Sicheres Hinzufügen unsicherer Geräte zu meinem Heimnetzwerk

39

Ich habe ein paar mit dem Internet verbundene Geräte, von denen ich nicht sicher bin, die ich aber trotzdem verwenden möchte (ein Smart-TV und einige handelsübliche Geräte für die Hausautomation). Ich möchte sie nicht im selben Netzwerk wie meine Computer haben.

Meine derzeitige Lösung besteht darin, mein Kabelmodem an einen Switch anzuschließen und zwei WLAN-Router an den Switch anzuschließen. Meine Computer verbinden sich mit dem ersten Router, alles andere verbindet sich mit dem zweiten Router.

Reicht das aus, um meine Computer vollständig von allem anderen zu trennen?

Gibt es auch eine einfachere Lösung mit einem einzigen Router, der das Gleiche bewirkt? Ich habe die folgenden Router, beide mit DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Alle Geräte (sicher und unsicher) stellen eine drahtlose Verbindung her, mit Ausnahme eines einzelnen Computers im sicheren Netzwerk.

security nat Chris B
quelle
4
Die Trennung von Ihren Computern ist großartig, aber was ist mit der Trennung Ihres unsicheren Smart-TV von Ihrem unsicheren WiFi-Toaster? ;)
ZX9
Hmm ... Nun, ich habe noch einige alte Router herumliegen. Ich frage mich, wie viele IPs mir mein ISP geben wird.
Chris B
reactiongifs.com/r/but-why.gif
Alexander

Antworten:

22

Ja, Ihre Lösung ist auch in Ordnung, erhöht jedoch einen Switching-Hop und den Konfigurationsaufwand. Sie können dies mit einem Router erreichen, indem Sie die folgenden Schritte ausführen:

  • Konfigurieren Sie zwei VLANs, verbinden Sie vertrauenswürdige Hosts mit einem VLAN und nicht vertrauenswürdigen mit einem anderen.
  • Konfigurieren Sie iptables so, dass kein vertrauenswürdiger bis nicht vertrauenswürdiger Datenverkehr zugelassen wird (umgekehrt).

Hoffe das hilft!

Anirudh Malhotra
quelle
1
Ich denke, ich weiß, wie man mehrere VLANs über die LAN-Ports richtig einrichtet, aber alles ist über WLAN verbunden. Ist es möglich, den WLAN-Verkehr auf einem einzigen Zugriffspunkt in mehrere VLANs aufzuteilen?
Chris B
1
@ user1152285 Ja, alle modernen WLAN-Geräte können mehrere drahtlose Netzwerke (auf demselben Kanal) hosten. Ob die Software dies zulässt, ist noch eine andere Frage.
Daniel B
2
Ich bin nicht zu 100% sicher, aber dd-wrt sollte in der Lage sein, Ihnen mehrere SSIDs auf demselben AP mit VLAN-Trennung zu geben. Sie können also zwei virtuelle drahtlose Schnittstellen ausführen, eine für vertrauenswürdige und eine für nicht vertrauenswürdige Geräte.
Saiboogu
@ user1152285 Ja, ich habe gesucht und festgestellt, dass dd-wrt dies unterstützt. Es wurde auch der Link gefunden, der die Zuordnung der Schnittstelle zur virtuellen WLAN-Schnittstelle zeigt. Und Sie können auch VLAN-Tags hinzufügen (brillant! :))
Anirudh Malhotra
1
Einverstanden mit @ ZX9. Da der Fragesteller ausdrücklich erwähnt, dass er über DD-WRT verfügt, sind zumindest einige Links zur Dokumentation zur Konfiguration von VLANs, mehreren SSIDs und zur Datenverkehrstrennung sehr hilfreich.
Doktor J
10

Es ist durchaus möglich, aber ich möchte zuerst ein paar Dinge ansprechen.

Meine derzeitige Lösung besteht darin, mein Kabelmodem an einen Switch anzuschließen und zwei WLAN-Router an den Switch anzuschließen. Meine Computer verbinden sich mit dem ersten Router, alles andere verbindet sich mit dem zweiten Router.

