Eu tenho alguns dispositivos conectados à Internet nos quais não confio que sejam seguros, mas que eu gostaria de usar de qualquer maneira (uma TV inteligente e alguns dispositivos de automação residencial prontos para uso). Não os quero na mesma rede que os meus computadores.
Minha solução atual é conectar meu modem a cabo a um comutador e conectar dois roteadores sem fio ao comutador. Meus computadores se conectam ao primeiro roteador, todo o resto se conecta ao segundo roteador.
Isso é suficiente para separar completamente meus computadores de todo o resto?
Além disso, existe uma solução mais simples usando um único roteador que efetivamente faria a mesma coisa? Eu tenho os seguintes roteadores, ambos com DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Todos os dispositivos (seguros e inseguros) se conectam sem fio, exceto por um único computador na rede segura.
Sim, sua solução também está boa, mas aumentará um salto de comutação, além da sobrecarga de configuração. Você pode conseguir isso com um roteador fazendo o seguinte:
Espero que isso ajude!
É completamente possível, mas gostaria de abordar algumas coisas primeiro.
My current solution is to plug my cable modem into a switch and connect two wireless routers to the switch. My computers connect to the first router, everything else connects to the second router.
É interessante que ambos os roteadores tenham acesso à Internet quando o seu modem a cabo parece ser apenas um modem. O seu ISP faz NAT? Se não, eu recomendo tirar o interruptor (é realmente um interruptor ou é o switch capaz de NAT?), E coloque um dos seus routers DD-WRT como o gateway. Sua corrente configuração como está (sem saber a que porta os roteadores estavam conectados para), podem ter conflitos de endereço IP ou ocasionalmente experimentar perda aleatória e esporádica de conectividade em um ou outro rede.
Is it possible to segregate Wi-Fi traffic into multiple VLANs on a single access point?
Sim, mas vai demorar um pouco o trabalho de configuração e alguns testes. Eu uso um configuração semelhante eu mesmo para segregar uma rede de convidado. O método eu vou descrever abaixo não envolve VLANs.
DD-WRT (entre outros) suportam a criação de múltiplos SSIDs no mesmo AP. A única coisa necessária é criar outra ponte, atribuí-la a um sub-rede diferente, em seguida, firewall-lo fora do resto da rede principal.
Já faz um tempo desde a última vez que fiz isso, mas deveria em algum lugar assim (esteja preparado para perder a conectividade):
Network Configuration para
Bridged , ative AP Isolation como desejar br1 ? br1 à Interface
wl.01 ou o nome da sua interface [^ virtif], salve e aplique Em Vários servidores DHCP, clique em Adicionar e atribua-o a br1
Vá para Administração = > Comandos e cole estes (você pode ter que
ajustar os nomes da interface) [^ note2]
iptables -t nat -I POSTROUTING -o 'get_wanface' -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
E clique em Salvar Firewall
Você deve estar pronto, acho
Para mais detalhes, você pode dar uma olhada link
Uma ressalva para isso é que essa configuração é efetiva somente para o gateway roteador / AP. Se você quiser que a mesma configuração funcione para o outro roteador, você terá que usar VLANs. A configuração é semelhante, mas é um pouco mais envolvido. A diferença aqui é que você terá que configurar e conecte uma nova VLAN ao SSID da IoT e talvez faça algumas regras de roteamento.
[^ virtif]: O primeiro é geralmente a interface física e muitas vezes rotulada como wl0. Suas interfaces virtuais (até três, se não me engano) ser rotulado como wl0.1, w0.2 e assim por diante.
[^ brname]: Este será o nome da interface que o DD-WRT dará ao interface de ponte.
[^ ipaddr]: digamos que sua rede principal esteja em 172.16.1.0/24, forneça br1 an
endereço de 172.16.2.0/24.
[^ nDS]: Se você tem um Nintendo DS, você terá que usar WEP.
Alternativamente, você poderia criar outro SSID apenas para o NDS e ter
também foi transferido para br1 por conveniência.
