Домашняя сеть: просто хотите отделить гостевые / токсичные устройства от доверенных

Question

Я хочу настроить свою домашнюю сеть более "безопасным" способом и, похоже, не могу найти никакого очевидного способа сделать это, несмотря на то, что мне это кажется довольно распространенной потребностью.

Идея заключается в том, что я не хочу, чтобы некоторые подключенные проводные и беспроводные устройства могли обмениваться данными с любыми другими устройствами в сети. Я только хочу, чтобы у них был доступ в интернет. Я назову эти устройства "токсичными" устройствами. Я не хочу делать различий, если устройство подключено через WiFi или провод, они могут быть "токсичными" или нет.

Вот "необязательное" требование, но я бы очень хотел, чтобы тезисы применялись:

• Избегайте, насколько это возможно, дублирования оборудования или проводов только для отделения "токсичных" от нетоксичных.
• Если все это может быть "мягко настроено", какое устройство является токсичным или нет, и может быть в состоянии переключить устройство с токсичного на нетоксичное, без необходимости вручную менять нижележащие провода
• Токсичные устройства не смогут общаться друг с другом (но я могу допустить, чтобы все они были в одной подсети)
• Из соображений производительности, оставьте активным только 1 WiFi-устройство в диапазоне частот (например, 1 x 2,4 ГГц + 1 x 5 ГГц)... (Разве 2 WiFi-устройства рядом не должны разделять полосу пропускания ??)

Вот мое оборудование:

• LinkSys BEFSX41 (старые вещи, только проводной маршрутизатор)
• Cisco Linksys EA3500 (2,4 ГГц, 5 ГГц)
• Пользовательский маршрутизатор ISP (Bell) (2,4 ГГц). Порт WAN нельзя использовать, потому что он кажется жестко заданным для определенного шлюза. На самом деле используется только как точка доступа WiFi.
• (У меня также есть переключатель, но я не думаю, что он уместен здесь)
• Я был бы готов вложить больше денег в какое-то оборудование (около 300 $ максимум)

Моя фактическая настройка:

• LinkSys BEFSX41 не используется.
• LinkSys EA3500: все WiFi отключен.
• Пользовательский маршрутизатор используется в качестве точки доступа WiFi.
• У каждого есть доступ ко всему, что скрывается за моим брандмауэром.

Образ:

Answer 1

Используйте VLAN

Виртуальные локальные сети (виртуальные локальные сети) разделяют устройства на отдельные локальные сети, как если бы вы настраивали отдельные физические сети. Устройства в одной VLAN не могут взаимодействовать с устройствами в другой VLAN, если вы специально не разрешите им это делать.

Поскольку VLAN реализованы в вашем сетевом коммутаторе (-ах), вам не нужно "дополнительное" оборудование, кроме VLAN-совместимого коммутатора, для реализации такой конфигурации.

В вашем случае вам лучше всего использовать коммутатор с поддержкой VLAN уровня 3. Коммутатор уровня 3 может выступать в качестве маршрутизатора, который необходим в сети VLAN для маршрутизации трафика между различными VLAN и Интернетом (и другими VLAN, если это необходимо). Такие коммутаторы часто включают возможность создавать списки контроля доступа (ACL), которые похожи на правила брандмауэра, позволяя вам контролировать, какой трафик, если таковой имеется, может перемещаться между VLAN.

Пример конфигурации

Ваша настройка переключателя может выглядеть примерно так:

• Порт 1 подключается к интернет-роутеру. Он находится в VLAN 1 и имеет IP-адрес в той же подсети, что и ваш интернет-шлюз.

• Порты 2-16 находятся в VLAN 10 без тегов. Это ваша доверенная сеть.

• Порты 17-24 находятся в VLAN 20 без тегов. Это ваша недоверенная сеть.

• VLAN 10 и 20 имеют отдельную IP-подсеть.

• Коммутатор настроен как шлюз по умолчанию для каждой подсети. Поэтому попытки получить доступ к Интернету проходят через коммутатор, который, в свою очередь, настраивается с помощью IP-адреса вашего интернет-маршрутизатора в качестве шлюза по умолчанию, что облегчает подключение к Интернету.