Es ist interessant, dass beide Router über einen Internetzugang verfügen, wenn Ihr Kabelmodem nur ein Modem zu sein scheint. Tut Ihr ISP NAT? Wenn nicht, würde ich empfehlen, den Switch herauszunehmen (ist es wirklich ein Switch oder der Switch ist NAT-fähig?) Und einen Ihrer DD-WRT-Router als Gateway zu platzieren. Ihre aktuelle Konfiguration (ohne zu wissen, mit welchem ​​Port die Router verbunden waren) weist möglicherweise IP-Adressenkonflikte auf oder es kommt gelegentlich zu zufälligen und sporiadischen Verbindungsverlusten im einen oder anderen Netzwerk.

Ist es möglich, den WLAN-Verkehr auf einem einzigen Zugriffspunkt in mehrere VLANs aufzuteilen?

Ja, aber es wird ein bisschen Konfigurationsarbeit und einige Tests erfordern. Ich selbst verwende ein ähnliches Setup, um ein Gastnetzwerk zu trennen. Die unten beschriebene Methode umfasst keine VLANs.

DD-WRT unterstützt (unter anderem) das Erstellen mehrerer SSIDs auf demselben AP. Das Einzige, was Sie tun müssen, ist, eine andere Bridge zu erstellen, sie einem anderen Subnetz zuzuweisen und sie dann vom Rest des Hauptnetzwerks abzuschirmen.

Es ist schon eine Weile her, dass ich es das letzte Mal so gemacht habe, aber es sollte irgendwo so weitergehen (seien Sie bereit, die Konnektivität zu verlieren):

  1. Öffnen Sie die Konfigurationsseite eines Access Points
  2. Gehen Sie zu Wireless => Grundeinstellungen
  3. Klicken Sie unter Virtuelle Schnittstellen auf Hinzufügen [^ virtif].
  4. Geben Sie Ihrer neuen IoT-SSID einen Namen und lassen Sie Network Configurationzu Bridged, AP Isolationwie Sie möchten
  5. Gehen Sie zur Registerkarte Wireless Security, legen Sie Ihre Passwörter fest und setzen Sie den Sicherheitsmodus auf nichts weniger als WPA2-Personal-AES, wenn möglich [^ nDS].
  6. Gehen Sie zur Registerkarte Setup => Networking
  7. Klicken Sie unter Bridging auf Hinzufügen
  8. Geben Sie Ihrer Brücke einen beliebigen Namen [^ brname], vielleicht br1?
  9. Geben Sie Ihrer Bridge eine IP-Adresse, die sich nicht im selben Subnetz wie Ihr Hauptnetz befindet. [^ Ipaddr]
  10. (Möglicherweise müssen Sie auf Speichern und dann auf Einstellungen anwenden klicken, damit dies angezeigt wird.) Klicken Sie unter Zu Brücke zuweisen br1auf Hinzufügen und dann auf Schnittstelle zuweisen wl.01oder auf den Schnittstellennamen [^ virtif], speichern und anwenden

  11. Klicken Sie unter Mehrere DHCP-Server auf Hinzufügen und weisen Sie ihn zu br1

  12. Gehen Sie zu Administration => Commands und fügen Sie diese ein (möglicherweise müssen Sie die Namen der Benutzeroberfläche anpassen) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    und klicken Sie auf Save Firewall

  13. Sie sollten bereit sein, denke ich

Weitere Informationen finden Sie unter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Eine Einschränkung hierfür ist, dass dieses Setup nur für den Gateway-Router / AP wirksam ist. Wenn Sie dasselbe Setup für den anderen Router verwenden möchten, müssen Sie VLANs verwenden. Das Setup ist ähnlich, aber etwas komplizierter. Der Unterschied besteht darin, dass Sie ein neues VLAN konfigurieren und mit der IoT-SSID verbinden und möglicherweise einige Routing-Regeln ausführen müssen.

[^ virtif]: Das erste ist normalerweise die physikalische Schnittstelle und wird oft als wl0 bezeichnet. Ihre virtuellen Schnittstellen (bis zu drei, wenn ich mich nicht irre) werden mit wl0.1, wl0.2 usw. beschriftet.

[^ brname]: Dies ist der Schnittstellenname, den DD-WRT der Bridge-Schnittstelle gibt.

[^ ipaddr]: Angenommen, Ihr Hauptnetzwerk ist auf 172.16.1.0/24, geben Sie br1eine Adresse von 172.16.2.0/24 ein.

[^ nDS]: Wenn Sie einen Nintendo DS haben, müssen Sie WEP verwenden. Alternativ können Sie auch eine andere SSID nur für das NDS erstellen und diese der Einfachheit halber überbrücken lassen br1.

