Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Mirouss 19. 10. 2022, 12:07:21
-
Zdravím,
řeším vhodné rozdělení domácí sítě (tzn. mix soukromých pc, IoT a zcela nekontrolovatelných zařízení potomků, pracovních pc na HO a návštěv...), má obava spočívá v tom, že část zařízení by (teoreticky) mohla šířit nějaký síťový marast. Aktuálně využívám 1x Mikrotik, LAN je jednoduše rozsegmentovaná pomocí využití horizon parametru na společném bridge + povypínaném default forwading na WLANech.
Co řeším - v síti je i můj desktop (snažím se mít rozumně bezpečný mmj i proto, že z něj konfiguruju ostatní zařízení vč. toho Mikrotiku) a čas od času si hraju s různými Raspberry udělátky, zkouším distribuce na starším HW atp. - jde tedy o zařízení při svém prvním spuštění neaktualizovaná a teoreticky zranitelnější. Dává smysl mít za účelem lepší izolace těchto zařízení za Mikrotikem ještě jeden router (např. něco s OpenWRT) který by blbovzdorně vytvářel další oddělenou sít (fw + NAT) i v případě chyby/chybné konfigurace Mikrotiku? Nebo je to na doma overkill a budu akorát udržovat další krabičku?
Na testovaných zařízeních stejně obvykle hned zapínám sw fw s deny incoming... jenže co (možné) bugy ve starších verzích? Možná už nad tím moc přemejšlim :)
Co na to odborníci? Díky za názory a váš čas!
-
Já mám na prvním prvku doma (VDSL Modem) 3 WiFi:
1) IOT - vysavač, světla atd ta má přístup jen ven a nikoli do vnitřní sítě
2) Mobily - to samé co výše ale oddělené
3) Vnitřní WiFi vč. napojení na internet (zde jsou PC, televize, NAS, tiskárna atd...) - samozřejmě, že TV má přístup jen ke čtení jen některých sdílených složek na NASu...
-
K výše uvedenámu od Molexe přidávám ještě VLAN pro zálohy, kam povoluju přístup opravdu ultra restriktivně.
-
inspirace za mě:
1. uživatelská (PC, tiskárny, NAS, telefony) - včetně WiFi
2. IoT (hračky co potřebují Internet pro přístup do cloudu, pouze přístup k Internetu) - včetně WiFi
3. MaR (PLC řídící barák a napojené moduly) - bez WiFi
4. návštěvnická (pro hosty, pouze pro hosty) - včetně WiFi
asi by šlo propojit 2 a 4, ale raději to vedu odděleně.
-
Díky za reakce, já mám odděleně 4 WLAN + LAN. Co řeším, je zda LAN neoddělit navíc ještě jedním fyzickým routerem, viz "Router 2":
WAN
|
----------
|Router 1|
|FW + NAT|
----------
| |
| |------ WLAN1,2,3,4 ---- ...
|
----------
|Router 2|
|FW + NAT|
----------
|
NTB1 (sw firewall)
...pomyslný NTB1 by tak byl oddělen od zbytku zařízení ještě jedním fyzickým routerem a i v případě chyby/chybné konfigurace Routeru 1 + selhání/chyby v konfiguraci sw firewallu jsem stále v suchu a bezpečí.
Ale jak píšu v úvodu možná je to overkill a jako druhá vrstva mi stačí vlastně jen softwarový firewall přímo na stanici NTB1. Na druhou stranu si občas hraju i se staršími kernely a tak se mi nechce zcela spolehat na to, že je vše jak má. A proto nad tím vlastně dumám a zvažuji ještě jednu vrstvu "ochrany"... Na druhou stranu si říkám, zda to není přehnaný... a tak mě napadlo se zeptat světa :)
-
Já bych síť normálně rozdělil na VLANy, Mikrotik to bez problémů umí. Není důvod tam mít více routerů. Větší problém pořád bývá u různých AP, který často více VLAN neumí. Zase to zvládá třeba Mikrotik nebo UBNT.
Na firewallu bych normálně zařízl komunikaci mezi sítěmi dle svých představ. A rozdělil bych na síť pro sebe, kde je naprostá kontrola a nehrozí žádný problém a z této sítě půjde dělat i management. Pak nějakou normální síť, kde nejsou děti, můžou tam být třeba i IoT. Pokud hrozí průnik do sítě přes IoT, pak je naopak lepší udělat ještě separátní síť. A pak síť pro děti a návštěvy, klidně dohromady.
Dá se s tím blbnout donekonečna, ale osobně bych se snažil držet co nejmenšího počtu VLAN, ať v tom v určité chvíli není větší zmatek, než když to bylo všechno v jedné síti.
