¿Es segura la función "red de invitados" en los enrutadores ASUS?

6

Mi enrutador ASUS RT-AC68U tiene una opción para habilitar una "red de invitados". Tengo curiosidad por lo "seguro" que es esto. La página de configuración afirma que solo permite el tráfico a través de Internet, por lo que supongo que bloquea físicamente el tráfico de la red de invitados a cualquier puerto LAN y solo permite que fluya a través del puerto WAN.

Tenga en cuenta que lo que quiero decir es una red de invitados ABIERTA, sin autenticación.

¿Alguien tiene alguna información sobre esto y qué tan seguro / inseguro es?

router security wireless-networking Josh M.
fuente
¿Votar abajo? ¿Dije algo malo? ¿Mi pregunta no estaba redactada claramente? ¿Publiqué en el sitio StackExchange incorrecto? ¿Simplemente no te gusta ASUS? ¿Fue mi pregunta demasiado trivial para ti? ¡Por favor, hágame saber lo que he hecho para merecer esto!
Josh M.
Estás pidiendo una opinión sobre equipos para el hogar. Esas son dos razones por las cuales su pregunta está fuera de tema aquí. Prueba Superuser.
Ron Trunk
No estoy pidiendo una opinión. Le pregunto a la comunidad de ingeniería de redes si este dispositivo, su firmware, etc. son lo suficientemente robustos y seguros como para habilitar esta función. Casi publiqué esto en SuperUser, pero luego encontré Network Engineering en su lugar, que pensé que era un lugar mejor.
Josh M.
Déjame explicarte: estás preguntando si es "lo suficientemente seguro". ¿Suficientemente seguro para qué? ¿Qué amenazas estás enfrentando? ¿Qué estás protegiendo? La respuesta a su pregunta se reduce a cuánto riesgo está dispuesto a aceptar. Algunas personas aceptarán más riesgos que otras. Esa es (una razón) por qué es una pregunta de opinión. Además, si hubiera leído la sección de ayuda, habría aprendido que las redes domésticas están fuera de tema aquí. Superusuario es un mejor lugar para obtener su respuesta a su pregunta.
Ron Trunk
Gracias, eso ayuda. Le he pedido a los mods que muevan esto a SuperUser o volveré a publicar allí.
Josh M.

Respuestas:

4

Ron tenía razón en que esta es una pregunta basada en la opinión dependiendo de cuán aversivo al riesgo sea usted, pero aquí hay algunos factores a considerar:

  1. ¿Con qué frecuencia verifica manualmente que el firmware de su enrutador esté actualizado y lo parchea si no lo está? Y los actualizadores automáticos no son confiables en mi experiencia, FWIW. Ese es probablemente su mayor riesgo si habilita una red invitada: se descubren y reparan vulnerabilidades, lo que alerta a los actores maliciosos sobre la vulnerabilidad, por lo que la incorporan a su kit de herramientas, pero no ha actualizado su firmware, por lo que aún es vulnerable, y el kiddy script de tu vecindario se conecta a tu red.
  2. ¿Tiene una buena contraseña para cada una de las cuentas de administrador de su enrutador? Idealmente, uno que fue generado aleatoriamente por el software de administración de contraseñas, pero al menos uno que no devuelve ningún resultado cuando lo busca en Google. Alguien en su red de invitados puede intentar iniciar sesión en el panel de control de su enrutador y una buena contraseña en la diferencia entre adivinar en un día y adivinar después de 1000 años.
  3. ¿Qué tan valiosa es su red doméstica? ¿Su escritorio siempre encendido tiene cien bitcoins? ¿Sueles ignorar si la página en la que estás es http cuando debería ser https? ¿Sus documentos médicos y financieros se comparten en su red? Debe evaluar honestamente qué tan malo sería si escaparan de la red de invitados y llegaran a su red normal y pudieran ver sus archivos y ver / modificar su tráfico no cifrado.
  4. ¿Qué beneficios obtiene al habilitar la red de invitados? ¿Quieres una negación plausible para cuando te pillen pirateando películas y música? ¿Te incomoda compartir tu contraseña de WiFi con los invitados? ¿O sus invitados son flojos y odian usar WiFi seguro de cualquier tipo? ¿Espera realizar una "buena acción" dando WiFi gratis a vecinos y transeúntes? Sopesar esos beneficios contra los riesgos.

