un enrutador wifi secundario para conectar dispositivos heredados/no confiables (no parcheables)

Question 1

No existe una única respuesta absoluta a esto, ya que depende de la amenaza, pero en términos generales...

Podrías tener la configuración:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

Además, deberá asegurarse de que el enrutador 2 realice NAT (que actúa como un firewall) y querrá asegurarse de que la subred LAN en el enrutador 2 sea diferente a la del enrutador 1; por ejemplo, si el enrutador 1 es 192.168.xx, el enrutador 2 debería usar algo como 10.0.xx para su red local.

La desventaja es que los dispositivos que pasan por el ROUTER2 tienen doble naturaleza, pero en el mundo actual eso probablemente hace muy poca diferencia.

Como beneficio adicional, si confía al menos parcialmente en dispositivos inseguros, debería poder acceder a ellos desde sus dispositivos parcheados; esto no es a prueba de balas, pero es bastante bueno porque los dispositivos inseguros no pueden ver los dispositivos parcheados, solo la interfaz Want. del enrutador 2.

Answer

No existe una única respuesta absoluta a esto, ya que depende de la amenaza, pero en términos generales...

Podrías tener la configuración:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

Además, deberá asegurarse de que el enrutador 2 realice NAT (que actúa como un firewall) y querrá asegurarse de que la subred LAN en el enrutador 2 sea diferente a la del enrutador 1; por ejemplo, si el enrutador 1 es 192.168.xx, el enrutador 2 debería usar algo como 10.0.xx para su red local.

La desventaja es que los dispositivos que pasan por el ROUTER2 tienen doble naturaleza, pero en el mundo actual eso probablemente hace muy poca diferencia.

Como beneficio adicional, si confía al menos parcialmente en dispositivos inseguros, debería poder acceder a ellos desde sus dispositivos parcheados; esto no es a prueba de balas, pero es bastante bueno porque los dispositivos inseguros no pueden ver los dispositivos parcheados, solo la interfaz Want. del enrutador 2.

Question 2

¿Se recomienda conectar en cadena los enrutadores inalámbricos en un orden determinado? (módem > red confiable > red no confiable... versus módem > no confiable > confiable).

Se pueden utilizar ambas opciones, ambas no son ideales.

Con modem > trusted network > untrusted network, todo el tráfico de la red que no es de confianza iráa través deel confiable, y el enrutador que no es confiable naturalmente tiene una ruta a la red confiable (debido a que es parte directa de esa red). En este caso, sólo será segurosiel enrutador que administra la red que no es de confianza tiene reglas de firewall explícitas que bloquean el tráfico al rango de direcciones IP de la red de confianza.

Con modem > untrusted network > trusted network, todo el tráfico de la red confiable pasará por la que no es confiable. Eso está bien, siempre y cuando no espere que los dispositivos que no son de confianza accedan al enrutador que no es de confianza (que también puede estar en la categoría de "dispositivos antiguos que no se pueden parchear"), y he oído hablar de casos en los que esto sucede y de malware en el enrutador intercepta TLS (raro pero no inaudito) o simplemente envía spam.

¿Conectar ambos enrutadores inalámbricos a un enrutador con cable daría como resultado un espacio aislado entre sí?

Sí, pero depende del tipo de enrutador que sea.

Si se trata simplemente de otro tipo de enrutador de "puerta de enlace doméstica", con otra capa más de NAT y todo, sí, todo funcionaría, aunque en ese caso investigaría si los enrutadores Wi-Fi "internos" podrían tener su función NAT. deshabilitado (pero manteniendo los firewalls aún habilitados, por supuesto).

Si se trata de un enrutador que es capaz de administrar múltiples redes de forma nativa (es decir, cada puerto es una LAN diferente), realmente no necesitaría los enrutadores inalámbricos.como enrutadoresya en ese momento; podrías usaresteenrutador para administrar ambas subredes (actúe como puerta de enlace para ambas, haga DHCP para ambas) y use reglas de firewall en este enrutador para bloquear el tráfico en la dirección no deseada (similar al primer ejemplo). Los dispositivos Wi-Fi podrían funcionar entonces como puntos de acceso. Así es como se ejecutan muchas redes empresariales, con varias LAN que regresan a una única puerta de enlace (a menudo en forma de VLAN) y el firewall de la puerta de enlace decide quién puede acceder a qué.

Answer

¿Se recomienda conectar en cadena los enrutadores inalámbricos en un orden determinado? (módem > red confiable > red no confiable... versus módem > no confiable > confiable).

Se pueden utilizar ambas opciones, ambas no son ideales.

Con modem > trusted network > untrusted network, todo el tráfico de la red que no es de confianza iráa través deel confiable, y el enrutador que no es confiable naturalmente tiene una ruta a la red confiable (debido a que es parte directa de esa red). En este caso, sólo será segurosiel enrutador que administra la red que no es de confianza tiene reglas de firewall explícitas que bloquean el tráfico al rango de direcciones IP de la red de confianza.

Con modem > untrusted network > trusted network, todo el tráfico de la red confiable pasará por la que no es confiable. Eso está bien, siempre y cuando no espere que los dispositivos que no son de confianza accedan al enrutador que no es de confianza (que también puede estar en la categoría de "dispositivos antiguos que no se pueden parchear"), y he oído hablar de casos en los que esto sucede y de malware en el enrutador intercepta TLS (raro pero no inaudito) o simplemente envía spam.

¿Conectar ambos enrutadores inalámbricos a un enrutador con cable daría como resultado un espacio aislado entre sí?

Sí, pero depende del tipo de enrutador que sea.

Si se trata simplemente de otro tipo de enrutador de "puerta de enlace doméstica", con otra capa más de NAT y todo, sí, todo funcionaría, aunque en ese caso investigaría si los enrutadores Wi-Fi "internos" podrían tener su función NAT. deshabilitado (pero manteniendo los firewalls aún habilitados, por supuesto).

Si se trata de un enrutador que es capaz de administrar múltiples redes de forma nativa (es decir, cada puerto es una LAN diferente), realmente no necesitaría los enrutadores inalámbricos.como enrutadoresya en ese momento; podrías usaresteenrutador para administrar ambas subredes (actúe como puerta de enlace para ambas, haga DHCP para ambas) y use reglas de firewall en este enrutador para bloquear el tráfico en la dirección no deseada (similar al primer ejemplo). Los dispositivos Wi-Fi podrían funcionar entonces como puntos de acceso. Así es como se ejecutan muchas redes empresariales, con varias LAN que regresan a una única puerta de enlace (a menudo en forma de VLAN) y el firewall de la puerta de enlace decide quién puede acceder a qué.

un enrutador wifi secundario para conectar dispositivos heredados/no confiables (no parcheables)

Respuesta1

Respuesta2

información relacionada