Ajouter en toute sécurité des périphériques non sécurisés à mon réseau domestique

J'ai quelques appareils connectés à Internet pour lesquels je ne crois pas en la sécurité, mais que j'aimerais quand même utiliser (une télévision intelligente et certains appareils d'automatisation domestiques disponibles dans le commerce). Je ne les veux pas sur le même réseau que mes ordinateurs.

Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.

Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT :

• Netgear WNDR3700-v3

• Linksys WRT54G-v3

Tous les périphériques (sécurisés et non sécurisés) se connectent sans fil, à l'exception d'un seul ordinateur sur le réseau sécurisé.

Oui, votre solution est également acceptable, mais augmente d'un saut de commutation et de la surcharge de configuration. Vous pouvez y parvenir avec un seul routeur en procédant comme suit:

• Configurez deux VLAN, connectez des hôtes approuvés à un VLAN et non approuvés à un autre.
• Configurez iptables pour ne pas autoriser le trafic sécurisé vers le trafic non sécurisé (vice versa).

J'espère que cela t'aides!

C'est tout à fait possible, mais j'aimerais d'abord aborder quelques points.

Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.

Il est intéressant que les deux routeurs aient un accès Internet quand votre modem câble semble être juste un modem. Est-ce que votre FAI fait NAT? Sinon, je vous recommande de retirer le commutateur (s'agit-il vraiment d'un commutateur ou est-il capable de NAT?) Et de placer l'un de vos routeurs DD-WRT en guise de passerelle. Votre configuration actuelle telle quelle (sans savoir sur quel port les routeurs ont été câblés) peut soit avoir des conflits d’adresses IP, soit subir occasionnellement des pertes de connectivité aléatoires et sporadiques sur l’un ou l’autre réseau.

Est-il possible de séparer le trafic Wi-Fi en plusieurs VLAN sur un seul point d'accès?

Oui, mais il faudra un peu de travail de configuration et quelques tests. J'utilise moi-même une configuration similaire pour séparer un réseau invité. La méthode que je vais décrire ci-dessous n'implique pas de VLAN.

DD-WRT (entre autres) prend en charge la création de plusieurs SSID sur le même AP. La seule chose à faire est de créer un autre pont, de l'affecter à un autre sous-réseau, puis de le désactiver du reste du réseau principal.

Cela fait un moment que je ne l'ai pas fait pour la dernière fois, mais cela devrait aller quelque part comme ça (préparez-vous à perdre la connectivité):

1. Ouvrir la page de configuration d'un point d'accès
2. Aller à Sans fil => Paramètres de base
3. Sous Interfaces virtuelles, cliquez sur Ajouter [^ virtif].
4. Donnez un nom à votre nouveau SSID IoT et laissez-le Network Configurationà Bridged, activez-le AP Isolationà votre guise
5. Allez à l'onglet Sécurité sans fil, définissez vos mots de passe et définissez le mode de sécurité sur rien de moins que WPA2-Personal-AES si possible [^ nDS]
6. Allez sur l'onglet Setup => Networking
7. Sous Bridging, cliquez sur Ajouter.
8. Donnez à votre pont un nom quelconque [^ brname], peut br1- être ?
9. Donnez à votre pont une adresse IP qui ne se trouve pas sur le même sous-réseau que votre réseau principal [^ ipaddr]
10. (Vous devrez peut-être cliquer sur Enregistrer, puis sur Appliquer les paramètres pour que cela s'affiche.) Sous Attribuer à Bridge, cliquez sur Ajouter, puis attribuez br1à Interface wl.01ou le nom de son interface [^ virtif], enregistrez et appliquez

11. Sous Plusieurs serveurs DHCP, cliquez sur Ajouter et attribuez-le à br1

12. Allez dans Administration => Commandes et collez-les (vous devrez peut-être ajuster les noms d'interface) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
    Et cliquez sur Save Firewall

13. Vous devriez être tous ensemble, je pense

Pour plus de détails, vous pouvez consulter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Une mise en garde à cet égard est que cette configuration est efficace uniquement pour le routeur / AP de passerelle. Si vous voulez que la même configuration fonctionne pour l'autre routeur, vous devrez utiliser des VLAN. La configuration est similaire, mais elle est un peu plus complexe. La différence ici est que vous devrez configurer et relier un nouveau VLAN au SSID IoT et peut-être appliquer des règles de routage.

[^ virtif]: Le premier est généralement l'interface physique et souvent appelé wl0. Vos interfaces virtuelles (jusqu'à trois si je ne me trompe pas) seront appelées wl0.1, wl0.2, etc.

[^ brname]: Ce sera le nom d'interface que DD-WRT donnera à l'interface de pont.

[^ ipaddr]: Supposons que votre réseau principal est le 172.16.1.0/24, donnez br1l'adresse 172.16.2.0/24.

