Безопасная домашняя сеть: создаём изолированный сегмент для гостей

    Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

    К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

    Изолируем сети Wi-Fi
    В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.



    К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.



    Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.


    Скриншот с сайта производителя

    Добавить гостевую сеть можно, когда устройство уже настроено и работает.


    Скриншот с сайта производителя


    Скриншот с сайта производителя

    Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.

    Изолируем сети Ethernet
    Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.





    Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.



    Что в итоге?
    Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход — дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все — функциональные возможности встроенного софта у них, повторимся, очень разные.
    Smart-Soft 43,69
    Компания
    Поделиться публикацией
    Комментарии 14
    • –2
      Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей.

      Mikrotik: «Hold my beer.»
      • –2
        Устройства этого производителя мы упомянули. Вы совершенно правы, роутеры Mikrotik не уступают Keenetic по функциональным возможностям. Но они гораздо сложнее в настройке и могут вызвать определенные затруднения у начинающих.
        • 0
          Они и у продолжающих часто вызывают затруднения, но это связано с нетривиальными задачами. Как говорится, аппетит приходит во время еды.
          Я лишь говорил о том, что этот производитель выгодно отличается в части поддержки оборудования.
      • 0
        Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов.

        Главное, чтобы была поддержка OpenWRT, которая дает возможность гибкой настройки вне зависимости от маркетологических хотелок вендора. Настройка через Web GUI тоже есть. Ведь проблема в том, что часто на адекватном железе на официальной прошивке просто софтварно блокируют или удаляют часть функциональности устройства, потому что «устройство в бюджетном сегменте», и компании не нужно, чтобы предыдущие или малобюджетные модели составляли конкуренцию новым. Повторюсь ещё раз — речь об адекватном железе и именно программном ограничении функциональности.
        • 0
          OpenWRT доступна практически для всех популярных роутеров и пригодится, например, в случае, если производитель уже не поддерживает устройство. Однако у целевой аудитории статьи установка сторонней прошивки может вызвать определенные затруднения.
        • +2
          Всегда было интересно, что это за целевая аудитория домашних железок Zyxel? Вроде и домохозяйкам вышеописанного не надо, и люди которые более-менее знают чего хотят от устройства, покупают либо конкретную модель, либо Mikrotik, где всё упирается в фантазию, производительность коробочки и просто физическое наличие тех или иных интерфейсов.
          • 0
            Большая часть описанного есть во всех роутерах, и железо совершенно обычное. Основные отличия между железками разных брендов — стабильность и надежность. Zyxel вроде выше среднего, и если есть желание что-то купить друзьям или близким, и потом не ездить и не отвечать на вопросы по телефону — можно взять что-то стабильное но простое в настройке.
            • 0
              Смысл статьи в том, что описанная функциональность уже нужна условным домохозяйкам, которые не осилят даже настройку MikroTik. Про использование сторонних прошивок можно не говорить. Техника развивается, к сети сейчас даже кофеварки подключают. Разделить домашнюю сеть на изолированные сегменты — хорошая идея. Но не у всех для этого есть навыки сетевого администрирования. И да, это не реклама Keenetic, изолированный гостевой Wi-Fi сейчас практически любой роутер умеет, хотя реальное качество изоляции у всех разное. Keenetic, при этом, умеет все, что умеет MikroTik, но его настройка доступна даже условной домохозяйке.
              • +1
                Я прошу прощения, но
                Keenetic, при этом, умеет все, что умеет MikroTik
                это, мягко говоря, неправда.
                • 0
                  А что умеет Mikrotik и чего не умеет Keenetic?
                  • 0
                    OSPF, скрипты, IPsec в разных вариация. Ну и фаервол такой же функциональный? Очень сомневаюсь.
                    Ну и CAPsMAN, конечно же.
                    • 0
                      По опыту работы с ZyWall USG, он умеет только в GRE и IPIP, без поддержки IPsec.
                      • 0
                        Маршрутизация в первую очередь. Гибкость настроек прохождения пакета, маркировка пакетов, сортировка и т.д.
                        Возможно сделать два дефоулт-роута на Keenetic? А распределить нагрузку по каналам?
                        Я понимаю что Вы мне ответите — «Домохозяйке это не надо». И я полностью согласен (впрочем, гостевой Вай-Фай домохозяйке тоже не нужен, будем честны).
                        Но я обратил внимание на конкретную фразу.
                • 0
                  Для гостевой сети очень нужно ограничение аппетитов гостей.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое