Rozumná segmentace domácí sítě

Re:Rozumná segmentace domácí sítě
« Odpověď #15 kdy: 21. 10. 2022, 12:51:58 »
Momentálně žádný fatální bug v Mikrotiku není a nové verze stačí nasazovat s několika týdenním zpožděním, to obvykle stihnou fatální problémy opravit. Ale to se úplně stejně můžeme bavit o jakýmkoliv zařízení včetně těch v řádu statisíců, chyba se prostě může vyskytnout.
Místo VLAN lze použít a rozdělit jednotlivými porty a samotnými ethernety, ale pak bude dost vysoká spotřeba AP, na každou síť minimálně jeden kus. A osobně bych teda věřil mnohem víc VLANám v Mikrotiku, než různým izolacím a firewallům v různých domácích wifinách. Na druhou stranu to chce počítat i s výměnou AP za takové, aby VLANy zvládalo, cenově přijatelně vyjde zase Mikrotik, stačí si vybrat podle výkonu, ceny a dalších parametrů, dražší je třeba UniFi a navíc je potřeba řídící software, což je dost nesmysl pro jedno zařízení.
Pokud to jde otestovat někde bokem, tak je to ideální stav, člověk se to na tom naučí a pochopí princip, jak to u Mikrotiku funguje. Když bude potřeba, klidně poskytnu detailnější návod, než jsem napsal.


FKoudelka

Re:Rozumná segmentace domácí sítě
« Odpověď #16 kdy: 21. 10. 2022, 17:59:58 »
Zdravím,

řeším vhodné rozdělení domácí sítě (tzn. mix soukromých pc, IoT a zcela nekontrolovatelných zařízení potomků, pracovních pc na HO a návštěv...), má obava spočívá v tom, že část zařízení by (teoreticky) mohla šířit nějaký síťový marast. Aktuálně využívám 1x Mikrotik, LAN je jednoduše rozsegmentovaná pomocí využití horizon parametru na společném bridge + povypínaném default forwading na WLANech.

Co řeším - v síti je i můj desktop (snažím se mít rozumně bezpečný mmj i proto, že z něj konfiguruju ostatní zařízení vč. toho Mikrotiku) a čas od času si hraju s různými Raspberry udělátky, zkouším distribuce na starším HW atp. - jde tedy o zařízení při svém prvním spuštění neaktualizovaná a teoreticky zranitelnější. Dává smysl mít za účelem lepší izolace těchto zařízení za Mikrotikem ještě jeden router (např. něco s OpenWRT) který by blbovzdorně vytvářel další oddělenou sít (fw + NAT) i v případě chyby/chybné konfigurace Mikrotiku? Nebo je to na doma overkill a budu akorát udržovat další krabičku?

Na testovaných zařízeních stejně obvykle hned zapínám sw fw s deny incoming... jenže co (možné) bugy ve starších verzích? Možná už nad tím moc přemejšlim :)

Co na to odborníci? Díky za názory a váš čas!
ta testovaná zařízení bych určitě dal do izolované VLAN  jménem třeba LAB a přes firewall Mikrotiku otevřel jen přístup z admin PC

Re:Rozumná segmentace domácí sítě
« Odpověď #17 kdy: 22. 10. 2022, 13:02:16 »
U mě má každé zařízení na Wi-Fi podle MAC přiděleno vlastní PSK a nějakou VLAN. Pokud není na seznamu známých MAC, použije se výchozí PSK a klient se dostane do sítě pro hosty. Toto lze u Mikrotiku nastavit celkem snadno, nové zařízení znamená přidat jeden řádek do konfigurace, pokud ho přidávám do stávající VLAN.

Ve výsledku tak stačí jeden fyzický router a jedno SSID, chová se jako několik oddělených. Něco má přístup jen na Internet, něco jen do lokální sítě (a to ne kamkoliv), něco do obojího. Podle potřeb a víceméně podle principu minimálních oprávnění.

Nejlepší je totiž zálohování.

Kromě toho ten sajrajt který přijde do LAN si docela dost pravděpodobně s nějakým takovým to nastavením poradí, když tam samozřejmě bude chyba v nastavení a to je dost pravděpodobné, zálohuj.
Zálohování je fajn, abych se zpátky dostal ke svým datům. (Navíc udělat zálohování tak, aby jej případný ransomware nesmazal, není jednoduché…) Únik dat ale nevyřeší.

A pokud únik dat nevadí, můžete je rovnou vystavit veřejně…

Re:Rozumná segmentace domácí sítě
« Odpověď #18 kdy: 26. 10. 2022, 15:59:04 »
Místo VLAN lze použít a rozdělit jednotlivými porty a samotnými ethernety, ale pak bude dost vysoká spotřeba AP, na každou síť minimálně jeden kus.
Můžeš to vysvětlit,případně nějak přeformulovat?Nepochopil jsem, co myslíš.

Re:Rozumná segmentace domácí sítě
« Odpověď #19 kdy: 26. 10. 2022, 17:10:52 »
Port 1 WAN, port 2 LAN, port 3 DĚTI, atd. V podstatě to, co dělá VLAN na jednom drátu, tak jde odděleně táhnout jednotlivými porty z routeru. A samozřejmě bez VLAN je potřeba příslušný počet AP, což by mohlo celou akci dost prodražit.
Pokud se bavíme o rozdělení na více než dvě sítě, tak to moc smysl nedává, ale je to mnohem jednodušší, než konfigurovat VLANy v Mikrotiku.


Re:Rozumná segmentace domácí sítě
« Odpověď #20 kdy: 26. 10. 2022, 17:13:05 »
No nevím. Než bych vyvalil router z krabice a nastavil na něm základní nastavení, nejspíš bych měl nastavení VLAN na Mikrotiku hotové.