카테고리 보관물: Superuser

superuser

안전하지 않은 장치를 내 홈 네트워크에 안전하게 추가 연결하는 것입니다. 내 컴퓨터는

안전하지는 않지만 인터넷에 연결된 몇 가지 장치가 있지만 어쨌든 사용하고 싶습니다 (스마트 TV 및 기성품 홈 자동화 장치). 내 컴퓨터와 동일한 네트워크에 설치하고 싶지 않습니다.

현재 해결 방법은 케이블 모뎀을 스위치에 연결하고 두 개의 무선 라우터를 스위치에 연결하는 것입니다. 내 컴퓨터는 첫 번째 라우터에 연결되고 나머지는 모두 두 번째 라우터에 연결됩니다.

내 컴퓨터를 다른 모든 것과 완전히 분리하기에 충분합니까?

또한 단일 라우터를 사용하여 효과적으로 동일한 작업을 수행하는 더 간단한 솔루션이 있습니까? DD-WRT 와 함께 다음 라우터가 있습니다 .

  • 넷기어 WNDR3700-v3

  • 링크시스 WRT54G-v3

보안 네트워크의 단일 컴퓨터를 제외한 모든 장치 (보안 및 비보안)는 무선으로 연결됩니다.



답변

예, 솔루션도 괜찮지 만 하나의 스위칭 홉과 구성 오버 헤드를 증가 시키므로 다음을 수행하여 하나의 라우터로이를 달성 할 수 있습니다.

  • 두 개의 VLAN을 구성하고, 신뢰할 수있는 호스트를 한 VLAN에 연결하고 다른 VLAN에 신뢰할 수없는 연결하십시오.
  • 신뢰할 수없는 트래픽에 대한 신뢰를 허용하지 않도록 iptables를 구성하십시오 (그 반대도 가능).

도움이 되었기를 바랍니다!


답변

완전히 가능하지만 먼저 몇 가지 문제를 해결하고 싶습니다.

현재 해결 방법은 케이블 모뎀을 스위치에 연결하고 두 개의 무선 라우터를 스위치에 연결하는 것입니다. 내 컴퓨터는 첫 번째 라우터에 연결되고 나머지는 모두 두 번째 라우터에 연결됩니다.

케이블 모뎀이 모뎀으로 보일 때 두 라우터 모두 인터넷에 접속할 수 있다는 점이 흥미 롭습니다. ISP가 NAT를 수행합니까? 그렇지 않은 경우 스위치를 꺼내고 (실제로 스위치입니까 아니면 스위치가 NAT를 사용할 수 있습니까?) DD-WRT 라우터 중 하나를 게이트웨이로 배치하는 것이 좋습니다. 현재의 설정 (라우터가 연결된 포트를 모르고 있음)은 IP 주소 충돌이 있거나 때때로 하나 또는 다른 네트워크에서 임의적이고 산발적 인 연결 손실을 경험할 수 있습니다.

Wi-Fi 트래픽을 단일 액세스 포인트에서 여러 VLAN으로 분리 할 수 ​​있습니까?

예,하지만 약간의 구성 작업과 테스트가 필요합니다. 게스트 네트워크를 분리하기 위해 비슷한 설정을 사용합니다. 아래에서 설명 할 방법에는 VLAN이 포함되지 않습니다.


DD-WRT (다른 것들 중에서도)는 동일한 AP에서 여러 SSID 생성을 지원합니다. 다른 브리지를 생성하여 다른 서브넷에 할당 한 다음 나머지 기본 네트워크에서 방화벽을 차단하면됩니다.

이 방법으로 마지막으로한지 오래되었지만 다음과 같이 어딘가에 가야합니다 (연결성을 잃을 준비를하십시오).

