.1.0/24, укажите br1адрес 172.16.2.0/24.

[^ nDS]: если у вас Nintendo DS, вам придется использовать WEP. В качестве альтернативы, вы можете создать другой SSID только для NDS и подключить его br1для удобства.

[^ note1]: в этот момент после применения настроек все, что подключается к SSID IoT, теперь будет назначено другой подсети. Тем не менее, две подсети могут по-прежнему общаться друг с другом.

[^ note2]: этот бит может нуждаться в некоторой работе.

Достаточно ли этого, чтобы полностью отделить мои компьютеры от всего остального?

Предполагая, что ваше соединение от маршрутизатора 1 к коммутатору использует WANпорт маршрутизатора, и вы не разделяете WAN и LAN в OpenWRT (то есть вы не изменили настройки по умолчанию и выполнили кабели, как при подключении напрямую к модему), ты в основном в порядке.

Конечно, ваши устройства на маршрутизаторе 2 могут отправлять трафик кому угодно, что само по себе может быть проблемой (статистика использования, изображения с камер, звук через микрофоны, информация о WLAN, приемниках GPS и т. Д. В зависимости от устройств).

Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

Вы можете настроить свои порты отдельно и направлять плохой трафик отдельно от хорошего трафика. Ваше ключевое слово будет DMZ, есть много учебных пособий.

Если вы хотите иметь более сложную структуру, вы также можете включить VLAN, таким образом вы можете разместить дополнительные устройства с поддержкой VLAN за маршрутизатором и подключить к ним оба типа устройств, по сути, сделав весь дом таким, как если бы каждое устройство было подключено непосредственно к порт одного из обоих маршрутизаторов, даже если у вас есть только один маршрутизатор и 5 коммутаторов за ним с гирляндным подключением ... но делайте это только в случае необходимости, так как вероятность ошибки значительна, а выгода зависит от вашего кабеля ( почти нет при использовании звездной топологии, отлично подходит при использовании кольцевой топологии).

Некоторые маршрутизаторы Wi-Fi потребительского уровня имеют «гостевой режим», то есть сеть, отделенную от обычной сети.

Вы можете ограничить свои ненадежные устройства точкой доступа «Гость» .

Не то чтобы каждый маршрутизатор с такой функцией был особенно безопасен.

Хотя статья « Предупреждение:« Гостевой режим »на многих маршрутизаторах Wi-Fi не защищена» говорит о небезопасности, основной недостаток, который они обсуждают, - это конфиденциальность. Если вас не волнует, звонит ли ваш телевизор по сети домой, чтобы сообщить производителю, что вы смотрите, то кому это нужно, если соседи смотрят это, сделайте это.

Кроме того, есть ли более простое решение, использующее один маршрутизатор, который бы эффективно делал то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

Большинство домашних WiFi-роутеров позволяют настроить «гостевую сеть». Этой беспроводной локальной сети разрешено подключаться к Интернету, но нельзя подключаться к устройствам в основных проводных или беспроводных локальных сетях. Таким образом, вы можете подключить устройства IoT к сети, и они не смогут скомпрометировать ваши компьютеры.

Создание отдельной сети должно быть лучшим способом защиты небезопасных устройств от защищенной локальной сети, чтобы злоумышленники / устройства не могли получить доступ к вашим общим файлам или сетевым устройствам. Этого можно добиться, включив сеть GUEST с помощью функций Netgar WNDR3700v3. с надежными и разными паролями.

Отключить UPnP

Вирус, троянский конь, червь или другая вредоносная программа, которой удается заразить компьютер в локальной сети, может использовать UPnP, как и легальные программы. Хотя маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый злонамеренный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр. Например, троянский конь может установить программу удаленного управления на вашем компьютере и открыть для нее дыру в брандмауэре вашего маршрутизатора, обеспечивая круглосуточный доступ к вашему компьютеру из Интернета. Если UPnP был отключен, программа не смогла бы открыть порт - хотя она могла обойти брандмауэр другими способами и позвонить домой

Отключите удаленный доступ через WIFI к роутерам

большинство маршрутизаторов предлагают функцию «удаленного доступа», которая позволяет получить доступ к этому веб-интерфейсу из любой точки мира. Даже если вы установите имя пользователя и пароль, если у вас есть уязвимость D-Link, любой сможет войти в систему без каких-либо учетных данных. Если у вас отключен удаленный доступ, вы будете в безопасности от людей, которые получают удаленный доступ к вашему маршрутизатору и вмешиваются в его работу.

Также не подключайте небезопасные устройства без необходимости.