Agregar de forma segura dispositivos inseguros a mi red doméstica

39

Tengo algunos dispositivos conectados a Internet que no confío en que sean seguros, pero que me gustaría usar de todos modos (un televisor inteligente y algunos dispositivos de automatización del hogar listos para usar). No los quiero en la misma red que mis computadoras.

Mi solución actual es conectar mi cable módem a un conmutador y conectar dos enrutadores inalámbricos al conmutador. Mis computadoras se conectan al primer enrutador, todo lo demás se conecta al segundo enrutador.

¿Es esto suficiente para separar completamente mis computadoras de todo lo demás?

Además, ¿hay una solución más simple que use un solo enrutador que efectivamente haría lo mismo? Tengo los siguientes enrutadores, ambos con DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Todos los dispositivos (seguros e inseguros) se conectan de forma inalámbrica, excepto una sola computadora en la red segura.

security nat Chris B
fuente
44
La separación de sus computadoras es excelente, pero ¿qué hay de separar su inseguro televisor inteligente de su tostadora WiFi insegura? ;)
ZX9
Hmm ... Bueno, tengo varios enrutadores más viejos por ahí. Me pregunto cuántas direcciones IP me dará mi ISP.
Chris B
reactiongifs.com/r/but-why.gif
Alexander - Restablece a Monica el

Respuestas:

22

Sí, su solución también está bien, pero aumentará un salto de conmutación, más la sobrecarga de configuración, puede lograr esto con un enrutador haciendo lo siguiente:

  • Configure dos VLAN, conecte hosts confiables a una VLAN y no confiable a otra.
  • Configure iptables para no permitir tráfico confiable a no confiable (viceversa).

¡Espero que esto ayude!

Anirudh Malhotra
fuente
1
Creo que sé cómo configurar varias VLAN correctamente utilizando los puertos LAN, pero todo está conectado a través de Wi-Fi. ¿Es posible segregar el tráfico de Wi-Fi en varias VLAN en un único punto de acceso?
Chris B
1
@ user1152285 Sí, todos los dispositivos WLAN razonablemente modernos son capaces de alojar múltiples redes inalámbricas (en el mismo canal). Si el software lo permite es otra pregunta más.
Daniel B
2
No estoy 100% seguro, pero dd-wrt debería poder darle múltiples SSID en el mismo AP con segregación de VLAN. Por lo tanto, ejecutará dos interfaces inalámbricas virtuales, una para dispositivos confiables y otra para dispositivos no confiables.
Saiboogu
@ user1152285 Sí, busqué y descubrí que dd-wrt sí lo admite. También encontré el enlace que muestra la asignación de la interfaz a la interfaz virtual wlan. Y también puede agregar etiquetas vlan (¡genial! :))
Anirudh Malhotra
1
De acuerdo con @ ZX9. Dado que el autor de la pregunta menciona específicamente que tienen DD-WRT, al menos algunos enlaces a la documentación sobre cómo configurar VLAN, SSID múltiples y segregación de tráfico serían muy útiles.
Doktor J
10

Es completamente posible, pero me gustaría abordar algunas cosas primero.

Mi solución actual es conectar mi cable módem a un conmutador y conectar dos enrutadores inalámbricos al conmutador. Mis computadoras se conectan al primer enrutador, todo lo demás se conecta al segundo enrutador.

Es interesante que ambos enrutadores tengan acceso a Internet cuando su cable módem parece ser solo un módem. ¿Tu ISP hace NAT? De lo contrario, recomendaría desconectar el conmutador (¿es realmente un conmutador o es el conmutador capaz de NAT?), Y colocar uno de sus enrutadores DD-WRT como puerta de enlace. Su configuración actual tal como es (sin saber a qué puerto se enrutaron los enrutadores), puede tener conflictos de dirección IP u ocasionalmente experimentar pérdida de conectividad aleatoria y esporádica en una u otra red.

¿Es posible segregar el tráfico de Wi-Fi en varias VLAN en un único punto de acceso?

Sí, pero tomará un poco de trabajo de configuración y algunas pruebas. Yo mismo uso una configuración similar para segregar una red de invitados. El método que describiré a continuación no involucra VLAN.

DD-WRT (entre otros) admite la creación de múltiples SSID en el mismo AP. Lo único que debe hacer es crear otro puente, asignarlo a una subred diferente y luego protegerlo del resto de la red principal.

