Adicionando com segurança dispositivos inseguros à minha rede doméstica

39

Eu tenho alguns dispositivos conectados à Internet nos quais não confio em segurança, mas que gostaria de usar de qualquer maneira (uma TV inteligente e alguns dispositivos de automação residencial prontos para uso). Não os quero na mesma rede que meus computadores.

Minha solução atual é conectar meu modem a cabo em um switch e conectar dois roteadores sem fio ao switch. Meus computadores se conectam ao primeiro roteador, tudo o resto se conecta ao segundo roteador.

Isso é suficiente para separar completamente meus computadores de todo o resto?

Além disso, existe uma solução mais simples usando um roteador único que efetivamente faria a mesma coisa? Eu tenho os seguintes roteadores, ambos com DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Todos os dispositivos (seguros e inseguros) se conectam sem fio, exceto por um único computador na rede segura.

security nat Chris B
fonte
4
A separação dos seus computadores é excelente, mas e quanto a separar sua TV inteligente insegura da sua torradeira WiFi insegura? ;)
ZX9 4/11/2016
Hmm ... Bem, eu tenho vários roteadores mais antigos por aí. Gostaria de saber quantos IPs meu ISP me dará?
Chris B
reactiongifs.com/r/but-why.gif
Alexander

Respostas:

22

Sim, sua solução também está ok, mas aumentará um salto de comutação, além da sobrecarga de configuração, você pode conseguir isso com um roteador fazendo o seguinte:

  • Configure duas VLANs, conecte hosts confiáveis ​​a uma VLAN e não confiáveis ​​a outra.
  • Configure o iptables para não permitir tráfego confiável para não confiável (vice-versa).

Espero que isto ajude!

Anirudh Malhotra
fonte
11
Acho que sei como configurar várias VLANs corretamente usando as portas LAN, mas tudo está conectado via Wi-Fi. É possível segregar o tráfego Wi-Fi em várias VLANs em um único ponto de acesso?
Chris B
11
@ user1152285 Sim, todos os dispositivos WLAN razoavelmente modernos são capazes de hospedar várias redes sem fio (no mesmo canal). Se o software permite isso é outra questão.
Daniel B
2
Não tenho 100% de certeza, mas o dd-wrt deve ser capaz de fornecer vários SSIDs no mesmo AP com segregação de VLAN. Portanto, você executará duas interfaces sem fio virtuais, uma para dispositivos confiáveis ​​e outra para dispositivos não confiáveis.
Saiboogu 3/11
@ user1152285 Sim, procurei e descobri que o dd-wrt é compatível. Também foi encontrado o link que mostra o mapeamento da interface para a interface virtual wlan. E você pode adicionar tags de VLAN também (brilhante :)!)
Anirudh Malhotra
11
Concordou com @ ZX9. Como o solicitante menciona especificamente que eles têm DD-WRT, pelo menos alguns links para documentação sobre como configurar VLANs, vários SSIDs e segregação de tráfego seriam muito úteis.
Doktor J
10

É completamente possível, mas gostaria de abordar algumas coisas primeiro.

Minha solução atual é conectar meu modem a cabo em um switch e conectar dois roteadores sem fio ao switch. Meus computadores se conectam ao primeiro roteador, tudo o resto se conecta ao segundo roteador.

É interessante que ambos os roteadores tenham acesso à Internet quando seu modem a cabo parece ser apenas um modem. O seu ISP faz NAT? Caso contrário, recomendo retirar o switch (é realmente um switch ou é capaz de NAT?) E coloque um dos roteadores DD-WRT como gateway. Sua configuração atual (sem saber para qual porta os roteadores foram conectados) pode ter conflitos de endereço IP ou ocasionalmente ocorrer perda aleatória e esporádica de conectividade em uma ou outra rede.

É possível segregar o tráfego Wi-Fi em várias VLANs em um único ponto de acesso?

Sim, mas será preciso um pouco de trabalho de configuração e alguns testes. Eu mesmo uso uma configuração semelhante para segregar uma rede de convidados. O método que descreverei abaixo não envolve VLANs.

O DD-WRT (entre outros) suporta a criação de vários SSIDs no mesmo AP. A única coisa necessária é criar outra ponte, atribuí-la a uma sub-rede diferente e, em seguida, protegê-la do restante da rede principal.

