Conosco un po 'di sicurezza della rete, ma è sufficiente sapere che c'è molto che non so. Il mio requisito è quello di aggiungere un secondo wifi alla mia attuale configurazione (1 wifi emesso da un router OpenWRT 1-physical-wifi-radio e un mucchio di computer collegati al wifi) e di impedire agli utenti del 2 ° wifi di accedere al mio router pagina di configurazione e tutti i servizi in esecuzione su uno qualsiasi dei miei dispositivi (ad esempio, condivisioni e server di file non visibili su Internet).
Le mie attuali misure di sicurezza sono le regole di iptables che impediscono l'accesso di 2nd-wifi-user alla mia rete originale basata su IP di origine o interfacce di origine. La mia paura è che questi potrebbero non essere sufficienti.
(option 1: ip-based filtering)
iptables -I FORWARD -s $GUEST_SUBNET -d $HOME_SUBNET -j REJECT
(option 2: interface-based filtering)
iptables -I FORWARD -i $GUEST_INTERFACE -d $HOME_SUBNET -j REJECT
Non so molto di spoofing, ma mi sembra che se un utente 2nd-wifi ha "certificato" le sue richieste alla pagina di configurazione del router (che si trova all'interno di $ HOME_SUBNET) come proveniente da un IP sorgente all'interno di $ HOME_SUBNET , ha potuto accedere e interagire con la pagina di configurazione poiché sarebbe stato in grado di annusare tutto il traffico verso l'indirizzo IP di origine falso e costruire risposte sensate. Destra?
-
Se ho torto, e le mie regole di iptables sono effettivamente sufficienti, qualcuno potrebbe spiegare perché una parodia non è possibile date le mie regole e il mio ragionamento.
-
Altrimenti, la crittografia sul mio wifi domestico ha un ruolo in questo? Ad esempio, se la mia rete domestica fosse WEP / WPA2 / 802.1x-criptata, la risposta al falso $ HOME_SUBNET sorgente IP sarebbe anch'essa crittografata e quindi illeggibile ai miei ospiti (proteggendo quindi in modo efficace la mia rete domestica dai miei ospiti) ? Sembra ragionevole ...
Grazie!
PS: questa domanda segue una recente domanda della mia e le risposte che ho ricevuto per questo.
EDIT: Per essere chiari, il wifi della mia casa e il wifi degli ospiti vengono emessi dallo stesso router.