Aggiunta sicura di dispositivi non sicuri alla mia rete domestica


39

Ho alcuni dispositivi connessi a Internet che non mi fido di essere sicuri, ma che vorrei usare comunque (una smart TV e alcuni dispositivi di automazione domestica pronti all'uso). Non li voglio sulla stessa rete dei miei computer.

La mia soluzione attuale è quella di collegare il mio modem via cavo a uno switch e collegare due router wireless allo switch. I miei computer si connettono al primo router, tutto il resto si collega al secondo router.

È abbastanza per separare completamente i miei computer da tutto il resto?

Inoltre, esiste una soluzione più semplice che utilizza un singolo router che farebbe effettivamente la stessa cosa? Ho i seguenti router, entrambi con DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Tutti i dispositivi (sicuri e non sicuri) si connettono in modalità wireless, ad eccezione di un singolo computer sulla rete protetta.


4
La separazione dai computer è ottima, ma che dire di separare la tua smart TV non sicura dal tuo tostapane WiFi non sicuro? ;)
ZX9

Hmm ... Beh, ho molti altri vecchi router in giro. Mi chiedo quanti IP il mio ISP mi darà?
Chris B,

Risposte:


22

Sì, anche la tua soluzione è ok ma aumenterà un hop di commutazione, oltre a un overhead di configurazione, puoi farlo con un router procedendo come segue:

  • Configurare due VLAN, collegare host attendibili a una VLAN e non attendibili a un'altra.
  • Configurare iptables per non consentire il traffico fidato o non fidato (viceversa).

Spero che sia di aiuto!


1
Penso di sapere come configurare più VLAN correttamente utilizzando le porte LAN, ma tutto è collegato tramite Wi-Fi. È possibile separare il traffico Wi-Fi in più VLAN su un unico punto di accesso?
Chris B,

1
@ user1152285 Sì, tutti i dispositivi WLAN ragionevolmente moderni sono in grado di ospitare più reti wireless (sullo stesso canale). Se il software lo consente è ancora un'altra domanda.
Daniel B,

2
Non sono sicuro al 100%, ma dd-wrt dovrebbe essere in grado di darti più SSID sullo stesso AP con la segregazione VLAN. Quindi eseguirai due interfacce wireless virtuali, una per dispositivi attendibili e una per dispositivi non attendibili.
Saiboogu,

@ user1152285 Sì, ho cercato e ho scoperto che dd-wrt lo supporta. È stato inoltre trovato il collegamento che mostra il mapping dell'interfaccia con l'interfaccia virtuale wlan. E puoi anche aggiungere tag vlan (geniale! :))
Anirudh Malhotra

1
Concordato con @ ZX9. Dato che il richiedente ha menzionato specificamente che hanno DD-WRT, almeno alcuni collegamenti alla documentazione su come configurare VLAN, SSID multipli e segregazione del traffico sarebbero molto utili.
Doktor J,

10

È del tutto possibile, ma prima vorrei affrontare alcune cose.

La mia soluzione attuale è quella di collegare il mio modem via cavo a uno switch e collegare due router wireless allo switch. I miei computer si connettono al primo router, tutto il resto si collega al secondo router.

È interessante che entrambi i router abbiano accesso a Internet quando il modem via cavo sembra essere solo un modem. Il tuo ISP fa NAT? In caso contrario, consiglierei di togliere lo switch (è davvero uno switch o lo switch è in grado di NAT?) E posizionare uno dei router DD-WRT come gateway. La configurazione corrente così com'è (senza sapere a quale porta erano collegati i router), potrebbe avere conflitti di indirizzi IP o occasionalmente subire una perdita casuale e sporiadica di connettività su una o sull'altra rete.

È possibile separare il traffico Wi-Fi in più VLAN su un unico punto di accesso?

Sì, ma ci vorrà un po 'di configurazione e alcuni test. Uso una configurazione simile per separare una rete ospite. Il metodo che descriverò di seguito non prevede VLAN.


DD-WRT (tra gli altri) supporta la creazione di più SSID sullo stesso AP. L'unica cosa che è necessario fare è creare un altro bridge, assegnarlo a una sottorete diversa, quindi proteggerlo dal resto della rete principale.

