レガシー/信頼できない(パッチ適用できない)デバイスを接続するためのセカンダリWi-Fiルーター

tag-icon tag-icon networking wireless-networking router security wireless-router
レガシー/信頼できない(パッチ適用できない)デバイスを接続するためのセカンダリWi-Fiルーター

潜在的なネットワーク構成を理解しようとしている間、寛大さと忍耐に感謝します...

信頼できない (パッチを適用できない) デバイスを接続するために、別のワイヤレス ルーターを使用したいと考えています。例: 屋外の機密性のない場所に設置された自然カメラと、その自然カメラ用の壁に取り付けられた専用スクリーンとして使用される古いタブレット (この用途のためだけに新しいタブレットを購入するのは正当化しにくいため)。

主なデバイスは、別のワイヤレス ルーター上の信頼できるネットワークに接続されたままになります。両方のルーターは、最終的には 1 つのモデムに接続されます。ISP はこのモデムを通じて 1 つの IP アドレスのみを提供します。

ネットワーク セキュリティの観点から、これを行う安全な方法はありますか? 信頼できないネットワーク上のパッチが適用されていないデバイスが侵害された場合、プライマリ (信頼できる) ネットワークのセキュリティも侵害される可能性はありますか?

答え1

脅威によって異なるため、これに対する絶対的な答えは一つではありませんが、一般的には、

次のような構成が可能です:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

さらに、ルータ 2 が NAT (ファイアウォールとして機能) を実行していることを確認する必要があり、ルータ 2 の LAN サブネットがルータ 1 と異なることを確認する必要があります。たとえば、ルータ 1 が 192.168.xx の場合、ルータ 2 はローカル ネットワークに 10.0.xx などを使用する必要があります。

欠点は、ROUTER2 を通過するデバイスが二重 NAT されることですが、今日の世界では、それはほとんど違いをもたらさない可能性があります。

ボーナスとして、安全でないデバイスを少なくとも部分的に信頼している場合は、パッチを適用したデバイスからそれらのデバイスにアクセスできるはずです。これは完全ではありませんが、安全でないデバイスはパッチを適用したデバイスを認識できず、ルーター 2 の Want インターフェイスのみを認識するため、非常に優れています。

答え2

ワイヤレス ルーターを特定の順序でデイジー チェーン接続することが推奨されますか? (モデム > 信頼できるネットワーク > 信頼できないネットワーク... または、モデム > 信頼できない > 信頼できる)。

どちらのオプションも使用できますが、どちらも理想的ではありません。

を使用するとmodem > trusted network > untrusted network、信頼できないネットワークからのすべてのトラフィックはを通して信頼できないルーターは、信頼できるネットワークへのルートを当然持っています(そのネットワークに直接参加しているため)。この場合、安全になるのはもし信頼できないネットワークを管理するルーターには、信頼できるネットワークの IP アドレス範囲へのトラフィックをブロックする明示的なファイアウォール ルールがあります。

を使用するとmodem > untrusted network > trusted network、信頼できるネットワークからのすべてのトラフィックが信頼できないネットワークを通過することになります。信頼できないデバイスが信頼できないルーター自体に侵入するとは想定されていない限り、これは問題ありません (これは「パッチを適用できないレガシーデバイス」のカテゴリに含まれる場合もあります)。また、このようなケースや、ルーター上のマルウェアが TLS を傍受するケース (まれですが、まったくないわけではありません)、または単にスパムを送信するケースについても聞いたことがあります。

両方のワイヤレス ルーターを有線ルーターに接続すると、2 つのルーターが互いにサンドボックス化されることになりますか?

はい、ただしルーターの種類によって異なります。

もしそれが単なる「ホーム ゲートウェイ」タイプのルーターで、NAT の別のレイヤーなどを備えているだけであれば、すべて正常に動作しますが、その場合は「内部」Wi-Fi ルーターの NAT 機能を無効にできるかどうかを調べます (ただし、ファイアウォールは有効なままにします)。

複数のネットワークをネイティブに管理できるルーター(つまり、各ポートが異なるLAN)であれば、ワイヤレスルーターは必要ありません。ルーターとしてその時点ではもう使えません。これルーターで両方のサブネットを管理し (両方のゲートウェイとして機能し、両方の DHCP を実行)、このルーターのファイアウォール ルールを使用して、不要な方向のトラフィックをブロックします (最初の例と同様)。その後、Wi-Fi デバイスはアクセス ポイントとして実行できます。多くのエンタープライズ ネットワークはこのように実行され、複数の LAN が単一のゲートウェイ (多くの場合、VLAN 形式) に戻り、ゲートウェイのファイアウォールが誰が何にアクセスできるかを決定します。

関連情報