[^ note1]: Zu diesem Zeitpunkt wird nach dem Anwenden der Einstellungen alles, was mit der IoT-SSID verbunden ist, einem anderen Subnetz zugewiesen. Die beiden Subnetze können jedoch weiterhin miteinander kommunizieren.

[^ note2]: Dieses Bit benötigt möglicherweise etwas Arbeit.

gjie
quelle
Vielen Dank für die Info, ich muss noch genauer darauf eingehen, wenn ich nach Hause komme. Als Referenz wird definitiv ein (dummer, kein NATing) 4-Port-Switch verwendet. Beide Router sind über ihre WAN-Ports mit dem Switch verbunden. Die DHCP-Bereiche auf den Routern sind unterschiedlich, obwohl dies beim aktuellen Setup keine Rolle spielen sollte. Es ist möglich, dass ich zwei verschiedene IPs von meinem ISP bekomme
Chris B,
Wenn beide Router mit ihren WAN-Ports verbunden sind, sollte dies keine Rolle spielen. Und ja, es ist möglich, dass Sie zwei verschiedene IPs von Ihrem ISP erhalten (Sie haben großes Glück, wenn sie dies tun, was ich für eine zweite IPv4-Adresse im
Moment angeben würde
@ user1152285 Wenn Sie ein bisschen recherchieren, kann dies buchstäblich eine viel bessere Option sein! Ich wusste nicht, dass ddwrt AP ISOLATION verwenden kann ... versuchen Sie dies zuerst!
Bryan Cerrati
Update: Ich habe es gerade überprüft und jeder meiner Router hat eine andere öffentliche IP. Mein ISP gibt mir anscheinend mehrere IPs
Chris B,
Die Isolierung von @BryanCerrati AP ist Teil der Lösung, aber nicht die vollständige Antwort. Schützt Sie von drahtlosen zu drahtlosen Clients, hilft Ihnen jedoch nicht von drahtlos zu verdrahtet.
5.
6

Reicht das aus, um meine Computer vollständig von allem anderen zu trennen?

Angenommen, Ihre Verbindung von Router 1 zum Switch verwendet den WANPort des Routers und Sie teilen WAN und LAN nicht in OpenWRT (dh, Sie haben die Standardeinstellungen nicht geändert und die Verkabelung wie bei einer direkten Verbindung mit dem Modem durchgeführt). Dir geht es meistens gut.

Natürlich können Ihre Geräte auf Router 2 Datenverkehr an jeden senden, was selbst ein Problem sein kann (Nutzungsstatistiken, Kamerabilder, Ton über Mikrofone, Informationen zu WLAN, GPS-Empfängern usw. je nach Gerät).

Gibt es auch eine einfachere Lösung mit einem einzigen Router, der das Gleiche bewirkt? Ich habe die folgenden Router, beide mit DD-WRT:

Sie können Ihre Ports separat konfigurieren und den schlechten Verkehr getrennt vom guten Verkehr weiterleiten. Ihr Schlüsselwort wäre DMZ, es gibt viele Tutorials zur Verfügung.

Wenn Sie mehr Komplexität wünschen, können Sie auch VLANs aktivieren. Auf diese Weise können Sie zusätzliche VLAN-fähige Geräte hinter den Router stellen und beide Arten von Geräten damit verbinden, sodass Sie Ihr gesamtes Zuhause so fühlen, als ob jedes Gerät direkt angeschlossen wäre ein Port von einem der beiden Router, auch wenn Sie nur einen Router und 5 Switches dahinter haben ... aber tun Sie dies nur, wenn Sie müssen, da die Möglichkeit von Fehlern erheblich ist und der Nutzen von Ihrer Verkabelung abhängt ( fast keine bei Sterntopologie, ideal bei Ringtopologie).

