Menambahkan perangkat tidak aman dengan aman ke jaringan rumah saya

39

Saya memiliki beberapa perangkat yang terhubung dengan internet yang saya percaya tidak aman, tetapi saya tetap ingin menggunakannya (TV pintar dan beberapa perangkat otomatisasi rumah yang tidak tersedia). Saya tidak ingin mereka berada di jaringan yang sama dengan komputer saya.

Solusi saya saat ini adalah menyambungkan modem kabel saya ke sakelar dan menghubungkan dua router nirkabel ke sakelar. Komputer saya terhubung ke router pertama, semuanya terhubung ke router kedua.

Apakah ini cukup untuk memisahkan komputer saya dari yang lainnya?

Juga, apakah ada solusi yang lebih sederhana dengan menggunakan satu router yang secara efektif akan melakukan hal yang sama? Saya memiliki router berikut, keduanya dengan DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Semua perangkat (aman dan tidak aman) terhubung secara nirkabel, kecuali untuk satu komputer di jaringan aman.

security nat Chris B
sumber
4
Pemisahan dari komputer Anda bagus, tetapi bagaimana dengan memisahkan TV pintar Anda yang tidak aman dari pemanggang WiFi yang tidak aman? ;)
ZX9
Hmm ... Ya, saya punya beberapa router lama lagi. Saya ingin tahu berapa banyak IP yang akan diberikan ISP saya?
Chris B
reactiongifs.com/r/but-why.gif
Alexander

Jawaban:

22

Ya, solusi Anda juga ok tetapi akan meningkatkan satu switching switching, ditambah konfigurasi overhead, Anda dapat mencapainya dengan satu router dengan melakukan hal berikut:

  • Konfigurasikan dua VLAN, sambungkan host tepercaya ke satu VLAN dan tidak tepercaya ke yang lain.
  • Konfigurasikan iptables untuk tidak mengizinkan lalu lintas tepercaya ke yang tidak tepercaya (dan sebaliknya).

Semoga ini membantu!

Anirudh Malhotra
sumber
1
Saya rasa saya tahu cara mengatur beberapa VLAN dengan benar menggunakan port LAN, tetapi semuanya terhubung melalui Wi-Fi. Apakah mungkin untuk memisahkan lalu lintas Wi-Fi menjadi beberapa VLAN pada satu titik akses tunggal?
Chris B
1
@ user1152285 Ya, semua perangkat WLAN yang cukup modern mampu menampung beberapa jaringan nirkabel (pada saluran yang sama). Apakah perangkat lunak memungkinkan itu adalah pertanyaan lain.
Daniel B
2
Saya tidak 100% yakin, tetapi dd-wrt harus dapat memberikan Anda beberapa SSID pada AP yang sama dengan segregasi VLAN. Jadi, Anda akan menjalankan dua antarmuka nirkabel virtual, satu untuk perangkat tepercaya dan satu untuk perangkat yang tidak terpercaya.
Saiboogu
@ user1152285 Ya saya mencari, dan menemukan bahwa dd-wrt mendukungnya. Juga ditemukan tautan yang menunjukkan pemetaan antarmuka ke antarmuka virtual wlan. Dan Anda juga dapat menambahkan tag vlan (brilian! :))
Anirudh Malhotra
1
Setuju dengan @ ZX9. Karena penanya secara spesifik menyebutkan mereka memiliki DD-WRT, setidaknya beberapa tautan ke dokumentasi tentang cara mengkonfigurasi VLAN, beberapa SSID, dan pemisahan lalu lintas akan sangat membantu.
Doktor J
10

Ini sepenuhnya mungkin, tetapi saya ingin membahas beberapa hal terlebih dahulu.

Solusi saya saat ini adalah menyambungkan modem kabel saya ke sakelar dan menghubungkan dua router nirkabel ke sakelar. Komputer saya terhubung ke router pertama, semuanya terhubung ke router kedua.

