Rozumná segmentace domácí sítě

[Mirouss]

Zdravím,

řeším vhodné rozdělení domácí sítě (tzn. mix soukromých pc, IoT a zcela nekontrolovatelných zařízení potomků, pracovních pc na HO a návštěv...), má obava spočívá v tom, že část zařízení by (teoreticky) mohla šířit nějaký síťový marast. Aktuálně využívám 1x Mikrotik, LAN je jednoduše rozsegmentovaná pomocí využití horizon parametru na společném bridge + povypínaném default forwading na WLANech.

Co řeším - v síti je i můj desktop (snažím se mít rozumně bezpečný mmj i proto, že z něj konfiguruju ostatní zařízení vč. toho Mikrotiku) a čas od času si hraju s různými Raspberry udělátky, zkouším distribuce na starším HW atp. - jde tedy o zařízení při svém prvním spuštění neaktualizovaná a teoreticky zranitelnější. Dává smysl mít za účelem lepší izolace těchto zařízení za Mikrotikem ještě jeden router (např. něco s OpenWRT) který by blbovzdorně vytvářel další oddělenou sít (fw + NAT) i v případě chyby/chybné konfigurace Mikrotiku? Nebo je to na doma overkill a budu akorát udržovat další krabičku?

Na testovaných zařízeních stejně obvykle hned zapínám sw fw s deny incoming... jenže co (možné) bugy ve starších verzích? Možná už nad tím moc přemejšlim

Co na to odborníci? Díky za názory a váš čas!

[Reklama]

[Molex1]

Já mám na prvním prvku doma (VDSL Modem) 3 WiFi:
1) IOT - vysavač, světla atd ta má přístup jen ven a nikoli do vnitřní sítě
2) Mobily - to samé co výše ale oddělené
3) Vnitřní WiFi vč. napojení na internet (zde jsou PC, televize, NAS, tiskárna atd...) - samozřejmě, že TV má přístup jen ke čtení jen některých sdílených složek na NASu...

[nocturne.op.15]

K výše uvedenámu od Molexe přidávám ještě VLAN pro zálohy, kam povoluju přístup opravdu ultra restriktivně.

[pavel411]

inspirace za mě:
1. uživatelská (PC, tiskárny, NAS, telefony) - včetně WiFi
2. IoT (hračky co potřebují Internet pro přístup do cloudu, pouze přístup k Internetu) - včetně WiFi
3. MaR (PLC řídící barák a napojené moduly) - bez WiFi
4. návštěvnická (pro hosty, pouze pro hosty) - včetně WiFi
asi by šlo propojit 2 a 4, ale raději to vedu odděleně.

[Mirouss]

Díky za reakce, já mám odděleně 4 WLAN + LAN. Co řeším, je zda LAN neoddělit navíc ještě jedním fyzickým routerem, viz "Router 2":

Kód: [Vybrat]

WAN
 |
----------
|Router 1|
|FW + NAT|
----------
 | |
 | |------ WLAN1,2,3,4 ---- ...
 |
----------
|Router 2|
|FW + NAT|
----------
 |
NTB1 (sw firewall)
...pomyslný NTB1 by tak byl oddělen od zbytku zařízení ještě jedním fyzickým routerem a i v případě chyby/chybné konfigurace Routeru 1 + selhání/chyby v konfiguraci sw firewallu jsem stále v suchu a bezpečí.

Ale jak píšu v úvodu možná je to overkill a jako druhá vrstva mi stačí vlastně jen softwarový firewall přímo na stanici NTB1. Na druhou stranu si občas hraju i se staršími kernely a tak se mi nechce zcela spolehat na to, že je vše jak má. A proto nad tím vlastně dumám a zvažuji ještě jednu vrstvu "ochrany"... Na druhou stranu si říkám, zda to není přehnaný... a tak mě napadlo se zeptat světa

[Reklama]

[lojza007]

Já bych síť normálně rozdělil na VLANy, Mikrotik to bez problémů umí. Není důvod tam mít více routerů. Větší problém pořád bývá u různých AP, který často více VLAN neumí. Zase to zvládá třeba Mikrotik nebo UBNT.
Na firewallu bych normálně zařízl komunikaci mezi sítěmi dle svých představ. A rozdělil bych na síť pro sebe, kde je naprostá kontrola a nehrozí žádný problém a z této sítě půjde dělat i management. Pak nějakou normální síť, kde nejsou děti, můžou tam být třeba i IoT. Pokud hrozí průnik do sítě přes IoT, pak je naopak lepší udělat ještě separátní síť. A pak síť pro děti a návštěvy, klidně dohromady.
Dá se s tím blbnout donekonečna, ale osobně bych se snažil držet co nejmenšího počtu VLAN, ať v tom v určité chvíli není větší zmatek, než když to bylo všechno v jedné síti.

