安全でないデバイスをホームネットワークに安全に追加する

インターネットに接続しているデバイスのうち、安全だとは思わないものがいくつかありますが、とにかく使いたいと思います（スマートテレビや市販のホームオートメーションデバイス）。コンピューターと同じネットワーク上に配置したくない。

私の現在の解決策は、ケーブルモデムをスイッチに接続し、2つのワイヤレスルーターをスイッチに接続することです。コンピューターは最初のルーターに接続し、他のすべては2番目のルーターに接続します。

これは、コンピューターを他のすべてのものから完全に分離するのに十分ですか？

また、同じことを効果的に行う単一のルーターを使用するより簡単なソリューションはありますか？DD-WRTを備えた次のルーターがあります。

• Netgear WNDR3700-v3

• Linksys WRT54G-v3

安全なネットワーク上の1台のコンピューターを除き、すべてのデバイス（安全および非安全）はワイヤレスで接続します。

はい、あなたのソリューションも大丈夫ですが、スイッチングホップが1つ増加し、設定のオーバーヘッドが増加します。これを実現するには、次の手順を実行します。

• 2つのVLANを構成し、信頼できるホストを1つのVLANに接続し、信頼できないホストを別のVLANに接続します。
• iptablesを設定して、信頼できるトラフィックと信頼できないトラフィックを許可しないようにします（逆も同様）。

お役に立てれば！

それは完全に可能ですが、最初にいくつかのことを説明したいと思います。

私の現在の解決策は、ケーブルモデムをスイッチに接続し、2つのワイヤレスルーターをスイッチに接続することです。コンピューターは最初のルーターに接続し、他のすべては2番目のルーターに接続します。

お使いのケーブルモデムが単なるモデムのように見える場合、両方のルーターがインターネットにアクセスできるのは興味深いことです。ISPはNATを実行していますか？そうでない場合は、スイッチを取り出して（実際にスイッチですか、それともNATに対応しているスイッチですか？）、お使いのDD-WRTルーターの1つをゲートウェイとして配置することをお勧めします。現在のセットアップはそのまま（ルーターがどのポートに接続されているかを知らずに）、IPアドレスの競合が発生するか、一方または他方のネットワークでランダムで散発的に接続が失われる場合があります。

Wi-Fiトラフィックを単一のアクセスポイントで複数のVLANに分離することは可能ですか？

はい。ただし、設定作業とテストが必要です。ゲストネットワークを分離するには、自分で同様のセットアップを使用します。以下で説明する方法では、VLANを使用しません。

（特に）DD-WRTは、同じAPでの複数のSSIDの作成をサポートします。必要なのは、別のブリッジを作成し、それを別のサブネットに割り当てて、メインネットワークの残りの部分からファイアウォールで保護することだけです。

この方法で最後にやったのでしばらく経ちましたが、次のようにどこかに行く必要があります（接続を失う準備をしてください）：

1. アクセスポイントの構成ページを開く
2. ワイヤレス=>基本設定に移動します
3. [仮想インターフェイス]で、[追加[^ virtif]をクリックします
4. 新しいIoT SSIDに名前を付けて、そのままにNetwork Configurationして おきBridged、AP Isolation必要に応じて有効にします
5. ワイヤレスセキュリティタブに移動し、パスワードを設定し、可能であればセキュリティモードをWPA2-Personal-AESに設定します[^ nDS]
6. [セットアップ]タブに移動します=> [ネットワーク]
7. ブリッジの下で、追加をクリックします
8. ブリッジに任意の名前[^ brname]を付けてくださいbr1。
9. メインネットワークと同じサブネット上にない IPアドレスをブリッジに与えます[^ ipaddr]
10. （表示するには、[保存]をクリックしてから[設定の適用]をクリックする必要がある場合があります）[ブリッジに割り当て]で[追加]をクリックし、br1インターフェイス wl.01またはインターフェイス名を指定[^ virtif]に割り当て、保存して適用します

11. [複数のDHCPサーバー]で、[追加]をクリックして割り当てます br1

12. [管理] => [コマンド]に移動し、これらを貼り付けます（インターフェイス名の調整が必要な場合があります）[^ note2]
    iptables -t nat -I POSTROUTING -o `get_wanface` -j MASQUERADE
iptables -I FORWARD -i br1 -m state --state NEW,RELATED -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j REJECT
    [ファイアウォールの保存]をクリックします

13. あなたはすべて設定する必要があります、私は思う

詳細については、 http：//www.alexlaird.com/2013/03/dd-wrt-guest-wireless/をご覧ください。

ただし、この設定はゲートウェイルーター/ APに対してのみ有効です。同じ設定を他のルーターで機能させるには、VLANを使用する必要があります。セットアップは似ていますが、もう少し複雑です。ここでの違いは、新しいVLANを設定してIoT SSIDにブリッジし、場合によってはいくつかのルーティングルールを実行する必要があることです。