Si ASUS lo implementó sin problemas, entonces es seguro hacerlo, pero nada en seguridad informática es realmente impecable.

Aron Foster
fuente
Gracias por el aporte. 1) Sí, lo mantengo actualizado, en general 2) es decentemente fuerte pero podría ser más fuerte 3) no tan valioso, más una preocupación de privacidad 4) invitados y transeúntes, aunque no espero que ese sea realmente el caso en ¡Mi área ya que todos tienen sus propias señales wifi que obstruyen el espectro!
Josh M.
3

En lo que a él respecta, una red "Invitada" es solo una característica común entre muchos enrutadores o ISR que creará otra subred y adicionalmente una WLAN separada con su ESSID correspondiente que restringe el dominio de difusión y no enrutará ningún tráfico al red principal de ella; Esto significa que no podría, ssh 192.168.1.1por ejemplo, desde cualquier host en, digamos, 192.168.0.0 (la red "Invitado"). Pero vale la pena señalar que, dadas las condiciones correctas, no impedirá que las computadoras en la red "Invitada" accedan a la red principal o a una DMZ a través de la WAN (es decir, utilizando la dirección pública NAT), o incluso desde Internet si el firewall está abierto, entre otras cosas.

En palabras simples, solo aísla la red principal de la red invitada en el puerto LAN, por lo que podría decir que es segura y cumple su propósito como debería.

Fuente: las páginas de capacitación de Cisco NetAcad

arielnmz
fuente
Gracias, eso tiene mucho sentido. El tráfico de la red de invitados todavía tendría que fluir a través del firewall público para llegar a la red privada. Entonces, mientras mi firewall esté ajustado, etc., debería estar relativamente seguro ... ¡espero!
Josh M.
Así es, no solo confíe en el hecho de que está aislado si desea seguridad real y tampoco confíe en la configuración predeterminada del firewall.
arielnmz
1

Ten cuidado. Mi Assus se está ejecutando en modo puente.

Cuando me conecto a través de un SSID configurado como red invitada, aún puedo acceder a mi red interna.

Así que primero prueba esto correctamente.

Sería mejor ya que el enrutador no está filtrando en modo puente, no debería ofrecer la opción de configurar redes invitadas. Solo ofrézcalo cuando esté configurado como enrutador.

TonAdam
fuente
Acabo de encontrarme con esto con un Asus AC58U. El "invitado wifi" tiene opciones para deshabilitar el acceso LAN. Pero esas opciones parecen ser mentiras directas que no hacen nada en absoluto, incluso con esas opciones seleccionadas, el invitado simplemente se conecta a la misma red que todos los demás.
user1998586
1

La pregunta es realmente bastante buena. Vengo aquí para ver CÓMO funciona esta característica, qué encontramos debajo del capó porque NO funciona perfectamente a partir de ahora 2019 / Abr / 12 con la versión de firmware Asus: 1.1.2.3_674

No hay "fuga" entre la red de Invitados y el Wifi / LAN normal. He intentado ahora casi todo, como cambiar manualmente la dirección IP, escanear toda la subred y la separación está funcionando, así que quería entender CÓMO .

Parece que Asus podría hacer algo de magia del núcleo en el código del filtro de red porque lo que hace:

Su enrutador tiene una interfaz dedicada para esto:

ra1       Link encap:Ethernet  HWaddr <MAC>
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15136 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1960036 (1.8 MiB)  TX bytes:7742992 (7.3 MiB)

rai1 es probablemente el equivalente wifi de 5.0 Ghz. Luego, en el código del puente ebtables, veo:

Bridge chain: FORWARD, entries: 4, policy: ACCEPT
-i ra1 -j DROP
-o ra1 -j DROP
-i rai1 -j DROP
-o rai1 -j DROP

Pero eso ahora no tendría sentido, ¿verdad? Con esto, está bloqueando claramente todo el tráfico de capa 2 entre su LAN y la red de invitados, pero supongo que Internet también es una regla genérica de reenvío.

El único problema de seguridad que encontré con esta "separación" es que si su cliente en la red Guest conoce la IP de otras máquinas, puede engañar al enrutador haciéndole creer que es esa otra máquina cambiando la dirección, pero esto no afectará el Tabla ARP de cualquier otra máquina en la red solo el enrutador.

Todos forman parte de la interfaz del puente principal br0. Tal vez alguien pueda iluminarnos con la verdad, ¡hasta que digamos que funciona!

girasol
fuente