web-dev-qa-db-ja.com

安全でないデバイスをホームネットワークに安全に追加する

安全に信頼できないインターネット接続デバイスがいくつかありますが、とにかくそれを使用したいと思います(スマートTVと市販のホームオートメーションデバイス)。自分のコンピューターと同じネットワークに接続したくありません。

現在の解決策は、ケーブルモデムをスイッチに接続し、2台のワイヤレスルーターをスイッチに接続することです。私のコンピューターは最初のルーターに接続し、他のすべては2番目のルーターに接続します。

私のコンピュータを他のすべてのものから完全に分離するにはこれで十分ですか?

また、同じことを効果的に行う単一のルーターを使用するより簡単なソリューションはありますか? DD-WRT を使用した次のルーターがあります。

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

安全なネットワーク上の1台のコンピューターを除いて、すべてのデバイス(セキュアおよび非セキュア)はワイヤレスで接続します。

securitynat
39
Chris B

はい、あなたのソリューションも問題ありませんが、1つのスイッチングホップと構成のオーバーヘッドが増加します。これを行うには、1つのルーターで次のようにします。

  • 2つのVLANを構成し、信頼できるホストを1つに接続VLAN and untrusted to another。
  • Iptablesを設定して、信頼されたトラフィックから信頼されていないトラフィック(またはその逆)を許可しないようにします。

お役に立てれば!

22
Anirudh Malhotra

それは完全に可能ですが、最初にいくつかのことを取り上げたいと思います。

現在の解決策は、ケーブルモデムをスイッチに接続し、2台のワイヤレスルーターをスイッチに接続することです。私のコンピューターは最初のルーターに接続し、他のすべては2番目のルーターに接続します。

ケーブルモデムが単なるモデムのように見えるときに、両方のルーターがインターネットにアクセスできるのは興味深いことです。 ISPはNATを行っていますか?そうでない場合は、スイッチを取り外して(実際にスイッチなのか、スイッチがNATに対応しているのか)、DD-WRTルーターの1つをゲートウェイとして配置することをお勧めします。現在の設定のまま(ルーターがどのポートに接続されているかがわからない場合)は、IPアドレスの競合が発生したり、一方または他方のネットワークで接続が突然散発的に失われたりすることがあります。

Wi-Fiトラフィックを単一のアクセスポイントの複数のVLANに分離することは可能ですか?

はい。ただし、設定作業とテストが少し必要になります。私はゲストネットワークを分離するために同様の設定を自分で使用しています。以下で説明する方法には、VLANは含まれません。

DD-WRT(特に)は、同じAPでの複数のSSIDの作成をサポートしています。唯一必要なことは、別のブリッジを作成し、それを別のサブネットに割り当ててから、残りのメインネットワークをファイアウォールで遮断することです。

私が最後にこのようにしたのは久しぶりですが、次のようになるでしょう(接続を失う準備ができている):

  1. アクセスポイントの構成ページを開く
  2. ワイヤレスに移動=>基本設定
  3. [仮想インターフェイス]で[追加]をクリックします[^ virtif]
  4. 新しいIoT SSIDに名前を付け、Network ConfigurationBridgedのままにして、必要に応じてAP Isolationを有効にします
  5. [ワイヤレスセキュリティ]タブに移動し、パスワードを設定し、可能であればセキュリティモードをWPA2-Personal-AES以上に設定します[^ nDS]
  6. タブ設定に移動=>ネットワーク
  7. ブリッジの下で、追加をクリックします
  8. ブリッジに任意の名前を付けます[^ brname]、おそらくbr1
  9. メインネットワークと同じサブネットにあるではないIPアドレスをブリッジに与えます[^ ipaddr]
  10. (これを表示するには、[保存]をクリックしてから[設定を適用]をクリックする必要がある場合があります)[ブリッジへの割り当て]で[追加]をクリックし、br1をインターフェースwl.01に割り当てるか、そのインターフェース名を指定します[^ virtif] 、保存して適用

  11. [複数のDHCPサーバー]で、[追加]をクリックしてbr1に割り当てます

  12. [管理] => [コマンド]に移動して貼り付けます(インターフェイス名を調整する必要がある場合があります)[^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    そして[ファイアウォールを保存]をクリックします

  13. あなたはすべて設定する必要があります、私は思う

詳細については、 http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/ をご覧ください。

これに関する警告は、このセットアップがゲートウェイルータ/ APに対してのみ有効であることです。同じ設定を他のルーターでも機能させるには、VLANを使用する必要があります。設定は似ていますが、少し複雑です。ここでの違いは、新しいVLANを構成してIoT SSIDにブリッジし、おそらくいくつかのルーティングルールを実行する必要があることです。

[^ virtif]:最初は通常物理インターフェースであり、多くの場合wl0とラベル付けされます。仮想インターフェース(間違いではない場合は3つまで)には、wl0.1、wl0.2などのラベルが付けられます。