user121391
quelle
Ich hätte erwähnen sollen, dass fast alle Geräte über WLAN mit dem Router verbunden sind. Gibt es eine Möglichkeit, zu verhindern, dass sich alle Geräte gegenseitig sehen, wenn sie eine Verbindung zu demselben Zugriffspunkt herstellen (vorausgesetzt, es handelt sich um Standard-Heimrouter)?
Chris B
1
Mit OpenWRT können Sie verschiedene drahtlose Netzwerke mit unterschiedlichen SSIDs und Passwörtern erstellen. Sie können sie dann wie ein Wählnetzwerk verwenden (Ihr Fernseher sieht Ihre Stereoanlage, aber nicht Ihren PC) oder VLANs mit 802.1x- und RADIUS-Authentifizierung verwenden, um Ihre Geräte vollständig zu trennen (802.1x verwendet RADIUS, um zu überprüfen, ob ein Gerät zulässig ist und zuzuweisen es in ein eigenes oder gemeinsames VLAN). Mit OpenWRT ist alles möglich, aber es kann zu einer PITA werden, um alles einzurichten.
User121391
802.1x würde alles lösen ... außer dass alle Geräte drahtlos sind.
Bryan Cerrati
2
@BryanCerrati: 802.1x funktioniert auch mit WLAN.
Ben Voigt
6

Einige WLAN-Router der Consumer-Klasse verfügen über einen "Gastmodus", bei dem es sich um ein Netzwerk handelt, das vom normalen Netzwerk getrennt ist.

Sie können Ihre nicht vertrauenswürdigen Geräte auf den "Gast" -AP beschränken .

Nicht dass jeder Router mit dieser Funktion besonders sicher ist.

Obwohl der Artikel Warnung: "Gastmodus" auf vielen nicht sicheren Wi-Fi-Routern von Unsicherheit handelt, ist der Hauptfehler, den sie behandeln, die Privatsphäre. Wenn es Ihnen egal ist, ob Ihr netzwerkfähiges Fernsehgerät zu Hause anruft, um dem Hersteller mitzuteilen, was Sie gerade sehen, ist es dann wichtig, ob die Nachbarn dies tun.

angebracht
quelle
1
Im Networking-Sprachgebrauch ist dies die DMZ.
Leichtigkeit Rennen mit Monica
3

Gibt es auch eine einfachere Lösung mit einem einzigen Router, der das Gleiche bewirkt? Ich habe die folgenden Router, beide mit DD-WRT:

Bei den meisten Heim-WLAN-Routern können Sie ein "Gastnetzwerk" konfigurieren. Dieses WLAN darf eine Verbindung zum Internet herstellen, es darf jedoch keine Verbindung zu Geräten im Haupt-LAN ​​oder im WLAN herstellen. Sie können also die IoT-Geräte in ein Netzwerk einbinden, ohne dass sie Ihre Computer gefährden.

Barmar
quelle
0

Die Einrichtung eines separaten Netzwerks sollte der beste Weg sein, um die unsicheren Geräte von Ihrem sicheren LAN fernzuhalten, damit böswillige Benutzer / Geräte nicht auf Ihre freigegebenen Dateien oder Netzwerkgeräte zugreifen können. Aktivieren Sie dazu das GUEST-Netzwerk, indem Sie die Netgar WNDR3700v3-Funktionen verwenden mit einem starken und verschiedenen Passwörtern.

Deaktivieren Sie den UPnP

Ein Virus, ein Trojaner, ein Wurm oder ein anderes bösartiges Programm, das einen Computer in Ihrem lokalen Netzwerk infiziert, kann UPnP genauso verwenden wie legitime Programme. Während ein Router normalerweise eingehende Verbindungen blockiert und so einen böswilligen Zugriff verhindert, kann UPnP einem böswilligen Programm ermöglichen, die Firewall vollständig zu umgehen. Ein Trojaner könnte beispielsweise ein Fernsteuerungsprogramm auf Ihrem Computer installieren und eine Lücke in der Firewall Ihres Routers öffnen, sodass Sie rund um die Uhr über das Internet auf Ihren Computer zugreifen können. Wenn UPnP deaktiviert wäre, könnte das Programm den Port nicht öffnen - obwohl es die Firewall auf andere Weise umgehen und nach Hause telefonieren könnte

Deaktivieren Sie den Fernzugriff über das WLAN auf Ihre Router

Die meisten Router bieten eine Remote-Zugriffsfunktion, mit der Sie von überall auf der Welt auf dieses Webinterface zugreifen können. Selbst wenn Sie einen Benutzernamen und ein Kennwort festlegen und einen von dieser Sicherheitsanfälligkeit betroffenen D-Link-Router haben, kann sich jeder ohne Anmeldeinformationen anmelden. Wenn Sie den Remotezugriff deaktiviert haben, sind Sie sicher, dass keine Personen remote auf Ihren Router zugreifen und daran manipulieren können.

Schließen Sie auch keine unsicheren Geräte an, es sei denn, Sie müssen.

GAD3R
quelle