เพิ่มอุปกรณ์ที่ไม่ปลอดภัยลงในเครือข่ายภายในบ้านของฉันอย่างปลอดภัย


39

ฉันมีอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอยู่สองสามตัวซึ่งฉันไม่เชื่อว่าจะปลอดภัย แต่ฉันต้องการใช้ต่อไป (สมาร์ททีวีและอุปกรณ์อัตโนมัติในบ้านที่ไม่ได้วางจำหน่าย) ฉันไม่ต้องการให้พวกเขาอยู่ในเครือข่ายเดียวกับคอมพิวเตอร์ของฉัน

ทางออกปัจจุบันของฉันคือเสียบเคเบิลโมเด็มของฉันเข้ากับสวิตช์และเชื่อมต่อเราเตอร์ไร้สายสองตัวเข้ากับสวิตช์ คอมพิวเตอร์ของฉันเชื่อมต่อกับเราเตอร์แรกทุกอย่างเชื่อมต่อกับเราเตอร์ที่สอง

นี่เพียงพอที่จะแยกคอมพิวเตอร์ของฉันออกจากสิ่งอื่นทั้งหมดหรือไม่?

นอกจากนี้ยังมีวิธีแก้ปัญหาที่ง่ายกว่าโดยใช้เราเตอร์ตัวเดียวที่สามารถทำสิ่งเดียวกันได้อย่างมีประสิทธิภาพหรือไม่? ฉันมีเราเตอร์ต่อไปนี้ทั้งที่มีDD-WRT :

  • เน็ต WNDR3700-v3

  • Linksys WRT54G-v3

อุปกรณ์ทั้งหมด (ปลอดภัยและไม่ปลอดภัย) เชื่อมต่อแบบไร้สายยกเว้นสำหรับคอมพิวเตอร์เครื่องเดียวบนเครือข่ายที่ปลอดภัย


4
การแยกจากคอมพิวเตอร์ของคุณดีมาก แต่สิ่งที่เกี่ยวกับการแยกสมาร์ททีวีที่ไม่ปลอดภัยออกจากเครื่องปิ้งขนมปัง WiFi ที่ไม่ปลอดภัยของคุณ ;)
ZX9

อืม ... ฉันมีเราเตอร์เก่าอีกหลายตัวที่วางอยู่รอบ ๆ ฉันสงสัยว่า IP ของฉันจะให้ฉันกี่ IP
Chris B

คำตอบ:


22

ใช่โซลูชันของคุณก็โอเค แต่จะเพิ่มการสลับการกระโดดหนึ่งครั้งรวมถึงการตั้งค่าโสหุ้ยคุณสามารถทำได้ด้วยเราเตอร์ตัวเดียวโดยทำดังนี้

  • กำหนดค่าสอง VLANs เชื่อมต่อโฮสต์ที่เชื่อถือได้กับหนึ่ง VLAN และไม่น่าเชื่อถือไปยังอีก
  • กำหนดค่า iptables เพื่อไม่อนุญาตให้เชื่อถือได้กับทราฟฟิกที่ไม่น่าเชื่อถือ

หวังว่านี่จะช่วยได้!


1
ฉันคิดว่าฉันรู้วิธีตั้งค่า VLAN หลายตัวโดยใช้พอร์ต LAN แต่ทุกอย่างเชื่อมต่อผ่าน Wi-Fi เป็นไปได้หรือไม่ที่จะแยกทราฟฟิก Wi-Fi ออกเป็นหลาย VLAN บนจุดเชื่อมต่อเดียว?
Chris B

1
@ user1152285 ใช่อุปกรณ์ WLAN ที่ทันสมัยทั้งหมดมีความสามารถในการโฮสต์เครือข่ายไร้สายหลายเครือข่าย (ในช่องสัญญาณเดียวกัน) ซอฟต์แวร์นี้อนุญาตให้เป็นคำถามอื่นหรือไม่
Daniel B

