ein sekundärer WLAN-Router zum Verbinden von älteren/nicht vertrauenswürdigen (nicht patchbaren) Geräten

Question 1

Darauf gibt es keine einzige absolute Antwort, da es von der Bedrohung abhängt, aber allgemein gesagt -

Sie könnten die folgende Konfiguration haben:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

Sie müssen außerdem sicherstellen, dass Router 2 NAT ausführt (das als Firewall fungiert), und dass das LAN-Subnetz auf Router 2 sich von dem auf Router 1 unterscheidet. Wenn Router 1 beispielsweise 192.168.xx ist, sollte Router 2 für sein lokales Netzwerk etwa 10.0.xx verwenden.

Der Nachteil besteht darin, dass Geräte, die über ROUTER2 laufen, doppelt geroutet sind, aber in der heutigen Welt macht das wahrscheinlich kaum einen Unterschied.

Als Bonus sollten Sie, wenn Sie unsicheren Geräten zumindest teilweise vertrauen, von Ihren gepatchten Geräten aus auf diese zugreifen können. Das ist zwar nicht hundertprozentig sicher, aber ziemlich gut, da die unsicheren Geräte die gepatchten Geräte nicht sehen können, sondern nur die Want-Schnittstelle von Router 2.

Answer

Darauf gibt es keine einzige absolute Antwort, da es von der Bedrohung abhängt, aber allgemein gesagt -

Sie könnten die folgende Konfiguration haben:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

Sie müssen außerdem sicherstellen, dass Router 2 NAT ausführt (das als Firewall fungiert), und dass das LAN-Subnetz auf Router 2 sich von dem auf Router 1 unterscheidet. Wenn Router 1 beispielsweise 192.168.xx ist, sollte Router 2 für sein lokales Netzwerk etwa 10.0.xx verwenden.

Der Nachteil besteht darin, dass Geräte, die über ROUTER2 laufen, doppelt geroutet sind, aber in der heutigen Welt macht das wahrscheinlich kaum einen Unterschied.

Als Bonus sollten Sie, wenn Sie unsicheren Geräten zumindest teilweise vertrauen, von Ihren gepatchten Geräten aus auf diese zugreifen können. Das ist zwar nicht hundertprozentig sicher, aber ziemlich gut, da die unsicheren Geräte die gepatchten Geräte nicht sehen können, sondern nur die Want-Schnittstelle von Router 2.

Question 2

Wäre es ratsam, WLAN-Router in einer bestimmten Reihenfolge hintereinander zu schalten? (Modem > vertrauenswürdiges Netzwerk > nicht vertrauenswürdiges Netzwerk … vs. Modem > nicht vertrauenswürdig > vertrauenswürdig).

Beide Optionen können verwendet werden, beide sind nicht ideal.

Mit modem > trusted network > untrusted networkwird der gesamte Datenverkehr aus dem nicht vertrauenswürdigen Netzwerkdurchder vertrauenswürdige, und der nicht vertrauenswürdige Router hat natürlich eine Route zum vertrauenswürdigen Netzwerk (da er direkt Teil dieses Netzwerks ist). In diesem Fall wird er nur dann sicherWennDer Router, der das nicht vertrauenswürdige Netzwerk verwaltet, verfügt über explizite Firewall-Regeln, die den Datenverkehr zum IP-Adressbereich des vertrauenswürdigen Netzwerks blockieren.

Mit modem > untrusted network > trusted networkwird der gesamte Datenverkehr aus dem vertrauenswürdigen Netzwerk über das nicht vertrauenswürdige geleitet. Das ist in Ordnung, solange Sie nicht erwarten, dass die nicht vertrauenswürdigen Geräte in den nicht vertrauenswürdigen Router selbst eindringen (der möglicherweise auch in die Kategorie „alte, nicht patchbare Geräte“ fällt) – und ich habe von Fällen gehört, in denen dies passiert ist und Malware auf dem Router TLS-Abfangvorgänge durchführt (selten, aber nicht unbekannt) oder einfach Spam versendet.

Würde das Verbinden beider WLAN-Router mit einem kabelgebundenen Router dazu führen, dass die beiden in einer Sandbox voneinander getrennt werden?

Ja, hängt aber davon ab, um welche Art von Router es sich handelt.