[Mirouss]

Děkuji za re. Druhý router mě napadl, protože po riskařsku tak trochu předpokládám, že se "cokoliv může pokazit" proto myšlenka na pojistku v podobě druhého (nezávislého) zařízení, které by duplicitně izolovalo určitou část sítě.

Aktuálně mám pojistku v podobě zapnutého sw firewallu na koncových zařízeních v izolované části - takže i kdyby oddělení přímo na routeru selhalo, nemělo by se nic být schopné připojit. Ovšem tím, že občas používám různé starší distribuce (RPi, starší HW, live cd) nejsou tyhle zařízení vždy zcela aktuální a mohla by tam teoreticky být nějaká díra a proto mě to napadlo. Nedokážu ale odhadnout nakolik je tohle problém a nebo ne.

Pokud tomu správně rozumím, tohle z vašeho pohledu není třeba řešit a je zbytečné to komplikovat.

[Pavel Rauš]

V IOT vlaně bych doporučil nastavit izolaci klientů na L2. Neni moc důvod, aby si ta zařízení povídala spolu, měla by komunikovat jen velmi restriktivně ven a se zařízením které je řídí.

Z mého pohledu jsou všechna tato zařízení největší bezpečnostní riziko.

[lojza007]

Zcela jednoduše je potřeba odfiltrovat zdroj nebezpečí. Můžou to být děti, IoT a kdo další? Případně stupňovat:
VLAN 1 - moje síť (management, můj počítač, firemní počítač, hračky na zkoušení)
VLAN 2 - běžná síť (manželka, TV a nevím co ještě)
VLAN 3 - IoT? (dost záleží, co ty zařízení dělají, kam komunikují, jaké je celkové riziko napadení), např. u nás na vesnici to prostě nemusím řešit, sousedi na napadení nemají kapacity a že by někdo zaparkoval před barákem a zuřivě hackoval? A proč by to dělal?
VLAN 4 - děti, hosté, tchýně (síť na vlastní nebezpečí)

Prostě je potřeba zvážit celkové riziko, v paneláku je riziko hacknutí řádově vyšší než někde na samotě nebo na malé vesnici. Spoustě věcí je potřeba vůbec zaříznout komunikaci ven a než řešit VLANy, tak bych se dřív zaměřil právě na omezení komunikace a jel všechno on premise místo cloudových nesmyslů. Současně je samozřejmě potřeba maximálně omezit komunikaci dovnitř. Pokud tam mám nějaké řízení, jde to zaříznout na firemní veřejnou IP nebo mobilní datový rozsah mého operátora, tím se výrazně zmenší šance napadení. Taky stojí za zvážení úplně odpojit od sítě nesmysly typu pračka, lednička a podobně. Potřebují připojení? Nepotřebují!
A současně doporučuju mít to všechno co nejjednodušší, čím víc zařízení (a to včetně routerů), čím víc VLAN, tím větší šance nějaké chyby a dosažení přesně opačného efektu, než byl záměr.

[Mirouss]

Díky za postřehy. Zonaci mám již aktuálně nějak rozhozenou (zóna = zařízení, máme toho málo), odděluji to přímo na bridge přes split horizon (L2). VLANy ale vyzkouším, čeká mě to kvůli budoucímu zprovoznění síťového tisku a bude to pohodlnější.

Každopádně redundanci více zařízení za sebou jako zálohu pro případ bugu/chybné konfigurace hlavního routeru tedy neřešíte a věříte mu, že "VLAN prostě bude fungovat", chápu správně? Protože tohle je asi moje hlavní neznámá a proto mám furt tendenci zvažovat nezávislé zařízení navíc.

[Adolf.Shitler.2]

WAN je jenom jeden a všechna zařízení jsou v rámci domácí sítě. Vůbec bych se nezabýval nějakým dělením na VLAN a nechal všechno v jedné síti, aspoň bude snadný přehled o všech připojených zařízeních.

[honzako]

Nejlepší segmentace v domácích podmínkách je WIFI s odděleným přístupy klientů. Nevím jak se to jmenuje v domácích routerech, ale činnost je taková že jeden nevidí na druhého a nevidí do LAN, ale pouze WAN.
V LAN je to úplně zbytečné.
Nejlepší je totiž zálohování.
Ono ta segmentace totiž stojí a padá na monitoringu a pravidelném vyhodnocení aktuálního stavu a to doma nikdo nedělá.
Kromě toho ten sajrajt který přijde do LAN si docela dost pravděpodobně s nějakým takovým to nastavením poradí, když tam samozřejmě bude chyba v nastavení a to je dost pravděpodobné, zálohuj.

