Безопасное добавление небезопасных устройств в домашнюю сеть

У меня есть несколько подключенных к Интернету устройств, которые я не доверяю, чтобы быть безопасным, но что я хотел бы использовать в любом случае (смарт-телевизор и некоторые готовые устройства домашней автоматизации). Я не хочу, чтобы они были в той же сети, что и мои компьютеры.

мое текущее решение-подключить кабельный модем к коммутатору и подключить к нему два беспроводных маршрутизатора. Мои компьютеры подключаются к первому маршрутизатору, все остальное-ко второму.

достаточно ли этого, чтобы полностью отделить мои компьютеры от всего остального?

кроме того, есть ли более простое решение с использованием одного маршрутизатора, которое эффективно будет делать то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

все устройства (Безопасные и небезопасные) подключаются по беспроводной сети, за исключением одного компьютера в защищенной сети.

13
задан Peter Mortensen
26.12.2022 11:24 Количество просмотров материала 2958
Распечатать страницу

6 ответов

Да, ваше решение также в порядке, но увеличит один прыжок переключения, плюс накладные расходы конфигурации, вы можете достигнуть этого с одним маршрутизатором путем делать следующее:

  • настройте две VLAN, подключите доверенные хосты к одной VLAN и ненадежные к другой.
  • настроить iptables, чтобы не разрешать доверенный не доверенному трафику (наоборот).

надеюсь, что это помогает!

22
отвечен Anirudh Malhotra 2022-12-27 19:12

это вполне возможно, но сначала я хотел бы остановиться на нескольких вещах.

мое текущее решение-подключить кабельный модем к коммутатору и подключите к коммутатору два беспроводных маршрутизатора. Мои компьютеры подключаются к первый маршрутизатор, все остальное подключается ко второму маршрутизатору.

интересно, оба маршрутизатора имеют доступ в интернет, когда ваш кабельный модем похоже, это просто модем. Ваш интернет-провайдер делает NAT? Если нет, я бы рекомендовал принимать выключить (это действительно выключатель или переключатель способен НЭТ?) и поместите один из маршрутизаторов DD-WRT в качестве шлюза. Ваше течение настройка как есть (не зная, к какому порту были подключены маршрутизаторы to), может либо иметь конфликты IP-адресов, либо может иногда опыт случайных и потери sporiadic подключения на одну или другую сеть.

можно ли разделить трафик Wi-Fi на несколько VLAN на один доступ точка?

да, но это займет немного работы, конфигурации и тестирования. Я использую аналогичная настройка для разделения гостевой сети. Метод я буду описание ниже не включает VLAN.


DD-WRT (среди прочих) поддерживает создание нескольких SSID на одном и том же AP. Единственное, что нужно сделать, это создать другой мост, назначить его другая подсеть, а затем брандмауэр от остальной части основной сети.

давненько так как я в последний раз делал это таким образом, но он должен идти где-то так (будьте готовы потерять связь):

  1. откройте страницу конфигурации точки доступа
  2. перейти к беспроводной = > основные настройки
  3. в разделе виртуальные интерфейсы нажмите кнопку Добавить [^virtif]
  4. дать свой новый ИОТ имя SSID имя и оставить Network Configuration Bridged включить AP Isolation как хочешь
  5. перейдите на вкладку Безопасность беспроводной сети, установите пароли и установите безопасность Режим не менее чем WPA2-Personal-AES, если это возможно[^nDS]
  6. перейдите на вкладку Setup => Networking
  7. в разделе мосты нажмите кнопку Добавить
  8. дайте мосту произвольное имя[^brname], может быть br1?
  9. дайте вашему мосту IP-адрес, который не в той же подсети, ваша основная сеть[^при]
  10. (вы, возможно, придется нажать кнопку Сохранить, а затем применить настройки, чтобы получить это, чтобы показать вверх) в разделе назначить мосту нажмите кнопку Добавить, а затем назначить br1 в Взаимодействие wl.01 или то, что его имя было дано [virtif^], сохранить и применить
  11. под несколькими DHCP-сервера, нажмите кнопку Добавить и назначить его br1

  12. перейти к администрированию = > команды и вставить их (вы, возможно, придется настройте имена интерфейсов) [^note2]

    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE

    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT

    iptables -I FORWARD -i br1 -o br0 -j REJECT

    И нажмите Save Firewall

  13. вы должны быть все готово, я думай

Для больше деталей, вы можете взглянуть на http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

предостережение для этого состоит в том, что эта настройка эффективна только для шлюза маршрутизатор/AP. Если вы хотите, чтобы та же настройка работала и для другого маршрутизатора, вам придется использовать VLAN. Настройка похожа, но это немного больше вовлеченный. Разница здесь в том, что вам придется настроить и мост новый влан к SSID IoT и может сделать некоторые правила маршрутизации.

[^virtif]: первым обычно является физический интерфейс и часто помечается в качестве wl0. Ваши виртуальные интерфейсы (до трех если я не ошибаюсь) будет быть помечены как wl0.1, wl0.2, и так далее.

