私は共有 DSL 接続を使用していますが、一部のユーザーのコンピューターが頻繁に感染していることがわかっているため、ネットワーク セキュリティが心配です。私のコンピューターは、イーサネット ケーブル (eth0 インターフェイス) でモデム (ワイヤレス AP でもある) に有線接続されている唯一のコンピューターであり、他のすべてのユーザーはワイヤレス接続されています (wlan0 インターフェイス)。
コンピュータを隔離または保護するためには、どのような対策を講じるべきでしょうか。ワイヤレス ネットワークに接続している場合、Wireshark や ettercap などのソフトウェアを使用して、送信中のパッケージを傍受して読み取ることができることはわかっていますが、送信したパッケージの読み取りを回避するにはどうすればよいのでしょうか。また、それが不可能な場合は、他にどのような予防策を講じるべきでしょうか。
私は次のような答えを求めているわけではない「そもそもネットワークを彼らと共有すべきではない」なぜなら、これは家(ルームメイトと一緒)でも職場(だから私にはどうすることもできない)でも同じことだからです。
関連する可能性のある設定は次のとおりです:
オン/自動
NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation
オフ
Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall
他の
Network Authentication - mixed wpa2/wpa - psk
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients
LAN 側のファイアウォールを有効にするとインターネット接続が失われるので、これ以上問題を起こさないようにしたいのですが、私はネットワークの専門家ではありません。
インターフェースのグループ化:
Group Name | WAN Interface | LAN Interfaces
Default | ppp0 | eth3
| | eth2
| | eth1
| | eth0
| | wlan0
LAN 統計では、eth0 と wl0 のみがデータを送受信していることが示されています。
私のオペレーティングシステムはDebian 6.0.7 (squeeze)
答え1
あなたが書いたことから、あなたは現在友達と同じネットワーク上にいますが、彼らは現在あなたをさらに感染させようとはしていないようです (eth0 と wl0 のみがデータを送受信しているため)。
私の理解が正しければ、クライアントの分離は多少は役立つかもしれませんが、おそらく役に立たないでしょう。
本当の解決策は、PC でファイアウォールを実行するか、2 台目のルーターを用意してメイン ルーターをルーターに接続し、次に PC をルーターに接続することです。これは「二重 NAT」の問題があるため「優れた解決策」ではありませんが、ネットワークからの保護と分離の手段が大幅に強化されます。
答え2
メインの WiFi ネットワークとは別のゲスト ネットワークを備えたルーターを入手することをお勧めします。
これにより、ワイヤレス ネットワークを 2 つの別々のサブネットワークに分割できるため、信頼できないコンピューターはネットワークにまったくアクセスできなくなりますが、ワイヤレス デバイスを独自のネットワークに安全に接続することはできます。
次善策は、DD-WRT を簡単にサポートする (つまり、機械的な作業なしで) ルーターを入手して、このようにネットワークを分割することです。DD-WRT は、インターネットを過度に使用した場合に他のユーザーの帯域幅を制限できる QoS もサポートしています。
後者のケースについては、友人や近所の人とインターネットを安全に共有しましょう。
答え3
有線接続していて、ワイヤレス接続を維持したい場合は、eBayで2つのNICを搭載した安価なコンピューターを入手し、インストールすることをお勧めします。ペフセンスそれに pfSense は管理が非常に簡単で、コンピューターを安全に保つ優れたファイアウォールになります。スヌーピングに関しては、Wi-Fi ルーターによって異なります。そこそこの性能のルーターであれば、ルーティング テーブルがパケットをそこに送信しないため、特にワイヤレス マシンに到達しようとしている場合を除き、ワイヤレス ネットワーク経由で有線トラフィックを送信することはありません。
答え4
多くのルーターには、WiFi ルーター/AP を接続できる DMZ ポートがあります。これにより、ネットワークを希望どおりにセグメント化できます。スイッチと別のルーターを購入し、すべての有線クライアントを新しいルーターに接続し、ワイヤレス クライアントを AP に保持することもできます。(異なるサブネットを使用します)