Sangat menarik kedua router memiliki akses internet ketika modem kabel Anda tampaknya hanya sebuah modem. Apakah ISP Anda melakukan NAT? Jika tidak, saya sarankan untuk mematikannya (apakah ini benar-benar sebuah saklar atau apakah saklar itu mampu melakukan NAT?), Dan letakkan salah satu router DD-WRT Anda sebagai gateway. Pengaturan Anda saat ini sebagaimana adanya (tanpa mengetahui ke port mana router disambungkan), dapat mengalami konflik alamat IP, atau terkadang mengalami kehilangan konektivitas acak dan sporiadik pada satu atau jaringan lain.

Apakah mungkin untuk memisahkan lalu lintas Wi-Fi menjadi beberapa VLAN pada satu titik akses tunggal?

Ya, tapi itu akan membutuhkan sedikit pekerjaan konfigurasi dan beberapa pengujian. Saya menggunakan pengaturan serupa sendiri untuk memisahkan jaringan tamu. Metode yang akan saya jelaskan di bawah ini tidak melibatkan VLAN.

DD-WRT (antara lain) mendukung pembuatan beberapa SSID pada AP yang sama. Satu-satunya hal yang perlu dilakukan adalah membuat jembatan lain, menugaskannya ke subnet yang berbeda, kemudian firewall itu dari sisa jaringan utama.

Sudah lama sejak saya terakhir melakukannya dengan cara ini tetapi harus pergi ke suatu tempat seperti ini (bersiaplah untuk kehilangan konektivitas):

  1. Buka halaman konfigurasi titik akses
  2. Pergi ke Nirkabel => Pengaturan Dasar
  3. Di bawah Virtual Interfaces klik Tambah [^ virtif]
  4. Berikan Anda baru IOT SSID nama dan meninggalkan Network Configurationuntuk Bridged, memungkinkan AP Isolationseperti yang anda inginkan
  5. Buka tab Wireless Security, atur kata sandi Anda, dan atur Mode Keamanan ke WPA2-Personal-AES jika memungkinkan [^ nDS]
  6. Buka Pengaturan tab => Jaringan
  7. Di bawah Bridging, klik Add
  8. Berikan nama sewenang-wenang pada jembatan Anda [^ brname], mungkin br1?
  9. Berikan jembatan Anda alamat IP yang tidak berada di subnet yang sama dengan jaringan utama Anda [^ ipaddr]
  10. (Anda mungkin harus mengklik Simpan kemudian Terapkan Pengaturan untuk menampilkan ini) Di bawah Tetapkan ke Jembatan, klik Tambah, lalu tetapkan br1ke Antarmuka wl.01atau apa nama antarmuka diberikan [^ virtif], simpan dan terapkan

  11. Di bawah Beberapa server DHCP, klik Tambah dan tetapkan br1

  12. Pergi ke Administrasi => Perintah dan tempel ini (Anda mungkin harus menyesuaikan nama antarmuka) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    Dan klik Simpan Firewall

  13. Anda harus siap, saya pikir

Untuk detail lebih lanjut, Anda dapat melihat di http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Peringatan untuk ini adalah bahwa pengaturan ini hanya efektif untuk router gateway / AP. Jika Anda ingin pengaturan yang sama berfungsi untuk router lain, Anda harus menggunakan VLAN. Setup mirip, tetapi sedikit lebih terlibat. Perbedaannya di sini adalah Anda harus mengkonfigurasi dan menjembatani VLAN baru ke IoT SSID dan mungkin melakukan beberapa aturan perutean.

[^ virtif]: Yang pertama biasanya adalah antarmuka fisik dan sering diberi label sebagai wl0. Antarmuka virtual Anda (hingga tiga jika saya tidak salah) akan diberi label sebagai wl0.1, wl0.2, dan seterusnya.

[^ brname]: Ini akan menjadi nama antarmuka yang akan diberikan DD-WRT ke antarmuka jembatan.

[^ ipaddr]: Katakanlah jaringan utama Anda pada 172.16.1.0/24, beri br1alamat 172.16.2.0/24.

[^ nDS]: Jika Anda memiliki Nintendo DS, Anda harus menggunakan WEP. Atau, Anda bisa membuat SSID lain hanya untuk NDS dan memilikinya juga dijembatani br1untuk kenyamanan.

[^ note1]: Pada titik ini setelah menerapkan pengaturan, apa pun yang menghubungkan ke IoT SSID sekarang akan ditugaskan ke subnet yang berbeda. Namun, kedua subnet masih dapat berkomunikasi satu sama lain.

