J'ai quelques appareils connectés à Internet pour lesquels je ne crois pas en la sécurité, mais que j'aimerais quand même utiliser (une télévision intelligente et certains appareils d'automatisation domestiques disponibles dans le commerce). Je ne les veux pas sur le même réseau que mes ordinateurs.
Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.
Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?
En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous les deux avec DD-WRT :
Netgear WNDR3700-v3
Linksys WRT54G-v3
Tous les périphériques (sécurisés et non sécurisés) se connectent sans fil, à l'exception d'un seul ordinateur sur le réseau sécurisé.
Oui, votre solution est également acceptable, mais augmente d'un saut de commutation et de la surcharge de configuration. Vous pouvez y parvenir avec un routeur en procédant comme suit:
J'espère que cela t'aides!
C'est tout à fait possible, mais j'aimerais d'abord aborder quelques points.
Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.
Il est intéressant que les deux routeurs aient un accès Internet quand votre modem câble semble être juste un modem. Est-ce que votre FAI fait NAT? Sinon, je vous recommande de retirer le commutateur (s'agit-il vraiment d'un commutateur ou est-il capable de NAT?) Et de placer l'un de vos routeurs DD-WRT en guise de passerelle. Votre configuration actuelle telle qu’elle est (sans savoir sur quel port les routeurs ont été câblés) peut soit avoir des conflits d’adresses IP, soit subir occasionnellement une perte de connectivité aléatoire et sporadique sur l’un ou l’autre réseau.
Est-il possible de séparer le trafic Wi-Fi en plusieurs VLAN sur un seul point d'accès?
Oui, mais il faudra un peu de travail de configuration et quelques tests. J'utilise moi-même une configuration similaire pour séparer un réseau invité. La méthode que je vais décrire ci-dessous n'implique pas de VLAN.
DD-WRT (entre autres) prend en charge la création de plusieurs SSID sur le même AP. La seule chose à faire est de créer un autre pont, de l'affecter à un autre sous-réseau, puis de le désactiver du reste du réseau principal.
Cela fait un moment que je ne l'ai pas fait pour la dernière fois, mais cela devrait aller quelque part comme ça (préparez-vous à perdre la connectivité):
Network Configuration
à Bridged
, activez AP Isolation
comme vous le souhaitez.br1
?br1
à Interface wl.01
ou le nom de son interface [^ virtif], enregistrez et appliquezSous Plusieurs serveurs DHCP, cliquez sur Ajouter et attribuez-le à br1
.
Allez dans Administration => Commandes et collez-les (vous devrez peut-être ajuster les noms d'interface) [^ note2]iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
Et cliquez sur Save Firewall
Vous devriez être tous ensemble, je pense
Pour plus de détails, vous pouvez consulter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
Une mise en garde à cet égard est que cette configuration est efficace uniquement pour le routeur/point d'accès de la passerelle. Si vous voulez que la même configuration fonctionne pour l'autre routeur, vous devrez utiliser des VLAN. La configuration est similaire, mais elle est un peu plus complexe. La différence ici est que vous devrez configurer et relier un nouveau VLAN au SSID IoT et peut-être appliquer des règles de routage.
[^ virtif]: Le premier est généralement l'interface physique et souvent appelé wl0. Vos interfaces virtuelles (jusqu'à trois si je ne me trompe pas) seront appelées wl0.1, wl0.2, etc.
[^ brname]: Ce sera le nom d'interface que DD-WRT donnera à l'interface de pont.
[^ ipaddr]: Supposons que votre réseau principal est le 172.16.1.0/24, donnez à br1
une adresse de 172.16.2.0/24.
[^ nDS]: Si vous avez une Nintendo DS, vous devrez utiliser WEP. Vous pouvez également créer un autre SSID uniquement pour le NDS et le ponter en br1
pour plus de commodité.
[^ note1]: À ce stade, après avoir appliqué les paramètres, tout ce qui se connecte au SSID IoT est désormais attribué à un autre sous-réseau. Cependant, les deux sous-réseaux peuvent toujours communiquer l'un avec l'autre.
[^ note2]: Ce bit pourrait nécessiter du travail.
Certains routeurs Wi-Fi grand public ont un "Mode Invité", à savoir un réseau séparé du réseau normal.