2
ฉันไม่ 100% บางอย่าง แต่ DD-WRT ควรจะสามารถที่จะทำให้คุณ SSIDs หลายบน AP เดียวกันกับ VLAN แยก ดังนั้นคุณจะใช้อินเทอร์เฟซไร้สายเสมือนสองอินเทอร์เฟซหนึ่งสำหรับเชื่อถือได้และอีกหนึ่งสำหรับอุปกรณ์ที่ไม่น่าเชื่อถือ
Saiboogu

@ user1152285 ใช่ฉันค้นหาและพบว่า dd-wrt รองรับ นอกจากนี้ยังพบลิงก์ที่แสดงการทำแผนที่ของอินเตอร์เฟสไปยังอินเตอร์เฟสเสมือน wlan และคุณสามารถเพิ่มแท็ก vlan ได้ด้วย (เยี่ยมยอด! :))
Anirudh Malhotra

1
ตกลงกับ @ ZX9 เนื่องจากผู้ถามระบุว่าพวกเขามี DD-WRT อย่างน้อยที่สุดลิงก์บางอย่างไปยังเอกสารเกี่ยวกับวิธีกำหนดค่า VLANs หลาย SSID และการแยกการรับส่งข้อมูลจะมีประโยชน์มาก
Doktor J

10

เป็นไปได้อย่างสมบูรณ์ แต่ฉันต้องการจะพูดถึงบางสิ่งก่อน

ทางออกปัจจุบันของฉันคือเสียบเคเบิลโมเด็มของฉันเข้ากับสวิตช์และเชื่อมต่อเราเตอร์ไร้สายสองตัวเข้ากับสวิตช์ คอมพิวเตอร์ของฉันเชื่อมต่อกับเราเตอร์แรกทุกอย่างเชื่อมต่อกับเราเตอร์ที่สอง

เป็นที่น่าสนใจว่าเราเตอร์ทั้งคู่มีอินเทอร์เน็ตเมื่อเคเบิลโมเด็มของคุณดูเหมือนจะเป็นแค่โมเด็ม ISP ของคุณทำ NAT หรือไม่? ถ้าไม่ใช่ฉันขอแนะนำให้ถอดสวิทช์ออก (มันเป็นสวิตช์จริงหรือเป็นสวิทช์ที่สามารถใช้ NAT ได้หรือไม่) และวางหนึ่งในเราเตอร์ DD-WRT ของคุณเป็นเกตเวย์ การตั้งค่าปัจจุบันของคุณตามที่เป็นอยู่ (โดยไม่ทราบว่าพอร์ตใดที่เราเตอร์เชื่อมต่อ) อาจมีความขัดแย้งของที่อยู่ IP หรืออาจประสบกับการสูญเสียการเชื่อมต่อแบบสุ่มและเป็นระยะ ๆ ในเครือข่ายหนึ่งหรือเครือข่ายอื่น

เป็นไปได้หรือไม่ที่จะแยกทราฟฟิก Wi-Fi ออกเป็นหลาย VLAN บนจุดเชื่อมต่อเดียว?

ใช่ แต่มันต้องใช้เวลาสักหน่อยในการปรับแต่งค่าและการทดสอบบางอย่าง ฉันใช้การตั้งค่าที่คล้ายกันเพื่อแยกเครือข่ายแขก วิธีที่ฉันจะอธิบายด้านล่างไม่เกี่ยวข้องกับ VLANs


DD-WRT (ท่ามกลางผู้อื่น) สนับสนุนการสร้าง SSID หลายรายการใน AP เดียวกัน สิ่งเดียวที่ต้องทำคือสร้างบริดจ์อื่นกำหนดให้เครือข่ายย่อยอื่นจากนั้นไฟร์วอลล์จะปิดส่วนที่เหลือของเครือข่ายหลัก

เป็นเวลานานแล้วที่ฉันทำเช่นนี้มาก่อน แต่มันควรจะไปที่ไหนซักแห่งเช่นนี้ (เตรียมที่จะสูญเสียการเชื่อมต่อ):

  1. เปิดหน้ากำหนดค่าของจุดเชื่อมต่อ
  2. ไปที่ Wireless => การตั้งค่าพื้นฐาน
  3. ภายใต้อินเทอร์เฟซเสมือนคลิกเพิ่ม [^ virtif]
  4. ตั้งชื่อ IoT SSID ใหม่แล้วปล่อยNetwork Configurationให้ Bridgedเปิดใช้งานAP Isolationตามที่คุณต้องการ
  5. ไปที่แท็บการรักษาความปลอดภัยแบบไร้สายตั้งรหัสผ่านของคุณและตั้งค่าโหมดการรักษาความปลอดภัยให้น้อยกว่า WPA2-Personal-AES หากเป็นไปได้ [^ nDS]
  6. ไปที่แท็บตั้งค่า => ระบบเครือข่าย
  7. ภายใต้การเชื่อมโยงให้คลิกเพิ่ม
  8. ตั้งชื่อสะพานตามอำเภอใจของคุณ [^ brname] br1หรือ?
  9. ระบุที่อยู่ IP ของบริดจ์ที่ไม่ได้อยู่บนซับเน็ตเดียวกันกับเครือข่ายหลักของคุณ [^ ipaddr]
  10. (คุณอาจต้องคลิกบันทึกจากนั้นใช้การตั้งค่าเพื่อให้สิ่งนี้ปรากฏขึ้น) ภายใต้กำหนดให้กับบริดจ์คลิกเพิ่มจากนั้นกำหนดbr1ให้อินเทอร์เฟซ wl.01หรือชื่ออินเทอร์เฟซที่ได้รับ [^ virtif] บันทึกและนำไปใช้
  11. ภายใต้เซิร์ฟเวอร์ DHCP หลายรายการให้คลิกเพิ่มและกำหนดให้ br1

  12. ไปที่การดูแลระบบ => คำสั่งและวางสิ่งเหล่านี้ (คุณอาจต้องปรับชื่อส่วนต่อประสาน) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    และคลิกบันทึกไฟร์วอลล์

  13. คุณควรจะพร้อมทั้งหมดฉันคิดว่า

สำหรับรายละเอียดเพิ่มเติมคุณสามารถดูได้ที่ http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

ข้อสังเกตสำหรับเรื่องนี้คือการตั้งค่านี้มีผลเฉพาะกับเราเตอร์เกตเวย์ / AP หากคุณต้องการให้เซ็ตอัพเดียวกันทำงานกับเราเตอร์ตัวอื่นคุณจะต้องใช้ VLAN การตั้งค่าคล้ายกัน แต่มีส่วนเกี่ยวข้องมากกว่าเล็กน้อย ความแตกต่างที่นี่คือคุณจะต้องกำหนดค่าและเชื่อมโยง VLAN ใหม่กับ IoT SSID และอาจทำกฎการกำหนดเส้นทางบางอย่าง

[^ virtif]: ตัวแรกคือส่วนต่อประสานทางกายภาพและมักจะระบุว่าเป็น wl0 อินเทอร์เฟซเสมือนของคุณ (มากถึงสามถ้าฉันไม่เข้าใจผิด) จะถูกระบุว่าเป็น wl0.1, wl0.2 และอื่น ๆ

[^ brname]: นี่จะเป็นชื่ออินเตอร์เฟส DD-WRT จะมอบให้กับส่วนต่อประสานสะพาน

[^ ipaddr]: สมมติว่าเครือข่ายหลักของคุณอยู่บน 172.16.1.0/24 ให้br1ที่อยู่ 172.16.2.0/24

[^ nDS]: หากคุณมี Nintendo DS คุณจะต้องใช้ WEP หรือคุณสามารถสร้าง SSID อื่นสำหรับ NDS และให้มันเชื่อมโยงกับbr1เพื่อความสะดวก

[^ note1]: ณ จุดนี้หลังจากใช้การตั้งค่าทุกอย่างที่เชื่อมต่อกับ IoT SSID จะถูกกำหนดให้กับเครือข่ายย่อยอื่น อย่างไรก็ตามเครือข่ายย่อยทั้งสองยังคงสามารถสื่อสารซึ่งกันและกันได้

