Como faço para firewall uma máquina contra a rede local (sem fio) enquanto ainda permite que a máquina roteie o tráfego da Internet?

Navegue suas respostas
3

Eu tenho uma conexão DSL compartilhada, e sei que alguns dos usuários constantemente infectam seus computadores, então me preocupo com a segurança da rede. Meu computador é o único conectado ao modem (que também é o AP sem fio) por um cabo Ethernet (interface eth0), todos os outros usuários são conectados sem fio (interface wlan0).

Quais medidas devo tomar para isolar ou proteger meu computador? Eu sei que se alguém estiver conectado à rede sem fio, pode-se interceptar e ler os pacotes que estão sendo enviados usando software como o Wireshark e o ettercap, então como evitar a leitura dos pacotes que envio ou, se isso não for possível, que outras precauções devo tomar?

Eu não estou procurando respostas como "você não deveria compartilhar sua rede com eles em primeiro lugar" , já que este é o caso tanto em casa (com meus colegas de quarto) quanto no trabalho (então eu não posso fazer muito sobre isso).

Algumas configurações que podem ser relevantes:

Ligado / automático 

NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation

Fora 

Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall

Outro 

Network Authentication - mixed wpa2/wpa - psk   
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients

Ativar o firewall do lado da LAN fez com que eu perdesse a conexão com a Internet, portanto, não quero mais estragar as coisas - não sou especialista em rede.

Agrupamento de interface: 

Group Name | WAN Interface | LAN Interfaces
Default    | ppp0          | eth3
           |               | eth2
           |               | eth1
           |               | eth0
           |               | wlan0

As estatísticas de LAN mostram apenas que eth0 e wl0 estão transmitindo / recebendo dados.

Meu sistema operacional é Debian 6.0.7 (squeeze)

    
por Alex 26.02.2013 / 02:27

6 respostas

1

Do que você escreveu, Você está atualmente na mesma rede que seus amigos - embora apareçam as infecções que eles não estão atualmente tentando infectar você (já que somente eth0 e wl0 estão transmitindo / recebendo dados).

Se meu entendimento estiver correto, o isolamento do cliente pode ajudar um pouco, mas provavelmente não.

A solução real é garantir que você execute um firewall em seu PC ou, se preferir, obtenha um segundo roteador e conecte o roteador principal ao roteador e, em seguida, o computador ao roteador. Essa não é uma "ótima solução" por causa de problemas "double nat", mas fornecerá uma medida muito melhor de proteção e isolamento da rede deles.

    
por 26.02.2013 / 02:46
1

Eu gostaria de sugerir um roteador que tenha uma rede Guest, diferente da rede WiFi principal.

Isso permitirá fraturar a rede sem fio em duas sub-redes separadas, computadores não confiáveis podem não ter acesso à sua rede, enquanto você ainda pode conectar com segurança dispositivos sem fio à sua própria rede.

A próxima melhor coisa é obter um roteador que suporte facilmente o DD-WRT (ou seja, sem qualquer trabalho mecânico) em que se pode dividir a rede dessa maneira. O DD-WRT também suporta QoS que pode limitar a largura de banda dos outros usuários se eles usam demais a Internet.

Para o caso posterior, consulte Compartilhe sua internet com segurança com seus amigos & vizinhos .

    
por 18.03.2013 / 13:06
0

Se você estiver conectado de qualquer maneira e quiser manter a conexão sem fio em funcionamento, sugiro que você obtenha um computador barato no eBay com 2 NICs e instale pfSense . O pfSense é realmente fácil de gerenciar e é um ótimo firewall que deve manter seu computador seguro. Em termos de bisbilhotice, isso realmente depende do seu roteador wifi, se ele é meio decente, ele não deveria estar enviando tráfego com fio pela rede sem fio, a menos que esteja especificamente tentando acessar uma máquina sem fio, porque as tabelas de roteamento não pacotes diretos lá.

    
por 18.03.2013 / 12:40
0

Você tem o Debian no PC? É seguro o suficiente (em comparação com as janelas). A única coisa que você pode ter medo de seus amigos é a exploração do ataque MIM vulnerável a tais protocolos de ataque. Mas você deve sugerir - tal ataque também potencialmente possível na Internet (mas tal ataque é muito difícil de ser percebido pelos colegas de quarto).

Idealmente, você deve configurar a WLAN e a LAN como sub-redes separadas e configurar o firewall no roteador (modem), mas parece muito simplificado para isso.

Você pode configurar outro computador ou roteador NAT entre seu PC e outra rede. Mas este roteador apenas outro computador Linux.

    
por 18.03.2013 / 23:11
0

Muitos roteadores têm uma porta DMZ na qual você pode conectar seu roteador / AP Wi-Fi. Isso segmentaria sua rede da maneira que você deseja. Você também pode comprar um switch e outro roteador e conectar todos os clientes com fio ao novo roteador e manter os clientes sem fio no ponto de acesso. (Use sub-redes diferentes)

    
por 21.03.2013 / 22:18
0

Você tem um dos sistemas operacionais mais seguros do planeta e só precisa de um pouco de configuração para proteger o tráfego também. Quão longe você quer ir é com você, mas você deve considerar:

  • Configure seus iptables. Decida quais serviços você deseja permitir e bloquear todo o resto
  • Considere proteger seu tráfego da Web com o Privoxy / Tor
  • Use versões seguras do imap / pop (TLS ou SSL)
  • Considere túneis de SSH ou VPNs para acesso a outros sites

Este não é o lugar para entrar em COMO fazer tudo isso porque é um processo longo com muitas opções e muitos recursos de internet estão disponíveis para guiá-lo.

Uma última coisa. IPTables (seu firewall) tem distinções muito claras entre roteamento (FORWARD) e acesso à sua máquina (INPUT). Você pode encaminhar o que quiser sem permitir acesso a nenhum dos seus serviços locais.

    
por 23.03.2013 / 17:55

Tags

8GB stick acha que é um de 4GB Mac OS X 10.8.2, exibição de retina: alterar DPI