  1. 액세스 포인트의 구성 페이지를 엽니 다
  2. 무선 => 기본 설정으로 이동
  3. 가상 인터페이스에서 추가 [^ virtif]를 클릭하십시오.
  4. 새 IoT SSID에 이름을 지정하고 원하는대로 사용 Network Configuration하도록
    Bridged설정하십시오.AP Isolation
  5. 무선 보안 탭으로 이동하여 암호를 설정하고 가능한 경우 보안 모드를 WPA2-Personal-AES 이상으로 설정하십시오 [^ nDS]
  6. 탭 설정 => 네트워킹으로 이동
  7. 브리징에서 추가를 클릭하십시오.
  8. 다리에 임의의 이름을 부여하십시오 [^ brname] br1.
  9. 브리지에 기본 네트워크와 동일한 서브넷에 있지 않은 IP 주소를 제공하십시오 [^ ipaddr]
  10. 브리지에 할당 아래에서 추가를 클릭 한 다음 br1인터페이스
    wl.01또는 인터페이스 이름을 지정하십시오 [^ virtif]. 저장하고 적용 하십시오 (저장을 클릭 한 후 설정을 적용해야 할 수도 있음).
  11. 다중 DHCP 서버에서 추가를 클릭하여 할당 br1

  12. 관리 => 명령으로 이동하여 붙여 넣습니다 (인터페이스 이름을 조정해야 할 수도 있음) [^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
    iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j REJECT
    그리고 방화벽 저장을 클릭하십시오

  13. 당신은 모든 설정해야합니다, 나는 생각

자세한 내용은 http://www.alexlaird.com/2013/03/dd-wrt-guest-wireless/
참조하십시오.

이에 대한주의 사항은이 설정이 게이트웨이 라우터 / AP에만 유효하다는 것입니다. 다른 라우터에서 동일한 설정을 사용하려면 VLAN을 사용해야합니다. 설정은 비슷하지만 조금 더 복잡합니다. 여기서 차이점은 새 VLAN을 구성하고 IoT SSID에 브리지해야하며 라우팅 규칙을 수행해야한다는 것입니다.

[^ virtif] : 첫 번째는 일반적으로 물리적 인터페이스이며 종종 wl0으로 레이블이 지정됩니다. 가상 인터페이스 (실수하지 않은 경우 최대 3 개)는 wl0.1, wl0.2 등으로 레이블이 지정됩니다.

[^ brname] : DD-WRT가 브리지 인터페이스에 제공 할 인터페이스 이름입니다.

[^ ipaddr] : 기본 네트워크가 172.16.1.0/24에 br1있고 주소는 172.16.2.0/24라고합니다.

[^ nDS] : Nintendo DS가있는 경우 WEP를 사용해야합니다. 또는 NDS에 대해서만 다른 SSID를 생성 br1하고 편의 를 위해 브리지로 연결할 수도 있습니다 .

[^ note1] : 이제 설정을 적용한 후 IoT SSID에 연결된 모든 항목이 다른 서브넷에 할당됩니다. 그러나 두 서브넷은 여전히 ​​서로 통신 할 수 있습니다.

[^ note2] :이 비트는 약간의 작업이 필요할 수 있습니다.


답변

내 컴퓨터를 다른 모든 것과 완전히 분리하기에 충분합니까?

라우터 1에서 스위치로의 연결이 라우터의 WAN포트를 사용하고 있고 OpenWRT에서 WAN과 LAN을 공유하고 있지 않다고 가정하면 (기본 설정을 변경하지 않고 모뎀에 직접 연결할 때와 같이 케이블 연결을 수행함), 당신은 대부분 괜찮습니다.

물론 라우터 2의 장치는 다른 사람에게 트래픽을 보낼 수 있으며, 이는 자체적으로 문제가 될 수 있습니다 (사용 통계, 카메라 이미지, 마이크를 통한 소리, WLAN에 대한 정보, GPS 수신기 등 장치에 따라 다름).

또한 단일 라우터를 사용하여 효과적으로 동일한 작업을 수행하는 더 간단한 솔루션이 있습니까? DD-WRT와 함께 다음 라우터가 있습니다.

포트를 별도로 구성하고 불량 트래픽을 정상 트래픽과 별도로 라우팅 할 수 있습니다. 귀하의 키워드는 DMZ사용할 수있는 많은 자습서가 있습니다.