-
Děkuji za re. Druhý router mě napadl, protože po riskařsku tak trochu předpokládám, že se "cokoliv může pokazit" :) proto myšlenka na pojistku v podobě druhého (nezávislého) zařízení, které by duplicitně izolovalo určitou část sítě.
Aktuálně mám pojistku v podobě zapnutého sw firewallu na koncových zařízeních v izolované části - takže i kdyby oddělení přímo na routeru selhalo, nemělo by se nic být schopné připojit. Ovšem tím, že občas používám různé starší distribuce (RPi, starší HW, live cd) nejsou tyhle zařízení vždy zcela aktuální a mohla by tam teoreticky být nějaká díra a proto mě to napadlo. Nedokážu ale odhadnout nakolik je tohle problém a nebo ne.
Pokud tomu správně rozumím, tohle z vašeho pohledu není třeba řešit a je zbytečné to komplikovat.
-
V IOT vlaně bych doporučil nastavit izolaci klientů na L2. Neni moc důvod, aby si ta zařízení povídala spolu, měla by komunikovat jen velmi restriktivně ven a se zařízením které je řídí.
Z mého pohledu jsou všechna tato zařízení největší bezpečnostní riziko.
-
Zcela jednoduše je potřeba odfiltrovat zdroj nebezpečí. Můžou to být děti, IoT a kdo další? Případně stupňovat:
VLAN 1 - moje síť (management, můj počítač, firemní počítač, hračky na zkoušení)
VLAN 2 - běžná síť (manželka, TV a nevím co ještě)
VLAN 3 - IoT? (dost záleží, co ty zařízení dělají, kam komunikují, jaké je celkové riziko napadení), např. u nás na vesnici to prostě nemusím řešit, sousedi na napadení nemají kapacity a že by někdo zaparkoval před barákem a zuřivě hackoval? A proč by to dělal?
VLAN 4 - děti, hosté, tchýně (síť na vlastní nebezpečí)
Prostě je potřeba zvážit celkové riziko, v paneláku je riziko hacknutí řádově vyšší než někde na samotě nebo na malé vesnici. Spoustě věcí je potřeba vůbec zaříznout komunikaci ven a než řešit VLANy, tak bych se dřív zaměřil právě na omezení komunikace a jel všechno on premise místo cloudových nesmyslů. Současně je samozřejmě potřeba maximálně omezit komunikaci dovnitř. Pokud tam mám nějaké řízení, jde to zaříznout na firemní veřejnou IP nebo mobilní datový rozsah mého operátora, tím se výrazně zmenší šance napadení. Taky stojí za zvážení úplně odpojit od sítě nesmysly typu pračka, lednička a podobně. Potřebují připojení? Nepotřebují!
A současně doporučuju mít to všechno co nejjednodušší, čím víc zařízení (a to včetně routerů), čím víc VLAN, tím větší šance nějaké chyby a dosažení přesně opačného efektu, než byl záměr.
-
Díky za postřehy. Zonaci mám již aktuálně nějak rozhozenou (zóna = zařízení, máme toho málo), odděluji to přímo na bridge přes split horizon (L2). VLANy ale vyzkouším, čeká mě to kvůli budoucímu zprovoznění síťového tisku a bude to pohodlnější.
Každopádně redundanci více zařízení za sebou jako zálohu pro případ bugu/chybné konfigurace hlavního routeru tedy neřešíte a věříte mu, že "VLAN prostě bude fungovat", chápu správně? Protože tohle je asi moje hlavní neznámá a proto mám furt tendenci zvažovat nezávislé zařízení navíc.
-
WAN je jenom jeden a všechna zařízení jsou v rámci domácí sítě. Vůbec bych se nezabýval nějakým dělením na VLAN a nechal všechno v jedné síti, aspoň bude snadný přehled o všech připojených zařízeních.
-
Nejlepší segmentace v domácích podmínkách je WIFI s odděleným přístupy klientů. Nevím jak se to jmenuje v domácích routerech, ale činnost je taková že jeden nevidí na druhého a nevidí do LAN, ale pouze WAN.
V LAN je to úplně zbytečné.
Nejlepší je totiž zálohování.
Ono ta segmentace totiž stojí a padá na monitoringu a pravidelném vyhodnocení aktuálního stavu a to doma nikdo nedělá.
Kromě toho ten sajrajt který přijde do LAN si docela dost pravděpodobně s nějakým takovým to nastavením poradí, když tam samozřejmě bude chyba v nastavení a to je dost pravděpodobné, zálohuj.