[^ nDS]: Si vous avez une Nintendo DS, vous devrez utiliser WEP. Vous pouvez également créer un autre SSID uniquement pour le NDS et le ponter br1par commodité.

[^ note1]: À ce stade, après avoir appliqué les paramètres, tout ce qui se connecte au SSID IoT est désormais attribué à un autre sous-réseau. Cependant, les deux sous-réseaux peuvent toujours communiquer l'un avec l'autre.

[^ note2]: Ce bit pourrait nécessiter du travail.

Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?

En supposant que votre connexion du routeur 1 au commutateur utilise le WANport du routeur et que vous ne partagez pas les réseaux WAN et LAN dans OpenWRT (ce qui signifie que vous n'avez pas modifié les paramètres par défaut ni effectué le câblage de la même manière que lorsque vous êtes connecté directement au modem), vous êtes surtout bien.

Bien entendu, vos périphériques sur le routeur 2 peuvent envoyer du trafic à n'importe qui, ce qui peut être un problème en soi (statistiques d'utilisation, images de caméra, son via des microphones, informations sur le WLAN, les récepteurs GPS, etc. en fonction des périphériques).

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:

Vous pouvez configurer vos ports séparément et acheminer le mauvais trafic séparément du bon trafic. Votre mot clé serait DMZ, il y a beaucoup de tutoriels disponibles.

Si vous voulez avoir plus de complexité, vous pouvez également activer les VLAN, ce qui vous permet de placer des périphériques supplémentaires compatibles VLAN derrière le routeur et de connecter les deux types de périphériques, ce qui vous permet de créer votre maison entière comme si chaque périphérique était branché directement un port de l’un des deux routeurs, même si vous n’avez qu’un seul routeur et 5 commutateurs derrière lui en guirlande ... mais ne le faites que si vous devez le faire, car le risque d’erreur est important et l’avantage dépend de votre câblage ( quasiment aucune lors de l’utilisation de la topologie en étoile, idéal pour la topologie en anneau).

Certains routeurs Wi-Fi grand public ont un "Mode Invité", à savoir un réseau séparé du réseau normal.

Vous pouvez restreindre vos périphériques non approuvés à l' AP "Invité" .

Ce n’est pas que chaque routeur doté de cette fonctionnalité est particulièrement sécurisé.

Bien que l'article Avertissement: «Mode invité» sur de nombreux routeurs Wi-Fi n'est pas sécurisé parle de l'insécurité, le principal défaut dont ils discutent est la confidentialité. Si vous ne vous souciez pas de savoir si votre téléviseur compatible avec le réseau appelle chez vous pour dire au fabricant ce que vous regardez, alors peu importe si les voisins le regardent.

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:

La plupart des routeurs WiFi domestiques vous permettent de configurer un "réseau invité". Ce réseau local sans fil est autorisé à se connecter à Internet, mais pas aux périphériques situés sur les réseaux locaux câblés ou sans fil principaux. Vous pouvez donc mettre les périphériques IoT sur le réseau sans compromettre vos ordinateurs.

Créer un réseau distinct devrait être le meilleur moyen de garder les périphériques non sécurisés à l'écart de votre réseau local sécurisé afin d'empêcher les utilisateurs / périphériques malveillants d'accéder aux fichiers partagés ou aux périphériques en réseau. Pour ce faire, vous devez activer le réseau GUEST. Utiliser les fonctionnalités Netgar WNDR3700v3 avec des mots de passe forts et différents.

Désactiver l'UPnP

Un virus, un cheval de Troie, un ver ou un autre programme malveillant qui parvient à infecter un ordinateur de votre réseau local peut utiliser UPnP, tout comme les programmes légitimes. Alors qu'un routeur bloque normalement les connexions entrantes, empêchant ainsi certains accès malveillants, le protocole UPnP pourrait permettre à un programme malveillant de contourner complètement le pare-feu. Par exemple, un cheval de Troie pourrait installer un programme de contrôle à distance sur votre ordinateur et y ouvrir un trou dans le pare-feu de votre routeur, permettant ainsi un accès 24/7 à votre ordinateur à partir d'Internet. Si UPnP était désactivé, le programme ne pourrait pas ouvrir le port - bien qu'il puisse contourner le pare-feu d'une autre manière et téléphoner à la maison

Désactiver l'accès à distance à vos routeurs via le WIFI

la plupart des routeurs offrent une fonctionnalité «d'accès à distance» qui vous permet d'accéder à cette interface Web depuis n'importe où dans le monde. Même si vous définissez un nom d'utilisateur et un mot de passe, si vous avez un routeur D-Link affecté par cette vulnérabilité, tout le monde pourra se connecter sans informations d'identification. Si l'accès à distance est désactivé, vous êtes protégé des personnes qui accèdent à distance à votre routeur et qui le manipulent.

De même, ne connectez pas les périphériques non sécurisés sauf si vous en avez besoin.