[^ note2]: บิตนี้อาจต้องใช้งานบ้าง


ขอบคุณสำหรับข้อมูลฉันจะต้องดำน้ำให้มากขึ้นเมื่อฉันกลับถึงบ้าน สำหรับการอ้างอิงใช้สวิตช์ 4 พอร์ต (ใบ้ไม่มี NATing) เราเตอร์ทั้งสองเชื่อมต่อกับสวิตช์ผ่านพอร์ต WAN ช่วง DHCP ของเราเตอร์นั้นแตกต่างกันแม้ว่าจะมีการตั้งค่าปัจจุบันที่ไม่น่าสนใจ เป็นไปได้ที่ฉันจะได้รับ IP ที่แตกต่างกันสองรายการจาก ISP ของฉัน
Chris B

หากเราเตอร์ทั้งสองเชื่อมต่อกับพอร์ต WAN ของพวกเขาใช่มันไม่น่าจะสำคัญ และใช่เป็นไปได้ที่จะได้รับ IP ที่แตกต่างกันสองรายการจาก ISP ของคุณ (คุณโชคดีมากถ้าพวกเขาทำสิ่งที่ฉันจะให้ที่อยู่ IPv4 ที่สองตอนนี้ ... )
gjie

@ user1152285 ถ้าคุณทำวิจัยเล็กน้อยนี่อาจเป็นตัวเลือกที่ดีกว่ามาก! ฉันไม่ทราบว่า ddwrt สามารถใช้การแยก AP ... ลองนี้ก่อน!
Bryan Cerrati

อัปเดต: ฉันเพิ่งตรวจสอบและเราเตอร์แต่ละตัวของฉันมี IP สาธารณะที่แตกต่างกัน ดังนั้นดูเหมือนว่า ISP ของฉันจะให้ IP หลาย ๆ ตัวกับฉัน
Chris B

@BryanCerrati AP แยกเป็นส่วนหนึ่งของการแก้ปัญหา แต่ไม่ใช่คำตอบทั้งหมด ปกป้องคุณในไคลเอนต์ไร้สายไร้สาย แต่จะไม่ช่วยคุณจากไร้สายไปยังสาย
gjie

6

นี่เพียงพอที่จะแยกคอมพิวเตอร์ของฉันออกจากสิ่งอื่นทั้งหมดหรือไม่?

สมมติว่าการเชื่อมต่อของคุณจากเราเตอร์ 1 ไปยังสวิตช์กำลังใช้WANพอร์ตของเราเตอร์และคุณไม่ได้แชร์ WAN และ LAN ใน OpenWRT (หมายถึงคุณไม่ได้เปลี่ยนการตั้งค่าเริ่มต้นและทำการเดินสายเคเบิลตามที่คุณต้องการเมื่อเชื่อมต่อโดยตรงกับโมเด็ม) คุณส่วนใหญ่ดี

แน่นอนอุปกรณ์ของคุณบนเราเตอร์ 2 สามารถส่งปริมาณข้อมูลไปถึงใครก็ได้ซึ่งอาจเป็นปัญหาในตัวเอง (สถิติการใช้งานภาพกล้องเสียงผ่านไมโครโฟนข้อมูลเกี่ยวกับ WLAN ตัวรับสัญญาณ GPS ฯลฯ ขึ้นอยู่กับอุปกรณ์)

นอกจากนี้ยังมีวิธีแก้ปัญหาที่ง่ายกว่าโดยใช้เราเตอร์ตัวเดียวที่สามารถทำสิ่งเดียวกันได้อย่างมีประสิทธิภาพหรือไม่? ฉันมีเราเตอร์ต่อไปนี้ทั้งที่มี DD-WRT:

คุณสามารถกำหนดค่าพอร์ตแยกต่างหากและกำหนดเส้นทางการรับส่งข้อมูลที่ไม่ดีแยกจากการรับส่งข้อมูลที่ดี คำหลักของคุณDMZคือมีบทแนะนำมากมาย

