le diverse maschere di sottorete sulla rete domestica forniscono sicurezza?

4

Quindi ho due router sulla mia rete domestica: uno è fornito dal mio ISP e l'altro è il mio router privato. Router router A-ISP: 192.168.1.x router B- router privato: 192.168.2.x

I client sul mio router La rete LAN di A non può eseguire il ping dei client sulla rete del mio B. Tuttavia, i client su B possono eseguire il ping dei client su A. Ciò fornisce sicurezza, se consento a amici / visitatori di utilizzare il router del mio ISP? O questa è solo sicurezza attraverso l'oscurità. Quindi, se un utente malintenzionato è riuscito a entrare nel router A, può vedere facilmente i client sul router B?

    
posta marcwho 24.03.2013 - 23:57
fonte

2 risposte

8

Bene, sta succedendo perché probabilmente sta usando NAT per il router B. Non è male, ma non è una cattiva pratica. Ovviamente se riescono a entrare nel router A, tecnicamente possono effettivamente occupare la rete. Quindi se il router B invia il router di traffico A vedrà quel flusso.

Ora, se vuoi una buona configurazione, la chiave è creare diverse sottoreti e limitarle di conseguenza. Ad esempio, crea tre diverse sottoreti:

  • Gestione 192.168.1.0
  • 192.168.2.0 trusted
  • 192.168.3.0 visitatori

Queste reti devono essere separate e non devono essere collegate tra loro (ma è possibile instradare da utenti fidati a visitatori, ma non viceversa (funzione firewall)). È quindi possibile assegnare una porta sul router che ha configurato la rete 192.168.1.0 in modo da poter accedere all'interfaccia di gestione (non dovrebbe essere raggiungibile dalle altre due reti). Questo impedisce agli aggressori di accedere ai tuoi router.

    
risposta data 25.03.2013 - 00:13
fonte
1

Non è esattamente la sicurezza attraverso l'oscurità, ma è più simile alla sicurezza circostanziale. Poiché i client di B sono internamente in NAT, possono eseguire il ping A, ma non viceversa, in modo simile a come è possibile eseguire il ping solo sul router di un altro amico su Internet poiché anch'essi prolificano in NAT.

Parlando dall'esperienza nella sicurezza offensiva, una rete del genere può essere compromessa in vari modi direttamente dall'attacco al router B (hosting della sottorete privata) a Spoofing ARP o analisi del traffico di rete. Ciò dipenderebbe comunque dall'esperienza dell'attentatore.

Come ha detto Lucas, le politiche del firewall sono sicuramente un modo per proteggersi meglio, ma a giudicare dal tuo post questa questione è di sicurezza domestica e non aziendale.

Tuttavia, dato che questo non è un problema quando si tratta di clienti interni (l'attaccante deve essere in casa), quindi assicurati che il tuo WiFi sia ben protetto verso gli esterni. WiFi Alliance ha un documento su protezione del WiFi personale.

    
risposta data 25.03.2013 - 09:02
fonte

Leggi altre domande sui tag