Come configurare un router / punto di accesso in modo che un reset lo disconnetta dalla rete?

0

Quindi ho un router principale e molti punti di accesso (precisamente: router Wi-Fi configurati per essere punti di accesso) collegati al router principale. I punti di accesso possono essere fisicamente accessibili al pubblico, quindi chiunque potrebbe ripristinarlo e connettersi alla LAN / Internet altrimenti privata con le credenziali predefinite.

Esiste una topologia di rete o un tipo di regole che posso impostare, quindi quando qualcuno reimposta il punto di accesso deve essere riconfigurato in un modo specifico in modo che possa funzionare di nuovo?

networking  wireless-networking  router  security 
totymedli
fonte

Risposte:

0

C'è una soluzione? si C'è.

Dovresti farlo in quel modo? Sicuramente no.

Se ti ho capito bene, hai questa configurazione (per semplicità solo con un punto di accesso)

Internet(I) 
   |
Router(R) ---- AccessPoint(AP) ---- ThePublic(P)
   |
Some other LAN devices(L)

E in questo momento, in qualche modo logicamente ti assicuri che P non possa accedere a L o I ma solo ad altri Ps? E poiché P ha accesso fisico ad AP, vuoi impedire ciò che accade P preme il pulsante di ripristino.

Il problema è che qualcuno con accesso fisico all'AP potrebbe semplicemente estrarre il cavo e collegarsi direttamente alla rete e attaccarlo. Quindi fare una configurazione intelligente sull'AP non aiuta.

Quello che vuoi è una configurazione in cui il router gestisce chi può accedere a cosa sulla tua rete. (supponendo che P non possa accedere fisicamente a R)

Ci sono diverse possibilità per raggiungere la sicurezza qui. Uno userebbe le VLAN. Quindi impostando ciascuna porta di R in cui un AP è collegato per appartenere a una specifica VLAN (porta di accesso). Non funzionerebbe se l'AP eseguisse il tagging VLAN, perché quindi l'attaccante potrebbe provare a taggare i propri pacchetti per appartenere a un'altra VLAN. Questo si chiamerebbe porta trunk.

È possibile utilizzare questo tutorial come introduzione alle VLAN: http://www.smallnetbuilder.com/lanwan/lanwan-howto/30071-vlan-how-to-segmenting-a-small-lan

masgo
fonte
Il Wi-Fi è protetto da password e non c'è trasmissione SSID. Chi ha la password può accedere a tutto ciò che non dovrebbe. Ho pensato anche al problema del cavo, ma questo non è un rischio nel mio caso. Inoltre, non credo che i punti di accesso verranno ripristinati da chiunque voglia solo prepararmi per questo possibile evento occasionale.
totymedli,
Ok, quindi dovresti leggere anche sulla sicurezza del wifi. Non trasmettere il tuo SSID aumenta la tua sicurezza allo stesso modo dell'utilizzo di un filtro negativo per "crittografare" le tue foto private. E se qualcuno che reimposta il tuo router può in seguito semplicemente collegarsi ad esso, allora è male come avere qualcuno che tira il cavo dal router e si connette fisicamente alla tua rete. In realtà è anche peggio, perché può ripristinare rapidamente il router e poi allontanarsi e fare l'attacco dalla sua auto dall'altra parte della strada.
Masgo,
So che gli SSID possono essere sniffati. Il secondo è il motivo per cui voglio che i punti di accesso siano "disconnessi / vietati" dalla rete dopo un ripristino. Se esiste una topologia di rete migliore, sono aperto anche a quello.
totymedli,
L'unico modo in cui riesco a pensare è che l'AP deve "conoscere" qualcosa che si perde dopo il ripristino. Poiché questa non può essere un'impostazione (perché potrebbe essere indovinata dall'aggressore) deve essere qualcosa di più casuale, come una chiave. Quindi potresti fare in modo che l'AP costruisca un tunnel VPN su R. Dopo aver ripristinato la chiave VPN viene persa => non più VPN non più connessione. (ovviamente R dovrebbe negare qualsiasi traffico non VPN).
Masgo,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.