дополнительный маршрутизатор Wi-Fi для подключения устаревших/ненадежных (не поддающихся исправлению) устройств

Question 1

На этот вопрос нет однозначного ответа, поскольку все зависит от угрозы, но в общих чертах:

Вы можете иметь следующую конфигурацию:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

Вам также необходимо убедиться, что маршрутизатор 2 выполняет функцию NAT (то есть выполняет функции межсетевого экрана), а также убедиться, что подсеть LAN на маршрутизаторе 2 отличается от подсети маршрутизатора 1 — например, если маршрутизатор 1 имеет адрес 192.168.xx, маршрутизатор 2 должен использовать для своей локальной сети что-то вроде 10.0.xx.

Недостатком является то, что устройства, проходящие через ROUTER2, имеют двойную адресацию, но в современном мире это, скорее всего, не имеет большого значения.

В качестве бонуса, если вы хотя бы частично доверяете незащищенным устройствам, вы сможете получить к ним доступ с ваших пропатченных устройств — это не панацея, но довольно хорошо, поскольку незащищенные устройства не видят пропатченные устройства, а видят только интерфейс Want маршрутизатора 2.

Answer

На этот вопрос нет однозначного ответа, поскольку все зависит от угрозы, но в общих чертах:

Вы можете иметь следующую конфигурацию:

ISP Router ------------ Insecure Device 1
                   +--- Insecure Device 2
                   |
                   +--- WAN - Router 2
                               |
                               LAN
                               |
                               +--------  Patched Device 1
                               +--------  Patched Device 2
                               ...

Вам также необходимо убедиться, что маршрутизатор 2 выполняет функцию NAT (то есть выполняет функции межсетевого экрана), а также убедиться, что подсеть LAN на маршрутизаторе 2 отличается от подсети маршрутизатора 1 — например, если маршрутизатор 1 имеет адрес 192.168.xx, маршрутизатор 2 должен использовать для своей локальной сети что-то вроде 10.0.xx.

Недостатком является то, что устройства, проходящие через ROUTER2, имеют двойную адресацию, но в современном мире это, скорее всего, не имеет большого значения.

В качестве бонуса, если вы хотя бы частично доверяете незащищенным устройствам, вы сможете получить к ним доступ с ваших пропатченных устройств — это не панацея, но довольно хорошо, поскольку незащищенные устройства не видят пропатченные устройства, а видят только интерфейс Want маршрутизатора 2.

Question 2

Будет ли целесообразно последовательное подключение беспроводных маршрутизаторов в определенном порядке? (модем > доверенная сеть > ненадежная сеть... или модем > ненадежная сеть > доверенная).

Оба варианта можно использовать, но оба не идеальны.

С modem > trusted network > untrusted network, весь трафик из ненадежной сети будет идтичерездоверенный, а ненадежный маршрутизатор, естественно, имеет маршрут к доверенной сети (поскольку является ее непосредственной частью). В этом случае он станет безопасным толькоеслимаршрутизатор, управляющий недоверенной сетью, имеет явные правила брандмауэра, блокирующие трафик в диапазоне IP-адресов доверенной сети.

С modem > untrusted network > trusted network, весь трафик из доверенной сети будет проходить через недоверенную. Это нормально, пока вы не ожидаете, что недоверенные устройства взломают сам недоверенный маршрутизатор (который также может быть в категории «устаревшие непатчируемые устройства») – и я слышал о случаях, когда это происходило, и вредоносное ПО на маршрутизаторе перехватывало TLS (редко, но не неслыханно) или просто рассылало спам.

Приведет ли подключение обоих беспроводных маршрутизаторов к проводному маршрутизатору к изоляции их друг от друга?

Да, но это зависит от типа маршрутизатора.

Если это просто еще один маршрутизатор типа «домашнего шлюза», с еще одним слоем NAT и всем остальным — да, все будет работать, хотя в этом случае я бы рассмотрел возможность отключения функции NAT на «внутренних» маршрутизаторах Wi-Fi (конечно, оставив включенными брандмауэры).

Если маршрутизатор изначально способен управлять несколькими сетями (т.е. каждый порт — отдельная локальная сеть), то вам не нужны беспроводные маршрутизаторы.как маршрутизаторыбольше на тот момент; вы могли бы использоватьэтотмаршрутизатор для управления обеими подсетями (выступать в качестве шлюза для обеих, выполнять DHCP для обеих) и использовать правила брандмауэра на этом маршрутизаторе для блокировки трафика в нежелательном направлении (аналогично первому примеру). Устройства Wi-Fi затем могут работать как точки доступа. Именно так работают многие корпоративные сети, с несколькими локальными сетями, восходящими к одному шлюзу (часто в форме VLAN), и брандмауэр шлюза решает, кто может получить доступ к чему.

Answer

Будет ли целесообразно последовательное подключение беспроводных маршрутизаторов в определенном порядке? (модем > доверенная сеть > ненадежная сеть... или модем > ненадежная сеть > доверенная).

Оба варианта можно использовать, но оба не идеальны.

С modem > trusted network > untrusted network, весь трафик из ненадежной сети будет идтичерездоверенный, а ненадежный маршрутизатор, естественно, имеет маршрут к доверенной сети (поскольку является ее непосредственной частью). В этом случае он станет безопасным толькоеслимаршрутизатор, управляющий недоверенной сетью, имеет явные правила брандмауэра, блокирующие трафик в диапазоне IP-адресов доверенной сети.

С modem > untrusted network > trusted network, весь трафик из доверенной сети будет проходить через недоверенную. Это нормально, пока вы не ожидаете, что недоверенные устройства взломают сам недоверенный маршрутизатор (который также может быть в категории «устаревшие непатчируемые устройства») – и я слышал о случаях, когда это происходило, и вредоносное ПО на маршрутизаторе перехватывало TLS (редко, но не неслыханно) или просто рассылало спам.

Приведет ли подключение обоих беспроводных маршрутизаторов к проводному маршрутизатору к изоляции их друг от друга?

Да, но это зависит от типа маршрутизатора.

Если это просто еще один маршрутизатор типа «домашнего шлюза», с еще одним слоем NAT и всем остальным — да, все будет работать, хотя в этом случае я бы рассмотрел возможность отключения функции NAT на «внутренних» маршрутизаторах Wi-Fi (конечно, оставив включенными брандмауэры).

Если маршрутизатор изначально способен управлять несколькими сетями (т.е. каждый порт — отдельная локальная сеть), то вам не нужны беспроводные маршрутизаторы.как маршрутизаторыбольше на тот момент; вы могли бы использоватьэтотмаршрутизатор для управления обеими подсетями (выступать в качестве шлюза для обеих, выполнять DHCP для обеих) и использовать правила брандмауэра на этом маршрутизаторе для блокировки трафика в нежелательном направлении (аналогично первому примеру). Устройства Wi-Fi затем могут работать как точки доступа. Именно так работают многие корпоративные сети, с несколькими локальными сетями, восходящими к одному шлюзу (часто в форме VLAN), и брандмауэр шлюза решает, кто может получить доступ к чему.

дополнительный маршрутизатор Wi-Fi для подключения устаревших/ненадежных (не поддающихся исправлению) устройств

решение1

решение2

Связанный контент