預先感謝您的恩典和耐心,因為我試圖了解潛在的網路配置...
我想使用一個單獨的無線路由器來連接不受信任(不可修補)的裝置。例如:將自然相機放置在戶外非敏感位置,並將舊平板電腦用作自然相機的壁掛式專用螢幕(因為可能很難證明僅出於此用途而購買新平板電腦是合理的)。
我的主要設備將保持連接到單獨無線路由器上的受信任網路。兩台路由器最終都會連接到一個數據機。 ISP 僅透過此數據機提供一個 IP 位址。
從網路安全的角度來看,有沒有一種安全的方法可以做到這一點?如果不可信任網路上未打補丁的裝置受到損害,主(可信任)網路的安全性是否也可能受到損害?
答案1
對此沒有單一的絕對答案,因為這取決於威脅,但總的來說 -
你可以有這樣的配置:
ISP Router ------------ Insecure Device 1
+--- Insecure Device 2
|
+--- WAN - Router 2
|
LAN
|
+-------- Patched Device 1
+-------- Patched Device 2
...
您還需要確保路由器 2 執行 NAT(充當防火牆),並且您需要確保路由器 2 上的 LAN 子網路與路由器 1 不同 - 例如,如果路由器 1 是 192.168.xx,則路由器 2應為其本地網路使用類似10.0 .xx 的內容。
缺點是透過 ROUTER2 的設備是雙重連接的,但在當今世界,這可能沒有多大區別。
作為獎勵,如果您至少部分信任不安全的設備,您應該能夠從已修補的設備訪問它們- 這不是防彈的,但相當不錯,因為不安全的設備無法看到已修補的設備,只能看到Want 介面路由器 2 的。
答案2
是否建議以特定順序菊花鏈連接無線路由器? (數據機 > 可信任網路 > 不可信網路...與數據機 > 不可信 > 可信)。
兩個選項都可以使用,但都不是理想的。
使用modem > trusted network > untrusted network,來自不受信任網路的所有流量都將通過透過受信任的路由器和不受信任的路由器自然有一條通往受信任網路的路由(因為是該網路的直接一部分)。在這種情況下,只會變得安全如果管理不受信任網路的路由器具有明確的防火牆規則,阻止流向受信任網路的 IP 位址範圍的流量。
使用 時modem > untrusted network > trusted network,來自可信任網路的所有流量都將通過不可信網路。沒關係,只要您不希望不受信任的設備闖入不受信任的路由器本身(這也可能屬於“傳統的不可修補設備”類別) - 我聽說過這種情況發生的案例和惡意軟體路由器進行TLS攔截(罕見但並非聞所未聞)或只是發送垃圾郵件。
將兩個無線路由器連接到有線路由器是否會導致兩個路由器相互沙箱化?
是的,但要看它是什麼類型的路由器。
如果它只是另一個“家庭網關”類型的路由器,還有另一層NAT 和一切- 是的,一切都會工作,儘管在這種情況下我會研究“內部”Wi-Fi 路由器是否可以具有NAT功能停用(當然,但仍保持防火牆啟用)。
如果它是一個本身能夠管理多個網路的路由器(即每個連接埠一個不同的 LAN),那麼您實際上不需要無線路由器作為路由器那時不再;你可以用這路由器來管理兩個子網路(充當兩個子網路的網關,為兩個子網路執行 DHCP),並使用該路由器上的防火牆規則來阻止不需要的方向上的流量(類似於第一個範例)。然後 Wi-Fi 裝置可以作為存取點運作。這就是運行多個企業網路的方式,其中多個 LAN 會返回到單一網關(通常以 VLAN 的形式),並且網關的防火牆決定誰可以存取什麼。