È passato un po 'dall'ultima volta che l'ho fatto in questo modo, ma dovrebbe andare da qualche parte in questo modo (preparati a perdere la connettività):

  1. Aprire una pagina di configurazione di un punto di accesso
  2. Vai a Wireless => Impostazioni di base
  3. In Interfacce virtuali fai clic su Aggiungi [^ virtif]
  4. Assegna un nome Network Configurational tuo nuovo SSID IoT e lascialo Bridgedabilitare AP Isolationcome desideri
  5. Vai alla scheda Wireless Security, imposta le tue password e imposta la modalità di sicurezza su nientemeno che WPA2-Personal-AES se possibile [^ nDS]
  6. Vai alla scheda Setup => Networking
  7. In Bridging, fai clic su Aggiungi
  8. Dai al tuo bridge un nome arbitrario [^ brname], forse br1?
  9. Assegna al tuo bridge un indirizzo IP che non si trova sulla stessa sottorete della tua rete principale [^ ipaddr]
  10. (Potrebbe essere necessario fare clic su Salva quindi Applica impostazioni per visualizzare questo) In Assegna a Bridge, fai clic su Aggiungi, quindi assegna br1a Interfaccia wl.01o il nome dell'interfaccia [^ virtif], salva e applica
  11. In Server DHCP multiplo, fare clic su Aggiungi e assegnarlo a br1

  12. Vai su Amministrazione => Comandi e incollali (potrebbe essere necessario modificare i nomi dell'interfaccia) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    E fai clic su Salva firewall

  13. Dovresti essere pronto, credo

Per maggiori dettagli, puoi dare un'occhiata a http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Un avvertimento per questo è che questa configurazione è efficace solo per il router gateway / AP. Se vuoi che la stessa configurazione funzioni per l'altro router, dovrai usare le VLAN. L'installazione è simile, ma è un po 'più coinvolta. La differenza qui è che dovrai configurare e collegare una nuova VLAN all'SSID IoT e magari fare alcune regole di routing.

[^ virtif]: la prima è di solito l'interfaccia fisica e spesso etichettata come wl0. Le tue interfacce virtuali (fino a tre se non sbaglio) saranno etichettate come wl0.1, wl0.2 e così via.

[^ brname]: questo sarà il nome dell'interfaccia che DD-WRT fornirà all'interfaccia bridge.

[^ ipaddr]: supponi che la tua rete principale sia il 172.16.1.0/24, fornisci br1un indirizzo di 172.16.2.0/24.

[^ nDS]: se possiedi un Nintendo DS, dovrai utilizzare WEP. In alternativa, è possibile creare un altro SSID solo per l'NDS e farne un ponte br1per comodità.

[^ note1]: a questo punto dopo aver applicato le impostazioni, tutto ciò che si connette all'SSID IoT verrà ora assegnato a una sottorete diversa. Tuttavia, le due sottoreti possono ancora comunicare tra loro.

[^ note2]: questo bit potrebbe richiedere del lavoro.


Grazie per le informazioni, dovrò tuffarmi di più in questo quando torno a casa. Per riferimento, sta sicuramente usando uno switch (stupido, senza NATing) a 4 porte. Entrambi i router sono collegati allo switch attraverso le loro porte WAN. Gli intervalli DHCP sui router sono diversi, anche se con l'impostazione corrente non dovrebbe importare. È possibile che ottenga due IP diversi dal mio ISP
Chris B,

Se entrambi i router sono collegati alle loro porte WAN, sì, non dovrebbe importare. E sì, è possibile ottenere due IP diversi dal tuo ISP (sei molto fortunato se lo fanno, cosa darei per un secondo indirizzo IPv4 in questo momento ...)
gjie

@utente1152285 se fai un po 'di ricerca, questa può essere letteralmente un'opzione molto migliore! non sapevo che ddwrt potesse usare AP ISOLATION ... prova prima!
Bryan Cerrati,

Aggiornamento: ho appena controllato e ognuno dei miei router ha un IP pubblico diverso. Quindi sembra che il mio ISP mi stia fornendo più IP
Chris B,

L'isolamento di @BryanCerrati AP fa parte della soluzione, ma non dell'intera risposta. Ti protegge dai client wireless a quelli wireless ma non ti aiuterà dal wireless al cablato.
gjie,

6

È abbastanza per separare completamente i miei computer da tutto il resto?

Supponendo che la tua connessione dal router 1 allo Switch stia utilizzando la WANporta del router e non stai condividendo WAN e LAN in OpenWRT (il che significa che non hai modificato le impostazioni predefinite e fatto il cablaggio come faresti quando connesso direttamente al modem), per lo più stai bene.

Ovviamente i tuoi dispositivi sul router 2 potrebbero inviare traffico a chiunque, il che può essere un problema in sé (statistiche di utilizzo, immagini della telecamera, audio sui microfoni, informazioni su WLAN, ricevitori GPS ecc. A seconda dei dispositivi).

Inoltre, esiste una soluzione più semplice che utilizza un singolo router che farebbe effettivamente la stessa cosa? Ho i seguenti router, entrambi con DD-WRT:

È possibile configurare le porte separatamente e instradare il traffico cattivo separatamente dal traffico buono. La tua parola chiave sarebbe DMZ, ci sono molti tutorial disponibili.

