Configuración del segundo enrutador para subred segura

7

Tengo un BT Smart Hub como mi enrutador que no tiene funcionalidad de red para invitados, también tengo un Netgear Nighthawk D7000.

Inicialmente, intenté usar solo el D7000 y aprovechar la función de wifi de invitado, pero no pude configurar correctamente los canales de televisión por Internet, YouView y BT, según lo requerido (algunos están encriptados, por ejemplo, BT Sport, así que pregúntese si esto es así). fue el problema).

Estaba considerando una configuración como esta:

 Phone Line
     |
     |
 Main router, BT Smart Hub (has guest access)
     |      |        |                \  
     |     TV     YouView etc      Guest wireless devices
     | 
     |
 2nd / D7000 router (LAN on Main router -> Internet port on 2nd / D7000)

¿Está la configuración destinada a causar dolores de cabeza interminables o es bastante sencilla?

El BT Smart Hub en realidad también tiene un puerto WAN adicional, no estaba seguro de si existía la posibilidad de pasar de este puerto WAN al puerto de Internet (¿WAN?) en la D7000? ¿Hay algún beneficio extra para esto si es posible? ¿Más seguro? ¿Algo más difícil de configurar?

Resolviendo el problema de que el dispositivo inalámbrico Guest (o LAN conectado) podría tomar el control del enrutador principal y realizar un seguimiento efectivo de todo el tráfico hacia y desde Internet desde el enrutador privado (que tiene mi computadora portátil / pc / mac, etc.) ¿Una VPN como F-Secure Freedome en todos los dispositivos en el segundo enrutador privado mitiga significativamente o incluso detiene cualquier MITM allí? ¿Existe algún riesgo de acceso directo a los dispositivos en el segundo enrutador a través del enrutador principal o el firewall en el segundo enrutador lo bloqueará?

Esta pregunta es una especie de seguimiento de the one here , ya que una de las respuestas sugirió que la configuración aquí fue al revés, pero incluso si se invierte, abriría la configuración para los ataques Man In The Middle y hará que toda la red salga de la 2da. enrutador potencialmente expuesto.

    
pregunta Stibstibstib 31.10.2017 - 14:40
fuente

1 respuesta

1

Esta es una gran pregunta y como pentagrama con experiencia, está constantemente configurando redes en capas ... Puedo decirles que no es una respuesta directa. En mi experiencia, se tratará más de lo bien diseñados que están estos enrutadores / conmutadores que las buenas prácticas de configuración.

1: inténtalo. Solo configúralo, abre el tiburón de alambre y vete. Si te encuentras con problemas, comprueba Wirehark. Sea especialmente atento a las llamadas ARP y DHCP. Un problema importante con el que puede encontrarse es la confusión acerca de tener dos tablas arp. Si el primer enrutador cree que una IP ha cambiado (DHCP) pero el segundo enrutador (que funciona como un conmutador de capa 3 básicamente) no ha actualizado su tabla de arp ... ese dispositivo será un fantasma. No tenga miedo de desconectar y enchufar el 2do enrutador para resolver problemas como este.

2: la forma en que los enrutadores manejan varias "puertas de enlace" no siempre es excelente. Si conecta el D700 al enrutador principal en el puerto WAN del D700, puede confundirse. Algunos enrutadores tienen características para mitigar esto, otros no. Si uno de los enrutadores no puede manejar la configuración que está configurando, sugeriría que el rango de IP del segundo enrutador sea diferente del primero (10.0.0.0/24 y 192.168.0.0/24) para ayudar con los problemas Disparo y confirmación de encaminamiento adecuado. Forzará una tabla de rutas en el segundo enrutador que podría ayudar con las confusiones (¿por qué hay varios DHCP?!, Dice el enrutador y los dispositivos).

3: MITM es confuso en el contexto utilizado aquí. MITM más común: SSID falso que imita, ya sea un enrutador, y cuando alguien inicia sesión en él, SSL borra y recopila contraseñas, etc. Este es un tipo de ataque bastante específico y desagradable. El segundo hombre más común en el medio sucede si alguien ya ha roto tu red y no voy a entrar en ella porque estás en serios problemas en ese momento, sin importar cómo lo veas. Su configuración, en mi opinión, no afecta realmente su exposición a MITM para un atacante motivado.

¿Conectarlo todo e informar con errores? Feliz de ayudar a solucionar problemas. Buena suerte.

    
respondido por el bashCypher 05.04.2018 - 02:28
fuente

Lea otras preguntas en las etiquetas