Ajouter en toute sécurité des périphériques non sécurisés à mon réseau domestique

39

J'ai quelques appareils connectés à Internet pour lesquels je ne crois pas en la sécurité, mais que j'aimerais quand même utiliser (une télévision intelligente et certains appareils d'automatisation domestiques disponibles dans le commerce). Je ne les veux pas sur le même réseau que mes ordinateurs.

Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.

Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT :

  • Netgear WNDR3700-v3

  • Linksys WRT54G-v3

Tous les périphériques (sécurisés et non sécurisés) se connectent sans fil, à l'exception d'un seul ordinateur sur le réseau sécurisé.

Chris B
la source
4
La séparation de vos ordinateurs est excellente, mais qu’en est-il de la séparation de votre téléviseur intelligent non sécurisé de votre grille-pain WiFi non sécurisé? ;)
ZX9
Hmm ... Eh bien, j'ai plusieurs autres vieux routeurs qui traînent. Je me demande combien d'adresses IP mon FAI va me donner?
Chris B
reactiongifs.com/r/but-why.gif
Alexander - Rétablir Monica

Réponses:

22

Oui, votre solution est également acceptable, mais augmente d'un saut de commutation et de la surcharge de configuration. Vous pouvez y parvenir avec un seul routeur en procédant comme suit:

  • Configurez deux VLAN, connectez des hôtes approuvés à un VLAN et non approuvés à un autre.
  • Configurez iptables pour ne pas autoriser le trafic sécurisé vers le trafic non sécurisé (vice versa).

J'espère que cela t'aides!

Anirudh Malhotra
la source
1
Je pense savoir comment configurer correctement plusieurs VLAN à l'aide des ports LAN, mais tout est connecté via Wi-Fi. Est-il possible de séparer le trafic Wi-Fi en plusieurs VLAN sur un seul point d'accès?
Chris B
1
@ user1152285 Oui, tous les périphériques WLAN raisonnablement modernes sont capables d'héberger plusieurs réseaux sans fil (sur le même canal). Que le logiciel le permette, c'est encore une autre question.
Daniel B
2
Je ne suis pas certain à 100%, mais dd-wrt devrait pouvoir vous donner plusieurs SSID sur le même AP avec la ségrégation VLAN. Vous allez donc exécuter deux interfaces sans fil virtuelles, une pour les périphériques approuvés et une pour les périphériques non fiables.
Saiboogu
@ user1152285 Oui, j'ai cherché et trouvé que dd-wrt le supporte. Également trouvé le lien qui montre le mappage de l'interface à l'interface virtuelle wlan. Et vous pouvez aussi ajouter des tags vlan (brillant! :))
Anirudh Malhotra
1
D'accord avec @ ZX9. Etant donné que le demandeur mentionne spécifiquement qu’il dispose de DD-WRT, au moins quelques liens vers la documentation sur la configuration de VLAN, la configuration de plusieurs SSID et la séparation du trafic seraient très utiles.
Doktor J
10

C'est tout à fait possible, mais j'aimerais d'abord aborder quelques points.

Ma solution actuelle consiste à brancher mon modem câble à un commutateur et à connecter deux routeurs sans fil au commutateur. Mes ordinateurs se connectent au premier routeur, tout le reste se connecte au second routeur.

Il est intéressant que les deux routeurs aient un accès Internet quand votre modem câble semble être juste un modem. Est-ce que votre FAI fait NAT? Sinon, je vous recommande de retirer le commutateur (s'agit-il vraiment d'un commutateur ou est-il capable de NAT?) Et de placer l'un de vos routeurs DD-WRT en guise de passerelle. Votre configuration actuelle telle quelle (sans savoir sur quel port les routeurs ont été câblés) peut soit avoir des conflits d’adresses IP, soit subir occasionnellement des pertes de connectivité aléatoires et sporadiques sur l’un ou l’autre réseau.

Est-il possible de séparer le trafic Wi-Fi en plusieurs VLAN sur un seul point d'accès?

Oui, mais il faudra un peu de travail de configuration et quelques tests. J'utilise moi-même une configuration similaire pour séparer un réseau invité. La méthode que je vais décrire ci-dessous n'implique pas de VLAN.


DD-WRT (entre autres) prend en charge la création de plusieurs SSID sur le même AP. La seule chose à faire est de créer un autre pont, de l'affecter à un autre sous-réseau, puis de le désactiver du reste du réseau principal.

