セキュリティ – 安全でないデバイスをホームネットワークに追加する

nat security

インターネットに接続されたデバイスをいくつか持っていますが、それらは安全であるとは信じていませんが、いずれにせよ使用したいと思っています(スマートTVと既製のホームオートメーションデバイス)。それらをコンピュータと同じネットワーク上に置きたくありません

私の現在のソリューションは、スイッチに私のケーブルモデムを接続し、スイッチに2つのワイヤレスルータを接続することです。私のコンピュータは最初のルータに接続し、他のすべては2番目のルータに接続します

これで私のコンピュータを他のすべてのものから完全に分離することができますか?

また、効果的に同じことを行うであろう単一のルータを使用して、よりシンプルなソリューションがありますか?私は、DD-WRTと両方の次のルータを持っている

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

安全なネットワーク上の1台のコンピュータを除き、すべてのデバイス(安全で安全でないもの)がワイヤレスで接続されます

  39  Chris B  2016-11-03


ベストアンサー

はい、あなたのソリューションもOKですが、1つのスイッチングホップを増加させます, プラス設定のオーバーヘッド, あなたは次のことを行うことにより、1つのルータでこれを達成することができます

  • 2つのVLANを設定し、信頼されたホストを1つのVLANに接続し、信頼されていないホストを別のVLANに接続します
  • iptablesが信頼されたトラフィックと信頼されていないトラフィック(その逆)を許可しないように設定します

これが役に立つことを願っています

22  Anirudh Malhotra  2016-11-03


完全に可能なことですが、まずはいくつかのことを取り上げたいと思います

私の現在のソリューションは、スイッチに私のケーブルモデムを接続し、スイッチに2つのワイヤレスルータを接続することです。私のコンピュータは最初のルータに接続し、他のすべては2番目のルータに接続します

ケーブルモデムがただのモデムにしか見えないのに、両方のルーターでインターネットにアクセスできるのは面白いですね。あなたのISPはNATをしていますか?そうでない場合は、スイッチを外して(スイッチは本当にスイッチなのか、スイッチはNATが可能なのか)、DD-WRTルータの1つをゲートウェイにすることをお勧めします。あなたの現在のセットアップは、(ルーターがどのポートに配線されたかを知ることなく)それがあるように、IPアドレスの競合を持っている可能性があります、または時折、一方または他方のネットワーク上の接続性のランダムでsporiadic損失を経験する可能性があります

1つのアクセスポイントでWi-Fiトラフィックを複数のVLANに分離することは可能ですか?

はい、しかし、設定作業とテストが少し必要になります。私はゲストネットワークを分離するために自分自身で同様のセットアップを使用しています。以下に説明する方法ではVLANを使用しません


DD-WRT (特に他のもの)は、同じAP上で複数のSSIDを作成することをサポートしています。必要なのは、別のブリッジを作成し、別のサブネットに割り当て、メインネットワークの残りの部分からファイアウォールすることだけです

久しぶりにこの方法でやってみましたが、こんな感じでどこかに行くはずです(接続性がなくなるのは覚悟しておいてください)

  1. アクセスポイントの設定ページを開きます
  2. ワイヤレス⇒基本設定へ
  3. 仮想インターフェイス]で[Add[^virtif]をクリックします
  4. 新しいIoT SSIDに名前をつけ、Network ConfigurationBridgedのままにして、AP Isolationを好きなように有効にします
  5. Wireless Security」タブに移動し、パスワードを設定し、可能であれば「Security Mode」を「WPA2-Personal-AES」以下に設定します[^nDS]
  6. タブの「設定」⇒「ネットワーク」に移動します
  7. ブリッジング] の下で [追加] をクリックします
  8. ブリッジに任意の名前[^brname]を与えて、たぶんbr1?
  9. ブリッジには、メインネットワーク[^ipaddr]と同じサブネット上にないIPアドレスを与えます
  10. (これを表示させるには、[保存]をクリックしてから[設定の適用]をクリックしなければならないかもしれません) Assign to Bridgeで、[追加]をクリックして、br1をInterface wl.01またはそのインターフェイス名が与えられたものに割り当て、[^virtif]を保存してから適用します
  11. 複数のDHCPサーバ]で[追加]をクリックし、br1に割り当てます

  12. Administration => Commandsに移動して、これらを貼り付けます(インターフェース名を調整する必要があるかもしれません)[^note2] iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT iptables -I FORWARD -i br1 -o br0 -j REJECT そして、Save Firewallをクリックします

  13. 準備は万端にしておいた方がいいと思います

詳細については、http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/をご覧ください

このための注意点は、このセットアップはゲートウェイルータ/APにのみ有効であるということです。他のルーターでも同じ設定をしたい場合は、VLANを使う必要があります。セットアップは似ていますが、それはもう少し複雑です。ここでの違いは、IoTのSSIDに新しいVLANを設定してブリッジする必要があることと、もしかしたらルーティングルールをいくつかやらなければならないことです

[^virtif]を使用します。最初のものは通常物理インターフェースで、多くの場合 wl0 とラベルが付けられています。あなたの仮想インタフェース (私が間違っていなければ 3 つまで) は wl0.1, wl0.2, などのラベルが付けられます

