%20%D1%81%D0%B5%D1%82%D0%B8%20%D1%81%20%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E%20%D0%B1%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D1%8D%D1%80%D0%B0%2C%20%D0%BF%D1%80%D0%B8%20%D1%8D%D1%82%D0%BE%D0%BC%20%D1%80%D0%B0%D0%B7%D1%80%D0%B5%D1%88%D0%B8%D0%B2%20%D0%B5%D0%B9%20%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%3F.png)
У меня есть общее DSL-подключение, и я знаю, что некоторые пользователи постоянно заражают свои компьютеры, поэтому я беспокоюсь о безопасности сети. Мой компьютер — единственный, подключенный к модему (который также является беспроводной точкой доступа) с помощью кабеля Ethernet (интерфейс eth0), все остальные пользователи подключены по беспроводной сети (интерфейс wlan0).
Какие меры мне следует предпринять, чтобы изолировать или защитить свой компьютер? Я знаю, что если я подключен к беспроводной сети, то могу перехватывать и читать отправляемые пакеты с помощью таких программ, как Wireshark и ettercap, так как же мне избежать чтения отправляемых мной пакетов или, если это невозможно, какие еще меры предосторожности мне следует предпринять?
Я не ищу ответы типа«вам вообще не следует делиться с ними своей сетью», поскольку это касается как дома (с моими соседями по комнате), так и на работе (поэтому я ничего не могу с этим поделать).
Некоторые настройки, которые могут иметь значение:
Вкл/Авто
NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation
Выключенный
Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall
Другой
Network Authentication - mixed wpa2/wpa - psk
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients
Включение брандмауэра на стороне локальной сети привело к потере подключения к Интернету, поэтому я не хочу больше ничего портить — я не эксперт по сетям.
Группировка интерфейсов:
Group Name | WAN Interface | LAN Interfaces
Default | ppp0 | eth3
| | eth2
| | eth1
| | eth0
| | wlan0
Статистика локальной сети показывает, что только eth0 и wl0 передают/принимают данные.
Моя операционная системаDebian 6.0.7 (squeeze)
решение1
Из того, что вы написали, следует, что в настоящее время вы находитесь в той же сети, что и ваши друзья, хотя, судя по всему, они в настоящее время не пытаются заразить вас еще больше (поскольку только eth0 и wl0 передают/принимают данные).
Если я правильно понимаю, изоляция клиента может немного помочь, но вряд ли.
Реальное решение — убедиться, что вы используете брандмауэр на вашем ПК, или, если вы предпочитаете, получить второй маршрутизатор и подключить основной маршрутизатор к вашему маршрутизатору, а затем ваш ПК к вашему маршрутизатору. Это не «отличное решение» из-за проблем «двойного nat», но это даст вам гораздо лучшую меру защиты и изоляции от их сети.
решение2
Я бы порекомендовал приобрести маршрутизатор с гостевой сетью, отдельной от основной сети WiFi.
Это позволит разделить беспроводную сеть на две отдельные подсети, так что ненадежные компьютеры вообще не будут иметь доступа к вашей сети, в то время как вы по-прежнему сможете безопасно подключать беспроводные устройства к своей собственной сети.
Следующим лучшим решением будет приобрести маршрутизатор, который легко поддерживает DD-WRT (то есть без какой-либо механической работы), в котором можно разделить сеть таким образом. DD-WRT также поддерживает QoS, что может ограничить пропускную способность других пользователей, если они чрезмерно используют Интернет.
Для последнего случая см.Безопасно делитесь своим интернетом с друзьями и соседями.
решение3
Если вы все равно подключены проводом и хотите сохранить беспроводное соединение, я бы посоветовал купить на eBay дешевый компьютер с двумя сетевыми картами и установить в немpfSenseна нем. pfSense очень прост в управлении и является отличным брандмауэром, который должен защитить ваш компьютер. Что касается слежки, это действительно зависит от вашего маршрутизатора Wi-Fi, если он достаточно приличный, он не должен отправлять проводной трафик через беспроводную сеть, если только он специально не пытается достичь беспроводной машины, потому что таблицы маршрутизации не будут направлять туда пакеты.
решение4
Многие маршрутизаторы имеют порт DMZ, к которому вы можете подключить свой маршрутизатор/точку доступа WIFI. Это сегментирует вашу сеть так, как вам нужно. Вы также можете купить коммутатор и еще один маршрутизатор и подключить всех проводных клиентов к новому маршрутизатору, а беспроводных клиентов оставить на точке доступа. (Используйте разные подсети)