Беспроводная связь

Для предоставления беспроводных услуг каждой VLAN вам нужны отдельные точки доступа, подключенные к каждой VLAN, или точка беспроводного доступа, которая поддерживает маркировку VLAN. В последнем случае такая точка доступа "помечает" трафик для SSID, "доверенного", с VLAN ID 10, а SSID "ненадежный", как ID 20. Вы должны настроить порт коммутатора, к которому подключается точка доступа, как "помеченный" в VLAN 10 и 20. Затем в зависимости от того, к какому SSID подключен клиент, его трафик передается на коммутатор как часть его соответствующей VLAN.

То, как вы конкретно настроите VLAN, будет зависеть от используемого вами коммутатора.

Дальнейшее чтение

• VLAN в Википедии

Answer 2

Важный вопрос здесь заключается в том, если вы сами владеете всеми этими устройствами и просто хотите выделить те, которым вы не доверяете, или ожидаете, что гости принесут свои собственные устройства, и вы не доверяете им и подозреваете, что они возможность взломать вашу домашнюю сеть.

Пуленепробиваемый способ сделать это для WLAN состоит в том, чтобы настроить одно устройство, чтобы предлагать две точки доступа (AP) с различным SSID и другим предварительным общим ключом (PSK). Самое современное оборудование способно сделать это. Если прошивка на вашем существующем оборудовании не предлагает эту опцию, попробуйте установить что-то вроде OpenWRT. OpenWRT также уже имеет документацию о том, как его настроить.

Как видно из этой документации, вы настраиваете разные точки доступа по-разному: вы можете добавить опцию "изоляции" к гостевой точке доступа, чтобы гостевые устройства не могли общаться друг с другом. Конечно, вы не соединяете точки доступа, поэтому они не находятся в одном сегменте сети. Вы обновляете настройки брандмауэра (правила iptables ), чтобы устройства из гостевой точки доступа не могли связываться с устройствами в остальной сети. (Точно так же, как вы сделали бы это для "конечных точек" двух разных локальных сетей ниже).

Для ЛВС все сложнее. Если вы владеете всеми устройствами, или если вы не подозреваете, что кто-то будет использовать их для "взлома", вы можете использовать VLAN: без тегов для "токсичных" устройств (потому что обычно они не ожидают VLAN), и единая бирка для "нетоксичных" устройств.

Однако это небезопасно: ничто не мешает кому-то перенастроить токсичное устройство, чтобы оно реагировало на VLAN, возможно, после того, как прослушал локальную сеть, чтобы обнаружить метку. В этом случае вам необходимо физически отделить ЛВС, доступную для "токсичных" устройств, от обычной ЛВС для "нетоксичных" устройств и убедиться, что настенные розетки и т.д. Для последних обычно не доступны. Для домашней сети это излишне, поэтому все зависит от того, какой уровень безопасности вы хотите.

Я повторяю: VLAN не являются функцией безопасности (даже если некоторые люди так думают). Безопасность основана на контроле физического доступа к сетевым портам. Если у вас есть это, не имеет значения, реализуете ли вы разные политики для разных групп сетевых портов, подключая их к разным коммутаторам / маршрутизаторам или подключая их к коммутатору с VLAN, чтобы у вас были разные "виртуальные коммутаторы", или подключив их к аппаратуре, которая по-разному обрабатывает разные порты.

Вам не нужно быть новыми дорогими коммутаторами и т.д. Для сетей VLAN; большинство маршрутизаторов будут поддерживать виртуальные локальные сети с существующим оборудованием (опять же с установленным OpenWRT и т. д., или, если необходимо, с рутом).

Если вы не можете контролировать физический доступ к сетевым портам, единственный способ обеспечить безопасность - это, если "нетоксичные" устройства передают маршрутизатору какой-нибудь криптографический секрет, который "токсичные" устройства не разделяют.

Таким образом, другой вариант для локальной сети - это IPSec или какой-либо другой вид безопасного туннеля: в основном вы делите секретный ключ между "нетоксичными" устройствами и маршрутизатором и "туннелируете" весь трафик между нетоксичными устройствами и маршрутизатором через безопасное соединение. Однако это не так легко настроить, а также требуется поддержка "нетоксичных" устройств (в любом случае, больше, чем VLAN). Опять же, у OpenWRT есть документация.