더 복잡하게하려면 VLAN을 활성화 할 수도 있습니다. 이렇게하면 라우터 뒤에 추가 VLAN 인식 장치를 배치하고 두 유형의 장치를 모두 연결할 수 있으므로 모든 장치가 직접 연결된 것처럼 집 전체를 만들 수 있습니다. 하나의 라우터와 그 뒤에 5 개의 스위치가 데이지 체인으로 연결되어 있어도 두 라우터 중 하나의 포트입니다.하지만 오류 가능성이 상당하고 이점은 케이블 연결에 따라 달라집니다 (필요한 경우에만) 스타 토폴로지를 사용할 때는 거의 없으며 링 토폴로지를 사용해야 할 때 좋습니다.


답변

일부 소비자 급 Wi-Fi 라우터에는 일반 네트워크에서 분할 된 네트워크 인 “게스트 모드”가 있습니다.

신뢰할 수없는 장치를 “게스트” AP 로 제한 할 수 있습니다 .

해당 기능이있는 모든 라우터가 특히 안전한 것은 아닙니다.

많은 Wi-Fi 라우터에 대한 경고 : “게스트 모드” 문서 가 보안에 대해 안전하지 않다고 말하지만 이들이 논의하는 주요 결함은 개인 정보 보호입니다. 네트워크 지원 TV가 집에 전화를 걸어 전화를 걸고 있는지 여부를 신경 쓰지 않으면 누가 상대방이보고 있는지 신경 쓰십시오.


답변

또한 단일 라우터를 사용하여 효과적으로 동일한 작업을 수행하는 더 간단한 솔루션이 있습니까? DD-WRT와 함께 다음 라우터가 있습니다.

대부분의 가정용 WiFi 라우터를 사용하면 “게스트 네트워크”를 구성 할 수 있습니다. 이 무선 LAN은 인터넷에 연결할 수 있지만 주 유선 또는 무선 LAN의 장치에는 연결할 수 없습니다. 따라서 IoT 장치를 네트워크에 배치하면 컴퓨터를 손상시킬 수 없습니다.


답변

Netgar WNDR3700v3 기능을 사용하여 GUEST 네트워크를 활성화하여 악의적 인 사용자 / 장치가 공유 파일 또는 네트워크 장치에 액세스하는 것을 방지하기 위해 안전하지 않은 장치를 보안 LAN에서 멀리 유지하는 가장 좋은 방법이어야합니다. 강력하고 다른 암호로.

UPnP 비활성화

로컬 네트워크의 컴퓨터를 감염시키는 바이러스, 트로이 목마, 웜 또는 기타 악성 프로그램은 합법적 인 프로그램과 마찬가지로 UPnP를 사용할 수 있습니다. 라우터는 일반적으로 들어오는 연결을 차단하여 일부 악의적 인 액세스를 차단하지만 UPnP는 악성 프로그램이 방화벽을 완전히 우회하도록 허용 할 수 있습니다. 예를 들어 트로이 목마는 컴퓨터에 원격 제어 프로그램을 설치하고 라우터의 방화벽에 구멍을 열어 인터넷에서 컴퓨터에 24/7 액세스 할 수 있습니다. UPnP가 비활성화 된 경우 프로그램이 포트를 열 수 없습니다. 다른 방법으로 방화벽을 우회하거나 전화를 걸 수 있습니다.

라우터를 통한 WIFI를 통한 원격 액세스 비활성화

대부분의 라우터는 전세계 어디에서나이 웹 인터페이스에 액세스 할 수있는 “원격 액세스”기능을 제공합니다. 사용자 이름과 비밀번호를 설정하더라도이 취약점의 영향을받는 D-Link 라우터가 있으면 누구나 자격 증명없이 로그인 할 수 있습니다. 원격 액세스가 비활성화 된 경우 원격으로 라우터에 액세스하여 변조하는 사람들로부터 안전합니다.

또한 필요하지 않은 경우 안전하지 않은 장치를 연결하지 마십시오.


답변