wifi doméstica: ¿es típicamente posible evitar que los dispositivos WLAN seleccionen su propia dirección IP?

0

Motivación : quiero poder crear diferentes reglas de tráfico de salida para diferentes dispositivos en mi red, por ejemplo. mi computadora portátil puede crear túneles VPN, mientras que las computadoras portátiles de mis hijos solo pueden conectar DNS / HTTP / HTTPS, y están bloqueadas a un servidor DNS específico. Puedo crear diferentes reglas de firewall en mi enrutador para diferentes bloques de direcciones IP, pero no quiero que esto se subvierta fácilmente por dispositivos que pueden seleccionar su propia dirección IP en el rango "permitir".

Por lo tanto, esta pregunta es acerca de si es típicamente posible y práctico evitar que un dispositivo en una red wifi doméstica seleccione su propia dirección IP (desde dentro del rango de la red), usando comúnmente -instalados wifi / enrutadores de internet . En otras palabras, ¿puede evitar que los dispositivos asuman una dirección IP estática en el rango normal de la WLAN?

Supongamos que ya tengo y sé:

  • configuración del enrutador wifi para rangos de agrupación DHCP
  • configuración del enrutador wifi para direcciones IP estáticas DHCP
  • filtrado de direcciones MAC del router wifi, etc.

Puedo agregar una concesión estática para el dispositivo en función de su dirección MAC, y cuando el dispositivo está configurado para DHCP, asume esta dirección. Pero suponga que no tengo el 100% de control de la configuración de red del dispositivo, que algún otro usuario puede cambiarlos, por ejemplo, podrían cambiar de DHCP a estático y configurar una dirección IP de su elección.

Mi observación es que cualquier dirección IP estática que se elija funciona y el enrutador enrutará los paquetes para ese cliente (tiene acceso a nivel wifi, por ejemplo, credenciales WPA2), independientemente de si la dirección IP elegida está dentro del DHCP del enrutador rango o algún rango reservado.

Mi conclusión es que no puede crear reglas de firewall que eviten el tráfico saliente para ciertos clientes en función de un rango de direcciones IP, ya que los clientes pueden tomar una dirección IP estática gratuita dentro de ese rango. Esto parece suceder independientemente de si existe una reserva DHCP para la dirección MAC de ese cliente, lo que tiene sentido porque DHCP está inactivo para el cliente en ese momento.

¿Me parece que la única forma de lograr esto son los enrutadores múltiples o las VLAN múltiples?

Ejemplo : quiero evitar que un dispositivo permitido pero solo de confianza parcial en mi WLAN con MAC 12:34:56:78:9a:bc enrute paquetes con una fuente en el rango CIDR 10.1.1.0/25 , que está reservado y fuera mi rango DHCP.

    
pregunta javabrett 06.11.2018 - 07:00
fuente

1 respuesta

1

No hay manera de forzar las direcciones IP en los clientes en una red Ethernet como tal, ya que simplemente pueden optar por no usar DHCP en absoluto. Los clientes pueden elegir y utilizar cualquier dirección IP válida. Además, los arrendamientos estáticos por dirección MAC no garantizarán una asignación de IP, incluso si DHCP se utiliza como una dirección MAC no estática y se puede elegir de forma arbitraria (en primer lugar, igual que el filtrado de MAC). Los firewalls más inteligentes generalmente obligarán a la dirección de origen de los paquetes a pertenecer a la subred de interfaz. También podría realmente hacer una regla de firewall para al menos hacer cumplir que solo se enruta un rango de direcciones IP.

Los dispositivos enrutadores integrados son espectacularmente poco versátiles y evitar que algunos dispositivos accedan a Internet no es un caso de uso particularmente común. Forzar las direcciones IP a los dispositivos es una especie de falacia XY para el problema. Esta tarea es definitivamente imposible, pero su objetivo es bastante sencillo.

Por ejemplo, podría usar otro enrutador NAT para los dispositivos restringidos y darle una dirección IP de LAN estática en la interfaz WAN. Luego, establezca reglas que eviten que la dirección LAN en la interfaz WAN llegue a Internet en el enrutador principal. Esto funciona porque los dispositivos detrás del enrutador interno tienen sus direcciones traducidas a la única dirección WAN que no pueden cambiar. Aún podrían acceder a las direcciones LAN principales a través de la ruta predeterminada del enrutador interno. Para comunicarse con ellos, necesitaría agregar puertos hacia adelante. Otra posibilidad sería usar NAT 1-a-1 con un conjunto de direcciones.

Como se indicó, el uso de una VLAN por AP compatible con SSID permitiría al menos que un enrutador que ejecuta una versión completa de Linux segregue de manera trivial el tráfico entre los segmentos de la VLAN (recomiendo Ubuntu con Shorewall). Algunas imágenes de firmware de "fuente abierta" para enrutadores domésticos supuestamente pueden hacer reglas de VLAN / SSID y firewall basadas en la etiqueta VLAN, pero tienden a ser horribles y no las sugiero.

Quizás también sería útil un análisis sincero del modelo de amenaza. ¿Por qué es importante que estos dispositivos no puedan llegar a internet? ¿Qué tan estridentes serán los intentos de eludir estos controles? ¿Una lista blanca de MAC no es lo suficientemente buena? Usted dice que los dispositivos son parcialmente confiables ... ¿está seguro de que confía en que tengan acceso desprotegido a sus máquinas confiables de todos modos?

    
respondido por el trognanders 06.11.2018 - 08:13
fuente

Lea otras preguntas en las etiquetas