หากคุณต้องการมีความซับซ้อนมากขึ้นคุณยังสามารถเปิดใช้งาน VLAN ได้ด้วยวิธีนี้คุณสามารถเพิ่มอุปกรณ์ที่รับรู้ VLAN เพิ่มเติมไว้ด้านหลังเราเตอร์และเชื่อมต่ออุปกรณ์ทั้งสองประเภทเข้ากับพวกเขาทำให้บ้านของคุณราวกับว่าทุกอุปกรณ์เสียบเข้าโดยตรง พอร์ตหนึ่งในเราเตอร์ทั้งคู่แม้ว่าคุณจะมีเพียงเราเตอร์ตัวเดียวและสวิตช์ 5 ตัวที่อยู่ด้านหลังมันถูกผูกมัดไว้กับเดซี่ ... แต่ทำสิ่งนี้เฉพาะเมื่อคุณต้องใช้เนื่องจากความเป็นไปได้ที่จะเกิดข้อผิดพลาดนั้นเป็นเรื่องสำคัญ แทบจะไม่มีเลยเมื่อใช้ทอพอโลยีแบบ Star, ยอดเยี่ยมเมื่อต้องใช้โทโพโลยีแบบวงแหวน)


ฉันควรจะกล่าวว่าอุปกรณ์เกือบทั้งหมดเชื่อมต่อกับเราเตอร์ผ่าน Wi-Fi หากอุปกรณ์ทั้งหมดเชื่อมต่อกับจุดเชื่อมต่อเดียวกันมีวิธีหยุดไม่ให้เห็นกันและกัน (ระบุว่าเป็นเราเตอร์มาตรฐานที่บ้านพอสมควร) หรือไม่
Chris B

1
OpenWRT ช่วยให้คุณสร้างเครือข่ายไร้สายที่แตกต่างกันด้วย SSID และรหัสผ่านที่แตกต่างกัน จากนั้นคุณสามารถใช้พวกเขาเหมือนเครือข่ายสวิตช์ (ทีวีของคุณเห็นสเตอริโอ แต่ไม่ใช่พีซีของคุณ) หรือใช้ VLANs ที่มี 802.1x และ RADIUS รับรองความถูกต้องเพื่อแยกอุปกรณ์ของคุณอย่างสมบูรณ์ (802.1x ใช้ RADIUS เพื่อตรวจสอบว่าอุปกรณ์ได้รับอนุญาต ให้กับ VLAN ของตัวเองหรือใช้ร่วมกัน) ด้วย OpenWRT ทุกอย่างเป็นไปได้ แต่มันอาจกลายเป็น PITA ที่จะตั้งค่าทั้งหมด
user121391

802.1x จะแก้ปัญหาทั้งหมด ... ยกเว้นอุปกรณ์ทั้งหมดไร้สาย
Bryan Cerrati

2
@BryanCerrati: 802.1x ใช้งานได้กับระบบไร้สายด้วย
Ben Voigt

6

เราเตอร์ Wi-Fi ระดับผู้บริโภคบางรายมี "โหมดผู้เยี่ยมชม" ซึ่งเป็นเครือข่ายที่แบ่งพาร์ติชันออกจากเครือข่ายปกติ

คุณสามารถ จำกัด อุปกรณ์ที่ไม่น่าเชื่อถือของคุณไป "บุคคลทั่วไป" AP

ไม่ใช่ว่าเราเตอร์ทุกตัวที่มีคุณสมบัตินั้นมีความปลอดภัยเป็นพิเศษ

แม้ว่าบทความคำเตือน: "โหมดผู้เยี่ยมชม" บนเราเตอร์ Wi-Fi หลายตัวไม่ปลอดภัยพูดถึงความไม่ปลอดภัยข้อบกพร่องที่สำคัญที่พวกเขาพูดถึงคือความเป็นส่วนตัว หากคุณไม่สนใจว่าทีวีที่เปิดใช้งานเครือข่ายของคุณกำลังโทรกลับบ้านเพื่อบอกผู้ผลิตว่าคุณกำลังรับชมอะไรอยู่ใครเป็นห่วงว่าเพื่อนบ้านกำลังดูทีวีอยู่หรือไม่


