web-dev-qa-db-fra.com

Ajouter en toute sécurité des périphériques non sécurisés à mon réseau domestique

J'ai quelques appareils connectés à Internet pour lesquels je ne crois pas en la sécurité, mais que j'aimerais quand même utiliser (une télévision intelligente et certains appareils d'automatisation domestiques disponibles dans le commerce). Je ne les veux pas sur le même réseau que mes ordinateurs.

Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.

Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous les deux avec DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Tous les périphériques (sécurisés et non sécurisés) se connectent sans fil, à l'exception d'un seul ordinateur sur le réseau sécurisé.

39
Chris B

Oui, votre solution est également acceptable, mais augmente d'un saut de commutation et de la surcharge de configuration. Vous pouvez y parvenir avec un routeur en procédant comme suit:

  • Configurez deux VLAN, connectez des hôtes approuvés à un VLAN et non approuvés à un autre.
  • Configurez iptables pour ne pas autoriser le trafic sécurisé vers le trafic non sécurisé (vice versa).

J'espère que cela t'aides!

22
Anirudh Malhotra

C'est tout à fait possible, mais j'aimerais d'abord aborder quelques points.

Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.

Il est intéressant que les deux routeurs aient un accès Internet quand votre modem câble semble être juste un modem. Est-ce que votre FAI fait NAT? Sinon, je vous recommande de retirer le commutateur (s'agit-il vraiment d'un commutateur ou est-il capable de NAT?) Et de placer l'un de vos routeurs DD-WRT en guise de passerelle. Votre configuration actuelle telle qu’elle est (sans savoir sur quel port les routeurs ont été câblés) peut soit avoir des conflits d’adresses IP, soit subir occasionnellement une perte de connectivité aléatoire et sporadique sur l’un ou l’autre réseau.

Est-il possible de séparer le trafic Wi-Fi en plusieurs VLAN sur un seul point d'accès?

Oui, mais il faudra un peu de travail de configuration et quelques tests. J'utilise moi-même une configuration similaire pour séparer un réseau invité. La méthode que je vais décrire ci-dessous n'implique pas de VLAN.


DD-WRT (entre autres) prend en charge la création de plusieurs SSID sur le même AP. La seule chose à faire est de créer un autre pont, de l'affecter à un autre sous-réseau, puis de le désactiver du reste du réseau principal.

Cela fait un moment que je ne l'ai pas fait pour la dernière fois, mais cela devrait aller quelque part comme ça (préparez-vous à perdre la connectivité):

  1. Ouvrir la page de configuration d'un point d'accès
  2. Aller à Sans fil => Paramètres de base
  3. Sous Interfaces virtuelles, cliquez sur Ajouter [^ virtif].
  4. Donnez un nom à votre nouveau SSID IoT et laissez Network Configuration à Bridged, activez AP Isolation comme vous le souhaitez.
  5. Allez sur l'onglet Sécurité sans fil, définissez vos mots de passe et définissez le mode de sécurité sur rien de moins que WPA2-Personal-AES si possible [^ nDS]
  6. Allez sur l'onglet Setup => Networking
  7. Sous Bridging, cliquez sur Ajouter.
  8. Donnez à votre pont un nom arbitraire [^ brname], peut-être br1?
  9. Donnez à votre pont une adresse IP qui est et non sur le même sous-réseau que votre réseau principal [^ ipaddr].
  10. (Vous devrez peut-être cliquer sur Enregistrer, puis sur Appliquer les paramètres pour que cela s'affiche.) Sous Affecter au pont, cliquez sur Ajouter, puis attribuez br1 à Interface wl.01 ou le nom de son interface [^ virtif], enregistrez et appliquez
  11. Sous Plusieurs serveurs DHCP, cliquez sur Ajouter et attribuez-le à br1.

  12. Allez dans Administration => Commandes et collez-les (vous devrez peut-être ajuster les noms d'interface) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    Et cliquez sur Save Firewall

  13. Vous devriez être tous ensemble, je pense

Pour plus de détails, vous pouvez consulter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Une mise en garde à cet égard est que cette configuration est efficace uniquement pour le routeur/point d'accès de la passerelle. Si vous voulez que la même configuration fonctionne pour l'autre routeur, vous devrez utiliser des VLAN. La configuration est similaire, mais elle est un peu plus complexe. La différence ici est que vous devrez configurer et relier un nouveau VLAN au SSID IoT et peut-être appliquer des règles de routage.

[^ virtif]: Le premier est généralement l'interface physique et souvent appelé wl0. Vos interfaces virtuelles (jusqu'à trois si je ne me trompe pas) seront appelées wl0.1, wl0.2, etc.

[^ brname]: Ce sera le nom d'interface que DD-WRT donnera à l'interface de pont.

[^ ipaddr]: Supposons que votre réseau principal est le 172.16.1.0/24, donnez à br1 une adresse de 172.16.2.0/24.