-
V home routerech bývá obvykle jenom funkce "AP Isolation", kde se připojená zařízení přes WiFi vzájemně nevidí, ale nijak to neomezuje viditelnost z WiFi do LAN. Každopádně v domácí síti jsou všechny tyto restrikce úplně k ničemu, tím bych se vůbec nezabýval. A pokud má někdo stihomam, pak může max. pro návštěvy udělat WiFi-guest, tím to hasne.
-
Každopádně redundanci více zařízení za sebou jako zálohu pro případ bugu/chybné konfigurace hlavního routeru tedy neřešíte a věříte mu, že "VLAN prostě bude fungovat", chápu správně? Protože tohle je asi moje hlavní neznámá a proto mám furt tendenci zvažovat nezávislé zařízení navíc.
Zařízení za sebou nejsou v redundanci, ale je tam přesně o jedno zařízení navíc, který způsobí problémy, když nebude fungovat správně. Redundance je, když ty zařízení budou fungovat paralelně vedle sebe. Nějak to jde udělat i u Mikrotiku, návody jsem viděl, ale nikdy jsem to nezkoušel. Jednodušší je mít na skladě druhý stejný model a pravidelně dělat zálohu, která se do toho zařízení obnoví.
VLANy v Mikrotiku fungují. Nevím, co k tomu dál říct. Prostě se nastaví a fungují, neexistuje nic mezi. Buď je to dobře nastaveno a oddělí jednotlivé sítě nebo je to blbě nastaveno a nefungují. Mikrotik sám od sebe konfiguraci nezmění. Za posledních cca 6 let jsem u VLAN na Mikrotiku zažil pouze jednu chybu, u některých modelů nefungovalo tagování u VLAN 1, tato chyba je už asi 4 roky odstraněná.
Ideální je nastavit si to na Mikrotiku někde bokem, chvíli trvá, než člověk pochopí jejich filosofii a většina návodů na internetu tomu ani trochu nepomáhá, malá nápověda L2 se nastavuje v Bridge a L3 v Interfaces. Nejdřív se nastaví bridge pro všechny VLANy, v nastavení se řekne, který porty tagovat a který jsou access a v Interfaces pak nadefinovat VLANy a jako Interface pak vybrat ten bridge. Všechno ostatní IP, DHCP, firewall se pak nastavuje nad těmi L3. A filtrování packetů je potřeba zapnout jako poslední a ideálně po záloze, může se stát, že po zapnutí filtrování packetů už Mikrotik nebude nikdy dostupný. V případě problémů klidně poradím, poprvé mně to trvalo víc jak týden, než jsem to dal dohromady. Napoprvé je k tomu fajn mít i nějaký switch s VLANama, aby si člověk ověřil, že to nastavil správně.
-
V home routerech bývá obvykle jenom funkce "AP Isolation", kde se připojená zařízení přes WiFi vzájemně nevidí, ale nijak to neomezuje viditelnost z WiFi do LAN.
U řady SOHO zařízení to jde vyřešit zapnutím "guest wlan", která by obvykle měla být i od LAN oddělená, jak píše kolega výše. Ale co pes, to jiná ves.
A pokud má někdo stihomam
Pozor, může mít i děti. Či rodiče "ono mi to bliklo... nevím... potvrdil jsem to" :) a být o pár let zpět, už v síti běhá třeba Conficker.
Zařízení za sebou nejsou v redundanci, ale je tam přesně o jedno zařízení navíc, který způsobí problémy, když nebude fungovat správně.
Má chyba v termínu, myšlen byl prostě princip více nezávislých vrstev - jako dva zámky na vchodových dveřích. V případě chyby jednoho zařízení (zmíněný bug s VLAN 1) by pak problém odchytilo druhé zařízení.
Z reakcí každopádně cítím, že to do takové hloubky doma nikdo neřeší a protože fakt nemám na kontě milión ani v akvárku zlaté rybičky pustím to z hlavy též a jak píše kolega výše postačí zálohovat. A po konfiguraci pro kontrolu oťuknout nmapem. A díky za popis k VLAN. Já se s tím nějak poperu, starší router na hraní mám a zablokování se v routeru už za sebou též :) aspoň jsem se naučil používat safe mode.
Děkuji všem!
-
Momentálně žádný fatální bug v Mikrotiku není a nové verze stačí nasazovat s několika týdenním zpožděním, to obvykle stihnou fatální problémy opravit. Ale to se úplně stejně můžeme bavit o jakýmkoliv zařízení včetně těch v řádu statisíců, chyba se prostě může vyskytnout.
