因此,我有一个主路由器和大量接入点(准确地说:配置为接入点的 Wi-Fi 路由器),这些接入点可由公众物理访问,因此任何人都可以重置它并使用默认凭据连接到原本私密的 LAN/互联网。
是否存在我可以设置的网络拓扑或某种规则,以便当有人重置接入点时,必须以特定方式重新配置它才能再次工作?
答案1
有解决办法吗?就在这里。
你应该这么做吗?当然不。
如果我理解正确的话,您有这样的设置(为了简单起见,只有一个接入点)
Internet(I)
|
Router(R) ---- AccessPoint(AP) ---- ThePublic(P)
|
Some other LAN devices(L)
现在,你能以某种方式从逻辑上确保 P 无法访问 L 或 I,而只能访问其他 P?而且由于 P 具有对 AP 的物理访问权限,因此你想阻止 P 按下重置按钮时发生的情况。
问题是,有物理访问权限的人只需拔出电缆,直接连接到您的网络并对其进行攻击。因此,在 AP 上进行一些巧妙的配置无济于事。
您需要的是一个由路由器管理谁可以访问您网络上的什么内容的设置。(假设 P 无法物理访问 R)
这里有几种实现安全性的可能性。一种是使用 VLAN。因此,将 AP 连接的 R 的每个端口设置为属于某个特定的 VLAN(访问端口)。如果 AP 进行 VLAN 标记,则不会起作用,因为攻击者可以尝试将自己的数据包标记为属于另一个 VLAN。这称为中继端口。
您可以使用本教程作为 VLAN 的入门知识: http://www.smallnetbuilder.com/lanwan/lanwan-howto/30071-vlan-how-to-segmenting-a-small-lan