[^ nDS]: Si vous avez une Nintendo DS, vous devrez utiliser WEP. Vous pouvez également créer un autre SSID uniquement pour le NDS et le ponter en br1 pour plus de commodité.

[^ note1]: À ce stade, après avoir appliqué les paramètres, tout ce qui se connecte au SSID IoT est désormais attribué à un autre sous-réseau. Cependant, les deux sous-réseaux peuvent toujours communiquer l'un avec l'autre.

[^ note2]: Ce bit pourrait nécessiter du travail.

10
gjie

Certains routeurs Wi-Fi grand public ont un "Mode Invité", à savoir un réseau séparé du réseau normal.

Vous pouvez restreindre vos périphériques non approuvés au "Invité" AP .

Ce n’est pas que chaque routeur doté de cette fonctionnalité est particulièrement sécurisé.

Bien que l'article Avertissement: le "mode invité" de nombreux routeurs Wi-Fi n'est pas sécurisé parle À propos de l'insécurité, le principal défaut dont ils discutent est la vie privée. Si vous ne vous souciez pas de savoir si votre téléviseur compatible avec le réseau appelle chez vous pour dire au fabricant ce que vous regardez, alors peu importe si les voisins le regardent.

6
infixed

Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?

En supposant que votre connexion du routeur 1 au commutateur utilise le port WAN du routeur et que vous ne partagez pas WAN et LAN dans OpenWRT (ce qui signifie que vous n’avez pas modifié les paramètres par défaut ni effectué le câblage comme vous le feriez lors de la connexion). connecté directement au modem), la plupart du temps vous allez bien.

Bien entendu, vos périphériques sur le routeur 2 peuvent envoyer du trafic à n'importe qui, ce qui peut être un problème en soi (statistiques d'utilisation, images de caméra, son via des microphones, informations sur le WLAN, les récepteurs GPS, etc., en fonction des périphériques).

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:

Vous pouvez configurer vos ports séparément et acheminer le mauvais trafic séparément du bon trafic. Votre mot clé serait DMZ, de nombreux tutoriels sont disponibles.

Si vous voulez avoir plus de complexité, vous pouvez également activer les VLAN, ce qui vous permet de placer des périphériques supplémentaires compatibles VLAN derrière le routeur et de connecter les deux types de périphériques, ce qui vous permet de créer votre maison entière comme si chaque périphérique était branché directement un port de l’un des deux routeurs, même si vous ne disposez que d’un seul routeur et de 5 commutateurs connectés en guirlande ... mais ne le faites que si vous devez le faire, car le risque d’erreur est important et l’avantage dépend de votre câblage ( quasiment aucune lors de l’utilisation de la topologie en étoile, idéal pour la topologie en anneau).

6
user121391

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:

La plupart des routeurs WiFi domestiques vous permettent de configurer un "réseau invité". Ce réseau local sans fil est autorisé à se connecter à Internet, mais n'est pas autorisé à se connecter aux périphériques des réseaux locaux câblés ou sans fil principaux. Ainsi, vous pouvez mettre les périphériques IoT sur le réseau et ils ne pourront pas compromettre vos ordinateurs.

3
Barmar

Créer un réseau séparé devrait être le meilleur moyen de garder les périphériques non sécurisés à l'écart de votre réseau local sécurisé afin d'empêcher les utilisateurs/périphériques malveillants d'accéder aux fichiers partagés ou aux périphériques en réseau. Pour ce faire, activez le réseau GUEST Utilisation des fonctionnalités Netgar WNDR3700v3 avec des mots de passe forts et différents.

Désactive l'UPnP

Un virus, un cheval de Troie, un ver ou un autre programme malveillant qui parvient à infecter un ordinateur de votre réseau local peut utiliser UPnP, tout comme les programmes légitimes. Alors qu'un routeur bloque normalement les connexions entrantes, empêchant ainsi certains accès malveillants, le protocole UPnP pourrait permettre à un programme malveillant de contourner complètement le pare-feu. Par exemple, un cheval de Troie peut installer un programme de contrôle à distance sur votre ordinateur et y ouvrir un trou dans le pare-feu de votre routeur, permettant ainsi un accès 24/7 à votre ordinateur à partir d’Internet. Si UPnP était désactivé, le programme ne pourrait pas ouvrir le port - bien qu’il puisse contourner le pare-feu d’une autre manière et téléphoner à la maison.

Désactivez l'accès à distance à vos routeurs via le WIFI

la plupart des routeurs offrent une fonctionnalité "d'accès à distance" qui vous permet d'accéder à cette interface Web depuis n'importe où dans le monde. Même si vous définissez un nom d'utilisateur et un mot de passe, si vous avez un routeur D-Link concerné par cette vulnérabilité, tout le monde pourra se connecter sans informations d'identification. Si vous avez désactivé l’accès à distance, vous ne risqueriez pas que des personnes accèdent à votre routeur et le manipulent à distance.

Ne connectez pas non plus les périphériques non sécurisés sauf si vous en avez besoin.

0
GAD3R