Cela fait un moment que je ne l'ai pas fait pour la dernière fois, mais cela devrait aller quelque part comme ça (préparez-vous à perdre la connectivité):

  1. Ouvrir la page de configuration d'un point d'accès
  2. Aller à Sans fil => Paramètres de base
  3. Sous Interfaces virtuelles, cliquez sur Ajouter [^ virtif].
  4. Donnez un nom à votre nouveau SSID IoT et laissez-le Network Configurationà Bridged, activez-le AP Isolationà votre guise
  5. Allez à l'onglet Sécurité sans fil, définissez vos mots de passe et définissez le mode de sécurité sur rien de moins que WPA2-Personal-AES si possible [^ nDS]
  6. Allez sur l'onglet Setup => Networking
  7. Sous Bridging, cliquez sur Ajouter.
  8. Donnez à votre pont un nom quelconque [^ brname], peut br1- être ?
  9. Donnez à votre pont une adresse IP qui ne se trouve pas sur le même sous-réseau que votre réseau principal [^ ipaddr]
  10. (Vous devrez peut-être cliquer sur Enregistrer, puis sur Appliquer les paramètres pour que cela s'affiche.) Sous Attribuer à Bridge, cliquez sur Ajouter, puis attribuez br1à Interface wl.01ou le nom de son interface [^ virtif], enregistrez et appliquez
  11. Sous Plusieurs serveurs DHCP, cliquez sur Ajouter et attribuez-le à br1

  12. Allez dans Administration => Commandes et collez-les (vous devrez peut-être ajuster les noms d'interface) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    Et cliquez sur Save Firewall

  13. Vous devriez être tous ensemble, je pense

Pour plus de détails, vous pouvez consulter http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/

Une mise en garde à cet égard est que cette configuration est efficace uniquement pour le routeur / AP de passerelle. Si vous voulez que la même configuration fonctionne pour l'autre routeur, vous devrez utiliser des VLAN. La configuration est similaire, mais elle est un peu plus complexe. La différence ici est que vous devrez configurer et relier un nouveau VLAN au SSID IoT et peut-être appliquer des règles de routage.

[^ virtif]: Le premier est généralement l'interface physique et souvent appelé wl0. Vos interfaces virtuelles (jusqu'à trois si je ne me trompe pas) seront appelées wl0.1, wl0.2, etc.

[^ brname]: Ce sera le nom d'interface que DD-WRT donnera à l'interface de pont.

[^ ipaddr]: Supposons que votre réseau principal est le 172.16.1.0/24, donnez br1l'adresse 172.16.2.0/24.

[^ nDS]: Si vous avez une Nintendo DS, vous devrez utiliser WEP. Vous pouvez également créer un autre SSID uniquement pour le NDS et le ponter br1par commodité.

[^ note1]: À ce stade, après avoir appliqué les paramètres, tout ce qui se connecte au SSID IoT est désormais attribué à un autre sous-réseau. Cependant, les deux sous-réseaux peuvent toujours communiquer l'un avec l'autre.

[^ note2]: Ce bit pourrait nécessiter du travail.

gjie
la source
Merci pour l'info, je vais devoir plonger plus à ce sujet quand je rentrerai à la maison. Pour référence, il utilise certainement un commutateur à 4 ports (dumb, no NATing). Les deux routeurs sont connectés au commutateur via leurs ports WAN. Les plages DHCP sur les routeurs sont différentes, mais la configuration actuelle n’a aucune importance. Il est possible que mon FAI obtienne deux adresses IP différentes
Chris B,
Si les deux routeurs sont connectés à leurs ports WAN, oui, cela ne devrait pas être grave. Et oui, il est possible d'obtenir deux adresses IP différentes auprès de votre fournisseur d'accès (vous êtes très chanceux s'ils le font, ce que je donnerais pour une deuxième adresse IPv4 pour le moment ...)
jeudi
@ user1152285 Si vous faites un peu de recherche, cela peut être une bien meilleure option! je ne savais pas que ddwrt pouvait utiliser AP ISOLATION ... essayez ceci en premier!
Bryan Cerrati
Mise à jour: je viens de vérifier, et chacun de mes routeurs a une adresse IP publique différente. Il semble donc que mon FAI me donne plusieurs adresses IP
Chris B
@BryanCerrati L'isolation des points d'accès fait partie de la solution, mais ne constitue pas la solution. Vous protège sur les clients sans fil à sans fil, mais ne vous aidera pas du sans fil au câblé.
Gjie
6

Est-ce suffisant pour séparer complètement mes ordinateurs de tout le reste?

En supposant que votre connexion du routeur 1 au commutateur utilise le WANport du routeur et que vous ne partagez pas les réseaux WAN et LAN dans OpenWRT (ce qui signifie que vous n'avez pas modifié les paramètres par défaut ni effectué le câblage de la même manière que lorsque vous êtes connecté directement au modem), vous êtes surtout bien.

Bien entendu, vos périphériques sur le routeur 2 peuvent envoyer du trafic à n'importe qui, ce qui peut être un problème en soi (statistiques d'utilisation, images de caméra, son via des microphones, informations sur le WLAN, les récepteurs GPS, etc. en fonction des périphériques).

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:

Vous pouvez configurer vos ports séparément et acheminer le mauvais trafic séparément du bon trafic. Votre mot clé serait DMZ, il y a beaucoup de tutoriels disponibles.