Ha pasado un tiempo desde la última vez que lo hice de esta manera, pero debería ir a algún lado así (prepárate para perder la conectividad):

  1. Abrir la página de configuración de un punto de acceso
  2. Vaya a Inalámbrico => Configuración básica
  3. En Interfaces virtuales, haga clic en Agregar [^ virtif]
  4. Dé a su nuevo IO SSID un nombre y dejar Network Configurationa Bridged, permitir AP Isolationque desee
  5. Vaya a la pestaña Seguridad inalámbrica, configure sus contraseñas y configure el Modo de seguridad en nada menos que WPA2-Personal-AES si es posible [^ nDS]
  6. Vaya a la pestaña Configuración => Redes
  7. En Bridging, haga clic en Agregar
  8. Dale a tu puente un nombre arbitrario [^ brname], br1¿ tal vez ?
  9. Dele a su puente una dirección IP que no esté en la misma subred que su red principal [^ ipaddr]
  10. (Puede que tenga que hacer clic en Guardar y luego en Aplicar configuración para que aparezca) En Asignar a puente, haga clic en Agregar, luego asigne br1a la interfaz wl.01o cuál fue el nombre de la interfaz que se le dio [^ virtif], guarde y aplique

  11. En Servidor DHCP múltiple, haga clic en Agregar y asígnelo a br1

  12. Vaya a Administración => Comandos y péguelos (puede que tenga que ajustar los nombres de la interfaz) [^ nota2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    Y haga clic en Guardar Firewall

  13. Deberías estar listo, creo

Para más detalles, puede visitar http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Una advertencia para esto es que esta configuración es efectiva solo para el enrutador / AP de puerta de enlace. Si desea que la misma configuración funcione para el otro enrutador, deberá usar VLAN. La configuración es similar, pero es un poco más complicada. La diferencia aquí es que tendrá que configurar y conectar una nueva VLAN al SSID de IoT y tal vez hacer algunas reglas de enrutamiento.

[^ virtif]: El primero suele ser la interfaz física y suele etiquetarse como wl0. Sus interfaces virtuales (hasta tres si no me equivoco) se etiquetarán como wl0.1, wl0.2, etc.

[^ brname]: Este será el nombre de interfaz que DD-WRT le dará a la interfaz del puente.

[^ ipaddr]: Digamos que su red principal está en 172.16.1.0/24, proporcione br1una dirección de 172.16.2.0/24.

[^ nDS]: si tienes una Nintendo DS, tendrás que usar WEP. Alternativamente, puede crear otro SSID solo para el NDS y también hacer un puente br1para su conveniencia.

[^ nota1]: en este punto después de aplicar la configuración, todo lo que se conecta al SSID de IoT ahora se asignará a una subred diferente. Sin embargo, las dos subredes aún pueden comunicarse entre sí.

[^ nota2]: este bit podría necesitar algo de trabajo.

gjie
fuente
Gracias por la información, tendré que sumergirme más en esto cuando llegue a casa. Como referencia, definitivamente está usando un conmutador de 4 puertos (tonto, sin NAT). Ambos enrutadores están conectados al conmutador a través de sus puertos WAN. Los rangos de DHCP en los enrutadores son diferentes, aunque con la configuración actual no debería importar. Es posible que mi ISP obtenga dos IP diferentes
Chris B el
Si ambos enrutadores están conectados a sus puertos WAN, sí, no debería importar. Y sí, es posible obtener dos direcciones IP diferentes de su ISP (eres muy afortunada si lo hacen, lo que le daría una segunda dirección IPv4 en este momento ...)
gjie
@ user1152285 si investiga un poco, ¡esta puede ser, literalmente, una opción mucho mejor! no sabía que ddwrt puede usar AP ISOLATION ... ¡prueba esto primero!
Bryan Cerrati el
Actualización: acabo de comprobar, y cada uno de mis enrutadores tiene una IP pública diferente. Parece que mi ISP me está dando múltiples IPs
Chris B
El aislamiento de @BryanCerrati AP es parte de la solución, pero no es la respuesta completa. Lo protege en clientes inalámbricos a inalámbricos, pero no lo ayudará de inalámbrico a cableado.
gjie
6

¿Es esto suficiente para separar completamente mis computadoras de todo lo demás?

Suponiendo que su conexión del enrutador 1 al Switch está usando el WANpuerto del enrutador y no está compartiendo WAN y LAN en OpenWRT (lo que significa que no cambió la configuración predeterminada e hizo el cableado como lo haría cuando se conecta directamente al módem), estás mayormente bien.

Por supuesto, sus dispositivos en el enrutador 2 podrían enviar tráfico a cualquier persona, lo que puede ser un problema en sí mismo (estadísticas de uso, imágenes de cámara, sonido a través de micrófonos, información sobre WLAN, receptores GPS, etc., dependiendo de los dispositivos).

Además, ¿hay una solución más simple que use un solo enrutador que efectivamente haría lo mismo? Tengo los siguientes enrutadores, ambos con DD-WRT:

Puede configurar sus puertos por separado y enrutar el mal tráfico por separado del buen tráfico. Su palabra clave sería DMZ, hay muchos tutoriales disponibles.

