Güvenli olmayan cihazları ev ağıma güvenle ekle


39

Güvenli olmak için güvenmediğim ancak yine de kullanmak istediğim (akıllı bir TV ve bazı hazır ev otomasyon cihazları) kullanmak istediğim İnternet bağlantılı birkaç cihazım var. Onları bilgisayarlarımla aynı ağda istemiyorum.

Mevcut çözümüm, kablolu modemimi bir anahtara bağlamak ve iki kablosuz yönlendiriciyi anahtara bağlamaktır. Bilgisayarlarım ilk yönlendiriciye bağlanır, diğer her şey ikinci yönlendiriciye bağlanır.

Bu, bilgisayarlarımı her şeyden tamamen ayırmak için yeterli mi?

Ayrıca, aynı şeyi etkili bir şekilde yapabilecek tek bir yönlendirici kullanarak daha basit bir çözüm var mı? Her ikisi de DD-WRT ile aşağıdaki yönlendiricilere sahibim :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Güvenli ağdaki tek bir bilgisayar dışında tüm aygıtlar (güvenli ve güvensiz) kablosuz bağlanır.


4
Bilgisayarlarınızdan ayırmak harika, ancak güvenli olmayan akıllı TV'nizi güvenli olmayan WiFi ekmek kızartma makinenizden ayırmaya ne dersiniz? ;)
ZX9

Hmm ... Pekala, etrafta dolanan birkaç eski yönlendiricim var. Servis sağlayıcım bana kaç tane IP verecek?
Chris B,

Yanıtlar:


22

Evet, çözümünüz de sorun değil, ancak bir anahtarlama geçişi artıracak, ayrıca yapılandırma ek yükünü artıracak şekilde, aşağıdakileri yaparak bir yönlendirici ile bunu başarabilirsiniz:

  • İki VLAN yapılandırın, güvenilir ana bilgisayarları bir VLAN'a bağlayın ve diğerine güvenilmez.
  • Iptables'ı güvenilir olmayan güvenilir trafiğe izin vermeyecek şekilde yapılandırın (tersi).

Bu yardımcı olur umarım!


1
LAN bağlantı noktalarını kullanarak birden fazla VLAN'ı nasıl ayarlayacağımı biliyorum, ancak her şey Wi-Fi aracılığıyla bağlı. Tek bir erişim noktasında Wi-Fi trafiğini birden fazla VLAN'a ayırmak mümkün mü?
Chris B,

1
@ user1152285 Evet, tüm makul modern WLAN cihazları birden fazla kablosuz ağ barındırabilir (aynı kanalda). Yazılımın izin verip vermediği bir başka soru.
Daniel B

2
Ben% 100 emin değilim, ama gg-wrt olmalıdır VLAN segregasyon ile aynı AP üzerinde size birden çok SSID verebilir. Böylece, biri güvenilir, diğeri güvenilir olmayan aygıtlar için olmak üzere iki sanal kablosuz arabirimi çalıştıracaksınız.
Saiboogu

@ user1152285 Evet Aradım ve dd-wrt'nin onu desteklediğini öğrendim. Ayrıca , arayüzün wlan sanal arayüzüyle eşlenmesini gösteren bağlantıyı buldu . Ayrıca vlan etiketlerini de ekleyebilirsiniz (mükemmel! :))
Anirudh Malhotra

1
@ ZX9 ile anlaşıldı. Soru sahibi özellikle DD-WRT’den bahsettiğinden, en azından VLAN’ların, çoklu SSID’lerin ve trafik ayrımının nasıl yapılandırılacağına dair dokümantasyonla ilgili bazı bağlantılarda çok yardımcı olacaktır.
Doktor J

10

Tamamen mümkün, ama önce birkaç şeyi ele almak istiyorum.

Mevcut çözümüm, kablolu modemimi bir anahtara bağlamak ve iki kablosuz yönlendiriciyi anahtara bağlamaktır. Bilgisayarlarım ilk yönlendiriciye bağlanır, diğer her şey ikinci yönlendiriciye bağlanır.

