Seconda configurazione del router per subnet sicura

7

Ho un BT Smart Hub come router che non ha funzionalità di rete ospite, ho anche un Netgear Nighthawk D7000.

Inizialmente ho tentato di utilizzare solo la D7000 e sfruttare la funzionalità wifi guest, ma non ho potuto ottenere la configurazione giusta in modo che i canali YouView e Internet TV di BT funzionassero come richiesto (alcuni sono criptati, ad esempio BT Sport, quindi chiedo se questo era il problema).

Stavo considerando una configurazione come questa:

 Phone Line
     |
     |
 Main router, BT Smart Hub (has guest access)
     |      |        |                \  
     |     TV     YouView etc      Guest wireless devices
     | 
     |
 2nd / D7000 router (LAN on Main router -> Internet port on 2nd / D7000)

La configurazione è destinata a causare mal di testa infiniti o è piuttosto semplice?

Il BT Smart Hub in realtà ha anche una porta WAN in più, non ero sicuro se fosse anche possibile passare da questa porta WAN alla porta Internet (WAN?) della D7000? Ci sono ulteriori benefici a questo se è possibile? Più sicuro? Più difficile da configurare?

Affrontare il problema relativo al fatto che il dispositivo wireless Guest (o la LAN collegata) potrebbe rilevare il router principale e monitorare efficacemente tutto il traffico da e verso Internet dal router privato (che ha il mio laptop / pc / mac, ecc.) una VPN come F-Secure Freedome su tutti i dispositivi del 2 ° router privato riduce in modo significativo o addirittura ferma qualsiasi MITM lì? Esiste il rischio di accedere direttamente ai dispositivi sul 2 ° router tramite il router principale o il firewall nel secondo router blocca questo?

Questa domanda è una sorta di follow-up di quello qui in quanto una delle risposte suggeriva che il setup qui era arretrato ma anche se invertito avrebbe aperto il setup agli attacchi Man In The Middle e tutte le reti fuori dal 2 ° router potenzialmente esposto.

    
posta Stibstibstib 31.10.2017 - 14:40
fonte

1 risposta

1

Questa è una grande domanda e come un penthouse che sta creando costantemente reti a strati ... Posso dirti che non è una risposta semplice. Nella mia esperienza si parlerà di come questi router / switch siano ben progettati rispetto alle buone pratiche di impostazione.

1: provalo. Basta impostarlo, aprire wireshark e andare. Se riscontri problemi, controlla la sospensione dei cavi. Siate particolarmente attenti alle chiamate ARP e DHCP. Uno dei principali problemi che potresti incontrare è la confusione di avere due tabelle arp. Se il primo router pensa che un IP sia cambiato (DHCP) ma il secondo router (funzionante come interruttore di livello 3 in pratica) non ha aggiornato la sua tabella arp ... quel dispositivo sarà un fantasma. Non aver paura di scollegare e collegare il secondo router per risolvere problemi come questo.

2: Come i router gestiscono più "gateway" non è sempre eccezionale. Se si collega D700 al router principale sulla porta WAN della D700, può essere confuso. Alcuni router hanno caratteristiche per mitigare questo, altri no. Se uno dei router non è in grado di gestire la configurazione che stai configurando, ti suggerirei di rendere l'intervallo IP del secondo router diverso dal primo (10.0.0.0/24 e 192.168.0.0/24) per aiutare con i problemi ripresa e conferma del corretto instradamento. Costringerà una tabella di routing sul secondo router che potrebbe aiutare con le confusioni (perché c'è più DHCP?!, Dice il router e i dispositivi).

3: MITM è confuso nel contesto usato qui. MITM più comune: SSID falso che imita - o router - e quando qualcuno effettua il login SSL si spoglia e raccoglie password ed ecc. Questo è un tipo di attacco piuttosto specifico e sgradevole. Il secondo uomo più comune nel mezzo succede se qualcuno ha già violato la tua rete e io non ci entrerò perché tu sei in guai seri a quel punto, non importa come lo guardi. Il tuo set up, a mio avviso, non influenza realmente la tua esposizione al MITM per un aggressore motivato.

Collega tutto e riporta gli errori? Felice di aiutare a risolvere i problemi. Buona fortuna.

    
risposta data 05.04.2018 - 02:28
fonte

Leggi altre domande sui tag