Aislando redes invitadas

2

Estoy configurando un wifi de invitado secundario en mi enrutador y quiero asegurarme de que es imposible para los clientes conectados al wifi de invitado acceder a mi red principal.

Inicialmente, utilicé el filtrado de IP con iptables, pero me imagino que un invitado que falsifica su IP podría tener acceso a mi red principal.

En este momento, estoy usando filtrado basado en interfaz con iptables. ¿Tengo razón al suponer que esto es a prueba de falsificaciones y que los invitados no podrán acceder a mi red principal?

¡Gracias!

PS: Mi enrutador está ejecutando OpenWRT.

EDIT:

Siguiendo la respuesta de user3192427, necesito agregar algunos detalles sobre mis requisitos. Primero, no tengo control sobre el cifrado de la red primaria (podría ser abierto, WEP, WPA2 o 802.1x). En segundo lugar, la red de invitados tiene que estar abierta. En tercer lugar, y lo más importante, mi principal preocupación es que la adición de una red invitada no agrega vulnerabilidades.

Por lo tanto, entiendo por la respuesta de user3192427 que mi solución actual aún permite a los atacantes obtener insights en la topología de mi red primaria. Lo que quiero saber es si agrega un punto de entrada a mi red principal que no estaba allí antes. Por ejemplo, si mi red principal estaba abierta e insegura, la adición de una red de invitado abierta no lo haría más inseguro. Si mi red principal tuviera WEP o WPA2, los atacantes aún podrían entrar en ella olfateando el tráfico y "adivinando" la clave incluso sin una red de invitado abierta. Si mi red principal tuviera 802.1x (correctamente configurada), los atacantes de AFAIK no podrían entrar. Entonces, mi pregunta reformulada es: Suponiendo que mi red principal es impenetrable, la adición de una red de invitado abierta lo haría penetrable (como al hacer que sea posible romper literalmente uno de los dispositivos en él o en el enrutador).

    
pregunta rmanna 14.01.2014 - 12:20
fuente

2 respuestas

2

Odio decir que la respuesta es sí / no, pero dada la información que tengo y explicaré por qué. Realmente depende de tus invitados y tu nivel de paranoia / cuánto tiempo quieres dedicar a la administración de este AP.

Puede escribir reglas de iptable para evitar que un invitado obtenga información acerca de / acceder a su red interna, pero prácticamente debe escribir una regla para cada tipo de protocolo que pueda filtrarse, incluyendo arp, dns, smb, bonjour, etc. Si bien esto es factible, debería volver a revisar estas reglas con bastante regularidad y compararlas con las capturas de paquetes que está recogiendo de la red invitada para asegurarse de que aún funcionan.

Si tus invitados son del tipo hacker, cosas como 802.1q no los detendrán. Las VLAN están diseñadas para enrutamiento e identificación de redes, no para seguridad. Vlans necesita algo encima de ellos para hacer seguridad adicional. Si busca el salto de VLAN en Google, puede encontrar recursos para hacerlo con bastante facilidad.

Para asegurar la configuración que mencionaste, miraría este artículo: enlace (tiene algunos años pero la tecnología es la misma). Puede configurar la autenticación 802.1x en DD-WRT.

Un ejemplo rápido sería aquí: enlace

No olvide utilizar claves diferentes para su red principal e invitada. Si un invitado puede descifrar su tráfico, es posible que no pueda acceder a él, pero hacer topes de paquetes les daría mucha información al respecto.

    
respondido por el dmay 14.01.2014 - 14:38
fuente
1

En OpenWRT, es posible ejecutar dos SSID al mismo tiempo, gracias a la técnica 802.1Q Trunking . Encontrará más detalles en el siguiente artículo:

Varios puntos de acceso en -802.1Q con Open WRT

Simplemente compruebe al principio si su enrutador puede manejar esto.

    
respondido por el boleslaw.smialy 14.01.2014 - 12:30
fuente

Lea otras preguntas en las etiquetas