Si desea tener más complejidad, también puede habilitar las VLAN, de esta manera puede colocar dispositivos adicionales con reconocimiento de VLAN detrás del enrutador y conectar ambos tipos de dispositivos a ellos, esencialmente haciendo que toda su casa esté como si cada dispositivo estuviera enchufado directamente un puerto de uno de los dos enrutadores, incluso si solo tiene un enrutador y 5 conmutadores detrás de él conectados en cadena ... pero haga esto solo si debe hacerlo, ya que la posibilidad de error es sustancial y el beneficio depende de su cableado ( casi ninguno cuando se usa topología en estrella, excelente cuando se tiene que usar topología en anillo).

usuario121391
fuente
Debería haber mencionado que casi todos los dispositivos se conectan al enrutador a través de Wi-Fi. Si todos los dispositivos se conectan al mismo punto de acceso, ¿hay alguna forma de evitar que se vean (dado que estos son enrutadores domésticos bastante estándar)?
Chris B
1
OpenWRT le permite crear diferentes redes inalámbricas con diferentes SSID y contraseñas. Luego puede usarlos como una red conmutada (su televisor ve su estéreo, pero no su PC) o usar VLAN con 802.1x y autenticación RADIUS para separar completamente sus dispositivos (802.1x usa RADIUS para verificar si un dispositivo está permitido y asignar a su propia o compartida VLAN). Con OpenWRT, todo es posible, pero puede convertirse en un PITA configurarlo todo.
user121391
802.1x resolvería todo ... excepto que todos los dispositivos son inalámbricos.
Bryan Cerrati el
2
@BryanCerrati: 802.1x también funciona con conexión inalámbrica.
Ben Voigt el
6

Algunos enrutadores Wi-Fi de nivel de consumidor tienen un "Modo de invitado" que es una red que está separada de la red normal.

Puede restringir sus dispositivos no confiables al AP "Invitado" .

No es que cada enrutador que tenga esa característica sea especialmente seguro.

Aunque el artículo Advertencia: "Modo de invitado" en muchos enrutadores Wi-Fi no es seguro habla sobre la inseguridad, la principal falla que discuten es la privacidad. Si no le importa si su televisor habilitado para la red está llamando a su casa para decirle al fabricante lo que está viendo, a quién le importa si los vecinos lo están viendo.

infijo
fuente
1
En lenguaje de redes, esta es la DMZ.
Lightness compite con Monica el
3

Además, ¿hay una solución más simple que use un solo enrutador que efectivamente haría lo mismo? Tengo los siguientes enrutadores, ambos con DD-WRT:

La mayoría de los enrutadores WiFi domésticos le permiten configurar una "red de invitados". Esta LAN inalámbrica puede conectarse a Internet, pero no puede conectarse a dispositivos en las LAN principales cableadas o inalámbricas. Por lo tanto, puede poner los dispositivos IoT en la red y no podrán comprometer sus computadoras.

Barmar
fuente
0

Crear una red separada debería ser la mejor manera de mantener los dispositivos inseguros alejados de su LAN segura para evitar que usuarios / dispositivos maliciosos obtengan acceso a sus archivos compartidos o dispositivos en red, esto se puede lograr habilitando la red INVITADA Usando las funciones Netgar WNDR3700v3 con contraseñas fuertes y diferentes.

Deshabilitar el UPnP

Un virus, un caballo de Troya, un gusano u otro programa malicioso que logre infectar una computadora en su red local puede usar UPnP, al igual que los programas legítimos. Mientras que un enrutador normalmente bloquea las conexiones entrantes, evitando algunos accesos maliciosos, UPnP podría permitir que un programa malicioso omita por completo el firewall. Por ejemplo, un caballo de Troya podría instalar un programa de control remoto en su computadora y abrir un agujero en el cortafuegos de su enrutador, permitiendo el acceso 24/7 a su computadora desde Internet. Si UPnP estuviera deshabilitado, el programa no podría abrir el puerto, aunque podría omitir el firewall de otras maneras y llamar a casa

Deshabilite el acceso remoto a través de WIFI a sus enrutadores

La mayoría de los enrutadores ofrecen una función de "acceso remoto" que le permite acceder a esta interfaz web desde cualquier parte del mundo. Incluso si establece un nombre de usuario y una contraseña, si tiene un enrutador D-Link afectado por esta vulnerabilidad, cualquiera podría iniciar sesión sin ninguna credencial. Si tiene el acceso remoto deshabilitado, estaría a salvo de que las personas accedan de forma remota a su enrutador y lo manipulen.

Tampoco conecte los dispositivos inseguros a menos que lo necesite.

GAD3R
fuente