[^ note2]: Bit ini mungkin perlu beberapa pekerjaan.

gjie
sumber
Terima kasih atas informasinya, saya harus menyelam lebih dalam untuk ini ketika saya pulang. Untuk referensi, itu pasti menggunakan switch 4-port (bodoh, tidak ada NATing). Kedua router terhubung ke switch melalui port WAN mereka. Rentang DHCP pada router berbeda, meskipun dengan pengaturan saat ini yang seharusnya tidak masalah. Mungkin saja saya mendapatkan dua IP berbeda dari ISP saya
Chris B
Jika kedua router terhubung ke port WAN mereka, ya, itu tidak masalah. Dan ya, dimungkinkan untuk mendapatkan dua IP berbeda dari ISP Anda (Anda sangat beruntung jika melakukannya, apa yang saya berikan untuk alamat IPv4 kedua sekarang ...)
gjie
@ user1152285 jika Anda melakukan sedikit riset, ini benar-benar bisa menjadi pilihan yang jauh lebih baik! saya tidak tahu ddwrt dapat menggunakan AP ISOLATION ... coba ini dulu!
Bryan Cerrati
Pembaruan: Saya baru saja memeriksa, dan masing-masing router saya memiliki IP publik yang berbeda. Jadi sepertinya ISP saya memberi saya beberapa IP
Chris B
@BryanCerrati AP isolasi adalah bagian dari solusi, tetapi bukan seluruh jawaban. Melindungi Anda dari klien nirkabel ke nirkabel tetapi tidak akan membantu Anda dari nirkabel ke kabel.
gjie
6

Apakah ini cukup untuk memisahkan komputer saya dari yang lainnya?

Dengan asumsi koneksi Anda dari router 1 ke Switch menggunakan WANport dari router dan Anda tidak berbagi WAN dan LAN di OpenWRT (berarti Anda tidak mengubah pengaturan default dan melakukan pemasangan kabel seperti yang Anda lakukan ketika terhubung langsung ke modem), kamu sebagian besar baik-baik saja.

Tentu saja perangkat Anda pada router 2 dapat mengirimkan lalu lintas ke siapa pun, yang dapat menjadi masalah tersendiri (statistik penggunaan, gambar kamera, suara melalui mikrofon, informasi tentang WLAN, penerima GPS dll, tergantung pada perangkat).

Juga, apakah ada solusi yang lebih sederhana dengan menggunakan satu router yang secara efektif akan melakukan hal yang sama? Saya memiliki router berikut, keduanya dengan DD-WRT:

Anda dapat mengonfigurasi port Anda secara terpisah dan merutekan lalu lintas buruk secara terpisah dari lalu lintas yang baik. Kata kunci Anda adalah DMZ, ada banyak tutorial yang tersedia.

Jika Anda ingin memiliki lebih banyak kerumitan, Anda juga dapat mengaktifkan VLAN, dengan cara ini Anda dapat menempatkan perangkat tambahan yang sadar-VLAN di belakang router dan menghubungkan kedua jenis perangkat ke mereka, pada dasarnya membuat seluruh rumah Anda seolah-olah setiap perangkat terhubung langsung ke port salah satu dari kedua router, bahkan jika Anda hanya memiliki satu router dan 5 switch di belakangnya daisy-dirantai ... tetapi lakukan ini hanya jika Anda harus, karena kemungkinan untuk kesalahan sangat besar dan manfaatnya tergantung pada pemasangan kabel Anda ( hampir tidak ada ketika menggunakan topologi bintang, hebat ketika harus menggunakan topologi cincin).

