Rede doméstica: Simplesmente deseja separar dispositivos convidados / tóxicos dos confiáveis

Navegue suas respostas
3

Eu quero configurar minha rede doméstica de uma maneira mais "segura" e não consigo encontrar nenhuma maneira óbvia de fazer isso, apesar de me parecer uma necessidade bastante comum.

A ideia é que não quero que alguns dos dispositivos com e sem fio conectados possam se comunicar com outros dispositivos da rede. Eu só quero que eles tenham acesso à internet. Vou chamar esses dispositivos de dispositivos "tóxicos". Eu não quero fazer diferença se o dispositivo estiver conectado usando Wi-Fi ou fio, eles podem ser "tóxicos" ou não.

Aqui está o requisito "opcional", mas eu gostaria muito que as teses se aplicassem:

  • Evite o máximo possível para duplicar hardware ou conectar apenas para separar o "tóxico" do não-tóxico.
  • Se tudo isso puder ser "soft-configurado", qual dispositivo é tóxico ou não, e ser capaz de mudar o dispositivo de tóxico para não-tóxico, sem a necessidade de alterar manualmente os fios subjacentes
  • Dispositivos tóxicos não seriam capazes de se comunicar um com o outro (mas eu poderia tolerar que as teses estejam todas na mesma sub-rede)
  • Por motivos de desempenho, mantenha apenas 1 dispositivo WiFi ativado por faixa de freqüência (ex. 1 x 2.4Ghz + 1 x 5Ghz) ... (Não há 2 dispositivos WiFi próximos um do outro para dividir a largura da banda?)

Aqui está o meu hardware:

  • LinkSys BEFSX41 (material antigo, roteador somente fio)
  • Cisco Linksys EA3500 (2,4 Ghz, 5 Ghz)
  • Um roteador personalizado do ISP (Bell) (2.4Ghz). A porta WAN não pode ser usada porque parece codificada para um gateway específico. Realmente usado apenas como ponto de acesso WiFi.
  • (eu também tenho um interruptor, mas não acho que seja relevante aqui)
  • Eu estaria disposto a investir mais dinheiro em algum hardware (cerca de 300 $ max)

Minha configuração real:

  • LinkSys BEFSX41 não usado.
  • LinkSys EA3500: todo o WiFi está desativado.
  • Roteador personalizado usado como um ponto de acesso WiFi.
  • Todos têm acesso a tudo por trás do meu Firewall.

Imagem:

    
por NoNameStackExchange 17.09.2017 / 17:50

2 respostas

-1

Use VLANs

VLANs (LAN virtual) separam os dispositivos em LANs separadas, assim como seriam se você configurasse redes físicas distintas. Dispositivos em uma VLAN não podem se comunicar com aqueles em outra VLAN, a menos que você especificamente permita que eles façam isso.

Como as VLANs são implementadas em seus switches de rede, você não precisa de hardware "extra", além de um switch com capacidade para VLAN, para implementar essa configuração.

No seu caso, você seria melhor atendido por um switch com capacidade de VLAN de Camada 3. Um comutador camada 3 pode atuar como um roteador, o que é necessário em uma rede VLAN para rotear o tráfego entre as várias VLANs e a Internet (e outras VLANs, se desejado). Essas opções geralmente incluem a capacidade de criar Listas de controle de acesso (ACLs), que são como regras de firewall, permitindo controlar qual tráfego, se houver, pode se mover entre VLANs.

Configuração de amostra

A configuração do seu switch pode ser algo assim:

  • A porta 1 se conecta ao roteador da Internet. Está na VLAN 1 e tem um IP na mesma sub-rede do seu gateway da Internet.

  • As portas 2-16 estão na VLAN 10, sem tag. Esta é sua rede confiável.

  • As portas 17-24 estão na VLAN 20, sem tag. Esta é sua rede não confiável.

  • VLANs 10 e amp; 20 têm endereçamento de sub-rede IP separado.

  • O comutador é configurado como o gateway padrão de cada sub-rede. As tentativas de acessar a Internet, portanto, passam pelo switch, que por sua vez é configurado com o IP do seu roteador de Internet como gateway padrão, facilitando a conexão com a Internet.