Se vuoi avere più complessità, puoi anche abilitare le VLAN, in questo modo puoi mettere ulteriori dispositivi compatibili con la VLAN dietro il router e collegare entrambi i tipi di dispositivi a loro, essenzialmente rendendo l'intera casa come se tutti i dispositivi fossero collegati direttamente una porta di uno di entrambi i router, anche se hai solo un singolo router e 5 switch dietro di esso collegati in cascata ... ma fallo solo se necessario, poiché la possibilità di errore è notevole e il vantaggio dipende dal cablaggio ( quasi nessuno quando si usa la topologia a stella, ottimo quando si deve usare la topologia ad anello).


Avrei dovuto menzionare che quasi tutti i dispositivi si connettono al router tramite Wi-Fi. Se tutti i dispositivi si connettono allo stesso punto di accesso, c'è un modo per impedire loro di vedersi (dato che si tratta di router domestici abbastanza standard)?
Chris B,

1
OpenWRT ti consente di creare diverse reti wireless con SSID e password diversi. Puoi quindi usarli come una rete commutata (la tua TV vede il tuo stereo, ma non il tuo PC) o usare le VLAN con autenticazione 802.1xe RADIUS per separare completamente i tuoi dispositivi (802.1x usa RADIUS per verificare se un dispositivo è autorizzato e per assegnare alla propria o VLAN condivisa). Con OpenWRT, tutto è possibile, ma può diventare un PITA per impostare tutto.
user121391

802.1x risolverebbe tutti ... tranne tutti i dispositivi sono wireless.
Bryan Cerrati,

2
@BryanCerrati: 802.1x funziona anche con wireless.
Ben Voigt,

6

Alcuni router Wi-Fi di livello consumer dispongono di una "Modalità ospite" che è una rete partizionata dalla rete normale.

È possibile limitare i dispositivi non attendibili all'AP "Ospite" .

Non che tutti i router dotati di tale funzionalità siano particolarmente sicuri.

Sebbene l'articolo Avviso: "Modalità ospite" su molti router Wi-Fi non sia sicuro parla di insicurezza, il principale difetto di cui discutono è la privacy. Se non ti interessa se la tua TV abilitata alla rete sta telefonando a casa per dire al produttore cosa stai guardando, allora chi se ne frega se i vicini lo stanno guardando.


1
Nel linguaggio parlante, questa è la DMZ.
Lightness Races con Monica il

3

Inoltre, esiste una soluzione più semplice che utilizza un singolo router che farebbe effettivamente la stessa cosa? Ho i seguenti router, entrambi con DD-WRT:

La maggior parte dei router WiFi domestici consente di configurare una "rete ospite". Questa LAN wireless è autorizzata a connettersi a Internet, ma non è consentita la connessione ai dispositivi sulle principali LAN cablate o wireless. Quindi potresti mettere i dispositivi IoT in rete e non saranno in grado di compromettere i tuoi computer.


0

Creare una rete separata dovrebbe essere il modo migliore per tenere i dispositivi non sicuri lontano dalla LAN protetta per impedire agli utenti / dispositivi dannosi di accedere ai file condivisi o ai dispositivi di rete, può essere ottenuto abilitando la rete GUEST utilizzando le funzionalità Netgar WNDR3700v3 con password forti e diverse.

Disabilita l'UPnP

Un virus, un cavallo di Troia, un worm o un altro programma dannoso che riesce a infettare un computer sulla rete locale può utilizzare UPnP, proprio come i programmi legittimi. Mentre un router normalmente blocca le connessioni in entrata, impedendo l'accesso dannoso, UPnP potrebbe consentire a un programma dannoso di bypassare del tutto il firewall. Ad esempio, un cavallo di Troia potrebbe installare un programma di controllo remoto sul computer e aprire un buco nel firewall del router, consentendo l'accesso 24/7 al computer da Internet. Se UPnP fosse disabilitato, il programma non poteva aprire la porta, sebbene potesse bypassare il firewall in altri modi e telefonare a casa

Disabilita l'accesso remoto tramite WIFI ai tuoi router

la maggior parte dei router offre una funzionalità di "accesso remoto" che consente di accedere a questa interfaccia Web da qualsiasi parte del mondo. Anche se imposti un nome utente e una password, se hai un router D-Link interessato da questa vulnerabilità, chiunque sarebbe in grado di accedere senza alcuna credenziale. Se hai disabilitato l'accesso remoto, sarai al sicuro dalle persone che accedono in remoto al tuo router e manomettono.

Inoltre, non collegare i dispositivi non sicuri a meno che non sia necessario.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.