Já faz um tempo desde a última vez que fiz dessa maneira, mas deve ir para algum lugar assim (esteja preparado para perder a conectividade):

  1. Abra a página de configuração de um ponto de acesso
  2. Vá para Wireless => Configurações básicas
  3. Em interfaces virtuais, clique em Adicionar [^ virtif]
  4. Dê um nome Network Configurationao seu novo IoT SSID e deixe para Bridged, ative AP Isolationcomo desejar
  5. Vá para a guia Segurança sem fio, defina suas senhas e defina o Modo de segurança para nada menos que WPA2-Personal-AES, se possível [^ nDS]
  6. Vá para a guia Configuração => Rede
  7. Em ponte, clique em Adicionar
  8. Dê à sua ponte um nome arbitrário [^ brname], talvez br1?
  9. Dê ao seu bridge um endereço IP que não esteja na mesma sub-rede que sua rede principal [^ ipaddr]
  10. (Pode ser necessário clicar em Salvar e em Aplicar configurações para que isso apareça.) Em Atribuir ao Bridge, clique em Adicionar, depois atribua br1à Interface wl.01ou ao nome de sua interface [^ virtif], salve e aplique

  11. Em servidor DHCP múltiplo, clique em Adicionar e atribua-o a br1

  12. Vá para Administração => Comandos e cole-os (talvez seja necessário ajustar os nomes da interface) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    E clique em Salvar Firewall

  13. Você deveria estar pronto, eu acho

Para obter mais detalhes, consulte http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Uma ressalva é que essa configuração é eficaz apenas para o AP / roteador de gateway. Se você deseja que a mesma configuração funcione para o outro roteador, será necessário usar VLANs. A configuração é semelhante, mas é um pouco mais envolvida. A diferença aqui é que você precisará configurar e conectar uma nova VLAN ao IoT SSID e talvez fazer algumas regras de roteamento.

[^ virtif]: A primeira é geralmente a interface física e frequentemente rotulada como wl0. Suas interfaces virtuais (até três, se não me engano) serão rotuladas como wl0.1, wl0.2 e assim por diante.

[^ brname]: este será o nome da interface que o DD-WRT dará à interface da ponte.

[^ ipaddr]: digamos que sua rede principal esteja em 172.16.1.0/24, forneça br1um endereço 172.16.2.0/24.

[^ nDS]: se você tem um Nintendo DS, terá que usar o WEP. Como alternativa, você pode criar outro SSID apenas para o NDS e fazer a ponte também br1por conveniência.

[^ note1]: Nesse ponto, após aplicar as configurações, qualquer coisa que se conecte ao IoT SSID agora será atribuída a uma sub-rede diferente. No entanto, as duas sub-redes ainda podem se comunicar.

[^ note2]: Este bit pode precisar de algum trabalho.

gjie
fonte
Obrigado pela informação, vou ter que mergulhar mais nisso quando chegar em casa. Para referência, ele definitivamente está usando um comutador de 4 portas (burro, sem NAT). Ambos os roteadores estão conectados ao switch através de suas portas WAN. Os intervalos de DHCP nos roteadores são diferentes, embora a configuração atual não deva importar. É possível que eu estou recebendo dois IPs diferentes do meu ISP
Chris B
Se os dois roteadores estiverem conectados às portas WAN, sim, isso não deve importar. E sim, é possível obter dois IPs diferentes do seu ISP (você é muito sorte se fazer, o que eu daria para um segundo endereço IPv4 agora ...)
gjie
@ user1152285 se você pesquisar um pouco, isso pode ser literalmente uma opção muito melhor! Eu não sabia que o ddwrt pode usar o AP ISOLATION ... tente isso primeiro!
Bryan Cerrati #
Atualização: Acabei de verificar e cada um dos meus roteadores tem um IP público diferente. Assim, parece que meu ISP está me dando vários IPs
Chris B
O isolamento do @BryanCerrati AP faz parte da solução, mas não a resposta completa. Protege você na conexão sem fio para clientes sem fio, mas não o ajuda da conexão sem fio para a com fio.
gjie
6

Isso é suficiente para separar completamente meus computadores de todo o resto?

Supondo que sua conexão do roteador 1 ao switch esteja usando a WANporta do roteador e você não esteja compartilhando WAN e LAN no OpenWRT (o que significa que você não alterou as configurações padrão e fez o cabeamento como faria quando conectado diretamente ao modem), você está bem.

É claro que seus dispositivos no roteador 2 podem enviar tráfego para qualquer pessoa, o que pode ser um problema em si (estatísticas de uso, imagens da câmera, som em microfones, informações sobre WLAN, receptores GPS etc., dependendo dos dispositivos).

Além disso, existe uma solução mais simples usando um roteador único que efetivamente faria a mesma coisa? Eu tenho os seguintes roteadores, ambos com DD-WRT:

Você pode configurar suas portas separadamente e rotear o tráfego ruim separadamente do tráfego bom. Sua palavra-chave seria DMZ: existem vários tutoriais disponíveis.