[Adolf.Shitler.2]

V home routerech bývá obvykle jenom funkce "AP Isolation", kde se připojená zařízení přes WiFi vzájemně nevidí, ale nijak to neomezuje viditelnost z WiFi do LAN. Každopádně v domácí síti jsou všechny tyto restrikce úplně k ničemu, tím bych se vůbec nezabýval. A pokud má někdo stihomam, pak může max. pro návštěvy udělat WiFi-guest, tím to hasne.

[lojza007]

Každopádně redundanci více zařízení za sebou jako zálohu pro případ bugu/chybné konfigurace hlavního routeru tedy neřešíte a věříte mu, že "VLAN prostě bude fungovat", chápu správně? Protože tohle je asi moje hlavní neznámá a proto mám furt tendenci zvažovat nezávislé zařízení navíc.

Zařízení za sebou nejsou v redundanci, ale je tam přesně o jedno zařízení navíc, který způsobí problémy, když nebude fungovat správně. Redundance je, když ty zařízení budou fungovat paralelně vedle sebe. Nějak to jde udělat i u Mikrotiku, návody jsem viděl, ale nikdy jsem to nezkoušel. Jednodušší je mít na skladě druhý stejný model a pravidelně dělat zálohu, která se do toho zařízení obnoví.
VLANy v Mikrotiku fungují. Nevím, co k tomu dál říct. Prostě se nastaví a fungují, neexistuje nic mezi. Buď je to dobře nastaveno a oddělí jednotlivé sítě nebo je to blbě nastaveno a nefungují. Mikrotik sám od sebe konfiguraci nezmění. Za posledních cca 6 let jsem u VLAN na Mikrotiku zažil pouze jednu chybu, u některých modelů nefungovalo tagování u VLAN 1, tato chyba je už asi 4 roky odstraněná.
Ideální je nastavit si to na Mikrotiku někde bokem, chvíli trvá, než člověk pochopí jejich filosofii a většina návodů na internetu tomu ani trochu nepomáhá, malá nápověda L2 se nastavuje v Bridge a L3 v Interfaces. Nejdřív se nastaví bridge pro všechny VLANy, v nastavení se řekne, který porty tagovat a který jsou access a v Interfaces pak nadefinovat VLANy a jako Interface pak vybrat ten bridge. Všechno ostatní IP, DHCP, firewall se pak nastavuje nad těmi L3. A filtrování packetů je potřeba zapnout jako poslední a ideálně po záloze, může se stát, že po zapnutí filtrování packetů už Mikrotik nebude nikdy dostupný. V případě problémů klidně poradím, poprvé mně to trvalo víc jak týden, než jsem to dal dohromady. Napoprvé je k tomu fajn mít i nějaký switch s VLANama, aby si člověk ověřil, že to nastavil správně.

[Mirouss]

V home routerech bývá obvykle jenom funkce "AP Isolation", kde se připojená zařízení přes WiFi vzájemně nevidí, ale nijak to neomezuje viditelnost z WiFi do LAN.

U řady SOHO zařízení to jde vyřešit zapnutím "guest wlan", která by obvykle měla být i od LAN oddělená, jak píše kolega výše. Ale co pes, to jiná ves.

A pokud má někdo stihomam

Pozor, může mít i děti. Či rodiče "ono mi to bliklo... nevím... potvrdil jsem to" a být o pár let zpět, už v síti běhá třeba Conficker.

Zařízení za sebou nejsou v redundanci, ale je tam přesně o jedno zařízení navíc, který způsobí problémy, když nebude fungovat správně.

Má chyba v termínu, myšlen byl prostě princip více nezávislých vrstev - jako dva zámky na vchodových dveřích. V případě chyby jednoho zařízení (zmíněný bug s VLAN 1) by pak problém odchytilo druhé zařízení.

Z reakcí každopádně cítím, že to do takové hloubky doma nikdo neřeší a protože fakt nemám na kontě milión ani v akvárku zlaté rybičky pustím to z hlavy též a jak píše kolega výše postačí zálohovat. A po konfiguraci pro kontrolu oťuknout nmapem. A díky za popis k VLAN. Já se s tím nějak poperu, starší router na hraní mám a zablokování se v routeru už za sebou též aspoň jsem se naučil používat safe mode.

Děkuji všem!