Si vous voulez avoir plus de complexité, vous pouvez également activer les VLAN, ce qui vous permet de placer des périphériques supplémentaires compatibles VLAN derrière le routeur et de connecter les deux types de périphériques, ce qui vous permet de créer votre maison entière comme si chaque périphérique était branché directement un port de l’un des deux routeurs, même si vous n’avez qu’un seul routeur et 5 commutateurs derrière lui en guirlande ... mais ne le faites que si vous devez le faire, car le risque d’erreur est important et l’avantage dépend de votre câblage ( quasiment aucune lors de l’utilisation de la topologie en étoile, idéal pour la topologie en anneau).

utilisateur121391
la source
J'aurais dû mentionner que presque tous les appareils se connectent au routeur via Wi-Fi. Si tous les périphériques se connectent au même point d'accès, existe-t-il un moyen de les empêcher de se voir (étant donné qu'il s'agit de routeurs domestiques assez standard)?
Chris B
1
OpenWRT vous permet de créer différents réseaux sans fil avec différents SSID et mots de passe. Vous pouvez ensuite les utiliser comme un réseau commuté (votre téléviseur voit votre chaîne stéréo, mais pas votre PC) ou utiliser des VLAN dotés de l’authentification 802.1x et RADIUS pour séparer complètement vos périphériques (802.1x utilise RADIUS pour vérifier si un périphérique est autorisé et le configurer. sur son propre VLAN ou partagé). Avec OpenWRT, tout est possible, mais cela peut devenir un PITA pour tout configurer.
user121391
802.1x résoudrait tous les problèmes ... sauf que tous les appareils sont sans fil.
Bryan Cerrati
2
@ BryanCerrati: 802.1x fonctionne avec le sans fil également.
Ben Voigt
6

Certains routeurs Wi-Fi grand public ont un "Mode Invité", à savoir un réseau séparé du réseau normal.

Vous pouvez restreindre vos périphériques non approuvés à l' AP "Invité" .

Ce n’est pas que chaque routeur doté de cette fonctionnalité est particulièrement sécurisé.

Bien que l'article Avertissement: «Mode invité» sur de nombreux routeurs Wi-Fi n'est pas sécurisé parle de l'insécurité, le principal défaut dont ils discutent est la confidentialité. Si vous ne vous souciez pas de savoir si votre téléviseur compatible avec le réseau appelle chez vous pour dire au fabricant ce que vous regardez, alors peu importe si les voisins le regardent.

infixé
la source
1
En termes de réseautage, il s’agit de la zone démilitarisée.
Courses de légèreté avec Monica
3

En outre, existe-t-il une solution plus simple utilisant un seul routeur qui ferait effectivement la même chose? J'ai les routeurs suivants, tous deux avec DD-WRT:

La plupart des routeurs WiFi domestiques vous permettent de configurer un "réseau invité". Ce réseau local sans fil est autorisé à se connecter à Internet, mais pas aux périphériques situés sur les réseaux locaux câblés ou sans fil principaux. Vous pouvez donc mettre les périphériques IoT sur le réseau sans compromettre vos ordinateurs.

Barmar
la source
0

Créer un réseau distinct devrait être le meilleur moyen de garder les périphériques non sécurisés à l'écart de votre réseau local sécurisé afin d'empêcher les utilisateurs / périphériques malveillants d'accéder aux fichiers partagés ou aux périphériques en réseau. Pour ce faire, vous devez activer le réseau GUEST. Utiliser les fonctionnalités Netgar WNDR3700v3 avec des mots de passe forts et différents.

Désactiver l'UPnP

Un virus, un cheval de Troie, un ver ou un autre programme malveillant qui parvient à infecter un ordinateur de votre réseau local peut utiliser UPnP, tout comme les programmes légitimes. Alors qu'un routeur bloque normalement les connexions entrantes, empêchant ainsi certains accès malveillants, le protocole UPnP pourrait permettre à un programme malveillant de contourner complètement le pare-feu. Par exemple, un cheval de Troie pourrait installer un programme de contrôle à distance sur votre ordinateur et y ouvrir un trou dans le pare-feu de votre routeur, permettant ainsi un accès 24/7 à votre ordinateur à partir d'Internet. Si UPnP était désactivé, le programme ne pourrait pas ouvrir le port - bien qu'il puisse contourner le pare-feu d'une autre manière et téléphoner à la maison

Désactiver l'accès à distance à vos routeurs via le WIFI

la plupart des routeurs offrent une fonctionnalité «d'accès à distance» qui vous permet d'accéder à cette interface Web depuis n'importe où dans le monde. Même si vous définissez un nom d'utilisateur et un mot de passe, si vous avez un routeur D-Link affecté par cette vulnérabilité, tout le monde pourra se connecter sans informations d'identification. Si l'accès à distance est désactivé, vous êtes protégé des personnes qui accèdent à distance à votre routeur et qui le manipulent.

De même, ne connectez pas les périphériques non sécurisés sauf si vous en avez besoin.

GAD3R
la source