pengguna121391
sumber
Saya seharusnya menyebutkan bahwa hampir semua perangkat terhubung ke router melalui Wi-Fi. Jika semua perangkat terhubung ke titik akses yang sama, apakah ada cara untuk menghentikan mereka dari saling melihat (mengingat bahwa ini adalah router rumah yang cukup standar)?
Chris B
1
OpenWRT memungkinkan Anda membuat jaringan nirkabel yang berbeda dengan SSID dan kata sandi yang berbeda. Anda kemudian dapat menggunakannya seperti jaringan yang diaktifkan (TV Anda melihat stereo Anda, tetapi bukan PC Anda) atau menggunakan VLAN dengan 802.1x dan autentikasi RADIUS untuk sepenuhnya memisahkan perangkat Anda (802.1x menggunakan RADIUS untuk memeriksa apakah suatu perangkat diperbolehkan dan untuk menetapkan ke VLAN sendiri atau bersama) Dengan OpenWRT, semuanya mungkin, tetapi mungkin menjadi PITA untuk mengatur semuanya.
user121391
802.1x akan menyelesaikan semua ... kecuali semua perangkat nirkabel.
Bryan Cerrati
2
@BryanCerrati: 802.1x bekerja dengan nirkabel juga.
Ben Voigt
6

Beberapa router Wi-Fi tingkat konsumen memiliki "Mode Tamu" yang merupakan jaringan yang dipartisi dari jaringan normal.

Anda dapat membatasi perangkat tidak tepercaya Anda menjadi "Guest" AP .

Bukan berarti setiap router yang memiliki fitur itu sangat aman.

Meskipun artikel Peringatan: "Mode Tamu" pada Banyak Router Wi-Fi Tidak Aman berbicara tentang ketidakamanan, kelemahan utama yang mereka diskusikan adalah privasi. Jika Anda tidak peduli apakah TV Anda yang mendukung jaringan menelepon ke rumah untuk memberi tahu pembuatnya apa yang Anda tonton, lalu siapa yang peduli jika tetangga menontonnya melakukannya.

diinfiks
sumber
1
Dalam bahasa jaringan, ini adalah DMZ.
Lightness Races with Monica
3

Juga, apakah ada solusi yang lebih sederhana dengan menggunakan satu router yang secara efektif akan melakukan hal yang sama? Saya memiliki router berikut, keduanya dengan DD-WRT:

Sebagian besar router WiFi rumahan memungkinkan Anda untuk mengonfigurasi "jaringan tamu". LAN nirkabel ini diizinkan untuk terhubung ke Internet, tetapi tidak diizinkan untuk terhubung ke perangkat di LAN kabel atau nirkabel utama. Jadi Anda bisa meletakkan perangkat IoT di jaringan, dan mereka tidak akan dapat membahayakan komputer Anda.

Barmar
sumber
0

Buat jaringan terpisah harus menjadi cara terbaik untuk menjaga perangkat tidak aman dari LAN aman Anda untuk mencegah pengguna / perangkat jahat mendapatkan akses ke file bersama atau perangkat jaringan Anda, itu dapat dicapai dengan mengaktifkan jaringan TAMU Menggunakan fitur Netgar WNDR3700v3 dengan kata sandi yang kuat dan berbeda.

Nonaktifkan UPnP

Virus, Trojan horse, worm, atau program jahat lainnya yang berhasil menginfeksi komputer di jaringan lokal Anda dapat menggunakan UPnP, seperti halnya program yang sah. Sementara router biasanya memblokir koneksi masuk, mencegah beberapa akses jahat, UPnP dapat memungkinkan program jahat untuk mem-bypass firewall sama sekali. Misalnya, kuda Troya dapat menginstal program remote control di komputer Anda dan membuka lubang untuk itu di firewall router Anda, memungkinkan akses 24/7 ke komputer Anda dari Internet. Jika UPnP dinonaktifkan, program tidak dapat membuka port - meskipun bisa melewati firewall dengan cara lain dan telepon rumah

Nonaktifkan akses jarak jauh melalui WIFI ke router Anda

sebagian besar router menawarkan fitur "akses jarak jauh" yang memungkinkan Anda mengakses antarmuka web ini dari mana saja di dunia. Bahkan jika Anda menetapkan nama pengguna dan kata sandi, jika Anda memiliki router D-Link yang dipengaruhi oleh kerentanan ini, siapa pun akan dapat masuk tanpa kredensial. Jika Anda menonaktifkan akses jarak jauh, Anda akan aman dari orang-orang yang mengakses router Anda dari jarak jauh dan merusaknya.

Juga jangan menghubungkan perangkat yang tidak aman kecuali jika Anda perlu.

GAD3R
sumber