Double NAT è un modo sicuro per creare una rete pubblica Wi-Fi?

5

Sto cercando di creare una rete pubblica WiFi aperta a casa mia per gli ospiti, dato che stasera ospiterò una festa (un po ') grande. Tuttavia, nessuno dei miei router ha funzionalità di networking guest integrate e non supporta firmware alternativi come il DD-WRT.

Tradizionalmente, quello che ho fatto è semplicemente creare un doppio NAT collegando la porta WAN di un secondo router wireless a una porta LAN del mio router principale. Il router principale è protetto con WPA2, mentre il secondo router (per la rete ospite) non è protetto. Vedi lo schema qui sotto:

La mia domanda però: questa installazione è effettivamente sicura? Come in, c'è un modo per un dispositivo ospite di accedere al mio computer, a 192.168.1.3, o monitorare il traffico sulla rete principale? Ho provato a eseguire il ping mentre ero connesso alla rete ospite e sembra che i pacchetti non raggiungano i computer sulla rete principale, ma c'è un modo per aggirare questo problema? Ho letto alcuni articoli online sull'utilizzo di Double-NAT come un modo per creare una rete wifi ospite, ma nessuno di questi dettagli entra in dettaglio sulla sicurezza.

Grazie in anticipo!

EDIT:

-Io ho disegnato il diagramma in Cisco Packet Tracer perché non ho un altro programma per disegnare questi diagrammi, ma in realtà non sto usando l'hardware Cisco. Il router principale è un Verizon Actiontec; la rete ospite è una Tenda economica.

    
posta tlng05 20.12.2014 - 19:09
fonte

2 risposte

7

L'hai collegato all'indietro se vuoi proteggere la tua rete contro gli ospiti. I computer sulla rete 192.168.0.0/24 possono accedere liberamente ai computer sulla rete 192.168.1.0/24.

Se si desidera utilizzare il doppio NAT per creare una rete ospite, è necessario posizionare la rete ospite più vicino alla connessione Internet rispetto alla rete che si desidera proteggere da essi. Contro gli aggressori occasionali, NAT funge da firewall con un criterio di "rifiuto predefinito" per le connessioni in entrata e "permesso predefinito" per le connessioni in uscita, quindi è necessario mettere i computer che si desidera proteggere sul "dentro" del secondo NAT.

Contro i seri aggressori, vuoi che le tue reti pubbliche e private si incontrino solo alla tua connessione Internet, dove imposti un firewall adeguato che blocca qualsiasi comunicazione tra i due.

    
risposta data 20.12.2014 - 23:38
fonte
5

Questo non è sicuro, in quanto non hai isolato la rete ospite. Sono ancora in grado di raggiungere il tuo client 192.168.1.3.

Credo che il motivo per cui non risponde al ping, è perché è configurato per non rispondere al ping. Il firewall host su questo computer probabilmente blocca comunque la maggior parte del traffico.

Se vuoi isolare i client wifi in modo corretto (con l'attrezzatura che hai), connetti il router wifi guest alla porta WAN internet. E su una porta LAN sul router ospite, colleghi il tuo router principale.

In questo modo, i tuoi clienti possono raggiungere solo l'indirizzo IP esterno del router principale.

Ma questa soluzione ha i suoi problemi. Se i tuoi ospiti malintenzionati (a cui piace suonare catturare la bandiera sulla tua rete), sono in grado di rilevare il router, sarebbero anche in grado di intercettare il traffico dalla rete interna. Altri trucchi MitM si applicano anche qui, poiché si trovano in una rete a monte.

La soluzione corretta a questo problema è ottenere un commutatore abilitato per la VLAN per segmentare la rete interna e quella ospite, e serve un firewall / router per bloccare il traffico che passa questi due segmenti.

    
risposta data 20.12.2014 - 20:34
fonte

Leggi altre domande sui tag