1
ในเครือข่ายสำนวนนี่คือ DMZ
การแข่งขัน Lightness กับโมนิก้า

3

นอกจากนี้ยังมีวิธีแก้ปัญหาที่ง่ายกว่าโดยใช้เราเตอร์ตัวเดียวที่สามารถทำสิ่งเดียวกันได้อย่างมีประสิทธิภาพหรือไม่? ฉันมีเราเตอร์ต่อไปนี้ทั้งที่มี DD-WRT:

เราเตอร์ WiFi ในบ้านส่วนใหญ่อนุญาตให้คุณกำหนดค่า "เครือข่ายแขก" LAN ไร้สายนี้ได้รับอนุญาตให้เชื่อมต่อกับอินเทอร์เน็ต แต่ไม่ได้รับอนุญาตให้เชื่อมต่อกับอุปกรณ์ใน LAN แบบมีสายหรือไร้สายหลัก ดังนั้นคุณสามารถวางอุปกรณ์ IoT ในเครือข่ายและพวกเขาจะไม่สามารถประนีประนอมคอมพิวเตอร์ของคุณ


0

สร้างเครือข่ายที่แยกต่างหากที่ควรจะเป็นวิธีที่ดีที่สุดเพื่อให้อุปกรณ์ที่ไม่ปลอดภัยออกไปจากระบบ LAN ของคุณปลอดภัยเพื่อป้องกันไม่ให้ผู้ใช้ที่เป็นอันตราย / อุปกรณ์จากการเข้าถึงไฟล์ที่ใช้ร่วมกันหรืออุปกรณ์เครือข่ายก็สามารถทำได้โดยการช่วยให้เครือข่ายของผู้เข้าพักใช้คุณลักษณะ Netgar WNDR3700v3 ด้วยรหัสผ่านที่แข็งแกร่งและแตกต่าง

ปิดใช้งาน UPnP

ไวรัสม้าโทรจันเวิร์มหรือโปรแกรมที่เป็นอันตรายอื่น ๆ ที่จัดการติดคอมพิวเตอร์ในเครือข่ายท้องถิ่นของคุณสามารถใช้ UPnP ได้เช่นเดียวกับโปรแกรมที่ถูกกฎหมาย ในขณะที่เราเตอร์ปกติจะบล็อกการเชื่อมต่อขาเข้าป้องกันการเข้าถึงที่เป็นอันตรายบางอย่าง UPnP อาจอนุญาตให้โปรแกรมที่เป็นอันตรายข้ามไฟร์วอลล์ทั้งหมด ตัวอย่างเช่นม้าโทรจันสามารถติดตั้งโปรแกรมควบคุมระยะไกลบนคอมพิวเตอร์ของคุณและเปิดช่องโหว่ในไฟร์วอลล์ของเราเตอร์ของคุณซึ่งอนุญาตให้เข้าถึงคอมพิวเตอร์ของคุณได้ตลอด 24 ชั่วโมงทุกวันจากอินเทอร์เน็ต หากปิดใช้งาน UPnP โปรแกรมจะไม่สามารถเปิดพอร์ตได้แม้ว่าจะสามารถข้ามไฟร์วอลล์ได้ด้วยวิธีอื่นและโทรศัพท์กลับบ้าน

ปิดใช้งานการเข้าถึงระยะไกลผ่าน WiFi ไปยังเราเตอร์ของคุณ

เราเตอร์ส่วนใหญ่มีคุณสมบัติ "การเข้าถึงระยะไกล" ที่ช่วยให้คุณเข้าถึงเว็บอินเตอร์เฟสนี้ได้จากทุกที่ในโลก แม้ว่าคุณจะตั้งชื่อผู้ใช้และรหัสผ่านหากคุณมีเราเตอร์ D-Link ได้รับผลกระทบจากช่องโหว่นี้ทุกคนจะสามารถเข้าสู่ระบบได้โดยไม่ต้องมีข้อมูลรับรองใด ๆ หากคุณปิดใช้งานการเข้าถึงระยะไกลคุณจะปลอดภัยจากคนที่เข้าถึงเราเตอร์ของคุณจากระยะไกลและยุ่งเกี่ยวกับมัน

อย่าเชื่อมต่ออุปกรณ์ที่ไม่ปลอดภัยหากคุณไม่ต้องการ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.