Kablo modeminiz sadece bir modem gibi göründüğünde, her iki yönlendiricinin de internet erişimine sahip olması ilginçtir. ISS'niz NAT yapıyor mu? Değilse, anahtarın çıkarılmasını öneririm (gerçekten bir anahtar mı yoksa anahtar NAT yapabilecek mi?) Ve DD-WRT yönlendiricilerinizden birini ağ geçidi olarak yerleştirin. Şu anki kurulumunuz (yönlendiricilerin hangi bağlantı noktasına bağlı olduklarını bilmeden) ya IP adresi çakışmaları olabilir ya da bazen bir ya da diğer ağda rasgele ve sporiadik bağlantı kaybı yaşayabilir.

Tek bir erişim noktasında Wi-Fi trafiğini birden fazla VLAN'a ayırmak mümkün mü?

Evet, ancak biraz yapılandırma çalışması ve biraz test gerektirecektir. Misafir bir ağı ayırmak için kendimde benzer bir kurulum kullanıyorum. Aşağıda anlatacağım yöntem VLAN içermiyor.


DD-WRT (diğerleri arasında) aynı AP'de birden fazla SSID oluşturmayı destekler. Yapılması gereken tek şey, başka bir köprü oluşturmak, onu farklı bir alt ağa atamak ve ardından güvenlik duvarını ana ağın geri kalanından çıkarmaktır.

En son bu şekilde yaptığımdan beri bir süre oldu ama bunun gibi bir yere gitmeli (bağlantıyı kaybetmeye hazır olun):

  1. Bir erişim noktasının yapılandırma sayfasını açın
  2. Kablosuz Git => Temel Ayarlar
  3. Sanal Arayüzler altında Ekle [^ virtif] öğesini tıklayın.
  4. Yeni IOT SSID bir ad verin ve bırakın Network Configurationiçin Bridgedetkinleştirmek AP Isolationistediğiniz gibi
  5. Kablosuz Güvenlik sekmesine gidin, şifrelerinizi ayarlayın ve Güvenlik Modunu, mümkünse WPA2-Kişisel-AES'ten daha düşük olmayan bir şeye ayarlayın [^ nDS]
  6. Sekmeye git Setup => Networking
  7. Köprü Oluşturma altında, Ekle'yi tıklayın.
  8. Köprüsüne isteğe bağlı bir isim verin [^ brname], belki br1?
  9. Köprüye ana ağınızla aynı alt ağda olmayan bir IP adresi verin [^ ipaddr]
  10. Sonra atama, Ekle tıklayın Köprüsü Ata Altında (Kaydet sonra yukarı göstermek için bu almak için Ayarları Uygula tıklamanız gerekebilir) br1Arayüzüne wl.01veya arayüz adı [^ virtif] verildi ne kaydetme ve uygulamak
  11. Birden Çok DHCP sunucusu altında, Ekle'yi tıklayın ve ata br1

  12. Yönetime Git => Komutlar ve bunları yapıştırın (arayüz adlarını ayarlamanız gerekebilir) [^ not2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    Ve Güvenlik Duvarı Kaydet'i tıklayın.

  13. Hepinizin hazır olması gerektiğini düşünüyorum.

Daha fazla ayrıntı için http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/ adresini ziyaret edebilirsiniz.

Bunun için bir uyarı, bu kurulumun yalnızca ağ geçidi yönlendiricisi / AP için etkili olmasıdır. Aynı kurulumun diğer yönlendirici için çalışmasını istiyorsanız, VLAN kullanmanız gerekir. Kurulum benzer, ancak biraz daha karmaşık. Buradaki fark, IoT SSID'ye yeni bir VLAN yapılandırmanız ve köprülemeniz ve belki de bazı yönlendirme kuralları yapmanız gerektiğidir.

[^ virtif]: Birincisi genellikle fiziksel arayüzdür ve çoğunlukla wl0 olarak etiketlenir. Sanal arabirimleriniz (yanılmıyorsam üçe kadar) wl0.1, wl0.2 vb. Olarak etiketlenir.

[^ brname]: Bu DD-WRT'nin köprü arayüzüne vereceği arayüz adı olacaktır.

[^ ipaddr]: Ana ağınızın 172.16.1.0/24 tarihinde olduğunu br1ve 172.16.2.0/24 adres verdiğini söyleyin .

[^ nDS]: Nintendo DS'niz varsa, WEP kullanmanız gerekir. Alternatif olarak, sadece NDS için başka bir SSID oluşturabilir ve br1kolaylık olması için köprülenmesini de sağlayabilirsiniz .

