WiFi domestico: è in genere possibile impedire ai dispositivi WLAN di selezionare il proprio indirizzo IP?

0

Motivazione : voglio essere in grado di creare regole di traffico in uscita diverse per dispositivi diversi sulla mia rete, ad es. il mio laptop può creare tunnel VPN, mentre i laptop dei miei figli possono solo collegare DNS / HTTP / HTTPS e sono bloccati su un server DNS specifico. Posso creare diverse regole firewall sul mio router per diversi blocchi di indirizzi IP, ma non voglio che questo sia facilmente sovvertito dai dispositivi che sono in grado di selezionare il proprio indirizzo IP nell'intervallo "Consenti".

Quindi questa domanda riguarda se è tipicamente possibile e pratico impedire a un dispositivo su una rete Wi-Fi domestica di selezionare il proprio indirizzo IP (all'interno dell'intervallo di rete), utilizzando comunemente - router / router di internet domestici installati . In altre parole, puoi impedire ai dispositivi di assumere qualsiasi indirizzo IP statico nell'intervallo normale della WLAN.

Supponiamo che io abbia già e sappia:

  • configurazione del router wifi per intervalli di pool DHCP
  • configurazione del router wifi per indirizzi IP statici DHCP
  • router wifi Filtro indirizzi MAC ecc.

Posso aggiungere un lease statico per il dispositivo in base al suo indirizzo MAC, e quando il dispositivo è configurato per DHCP assume questo indirizzo. Supponiamo però che io non abbia il controllo al 100% delle impostazioni di rete del dispositivo, che qualche altro utente possa cambiarle, ad esempio potrebbero passare da DHCP a statico e configurare un indirizzo IP di loro scelta.

La mia osservazione è che qualunque sia l'indirizzo IP statico scelto funziona e il router instraderà i pacchetti per quel client (ha accesso a livello wifi, ad esempio credenziali WPA2 ovviamente), indipendentemente dal fatto che l'indirizzo IP scelto sia all'interno del DHCP del router intervallo o un intervallo riservato.

La mia conclusione è che non è possibile creare regole firewall che impediscano il traffico in uscita per determinati client in base a un intervallo di indirizzi IP, poiché i client sono liberi di accedere a un indirizzo IP statico libero all'interno di tale intervallo. Ciò sembra accadere indipendentemente dal fatto che esista una prenotazione DHCP per l'indirizzo MAC del client, il che ha senso perché DHCP è inattivo per il client in quel punto.

Mi sembra che più router o più VLAN siano l'unico modo per ottenerlo?

Esempio : Voglio impedire un dispositivo consentito ma solo parzialmente attendibile sulla mia WLAN con MAC 12:34:56:78:9a:bc dai pacchetti di routing con sorgente nell'intervallo CIDR 10.1.1.0/25 , che è riservato e all'esterno il mio intervallo DHCP.

    
posta javabrett 06.11.2018 - 07:00
fonte

1 risposta

1

Non c'è modo di forzare gli indirizzi IP sui client in una rete Ethernet in quanto tale, in quanto possono semplicemente optare per non utilizzare affatto il protocollo DHCP. I clienti possono scegliere e utilizzare qualsiasi indirizzo IP valido. Inoltre, i lease statici tramite indirizzo MAC non garantiranno un assegnazione IP anche se DHCP viene utilizzato come indirizzo MAC non statico e può essere scelto arbitrariamente (uguale al filtraggio MAC in primo luogo). I firewall più intelligenti di solito impongono l'indirizzo di origine dei pacchetti per appartenere alla subnet dell'interfaccia. Potresti anche creare una regola firewall per applicare almeno il fatto che solo un certo numero di indirizzi IP sono instradati.

I dispositivi router embedded sono straordinariamente non versatili e impedire ad alcuni dispositivi di accedere a Internet non è un caso d'uso particolarmente comune. Costringere gli indirizzi IP ai dispositivi è una specie di errore XY per il problema. Questo compito è sicuramente impossibile, ma il tuo obiettivo è abbastanza semplice.

Ad esempio, è possibile utilizzare un altro router NAT per i dispositivi con restrizioni e assegnargli un indirizzo IP LAN statico sull'interfaccia WAN. Quindi stabilire regole che impediscano a quell'indirizzo LAN sull'interfaccia WAN di raggiungere Internet sul router principale. Questo funziona perché i dispositivi dietro il router interno hanno i loro indirizzi tradotti nel singolo indirizzo WAN che non possono cambiare. Sarebbero comunque in grado di accedere agli indirizzi LAN principali attraverso la route predefinita del router interno. Per comunicare a loro sarà necessario aggiungere i port forward. Un'altra possibilità sarebbe quella di utilizzare NAT 1-to-1 con un pool di indirizzi.

Come affermato, l'utilizzo di una VLAN per AP con capacità SSID consentirebbe almeno a un router che esegue una versione completa di Linux di separare banalmente il traffico tra segmenti VLAN (raccomando Ubuntu w / Shorewall). Alcune immagini del firmware "open source" per i router domestici potrebbero fare VLAN / SSID e regole del firewall basate sul tag VLAN, ma tendono ad essere orribili e io non le consiglio caldamente.

Forse sarebbe utile anche un'analisi sincera del modello di minaccia. Perché è importante che questi dispositivi non possano raggiungere Internet. Quanto saranno stridenti i tentativi di eludere questi controlli? Una whitelist MAC non è abbastanza buona? Dici che i dispositivi sono parzialmente attendibili ... sei sicuro che ti fidi comunque di avere accesso non protetto alle tue macchine fidate?

    
risposta data 06.11.2018 - 08:13
fonte

Leggi altre domande sui tag