[^ note1]: Neste ponto, depois de aplicar as configurações, qualquer coisa que se conecte para o SSID IoT agora será atribuído a uma sub-rede diferente. No entanto, o duas sub-redes ainda podem se comunicar entre si.
[^ note2]: Esse bit pode precisar de algum trabalho.
Is this enough to completely segregate my computers from everything else?
Supondo que sua conexão do roteador 1 para o Switch está usando a WAN port do roteador e você não está compartilhando WAN e LAN no OpenWRT (significando que você não alterou as configurações padrão e fez o cabeamento como faria quando conectado diretamente para o modem), você está muito bem.
É claro que seus dispositivos no roteador 2 podem enviar tráfego para qualquer pessoa, o que pode ser um problema em si (estatísticas de uso, imagens da câmera, som sobre microfones, informações sobre WLAN, receptores de GPS, etc.).
Also, is there a simpler solution using a single router that would effectively do the same thing? I have the following routers, both with DD-WRT:
Você pode configurar suas portas separadamente e rotear o tráfego ruim separadamente do bom tráfego. Sua palavra-chave seria DMZ , há muitos tutoriais disponíveis.
Se você quer ter mais complexidade, você também pode habilitar VLANs, desta forma você pode colocar dispositivos VLAN adicionais por trás do roteador e conectar ambos os tipos de dispositivos a eles, essencialmente fazendo toda a sua casa como se todos os dispositivos estivessem conectados diretamente em uma porta de um dos dois roteadores, mesmo se você tiver apenas um único roteador e 5 switches por trás dele, mas faça isso apenas se for necessário, pois a possibilidade de erro é substancial e o benefício depende seu cabeamento (quase nenhum ao usar topologia em estrela, ótimo ao usar topologia em anel).
Alguns roteadores Wi-Fi de nível de consumidor têm um "modo convidado" que é uma rede separada da rede normal.
Você pode restringir seus dispositivos não confiáveis ao AP "Convidado".
Não que cada roteador que tenha esse recurso seja especialmente seguro.
Embora o artigo Aviso:" Guest Mode "em Muitos roteadores Wi-Fi não é seguro fala sobre insegurança, a grande falha que eles discutem é a privacidade . Se você não se importa se a sua TV habilitada para rede está telefonando para casa para dizer ao fabricante o que você está assistindo, então quem se importa se os vizinhos estão vendo isso acontecer?
Also, is there a simpler solution using a single router that would effectively do the same thing? I have the following routers, both with DD-WRT:
A maioria dos roteadores WiFi domésticos permite que você configure uma "rede de convidados". Esta LAN sem fio pode se conectar à Internet, mas não pode se conectar a dispositivos nas principais LANs com ou sem fio. Assim, você pode colocar os dispositivos de IoT na rede e eles não poderão comprometer seus computadores.
Criar uma rede separada deve ser a melhor maneira de manter os dispositivos inseguros longe de sua LAN segura para impedir que usuários / dispositivos mal-intencionados obtenham acesso a seus arquivos compartilhados ou dispositivos em rede. Isso pode ser feito habilitando a rede GUEST Usando os recursos do Netgar WNDR3700v3 com senhas strongs e diferentes.
A virus, Trojan horse, worm, or other malicious program that manages to infect a computer on your local network can use UPnP, just like legitimate programs can. While a router normally blocks incoming connections, preventing some malicious access, UPnP could allow a malicious program to bypass the firewall entirely. For example, a Trojan horse could install a remote control program on your computer and open a hole for it in your router’s firewall, allowing 24/7 access to your computer from the Internet. If UPnP were disabled, the program couldn’t open the port – although it could bypass the firewall in other ways and phone home
Desabilite o acesso remoto através do Wi-Fi para seus roteadores
most routers offer a “remote access” feature that allows you to access this web interface from anywhere in the world. Even if you set a username and password, if you have a D-Link router affected by this vulnerability, anyone would be able to log in without any credentials. If you have remote access disabled, you’d be safe from people remotely accessing your router and tampering with it.
Além disso, não conecte os dispositivos inseguros, a menos que seja necessário.