[^ not1]: Ayarları uyguladıktan sonra bu noktada, IoT SSID'ye bağlanan herhangi bir şey şimdi farklı bir alt ağa atanacaktır. Ancak, iki alt ağ hala birbirleriyle iletişim kurabilir.

[^ not2]: Bu bit biraz işe ihtiyaç duyabilir.


Bilgi için teşekkürler, eve geldiğimde buna daha çok dalmak zorunda kalacağım. Başvuru için, kesinlikle (aptal, hayır NATing) 4 portlu anahtar kullanıyor. Her iki yönlendirici de WAN bağlantı noktalarından anahtara bağlanır. Yönlendiricilerdeki DHCP aralıkları farketmez, şu anki kurulumla olsa da farklıdır. Muhtemelen ISS'imden iki farklı IP alıyorum
Chris B

Her iki yönlendirici de WAN bağlantı noktalarına bağlıysa, bunun önemi yoktur. Ve evet, ISS'nizden iki farklı IP almak mümkündür ( eğer yaparsanız çok şanslısınız, şu anda ikinci bir IPv4 adresi için vereceğim şey ...)
gjie

@ user1152285 biraz araştırma yaparsanız bu tam anlamıyla daha iyi bir seçenek olabilir! ddwrt'in AP ISOLATION'ı kullanabileceğini bilmiyordum ... ilk önce bunu dene!
Bryan Cerrati

Güncelleme: Az önce kontrol ettim ve yönlendiricilerimin her birinin ortak bir IP adresi var. Öyle görünüyor ki ISS bana birden fazla IP veriyor
Chris B

@BriyanCerrati AP izolasyonu çözümün bir parçasıdır, ancak tüm cevabı değildir. Sizi kablosuzdan kablosuzya istemcilere karşı korur ancak kablosuzdan kabloluya yönlendirmenize yardımcı olmaz.
gjie 5:16

6

Bu, bilgisayarlarımı her şeyden tamamen ayırmak için yeterli mi?

Yönelticinin 1’den Switch’e bağlantınızın yönlendiricinin bağlantı noktasını kullandığını ve WANOpenWRT’de WAN ve LAN’ı paylaşmadığınızı varsayarak (varsayılan ayarları değiştirmediniz ve kabloyu doğrudan modeme bağlandığınızda yaptığınız gibi yaptınız), çoğunlukla iyisin.

Elbette yönlendirici 2'deki cihazlarınız herkese trafik gönderebilir; bu durum kendi içinde sorun yaratabilir (kullanım istatistikleri, kamera görüntüleri, mikrofon üzerinden ses, WLAN hakkında bilgiler, GPS alıcıları vb. Cihazlara bağlı olarak).

Ayrıca, aynı şeyi etkili bir şekilde yapabilecek tek bir yönlendirici kullanarak daha basit bir çözüm var mı? Her ikisi de DD-WRT ile aşağıdaki yönlendiricilere sahibim:

Bağlantı noktalarınızı ayrı olarak yapılandırabilir ve kötü trafiği iyi trafikten ayrı olarak yönlendirebilirsiniz. Anahtar kelimeniz olabilir DMZ, çok sayıda ders var.

Daha fazla karmaşıklığa sahip olmak istiyorsanız, VLAN'ları da etkinleştirebilirsiniz, bu şekilde yönlendiricinin arkasına ek VLAN uyumlu aygıtlar yerleştirebilir ve her iki tür aygıtı da bunlara bağlayabilirsiniz; her iki yönlendiriciden birinin bağlantı noktası, yalnızca tek bir yönlendiriciniz olsa ve 5 anahtarının arkasında papatya zinciri olsa bile ... ancak bunu yapmanız gerekiyorsa, hata olasılığı önemli olduğu ve kablo bağlantınıza bağlı olduğu için yapın ( yıldız topolojisi kullanırken neredeyse hiçbiri, halka topolojisi kullanmak zorunda olduğunda harika).