Wenn es sich bloß um einen weiteren Router vom Typ „Home Gateway“ handelt, mit einer weiteren NAT-Schicht und allem Drum und Dran – ja, dann würde alles funktionieren. In diesem Fall würde ich allerdings prüfen, ob die NAT-Funktion der „inneren“ WLAN-Router deaktiviert werden könnte (die Firewalls sollten aber natürlich weiterhin aktiviert bleiben).

Wenn es sich um einen Router handelt, der von Haus aus mehrere Netzwerke verwalten kann (also jeder Port ein anderes LAN ist), brauchen Sie die WLAN-Router nicht wirklich.als Routernicht mehr an diesem Punkt; Sie könnten verwendenDasRouter zur Verwaltung beider Subnetze (als Gateway für beide fungieren, DHCP für beide ausführen) und Firewall-Regeln auf diesem Router verwenden, um Verkehr in die unerwünschte Richtung zu blockieren (ähnlich wie im ersten Beispiel). Die Wi-Fi-Geräte könnten dann als Zugriffspunkte laufen. So werden viele Unternehmensnetzwerke betrieben, wobei mehrere LANs zu einem einzigen Gateway zurückführen (häufig in Form von VLANs) und die Firewall des Gateways entscheidet, wer auf was zugreifen kann.

Answer

Wäre es ratsam, WLAN-Router in einer bestimmten Reihenfolge hintereinander zu schalten? (Modem > vertrauenswürdiges Netzwerk > nicht vertrauenswürdiges Netzwerk … vs. Modem > nicht vertrauenswürdig > vertrauenswürdig).

Beide Optionen können verwendet werden, beide sind nicht ideal.

Mit modem > trusted network > untrusted networkwird der gesamte Datenverkehr aus dem nicht vertrauenswürdigen Netzwerkdurchder vertrauenswürdige, und der nicht vertrauenswürdige Router hat natürlich eine Route zum vertrauenswürdigen Netzwerk (da er direkt Teil dieses Netzwerks ist). In diesem Fall wird er nur dann sicherWennDer Router, der das nicht vertrauenswürdige Netzwerk verwaltet, verfügt über explizite Firewall-Regeln, die den Datenverkehr zum IP-Adressbereich des vertrauenswürdigen Netzwerks blockieren.

Mit modem > untrusted network > trusted networkwird der gesamte Datenverkehr aus dem vertrauenswürdigen Netzwerk über das nicht vertrauenswürdige geleitet. Das ist in Ordnung, solange Sie nicht erwarten, dass die nicht vertrauenswürdigen Geräte in den nicht vertrauenswürdigen Router selbst eindringen (der möglicherweise auch in die Kategorie „alte, nicht patchbare Geräte“ fällt) – und ich habe von Fällen gehört, in denen dies passiert ist und Malware auf dem Router TLS-Abfangvorgänge durchführt (selten, aber nicht unbekannt) oder einfach Spam versendet.

Würde das Verbinden beider WLAN-Router mit einem kabelgebundenen Router dazu führen, dass die beiden in einer Sandbox voneinander getrennt werden?

Ja, hängt aber davon ab, um welche Art von Router es sich handelt.

Wenn es sich bloß um einen weiteren Router vom Typ „Home Gateway“ handelt, mit einer weiteren NAT-Schicht und allem Drum und Dran – ja, dann würde alles funktionieren. In diesem Fall würde ich allerdings prüfen, ob die NAT-Funktion der „inneren“ WLAN-Router deaktiviert werden könnte (die Firewalls sollten aber natürlich weiterhin aktiviert bleiben).

Wenn es sich um einen Router handelt, der von Haus aus mehrere Netzwerke verwalten kann (also jeder Port ein anderes LAN ist), brauchen Sie die WLAN-Router nicht wirklich.als Routernicht mehr an diesem Punkt; Sie könnten verwendenDasRouter zur Verwaltung beider Subnetze (als Gateway für beide fungieren, DHCP für beide ausführen) und Firewall-Regeln auf diesem Router verwenden, um Verkehr in die unerwünschte Richtung zu blockieren (ähnlich wie im ersten Beispiel). Die Wi-Fi-Geräte könnten dann als Zugriffspunkte laufen. So werden viele Unternehmensnetzwerke betrieben, wobei mehrere LANs zu einem einzigen Gateway zurückführen (häufig in Form von VLANs) und die Firewall des Gateways entscheidet, wer auf was zugreifen kann.

ein sekundärer WLAN-Router zum Verbinden von älteren/nicht vertrauenswürdigen (nicht patchbaren) Geräten

Antwort1

Antwort2

verwandte Informationen