家庭网络:只想将访客/有毒设备与受信任设备分开

tag-icon tag-icon networking wireless-networking router wireless-router
家庭网络:只想将访客/有毒设备与受信任设备分开

我想以一种更“安全”的方式配置我的家庭网络,但似乎找不到任何明显的方法来做到这一点,尽管在我看来这是一个相当普遍的需求。

我的想法是,我不希望某些有线和无线连接的设备能够与网络中的任何其他设备通信。我只希望它们能够访问互联网。我将这些设备称为“有毒”设备。我不想区分设备是使用 WiFi 还是有线连接,它们可能是“有毒”的,也可能不是。

以下是“可选”要求,但我非常希望适用这些要求:

  • 尽可能避免使用重复的硬件或电线,只为了将“有毒”与无毒区分开。
  • 如果所有这些都可以“软配置”哪些设备有毒或无毒,并能够将设备从有毒切换到无毒,而无需手动更改底层电线
  • 有毒设备无法相互通信(但我可以容忍这些设备都在同一个子网中)
  • 出于性能原因,每个频率范围内只激活 1 个 WiFi 设备(例如 1 x 2.4Ghz + 1 x 5Ghz)...(彼此相邻的 2 个 WiFi 设备是否必须分割带宽??)

这是我的硬件:

  • LinkSys BEFSX41(旧款,有线路由器)
  • 思科 Linksys EA3500(2.4Ghz、5Ghz)
  • ISP(Bell)定制路由器(2.4Ghz)。WAN 端口无法使用,因为它似乎硬编码到特定网关。实际上仅用作 WiFi 接入点。
  • (我也有一个开关,但我认为它与此无关)
  • 我愿意在一些硬件上投入更多资金(最多约 300 美元)

我的实际设置:

  • LinkSys BEFSX41 未使用。
  • LinkSys EA3500:所有 WiFi 均已禁用。
  • 自定义路由器用作 WiFi 接入点。
  • 每个人都可以访问我的防火墙后面的所有内容。

图像:

当前网络

答案1

这里的一个重要问题是,您是否自己拥有所有这些设备,并且只想分离出那些您不信任的设备,或者您是否希望客人携带自己的设备,而您不信任他们并怀疑他们能够“侵入”您的家庭网络。

对于 WLAN 来说,最稳妥的方法是配置单个设备,提供两个具有不同 SSID 和不同预共享密钥 (PSK) 的接入点 (AP)。大多数现代硬件都能做到这一点。如果现有硬件上的固件不提供此选项,请尝试安装 OpenWRT 之类的东西。OpenWRT 也已经文档如何配置它。

正如您在本文档中看到的,您可以以不同的方式配置不同的 AP:您可以向来宾 AP 添加“隔离”选项,以便来宾设备无法相互通信。当然,您不会桥接 AP,因此它们不在同一网段中。您可以更新防火墙设置(iptables规则),以便来宾 AP 中的设备无法联系网络其余部分的设备。(就像您对下面两个不同 LAN 的“端点”所做的那样)。

对于 LAN,事情就更复杂了。如果您拥有所有设备,或者您不怀疑有人会使用它们进行“入侵”,那么您可以使用 VLAN:对“有毒”设备使用未标记(因为通常它们不会想到 VLAN),对“无毒”设备使用单个标记。

但是,这样做并不安全:没有什么可以阻止某人重新配置有毒设备以对 VLAN 做出反应,可能在嗅探 LAN 以发现标签之后。对于这种情况,您需要将“有毒”设备可访问的 LAN 与“无毒”设备的一般 LAN 物理隔离,并确保后者的墙壁插座等通常不可访问。对于家庭网络,这有点过分,因此这实际上取决于您想要的安全级别。

我重复:VLAN 不是一种安全功能(即使有些人这么认为)。安全性依赖于控制对网络端口的物理访问。一旦您拥有了这一点,那么通过将不同网络端口组连接到不同的交换机/路由器,或通过将它们连接到具有 VLAN 的交换机(这样您就拥有不同的“虚拟交换机”),或将它们连接到以不同方式处理不同端口的硬件,对不同的网络端口组实施不同的策略实际上并不重要。

您不需要为 VLAN 购买昂贵的新交换机等;大多数路由器将支持使用现有硬件的 VLAN(如果需要,再次安装 OpenWRT 等,或植根)。

如果您无法控制对网络端口的物理访问,那么实现安全的唯一方法就是“无毒”设备与路由器共享某种加密秘密,而“有毒”设备则不共享。

因此,LAN 的另一个选择是 IPSec 或其他某种安全隧道:基本上,您在“无毒”设备和路由器之间共享一个密钥,并通过安全连接“隧道”传输无毒设备和路由器之间的所有流量。不过,这并不那么容易设置,并且还需要“无毒”设备的支持(无论如何,比 VLAN 更重要)。同样,OpenWRT 有文档

答案2

使用 VLAN

VLAN(虚拟 LAN)将设备隔离到单独的 LAN 中,就像您设置不同的物理网络一样。一个 VLAN 上的设备无法与另一个 VLAN 上的设备通信,除非您明确允许它们这样做。

由于 VLAN 是在您的网络交换机中实现的,因此除了支持 VLAN 的交换机之外,您不需要“额外”的硬件来实现这样的配置。

对于你的情况,最好使用支持第 3 层 VLAN 的交换机。第 3 层交换机可以充当路由器,这在 VLAN 网络上是必需的,用于在各个 VLAN 和互联网(以及其他 VLAN,如果需要)之间路由流量。此类交换机通常包括创建访问控制列表(ACL) 类似于防火墙规则,允许您控制哪些流量(如果有)可以在 VLAN 之间移动。

示例配置

您的交换机设置可能看起来像这样:

  • 端口 1 连接到互联网路由器。它位于 VLAN 1 中,并且 IP 与您的互联网网关位于同一子网中。

  • 端口 2-16 位于 VLAN 10 中,未标记。这是您的可信网络。

  • 端口 17-24 位于 VLAN 20 中,未标记。这是您的不受信任网络。

  • VLAN 10 和 20 具有单独的 IP 子网寻址。

  • 交换机被配置为每个子网的默认网关。因此,访问互联网的尝试将通过交换机,而交换机又配置了您的互联网路由器的 IP 作为其默认网关,从而方便连接到互联网。

无线连接

要为每个 VLAN 提供无线服务,您需要将单独的接入点连接到每个 VLAN,或者需要一个支持 VLAN 标记的无线接入点。在后一种情况下,这样的 AP 会将 SSID“受信任”的流量“标记”为 VLAN ID 10,将 SSID“不可信”的流量“标记”为 ID 20。您可以将 AP 连接到的交换机端口配置为在 VLAN 10 和 20 中“标记”。然后,根据客户端连接到的 SSID,其流量将作为其各自 VLAN 的一部分呈现给交换机。

如何具体配置 VLAN 取决于您使用的交换机。

进一步阅读

相关内容