Conectividade sem fio

Para fornecer serviços sem fio a cada VLAN, você precisa de pontos de acesso separados conectados a cada VLAN ou de um ponto de acesso sem fio que suporte a marcação de VLAN. No último caso, tal AP iria "marcar" o tráfego para SSID "confiável" com VLAN ID 10 e SSID "não confiável" como ID 20. Você configuraria a porta do comutador que o AP conecta como sendo "marcada" em VLANs 10 e 20. Então, dependendo de qual SSID um cliente está conectado, o tráfego é apresentado ao switch como parte de sua respectiva VLAN.

Como você configura especificamente uma VLAN dependerá do switch que você usa.

Leitura Adicional

por 18.09.2017 / 05:00
-1

Uma questão importante aqui é se você possui todos esses dispositivos por conta própria, e quer separar aqueles em quem não confia, ou se espera que os convidados tragam seus próprios dispositivos, e você não confie neles e suspeite para que possam "invadir" sua rede doméstica.

A maneira à prova de balas para fazer isso para WLAN é configurar um único dispositivo para oferecer dois pontos de acesso (APs) com diferentes SSID e diferentes chaves pré-compartilhadas (PSK). A maioria dos hardwares modernos é capaz de fazer isso. Se o firmware em seu hardware existente não oferecer essa opção, tente instalar algo como o OpenWRT. O OpenWRT também já possui a documentação sobre como configurá-lo.

Como você pode ver nesta documentação, você configura os diferentes APs de maneira diferente: Você pode adicionar a opção "isolamento" ao AP convidado para que os dispositivos convidados não possam se comunicar uns com os outros. Claro que você não liga os APs, então eles não estão no mesmo segmento de rede. Você atualiza as configurações do firewall ( iptables rules) para que os dispositivos do AP convidado não possam entrar em contato os dispositivos no resto da rede. (Assim como você faria para os "endpoints" das duas LANs abaixo).

Para a LAN, as coisas são mais difíceis. Se você possui todos os dispositivos, ou se você não suspeitar que alguém irá usá-los para "invadir", você pode usar VLAN: Untagged para os dispositivos "tóxicos" (porque geralmente eles não esperam VLAN), e um etiqueta única para os dispositivos "não tóxicos".

No entanto, isso não é seguro: Nada impede que alguém reconfigure um dispositivo tóxico para reagir à VLAN, possivelmente depois de farejar a LAN para descobrir a tag. Para esse caso, você precisa separar fisicamente a LAN que é acessível a dispositivos "tóxicos" da LAN geral para dispositivos "não-tóxicos" e certificar-se de que os soquetes de parede, etc. Para uma rede doméstica, isso é um exagero, então realmente depende do nível de segurança desejado.

Repito: as VLANs não são um recurso de segurança (mesmo que algumas pessoas pensem assim). A segurança depende do controle do acesso físico às portas de rede. Depois de ter isso, não importa se você implementa políticas diferentes em um grupo diferente de portas de rede conectando-as a diferentes switches / roteadores ou conectando-os a um switch com VLANs para que você tenha diferentes "switches virtuais" ou conectando-os a uma peça de hardware que trata diferentes portas de maneira diferente.

Você não precisa ser novos switches caros etc. para VLANs; a maioria dos roteadores suportará VLANs com o hardware existente (novamente com o OpenWRT, etc. instalado ou enraizado, se necessário).

Se você não pode controlar o acesso físico às portas de rede, a única maneira de obter segurança é se os dispositivos "não-tóxicos" compartilharem algum tipo de segredo criptográfico com o roteador, que os dispositivos "tóxicos" não compartilhar.

Portanto, outra opção para LAN é IPSec ou algum outro tipo de túnel seguro: Basicamente, você compartilha uma chave secreta entre os dispositivos "não-tóxicos" e o roteador, e "encapsula" todo o tráfego entre os dispositivos não-tóxicos e roteador através de uma conexão segura. Isso não é tão fácil de configurar, e também precisa de suporte nos dispositivos "não-tóxicos" (mais do que VLAN, de qualquer forma). Novamente, o OpenWRT tem a documentação .

    
por 18.09.2017 / 07:56

Tags

Meu PC trava e a tela pisca uma vez por mês Como criptografar 2 discos SSD no software RAID 1 no Windows 10