%20%EC%9E%A5%EC%B9%98%EB%A5%BC%20%EC%97%B0%EA%B2%B0%ED%95%98%EB%8A%94%20%EB%B3%B4%EC%A1%B0%20Wi-Fi%20%EB%9D%BC%EC%9A%B0%ED%84%B0.png)
잠재적인 네트워크 구성을 이해하려고 노력하는 동안 양해해 주셔서 미리 감사드립니다...
신뢰할 수 없는(패치할 수 없는) 장치를 연결하기 위해 별도의 무선 라우터를 사용하고 싶습니다. 예: 실외의 민감하지 않은 위치에 설치된 자연 카메라 및 벽걸이형 자연 캠 전용 스크린으로 사용되는 오래된 태블릿(단지 한 번만 사용하기 위해 새 태블릿을 구입하는 것을 정당화하기 어려울 수 있기 때문).
내 기본 장치는 별도의 무선 라우터를 통해 신뢰할 수 있는 네트워크에 계속 연결되어 있습니다. 두 라우터 모두 궁극적으로 하나의 모뎀에 연결됩니다. ISP는 이 모뎀을 통해 하나의 IP 주소만 제공합니다.
네트워크 보안 관점에서 이를 수행하는 안전한 방법이 있습니까? 신뢰할 수 없는 네트워크의 패치되지 않은 장치가 손상된 경우 기본(신뢰할 수 있는) 네트워크의 보안도 손상될 가능성이 있습니까?
답변1
위협에 따라 달라지므로 이에 대한 단 하나의 절대적인 답은 없습니다. 그러나 일반적으로 말하면 다음과 같습니다.
다음과 같은 구성을 가질 수 있습니다.
ISP Router ------------ Insecure Device 1
+--- Insecure Device 2
|
+--- WAN - Router 2
|
LAN
|
+-------- Patched Device 1
+-------- Patched Device 2
...
또한 라우터 2가 NAT(방화벽 역할을 함)를 수행하는지 확인해야 하며 라우터 2의 LAN 서브넷이 라우터 1과 다른지 확인해야 합니다. 예를 들어 라우터 1이 192.168.xx인 경우 라우터 2는 로컬 네트워크에는 10.0.xx와 같은 것을 사용해야 합니다.
단점은 ROUTER2를 통과하는 장치가 이중으로 구성된다는 점이지만 오늘날에는 별 차이가 거의 없습니다.
보너스로, 안전하지 않은 장치를 부분적으로 신뢰한다면 패치된 장치에서 해당 장치에 액세스할 수 있어야 합니다. 이것은 방탄은 아니지만 안전하지 않은 장치는 패치된 장치를 볼 수 없고 Want 인터페이스만 볼 수 있기 때문에 꽤 좋습니다. 라우터 2의
답변2
특정 순서로 데이지 체인 무선 라우터를 사용하는 것이 좋습니까? (모뎀 > 신뢰할 수 있는 네트워크 > 신뢰할 수 없는 네트워크... 대 모뎀 > 신뢰할 수 없음 > 신뢰할 수 있음).
두 옵션을 모두 사용할 수 있지만 둘 다 이상적이지는 않습니다.
을 사용하면 modem > trusted network > untrusted network신뢰할 수 없는 네트워크의 모든 트래픽이 이동됩니다.~을 통해신뢰할 수 있는 라우터와 신뢰할 수 없는 라우터는 당연히 신뢰할 수 있는 네트워크에 대한 경로를 갖습니다(해당 네트워크의 직접 일부이기 때문에). 이 경우 보안이 유지됩니다.만약에신뢰할 수 없는 네트워크를 관리하는 라우터에는 신뢰할 수 있는 네트워크의 IP 주소 범위에 대한 트래픽을 차단하는 명시적인 방화벽 규칙이 있습니다.
을 사용하면 modem > untrusted network > trusted network신뢰할 수 있는 네트워크의 모든 트래픽이 신뢰할 수 없는 네트워크를 통과하게 됩니다. 신뢰할 수 없는 장치가 신뢰할 수 없는 라우터 자체("패치할 수 없는 레거시 장치" 범주에 속할 수도 있음)에 침입할 것으로 예상하지 않는 한 괜찮습니다. 이러한 일이 발생하는 사례와 악성 코드에 대해 들었습니다. 라우터가 TLS를 가로채거나(드물지만 전례가 없는 것은 아님) 스팸을 보내는 것입니다.
두 무선 라우터를 유선 라우터에 연결하면 두 라우터가 서로 샌드박스 처리됩니까?
예. 하지만 라우터 종류에 따라 다릅니다.
또 다른 NAT 계층과 모든 기능을 갖춘 또 다른 "홈 게이트웨이" 종류의 라우터라면, 예, 모든 것이 작동할 것입니다. 하지만 이 경우 "내부" Wi-Fi 라우터에 NAT 기능이 있는지 조사하겠습니다. 비활성화됩니다(물론 방화벽은 계속 활성화된 상태로 유지합니다).
기본적으로 여러 네트워크(즉, 각 포트가 서로 다른 LAN)를 관리할 수 있는 라우터라면 무선 라우터가 실제로 필요하지 않습니다.라우터로서그 시점에서는 더 이상; 당신은 사용할 수 있습니다이것라우터를 사용하여 두 서브넷을 모두 관리하고(두 서브넷 모두에 대해 게이트웨이 역할을 하고, 둘 다에 대해 DHCP 수행) 이 라우터의 방화벽 규칙을 사용하여 원치 않는 방향의 트래픽을 차단합니다(첫 번째 예와 유사). 그러면 Wi-Fi 장치가 액세스 포인트로 실행될 수 있습니다. 이는 여러 LAN이 단일 게이트웨이(종종 VLAN 형태)로 돌아가고 게이트웨이의 방화벽이 누가 무엇에 액세스할 수 있는지 결정하는 등 얼마나 많은 기업 네트워크가 실행되는지를 나타냅니다.