Se você deseja ter mais complexidade, também pode habilitar VLANs, dessa forma, pode colocar dispositivos adicionais reconhecidos por VLAN atrás do roteador e conectar os dois tipos de dispositivos a eles, essencialmente tornando toda a sua casa como se todos os dispositivos estivessem conectados diretamente à rede. uma porta de um dos dois roteadores, mesmo se você tiver apenas um roteador e 5 comutadores atrás dele em cadeia, mas faça isso apenas se for necessário, pois a possibilidade de erro é substancial e o benefício depende do seu cabeamento ( quase nenhuma ao usar a topologia em estrela; ótima ao usar a topologia em anel).

user121391
fonte
Eu deveria ter mencionado que quase todos os dispositivos se conectam ao roteador via Wi-Fi. Se todos os dispositivos estiverem se conectando ao mesmo ponto de acesso, há uma maneira de impedir que eles se vejam (considerando que esses são roteadores domésticos razoavelmente padrão)?
Chris B
11
O OpenWRT permite criar redes sem fio diferentes com SSID e senhas diferentes. Você pode usá-los como uma rede comutada (sua TV vê seu aparelho de som, mas não seu PC) ou usar VLANs com autenticação 802.1xe RADIUS para separar completamente seus dispositivos (o 802.1x usa RADIUS para verificar se um dispositivo é permitido e atribuir à sua própria ou compartilhada VLAN). Com o OpenWRT, tudo é possível, mas pode se tornar uma PITA para configurar tudo.
precisa saber é o seguinte
O 802.1x resolveria tudo ... exceto todos os dispositivos sem fio.
Bryan Cerrati #
2
@BryanCerrati: 802.1x também funciona com redes sem fio.
Ben Voigt
6

Alguns roteadores Wi-Fi de nível de consumidor têm um "Modo Convidado", uma rede separada da rede normal.

Você pode restringir os seus dispositivos não confiáveis para o "convidado" AP .

Não que todo roteador que possua esse recurso seja especialmente seguro.

Embora o artigo Aviso: “Modo visitante” em muitos roteadores Wi-Fi não seja seguro fale sobre insegurança, a principal falha que eles discutem é a privacidade. Se você não se importa se sua TV com rede está telefonando para casa para dizer ao fabricante o que você está assistindo, então quem se importa se os vizinhos estiverem assistindo?

infixado
fonte
11
Na linguagem das redes, essa é a DMZ.
Lightness Races com Monica
3

Além disso, existe uma solução mais simples usando um roteador único que efetivamente faria a mesma coisa? Eu tenho os seguintes roteadores, ambos com DD-WRT:

A maioria dos roteadores WiFi domésticos permite configurar uma "rede de convidados". Esta LAN sem fio tem permissão para se conectar à Internet, mas não a dispositivos com as principais LANs com ou sem fio. Assim, você pode colocar os dispositivos IoT em rede e eles não poderão comprometer seus computadores.

Barmar
fonte
0

Criar uma rede separada deve ser a melhor maneira de manter os dispositivos inseguros longe de sua LAN seguro para impedir que usuários mal-intencionados / dispositivos tenham acesso a seus arquivos compartilhados ou dispositivos de rede, pode ser alcançado, permitindo que a rede GUEST Usando os recursos Netgar WNDR3700v3 com senhas fortes e diferentes.

Desativar o UPnP

Um vírus, cavalo de Tróia, worm ou outro programa malicioso que consegue infectar um computador na rede local pode usar o UPnP, da mesma forma que programas legítimos. Enquanto um roteador normalmente bloqueia conexões de entrada, impedindo algum acesso malicioso, o UPnP pode permitir que um programa malicioso ignore completamente o firewall. Por exemplo, um cavalo de Tróia pode instalar um programa de controle remoto no seu computador e abrir um buraco no firewall do seu roteador, permitindo acesso 24/7 ao seu computador pela Internet. Se o UPnP estivesse desativado, o programa não conseguiria abrir a porta - embora pudesse ignorar o firewall de outras maneiras e telefonar para casa

Desative o acesso remoto através do WIFI aos seus roteadores

a maioria dos roteadores oferece um recurso de "acesso remoto" que permite acessar essa interface da web de qualquer lugar do mundo. Mesmo que você defina um nome de usuário e senha, se um roteador D-Link for afetado por esta vulnerabilidade, qualquer pessoa poderá fazer login sem credenciais. Se o acesso remoto estiver desativado, você estará protegido contra pessoas que acessem remotamente o seu roteador e que o adulterem.

Além disso, não conecte os dispositivos não seguros, a menos que você precise.

GAD3R
fonte