[^brname]: это будет имя интерфейса, которое DD-WRT даст интерфейсу интерфейс моста.

[^при]: сказать вашей главной сети 172.16.1.0/24, дать br1 an адрес 172.16.2.0/24.

[^nDS]: если у вас есть Nintendo DS, вам придется использовать WEP. Кроме того, можно создать другой SSID только для NDS и иметь он также соединен с br1 для удобства.

[^note1]: в этот момент после применения настроек все, что подключается к SSID лот будет назначен другой подсети. Однако две подсети могут взаимодействовать друг с другом.

[^note2]: этот бит может потребовать некоторой работы.

10
отвечен gjie 2022-12-27 21:29

этого достаточно, чтобы полностью отделить компьютеры от всего остального?

предполагая, что ваше соединение с маршрутизатором 1 к коммутатору использует WAN порт маршрутизатора, и вы не разделяете WAN и LAN в OpenWRT (это означает, что вы не изменили настройки по умолчанию и сделали кабели, как при подключении непосредственно к модему), вы в основном в порядке.

конечно ваши приборы на маршрутизаторе 2 смогли отправить движение в любое, которое может быть проблему в себе (статистика использования, изображения, камера, звук, микрофоны, информация о WLAN, GPS-приемники и т. д. в зависимости от устройства).

кроме того, есть ли более простое решение с использованием одного маршрутизатора, которое эффективно будет делать то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

вы можете настроить свои порты отдельно и маршрутизировать плохой трафик отдельно от хорошего трафика. Ключевое слово будет DMZ есть много учебники доступны.

Если вы хотите еще больше сложности, вы можете также включить виртуальные локальные сети, таким образом, вы можете положить дополнительное поддержкой VLAN устройства за маршрутизатором и подключить оба типа устройств для них, по сути, делает весь ваш дом, как если бы каждое устройство было подключено напрямую к порту одного из обоих маршрутизаторах, даже если у вас есть только один маршрутизатор и 5 выключателей за ним последовательно... но делать это только в том случае, если необходимо, так как вероятность ошибки существенна и выгода зависит от ваших кабелей (почти нет при использовании звездообразной топологии, отлично при использовании кольцевой топологии).

6
отвечен user121391 2022-12-27 23:46

некоторые маршрутизаторы Wi-Fi потребительского класса имеют "гостевой режим", то есть сеть, которая отделена от обычной сети.

вы можете ограничить ненадежных устройств в "гость"AP.

Не то, чтобы каждый маршрутизатор, который имеет эту функцию, особенно безопасен.

хотя в статье внимание: "гостевой режим" на многих маршрутизаторах Wi-Fi не является безопасным говорит о небезопасности, главный недостаток, который они обсуждают конфиденциальность. Если вам все равно, звонит ли ваш телевизор с поддержкой сети домой, чтобы рассказать производителю, что вы смотрите, тогда кого волнует, смотрят ли соседи, которые это делают.

6
отвечен infixed 2022-12-28 02:03

кроме того, есть ли более простое решение с использованием одного маршрутизатора, которое эффективно будет делать то же самое? У меня есть следующие маршрутизаторы, оба с DD-WRT:

большинство домашних маршрутизаторов WiFi позволяют настроить "гостевую сеть". Эта беспроводная локальная сеть может подключаться к Интернету, но не к устройствам в основной проводной или беспроводной локальной сети. Таким образом, вы можете поместить устройства Интернета вещей в сеть, и они не смогут скомпрометировать ваши компьютеры.

3
отвечен Barmar 2022-12-28 04:20

создать отдельную сеть должно быть лучшим способом, чтобы держать небезопасные устройства вдали от безопасной локальной сети, чтобы предотвратить вредоносных пользователей / устройств от получения доступа к общим файлам или сетевых устройств, это может быть достигнуто путем включения гостевой сети использование функций Netgar WNDR3700v3 С сильным и пароли разные .

отключить UPnP

вирус, трояна или другой вредоносной программы, которая удается заразить компьютер в локальной сети могут использовать UPnP, как законные программы. В то время как маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый вредоносный доступ, UPnP мог позволить вредоносной программе обойти межсетевой экран полностью. Например, Троянский конь может установить на ваш компьютер программу дистанционного управления и открыть для нее дыру в брандмауэре вашего роутера, обеспечивая круглосуточный доступ к вашему компьютеру из интернета. Если UPnP были отключены, программа не может открыть порт-хотя мог обойти файервол другими способами и телефон домашний

отключить удаленный доступ через Wi-Fi к маршрутизаторам

большинство маршрутизаторов предлагают функцию" удаленного доступа", которая позволяет получить доступ к этому веб-интерфейсу из любой точки мира. Даже если задать имя пользователя и пароль, при наличии маршрутизатора D-Link, подверженного этой уязвимости, любой пользователь сможет войти в систему без учетных данных. Если вы имеете удаленный доступ отключен, вы будете в безопасности от людей, удаленно обращающихся к вашему маршрутизатору и вмешивающихся в него.

также не подключайте небезопасные устройства, Если вам это не нужно.

0
отвечен GAD3R 2022-12-28 06:37

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх