Collegamento di hotspot alla rete esistente - può essere protetto?

2

Ero abituato a lavorare per un'azienda che ha fatto hotspot wireless, e questa è la sfida che mi è stata data un giorno. Non credo che ci sia una soluzione sicura, ma mi infastidisce ancora per qualche motivo.

Volevamo spedire un dispositivo hotspot wireless (una scheda ALIX con monosala) in un luogo in cui non sappiamo nulla della rete, quindi non abbiamo idea di quale indirizzo IP stiano utilizzando e possiamo avere un utente non tecnico, collegalo semplicemente al router esistente e Just Work.

Tutte le reti sarebbero semplici router modem / NAT per ufficio, quindi l'hotspot può utilizzare DHCP sul lato WAN per connettersi a Internet. Ho fatto notare che chiunque nell'hotspot potrebbe anche accedere ai computer dell'ufficio, poiché ritiene che sia solo un'altra parte di Internet. L'hotspot è gratuito e apre l'accesso wireless per tutti coloro che si trovano nel raggio d'azione: un bel bersaglio per un aggressore.

Per quanto possibile, non sono riuscito a trovare un modo per risolverlo che consideravo abbastanza sicuro. Alla fine, ho rifiutato di impostarli in questo modo, e abbiamo dovuto uscire e riconfigurare le cose in modo che il nostro router si connettesse prima delle macchine da ufficio e potesse isolare la rete dell'ufficio e i client wireless. Ma il problema mi disturba ancora di tanto in tanto.

Quindi la mia domanda è, c'è comunque un modo sicuro di configurare la rete nello schema qui sotto se hai solo il controllo del dispositivo hotspot, e non sai nulla del resto della rete in anticipo?

Ai fini di questa domanda, non sono interessato a ciò che le persone sul wireless possono fare l'un l'altro, o cosa possono fare su Internet. L'unica preoccupazione è proteggere i PC dell'ufficio da persone connesse all'hotspot.

    
posta Grant 22.08.2012 - 15:31
fonte

3 risposte

1

L'unica soluzione che posso pensare è di eseguire due reti isolate: una per le porte cablate, una per i client sull'AP WiFi. Ciò consente ai client wifi di parlare con i client wifi e Internet e i PC dell'ufficio per parlare con i PC dell'ufficio e Internet, ma nessuna interazione tra i due. In termini di indirizzamento, probabilmente dovresti metterli su sottoreti separate, ad es. 10.0.1 / 24 e 10.0.2 / 24.

    
risposta data 22.08.2012 - 16:04
fonte
2

So che questa domanda è un po 'vecchia e ha già una risposta accettata. Ma pensavo di poterlo aggiungere per quelli che lo trovano ancora.

Probabilmente mi manca qualcosa qui visto che non sono un esperto di reti, ma dato che stai usando m0n0wall, hai accesso ad alcune funzionalità avanzate di firewall e routing. Come sidenote, pfSense è un fork di m0n0wall che ha ottenuto molta più attenzione ultimamente e potrebbe essere più facile da usare.

Supponendo di avere il pieno controllo dei dispositivi e un instradamento molto configurabile, dovresti essere in grado di bloccare tutti gli indirizzi IP non pubblicamente instradabili. Ciò farebbe sì che chiunque si connetta all'hotspot possa essere indirizzato agli indirizzi Internet, ma non a qualcosa di interno poiché gli IP interni (con rare eccezioni, di solito mal pianificate) si troveranno nello spazio degli indirizzi non instradabili.

Gli intervalli riservati a tali reti interne (che bloccherai l'hotspot dal routing a) sono i seguenti:

IANA-reserved private IPv4 network ranges

10.0.0.0    10.255.255.255  
172.16.0.0  172.31.255.255  
192.168.0.0 192.168.255.255

Inoltre, dovresti essere in grado di configurare più punti di accesso wireless da questo singolo dispositivo in modo da fornire anche il servizio aggiuntivo di una connessione INTERNAMENTE sicura instradabile. L'hotspot pubblico sarebbe bloccato dagli indirizzi interni, ma chiunque si connette all'altro segnale sicuro non verrebbe bloccato. Questo è fantastico con così tanti utenti aziendali che si affidano alle connessioni wifi per evitare l'inconveniente di collegare i cavi a qualsiasi cosa.

Quando ci penso di più, sono abbastanza sicuro che molti router wireless di fascia consumer dispongono di funzionalità di rete guest integrate che fanno esattamente questo quando si collegano la WAN sulla loro porta WAN e il resto della rete sulle porte LAN . Ma se stai aggiungendo funzionalità personalizzate, qualcosa come pfSense è la strada da percorrere.

    
risposta data 29.06.2013 - 07:11
fonte
1

L'unica soluzione che riesco a vedere (e questo non è sicuro come una rete separata) consiste nel configurare il router per forzare l'invio di dati dalla porta AP a Internet, non consentendo l'interazione. Questo potrebbe essere ancora accettabile con un indirizzo hardware falsificato. Il rischio potrebbe essere in qualche modo ridotto con l'accesso al firmware.

La distribuzione potrebbe essere semplificata da:

a) Spedizione di nuovi router con la configurazione corretta
b) (A seconda della quantità di accesso al firmware disponibile) Distribuisci un aggiornamento ai tuoi router

Forse non le migliori soluzioni, ma meglio di niente.

    
risposta data 23.08.2012 - 03:38
fonte

Leggi altre domande sui tag