当我尝试了解潜在的网络配置时,请提前感谢您的宽容和耐心......
我想使用单独的无线路由器来连接不受信任(无法修补)的设备。例如:放置在室外非敏感位置的自然相机,以及用作自然相机壁挂式专用屏幕的旧平板电脑(因为可能很难证明仅为此用途而购买新平板电脑是合理的)。
我的主要设备将通过单独的无线路由器连接到受信任的网络。两个路由器最终将连接到一个调制解调器。ISP 仅通过此调制解调器提供一个 IP 地址。
从网络安全角度来看,有没有一种安全的方法来做到这一点?如果不受信任网络上未打补丁的设备受到威胁,那么主(受信任)网络的安全性是否也有可能受到威胁?
答案1
这个问题没有绝对的答案,因为这取决于威胁,但一般来说 -
你可以有以下配置:
ISP Router ------------ Insecure Device 1
+--- Insecure Device 2
|
+--- WAN - Router 2
|
LAN
|
+-------- Patched Device 1
+-------- Patched Device 2
...
您还需要确保路由器 2 执行 NAT(充当防火墙),并且您需要确保路由器 2 上的 LAN 子网与路由器 1 不同 - 例如,如果路由器 1 是 192.168.xx,则路由器 2 应该使用 10.0.xx 之类的地址作为其本地网络。
缺点是通过 ROUTER2 的设备是双重natted,但在当今世界,这可能没有什么区别。
另外,如果您至少部分信任不安全的设备,您应该能够从已修补的设备访问它们 - 这不是万无一失的,但相当不错,因为不安全的设备看不到已修补的设备,只能看到路由器 2 的 Want 接口。
答案2
是否建议按照特定顺序菊花链连接无线路由器?(调制解调器 > 受信任的网络 > 不受信任的网络... vs. 调制解调器 > 不受信任的网络 > 受信任的网络)。
两种选择都可以使用,但都不理想。
有了modem > trusted network > untrusted network,来自不受信任网络的所有流量都将通过受信任的路由器,而不可信的路由器自然有一条通往受信任网络的路由(因为它直接属于该网络)。在这种情况下,它只会变得安全如果管理不受信任网络的路由器具有明确的防火墙规则,阻止流向受信任网络 IP 地址范围的流量。
使用modem > untrusted network > trusted network,来自受信任网络的所有流量都将通过不受信任的网络。这很好,只要您不希望不受信任的设备侵入不受信任的路由器本身(也可能属于“传统无法修补的设备”类别)即可 - 我听说过这种情况发生的情况以及路由器上的恶意软件进行 TLS 拦截(罕见但并非闻所未闻)或只是发送垃圾邮件。
将两个无线路由器连接到有线路由器是否会导致两者相互沙盒化?
是的,但取决于它是什么类型的路由器。
如果它只是另一种“家庭网关”类型的路由器,还有另一层 NAT 和一切——是的,一切都会正常工作,但在这种情况下,我会研究“内部”Wi-Fi 路由器是否可以禁用其 NAT 功能(但当然保持防火墙仍然启用)。
如果路由器本身具有管理多个网络的能力(即每个端口都有不同的 LAN),那么你就不需要无线路由器了作为路由器到那时你就可以使用这路由器管理两个子网(充当两个子网的网关,为两个子网执行 DHCP),并在此路由器上使用防火墙规则阻止不想要的方向的流量(类似于第一个示例)。然后,Wi-Fi 设备可以作为接入点运行。这就是许多企业网络的运行方式,多个 LAN 返回到单个网关(通常以 VLAN 的形式),网关的防火墙决定谁可以访问什么。