Vous pouvez restreindre vos périphériques non approuvés au "Invité" AP .
Ce n’est pas que chaque routeur doté de cette fonctionnalité est particulièrement sécurisé.
Bien que l'article Avertissement: le "mode invité" de nombreux routeurs Wi-Fi n'est pas sécurisé parle À propos de l'insécurité, le principal défaut dont ils discutent est la vie privée. Si vous ne vous souciez pas de savoir si votre téléviseur compatible avec le réseau appelle chez vous pour dire au fabricant ce que vous regardez, alors peu importe si les voisins le regardent.
Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?
En supposant que votre connexion du routeur 1 au commutateur utilise le port WAN
du routeur et que vous ne partagez pas WAN et LAN dans OpenWRT (ce qui signifie que vous n’avez pas modifié les paramètres par défaut ni effectué le câblage comme vous le feriez lors de la connexion). connecté directement au modem), la plupart du temps vous allez bien.
Bien entendu, vos périphériques sur le routeur 2 peuvent envoyer du trafic à n'importe qui, ce qui peut être un problème en soi (statistiques d'utilisation, images de caméra, son via des microphones, informations sur le WLAN, les récepteurs GPS, etc., en fonction des périphériques).
En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:
Vous pouvez configurer vos ports séparément et acheminer le mauvais trafic séparément du bon trafic. Votre mot clé serait DMZ
, de nombreux tutoriels sont disponibles.
Si vous voulez avoir plus de complexité, vous pouvez également activer les VLAN, ce qui vous permet de placer des périphériques supplémentaires compatibles VLAN derrière le routeur et de connecter les deux types de périphériques, ce qui vous permet de créer votre maison entière comme si chaque périphérique était branché directement un port de l’un des deux routeurs, même si vous ne disposez que d’un seul routeur et de 5 commutateurs connectés en guirlande ... mais ne le faites que si vous devez le faire, car le risque d’erreur est important et l’avantage dépend de votre câblage ( quasiment aucune lors de l’utilisation de la topologie en étoile, idéal pour la topologie en anneau).
En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:
La plupart des routeurs WiFi domestiques vous permettent de configurer un "réseau invité". Ce réseau local sans fil est autorisé à se connecter à Internet, mais n'est pas autorisé à se connecter aux périphériques des réseaux locaux câblés ou sans fil principaux. Ainsi, vous pouvez mettre les périphériques IoT sur le réseau et ils ne pourront pas compromettre vos ordinateurs.
Créer un réseau séparé devrait être le meilleur moyen de garder les périphériques non sécurisés à l'écart de votre réseau local sécurisé afin d'empêcher les utilisateurs/périphériques malveillants d'accéder aux fichiers partagés ou aux périphériques en réseau. Pour ce faire, activez le réseau GUEST Utilisation des fonctionnalités Netgar WNDR3700v3 avec des mots de passe forts et différents.
Un virus, un cheval de Troie, un ver ou un autre programme malveillant qui parvient à infecter un ordinateur de votre réseau local peut utiliser UPnP, tout comme les programmes légitimes. Alors qu'un routeur bloque normalement les connexions entrantes, empêchant ainsi certains accès malveillants, le protocole UPnP pourrait permettre à un programme malveillant de contourner complètement le pare-feu. Par exemple, un cheval de Troie peut installer un programme de contrôle à distance sur votre ordinateur et y ouvrir un trou dans le pare-feu de votre routeur, permettant ainsi un accès 24/7 à votre ordinateur à partir d’Internet. Si UPnP était désactivé, le programme ne pourrait pas ouvrir le port - bien qu’il puisse contourner le pare-feu d’une autre manière et téléphoner à la maison.
Désactivez l'accès à distance à vos routeurs via le WIFI
la plupart des routeurs offrent une fonctionnalité "d'accès à distance" qui vous permet d'accéder à cette interface Web depuis n'importe où dans le monde. Même si vous définissez un nom d'utilisateur et un mot de passe, si vous avez un routeur D-Link concerné par cette vulnérabilité, tout le monde pourra se connecter sans informations d'identification. Si vous avez désactivé l’accès à distance, vous ne risqueriez pas que des personnes accèdent à votre routeur et le manipulent à distance.
Ne connectez pas non plus les périphériques non sécurisés sauf si vous en avez besoin.