Cihazların neredeyse hepsinin yönlendiriciye Wi-Fi üzerinden bağlandığını söylemeliydim. Tüm cihazlar aynı erişim noktasına bağlanıyorsa, birbirlerini görmelerini engellemenin bir yolu var mı (bunlar oldukça standart ev yönlendiricileri olduğu için)?
Chris B,

1
OpenWRT, farklı SSID ve şifrelerle farklı kablosuz ağlar oluşturmanıza olanak sağlar. Daha sonra bunları anahtarlamalı bir ağ gibi kullanabilirsiniz (TV'niz stereo sisteminizi görür, ancak bilgisayarınızı değil) veya cihazlarınızı tamamen ayırmak için 802.1x ve RADIUS auth ile VLAN kullanabilirsiniz (802.1x bir cihazın izin verilip verilmediğini kontrol etmek ve atamak için RADIUS kullanır.) kendi veya paylaşılan VLAN'a). OpenWRT ile her şey mümkün, ancak hepsini ayarlamak PITA olabilir.
user121391

802.1x hepsini çözer ... tüm cihazlar kablosuz olduğu sürece.
Bryan Cerrati

2
@BryanCerrati: 802.1x kablosuz ile de çalışır.
Ben Voigt

6

Bazı tüketici sınıfı Wi-Fi yönlendiricileri, normal ağdan ayrılan bir ağ olan bir "Misafir Modu" na sahiptir.

Güvenilmeyen cihazlarınızı "Misafir" AP ile sınırlayabilirsiniz .

Bu özelliğe sahip her yönlendirici özellikle güvenli değildir.

Her ne kadar birçok Wi-Fi Yönlendiricideki “Konuk Modu” Uyarı uyarısı olmasa da, güvensizlik hakkında güvenli konuşmalar yapılmamasına rağmen, tartıştıkları en büyük hata gizliliktir. Eğer ağ özellikli TV'nizin yapımcıya ne izlediğini anlatmak için telefon edip etmediğini umursamıyorsanız, komşuların bunu izlemesini önemseyen kimin umrunda.


1
Ağ iletişiminde, bu DMZ'dir.
Monica

3

Ayrıca, aynı şeyi etkili bir şekilde yapabilecek tek bir yönlendirici kullanarak daha basit bir çözüm var mı? Her ikisi de DD-WRT ile aşağıdaki yönlendiricilere sahibim:

Çoğu ev WiFi yönlendiricisi, bir "misafir ağı" yapılandırmanıza izin verir. Bu kablosuz LAN'ın İnternete bağlanmasına izin verilir, ancak ana kablolu veya kablosuz LAN'lardaki cihazlara bağlanmasına izin verilmez. Böylece IoT cihazlarını ağa bağlayabilirsiniz ve bilgisayarlarınızı tehlikeye atamazlar.


0

Ayrı bir ağı oluşturun, bu KONUK ağını etkinleştirin sağlanabilir paylaşılan dosyalara veya ağa bağlı cihazlara erişim sağlaması kötü niyetli kullanıcıların / cihazların önlemek için güvenli LAN uzak güvensiz cihazları tutmanın en iyi yolu olmalı Netgar WNDR3700v3 özellikleri kullanma güçlü ve değişik şifreler.

UPnP'yi devre dışı bırakın

Yerel ağınızdaki bir bilgisayara bulaşmayı başaran bir virüs, Truva atı, solucan veya başka bir kötü amaçlı program, UPnP'yi (meşru programlar gibi) kullanabilir. Bir yönlendirici normal olarak gelen bağlantıları engellerken, bazı kötü amaçlı erişimi engellerken, UPnP kötü amaçlı bir programın güvenlik duvarını tamamen atlamasına izin verebilir. Örneğin, bir Truva atı bilgisayarınıza bir uzaktan kumanda programı yükleyebilir ve yönlendiricinizin güvenlik duvarında bunun için bir delik açarak bilgisayarınıza 24/7 erişime izin verebilir. UPnP devre dışı bırakılmışsa, program bağlantı noktasını açamadı - güvenlik duvarını başka şekillerde ve telefon girişini atlatabilse de

WIFI üzerinden yönlendiricilerinize uzaktan erişimi devre dışı bırakın

çoğu yönlendirici, bu web arayüzüne dünyanın her yerinden erişmenizi sağlayan bir “uzaktan erişim” özelliği sunar. Bir kullanıcı adı ve parola belirleseniz bile, bu güvenlik açığından etkilenen bir D-Link yönlendiriciniz varsa, herhangi bir kullanıcı herhangi bir kimlik bilgisi olmadan oturum açabilir. Uzaktan erişiminiz devre dışı bırakılmışsa, yönlendiricinize uzaktan erişen ve bunlara müdahale eden kişilerden güvende olursunuz.

Ayrıca, gerekmedikçe güvensiz cihazları bağlamayın.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.