Místo VLAN lze použít a rozdělit jednotlivými porty a samotnými ethernety, ale pak bude dost vysoká spotřeba AP, na každou síť minimálně jeden kus. A osobně bych teda věřil mnohem víc VLANám v Mikrotiku, než různým izolacím a firewallům v různých domácích wifinách. Na druhou stranu to chce počítat i s výměnou AP za takové, aby VLANy zvládalo, cenově přijatelně vyjde zase Mikrotik, stačí si vybrat podle výkonu, ceny a dalších parametrů, dražší je třeba UniFi a navíc je potřeba řídící software, což je dost nesmysl pro jedno zařízení.
Pokud to jde otestovat někde bokem, tak je to ideální stav, člověk se to na tom naučí a pochopí princip, jak to u Mikrotiku funguje. Když bude potřeba, klidně poskytnu detailnější návod, než jsem napsal.
-
Zdravím,
řeším vhodné rozdělení domácí sítě (tzn. mix soukromých pc, IoT a zcela nekontrolovatelných zařízení potomků, pracovních pc na HO a návštěv...), má obava spočívá v tom, že část zařízení by (teoreticky) mohla šířit nějaký síťový marast. Aktuálně využívám 1x Mikrotik, LAN je jednoduše rozsegmentovaná pomocí využití horizon parametru na společném bridge + povypínaném default forwading na WLANech.
Co řeším - v síti je i můj desktop (snažím se mít rozumně bezpečný mmj i proto, že z něj konfiguruju ostatní zařízení vč. toho Mikrotiku) a čas od času si hraju s různými Raspberry udělátky, zkouším distribuce na starším HW atp. - jde tedy o zařízení při svém prvním spuštění neaktualizovaná a teoreticky zranitelnější. Dává smysl mít za účelem lepší izolace těchto zařízení za Mikrotikem ještě jeden router (např. něco s OpenWRT) který by blbovzdorně vytvářel další oddělenou sít (fw + NAT) i v případě chyby/chybné konfigurace Mikrotiku? Nebo je to na doma overkill a budu akorát udržovat další krabičku?
Na testovaných zařízeních stejně obvykle hned zapínám sw fw s deny incoming... jenže co (možné) bugy ve starších verzích? Možná už nad tím moc přemejšlim :)
Co na to odborníci? Díky za názory a váš čas!
ta testovaná zařízení bych určitě dal do izolované VLAN jménem třeba LAB a přes firewall Mikrotiku otevřel jen přístup z admin PC
-
U mě má každé zařízení na Wi-Fi podle MAC přiděleno vlastní PSK a nějakou VLAN. Pokud není na seznamu známých MAC, použije se výchozí PSK a klient se dostane do sítě pro hosty. Toto lze u Mikrotiku nastavit celkem snadno, nové zařízení znamená přidat jeden řádek do konfigurace, pokud ho přidávám do stávající VLAN.
Ve výsledku tak stačí jeden fyzický router a jedno SSID, chová se jako několik oddělených. Něco má přístup jen na Internet, něco jen do lokální sítě (a to ne kamkoliv), něco do obojího. Podle potřeb a víceméně podle principu minimálních oprávnění.
Nejlepší je totiž zálohování.
…
Kromě toho ten sajrajt který přijde do LAN si docela dost pravděpodobně s nějakým takovým to nastavením poradí, když tam samozřejmě bude chyba v nastavení a to je dost pravděpodobné, zálohuj.
Zálohování je fajn, abych se zpátky dostal ke svým datům. (Navíc udělat zálohování tak, aby jej případný ransomware nesmazal, není jednoduché…) Únik dat ale nevyřeší.
A pokud únik dat nevadí, můžete je rovnou vystavit veřejně…
-
Místo VLAN lze použít a rozdělit jednotlivými porty a samotnými ethernety, ale pak bude dost vysoká spotřeba AP, na každou síť minimálně jeden kus.
Můžeš to vysvětlit,případně nějak přeformulovat?Nepochopil jsem, co myslíš.
-
Port 1 WAN, port 2 LAN, port 3 DĚTI, atd. V podstatě to, co dělá VLAN na jednom drátu, tak jde odděleně táhnout jednotlivými porty z routeru. A samozřejmě bez VLAN je potřeba příslušný počet AP, což by mohlo celou akci dost prodražit.
Pokud se bavíme o rozdělení na více než dvě sítě, tak to moc smysl nedává, ale je to mnohem jednodušší, než konfigurovat VLANy v Mikrotiku.
-
No nevím. Než bych vyvalil router z krabice a nastavil na něm základní nastavení, nejspíš bych měl nastavení VLAN na Mikrotiku hotové.