[^ brname]:これは、DD-WRTがブリッジインターフェースに付けるインターフェース名になります。

[^ ipaddr]:メインネットワークが172.16.1.0/24にあるとします。br1に172.16.2.0/24のアドレスを指定します。

[^ nDS]:ニンテンドーDSをお持ちの場合は、WEPを使用する必要があります。または、NDS専用の別のSSIDを作成し、便宜上br1にブリッジすることもできます。

[^ note1]:設定を適用した後のこの時点で、IoT SSIDに接続するものはすべて別のサブネットに割り当てられます。ただし、2つのサブネットは引き続き相互に通信できます。

[^ note2]:このビットはいくつかの作業が必要な場合があります。

10
gjie

一部のコンシューマーグレードのWi-Fiルーターには、通常のネットワークから分離されたネットワークである「ゲストモード」があります。

信頼できないデバイスを「ゲスト」に制限することができます [〜#〜] ap [〜#〜]

その機能を持つすべてのルーターが特に安全であるとは限りません。

記事警告:多くのWi-Fiルーターでの「ゲストモード」は安全ではありませんは、安全性について語っていますが、主要な彼らが議論する欠点はプライバシーです。ネットワーク対応のテレビが家に電話をかけてあなたが見ているものをメーカーに伝えるかどうか気にしない場合、隣人がそれを見ているかどうかを気にする人はそれを行います。

6
infixed

私のコンピュータを他のすべてのものから完全に分離するにはこれで十分ですか?

ルーター1からスイッチへの接続がルーターのWANポートを使用していて、WANとOpenWRTのLANを共有していない(デフォルトの設定を変更しなかったという意味)モデムに直接接続する場合と同じようにケーブルを接続しました)、ほとんど問題ありません。

もちろん、ルーター2上のデバイスは誰にでもトラフィックを送信する可能性があり、それ自体が問題になる可能性があります(使用統計、カメラの画像、マイクを介した音声、WLANに関する情報、GPSレシーバーなど、デバイスによって異なります)。

また、同じことを効果的に行う単一のルーターを使用するより簡単なソリューションはありますか?次のルーターがあり、どちらもDD-WRTを備えています。

ポートを個別に構成し、悪いトラフィックを良いトラフィックとは別にルーティングすることができます。あなたのキーワードはDMZでしょう。利用可能なチュートリアルはたくさんあります。

さらに複雑にしたい場合は、VLANを有効にすることもできます。これにより、追加のVLAN対応デバイスをルーターの背後に配置し、両方のタイプのデバイスをそれらに接続して、基本的にすべてのデバイスが直接接続されているかのように家全体を作ることができます。 1台のルーターと5台のスイッチのみがデイジーチェーンで接続されている場合でも、両方のルーターのいずれかのポートを使用します。ただし、エラーが発生する可能性が非常に高く、ケーブル接続によってメリットが異なるため、必要な場合にのみこれを実行してください(スタートポロジを使用する場合はほとんどなし、リングトポロジを使用する必要がある場合は最適です)。

6
user121391

また、同じことを効果的に行う単一のルーターを使用するより簡単なソリューションはありますか?次のルーターがあり、どちらもDD-WRTを備えています。

ほとんどの家庭用WiFiルーターでは、「ゲストネットワーク」を構成できます。この無線LANはインターネットへの接続が許可されていますが、主要な有線または無線LAN上のデバイスへの接続は許可されていません。そのため、IoTデバイスをネットワークに配置することができ、コンピューターが危険にさらされることはありません。

3
Barmar

別のネットワークを作成することは、悪意のあるユーザー/デバイスが共有ファイルやネットワークデバイスにアクセスできないようにするために、安全でないデバイスを安全なLANから遠ざけるための最良の方法である必要があります。これは、ゲストネットワークを有効にすることで実現できます Netgar WNDR3700v3の機能 強力で異なるパスワード。

PnPを無効にする

ウイルス、トロイの木馬、ワーム、またはローカルネットワーク上のコンピューターに感染することができるその他の悪意のあるプログラムは、正規のプログラムと同じようにUPnPを使用できます。通常、ルーターは着信接続をブロックし、悪意のあるアクセスを防止しますが、UPnPは悪意のあるプログラムがファイアウォールを完全にバイパスすることを許可する可能性があります。たとえば、トロイの木馬がコンピュータにリモートコントロールプログラムをインストールし、ルーターのファイアウォールにそのプログラムの穴を開けて、インターネットからコンピュータに24時間年中無休でアクセスできるようにする可能性があります。 UPnPが無効になっていると、プログラムはポートを開くことができませんでした。ただし、他の方法でファイアウォールを迂回して電話をかける可能性があります。

ルーターへのWIFI経由のリモートアクセスを無効にします

ほとんどのルーターには、「リモートアクセス」機能があり、世界中のどこからでもこのWebインターフェイスにアクセスできます。ユーザー名とパスワードを設定しても、この脆弱性の影響を受けるD-Linkルーターを使用している場合は、誰も資格情報なしでログインできます。リモートアクセスを無効にしている場合は、リモートでルーターにアクセスして改ざんされても安全です。

また、必要でない限り、安全でないデバイスを接続しないでください。

0
GAD3R