これは、DD-WRT がブリッジ・インターフェースに与えるインターフェース名になります。これは、DD-WRTがブリッジインターフェースに与えるインターフェース名になります

br1に172.16.2.0.0/24のアドレスを与えてください。あなたのメインネットワークが172.16.1.0/24にあるとすると、br1に172.16.2.0/24のアドレスを与えてください

(^nDS)です。ニンテンドーDSを持っている場合は、WEPを使用する必要があります。あるいは、NDSのためだけに別のSSIDを作成して、便利なようにbr1にブリッジさせることもできます

注1)としました。設定を適用した後のこの時点で、IoTのSSIDに接続するものはすべて別のサブネットに割り当てられるようになりました。ただし、2つのサブネット間での通信は可能です

[^note2] のような感じです。このビットには少し手を加える必要があるかもしれません

10  gjie  2016-11-03


これで私のコンピュータを他のすべてのものから完全に分離することができますか?

ルータ1からスイッチへの接続がルータのWANポートを使用しており、OpenWRTでWANとLANを共有していないと仮定すると(デフォルト設定を変更しなかったことを意味し、モデムに直接接続したときのようにケーブル配線を行った)、あなたはほとんど問題ありません

もちろん、ルータ2上のデバイスは、それ自体が問題になる可能性があります誰にでもトラフィックを送信することができます(使用統計、カメラの画像、マイク越しの音、WLANに関する情報、GPS受信機などのデバイスに応じて)

また、効果的に同じことを行う単一のルータを使用して、より簡単な解決策はありますか?私は、DD-WRTと両方の次のルータを持っています

ポートを別々に設定して、良いトラフィックと悪いトラフィックを別々にルーティングすることができます。キーワードは DMZ で、チュートリアルはたくさんあります

あなたはより複雑にしたい場合, あなたはまた、VLANを有効にすることができます, この方法では、ルータの後ろに追加のVLANを認識したデバイスを配置し、それらにデバイスの両方のタイプを接続することができます, 基本的にすべてのデバイスが両方のルータのいずれかのポートに直接差し込まれたかのようにあなたの全体の家を作る, あなたが唯一の単一のルータとその背後にある5 スイッチがデイジーチェーンを持っている場合でも… しかし、これはあなたが必要な場合にのみ行う, エラーの可能性が実質的であり、利益はあなたのケーブル配線に依存するように (スタートポロジーを使用している場合はほとんどなし, リングトポロジーを使用する必要がある場合には素晴らしい)

6  user121391  2016-11-03


コンシューマー向けのWi-Fiルーターの中には、通常のネットワークとは切り離されたネットワークである「ゲストモード」を搭載しているものがあります

信頼できないデバイスを「ゲスト」APに制限することができます

その機能を持っている全てのルーターが特に安全というわけではありません

Warning.多くのWi-Fiルーターの “ゲストモード “は安全ではない 安全性について語っていますが、彼らが論じている主な欠陥はプライバシーです。あなたのネットワーク対応テレビは、あなたが見ているものをメーカーに伝えるために家に電話をかけている場合、あなたは気にしない場合は、隣人がそれを見ている場合は誰がそれを行うことを気にしています

6  infixed  2016-11-03


また、効果的に同じことを行う単一のルータを使用して、より簡単な解決策はありますか?私は、DD-WRTと両方の次のルータを持っています

ほとんどの家庭用WiFiルーターでは、「ゲストネットワーク」を設定することができます。この無線LANはインターネットへの接続は許可されていますが、メインの有線LANや無線LAN上のデバイスへの接続は許可されていません。つまり、ネットワーク上にIoTデバイスを置くことができ、コンピュータに危害を加えることはできないということです

3  Barmar  2016-11-04


別のネットワークを作成するには、悪意のあるユーザー/デバイスが共有ファイルやネットワーク接続されたデバイスへのアクセスを得ることを防ぐために、安全なLANから離れて安全ではないデバイスを維持するための最良の方法である必要があります、それはGUESTネットワークを有効にすることによって達成することができます Netgar WNDR3700v3の機能を使用して 強力なパスワードと異なるパスワードを持つ

UPnP を無効にする

ローカルネットワーク上のコンピュータに感染するウイルス、トロイの木馬、ワーム、またはその他の悪意のあるプログラムは、正規のプログラムと同様にUPnPを使用することができます。ルータは通常、着信接続をブロックし、悪意のあるアクセスを防止しますが、UPnPは悪意のあるプログラムがファイアウォールを完全に迂回することを可能にします。例えば、トロイの木馬がコンピュータにリモートコントロールプログラムをインストールして、ルータのファイアウォールに穴を開け、インターネットからコンピュータへの24時間365日のアクセスを許可することができます。UPnPが無効になっている場合、プログラムはポートを開くことができません – 他の方法でファイアウォールをバイパスして家に電話をかけることができますが

ルーターへのWIFIを介したリモートアクセスを無効にする

ほとんどのルーターは、世界のどこからでもこのWebインタフェースにアクセスできる「リモートアクセス」機能を提供しています。ユーザー名とパスワードを設定していたとしても、この脆弱性の影響を受けたD-Linkルーターがあれば、誰でも認証情報なしでログインできるようになります。リモートアクセスを無効にしておけば、リモートでルータにアクセスして改ざんされることもないので安心だ

また、必要がない限り、安全でないデバイスを接続しないでください

0  GAD3R  2016-11-05


タイトルとURLをコピーしました