[^ virtif]：通常、最初は物理インターフェースであり、しばしばwl0とラベル付けされます。仮想インターフェイス（私が間違っていなければ3つまで）には、wl0.1、wl0.2などのラベルが付けられます。

[^ brname]：これは、DD-WRTがブリッジインターフェイスに与えるインターフェイス名になります。

[^ ipaddr]：メインネットワークが172.16.1.0/24にあるとし、br1172.16.2.0 / 24のアドレスを指定します。

[^ nDS]：ニンテンドーDSをお持ちの場合は、WEPを使用する必要があります。または、NDS専用の別のSSIDを作成しbr1、利便性のためにブリッジすることもできます。

[^ note1]：設定を適用した後のこの時点で、IoT SSIDに接続するものはすべて別のサブネットに割り当てられます。ただし、2つのサブネットは引き続き相互に通信できます。

[^ note2]：このビットには多少の作業が必要な場合があります。

これは、コンピューターを他のすべてのものから完全に分離するのに十分ですか？

ルーター1からスイッチへの接続がルーターのWANポートを使用しており、OpenWRTでWANとLANを共有していないと仮定します（つまり、デフォルト設定を変更せず、モデムに直接接続する場合のようにケーブル接続を行います）。あなたはほとんど大丈夫です。

もちろん、ルーター2のデバイスは誰にもトラフィックを送信する可能性があり、それ自体が問題になる可能性があります（デバイスによっては、使用統計、カメラの画像、マイクの音、WLANに関する情報、GPS受信機など）。

また、同じことを効果的に行う単一のルーターを使用するより簡単なソリューションはありますか？DD-WRTを備えた次のルーターがあります。

ポートを個別に設定し、悪いトラフィックを良いトラフィックとは別にルーティングできます。あなたのキーワードはになりDMZ、たくさんのチュートリアルが利用可能です。

より複雑にしたい場合は、VLANを有効にすることもできます。これにより、追加のVLAN対応デバイスをルーターの背後に配置し、両方のタイプのデバイスをそれらに接続できます。単一のルーターとその背後にある5つのスイッチのみがデイジーチェーン接続されている場合でも、両方のルーターのいずれかのポート...スタートポロジを使用する場合はほとんどなし、リングトポロジを使用する必要がある場合は素晴らしい）。

一部の一般消費者向けのWi-Fiルーターには、通常のネットワークから分割されたネットワークである「ゲストモード」があります。

信頼できないデバイスを「ゲスト」APに制限できます。

その機能を持つすべてのルーターが特に安全というわけではありません。

「警告：多くのWi-Fiルーターの「ゲストモード」は安全ではありません」という記事では、セキュリティについて説明していますが、彼らが議論する主な欠陥はプライバシーです。ネットワーク対応のテレビが家に電話をかけてあなたが見ているものをメーカーに伝えるかどうかを気にしない場合、隣人がそれを見ているかどうかは誰が気にしますか？

また、同じことを効果的に行う単一のルーターを使用するより簡単なソリューションはありますか？DD-WRTを備えた次のルーターがあります。

ほとんどのホームWiFiルーターでは、「ゲストネットワーク」を構成できます。この無線LANはインターネットへの接続は許可されていますが、メインの有線または無線LAN上のデバイスへの接続は許可されていません。そのため、IoTデバイスをネットワーク上に配置できますが、それらはコンピューターを危険にさらすことはできません。

悪意のあるユーザー/デバイスが共有ファイルまたはネットワークデバイスにアクセスするのを防ぐために、安全でないデバイスを安全なLANから遠ざける最良の方法は、別のネットワークを作成することです。NetgarWNDR3700v3機能を使用して、ゲストネットワークを有効にする 強力で異なるパスワードを使用します。

UPnPを無効にします

ローカルネットワーク上のコンピューターに感染するウイルス、トロイの木馬、ワーム、またはその他の悪意のあるプログラムは、正当なプログラムと同様にUPnPを使用できます。ルーターは通常、着信接続をブロックし、悪意のあるアクセスを防止しますが、UPnPは悪意のあるプログラムがファイアウォールを完全にバイパスできるようにする可能性があります。たとえば、トロイの木馬はコンピューターにリモートコントロールプログラムをインストールし、ルーターのファイアウォールにそのプログラム用の穴を開けて、インターネットからコンピューターへの24時間年中無休のアクセスを許可します。UPnPが無効になっている場合、プログラムはポートを開くことができませんでした。ただし、他の方法でファイアウォールをバイパスし、自宅に電話することができます。

ルーターへのWIFIを介したリモートアクセスを無効にする

ほとんどのルーターは、世界中のどこからでもこのWebインターフェイスにアクセスできる「リモートアクセス」機能を備えています。ユーザー名とパスワードを設定しても、この脆弱性の影響を受けるD-Linkルーターがあれば、誰も資格情報なしでログインできます。リモートアクセスを無効にしている場合は、他の人がルーターにリモートでアクセスして改ざんするのを防ぐことができます。

また、必要でない限り、安全でないデバイスを接続しないでください。