Var det inte det jag beskrev tidigare?lars_stefan_axelsson skrev:
Besserwisser
· Västra Götalands
· 11 200 inlägg
Jo, jag ser det nu. Jag tolkade det som att du skulle sätta en brandvägg nedanför den trådlösa, och således dela den senare med gästen. Jag gillar inte att "router" börjar bli alldeles för överlagrat när det kommer till hemmanätverk; men det är väl bara att vänja sig.it-snubben skrev:
Men OK, då fick jag ingen flashback ändå.
Redigerat:
Jo, håller med. Det finns många begreppsförvirringar och de som använder "fel" ord nuförtiden.lars_stefan_axelsson skrev:
När en hemmaanvändare säger ordet brandvägg så menar de oftast router. För en riktig brandvägg kan man knappast tycka att de enkla routrar som finns är, eller hur?I mitt fall menade jag faktiskt router och inte brandvägg eftersom det är NAT-funktionaliten som behövs. En brandvägg behöver ju nödvändigtvis inte innehålla routerfunktionalitet.
Besserwisser
· Västra Götalands
· 11 200 inlägg
Njae, jag började bygga brandväggar 1996, och en router med filtersättning räknade vi nog då i alla fall som en (om ändå väldigt inkapabel) brandvägg. Man kan väl kanske ställa lite högre krav idag.it-snubben skrev:Jo, håller med. Det finns många begreppsförvirringar och de som använder "fel" ord nuförtiden.
I mitt fall menade jag faktiskt router och inte brandvägg eftersom det är NAT-funktionaliten som behövs. En brandvägg behöver ju nödvändigtvis inte innehålla routerfunktionalitet.
(Och på den tiden så fick man göra resten själv, dvs bygga en DMZ m en bastion host osv.) En router för mig är en enhet som kan vidarebefordra/växla IP-trafik baserat på beslut tagna på lager-3-information (till skillnad från en switch, som är strikt lager-2. Fast sedan byggde de dj-arna switchar m viss lager-3 funktionalitet, bara för att krångla till det . Och en trådlös accesspunkt är just en trådlös accesspunkt och inget annat. (Även om den också innehåller routingfunktionalitet och en switch).
Sedan beror det ju på om man behöver NAT. Jag kör själv helt NAT-at även fast jag får fem adresser från min leverantör (fast berätta inte det här för mina IPv6-vänner...). I det fall som beskrivs här så skulle jag nog fortfarande sitta kvar bakom min NAT och låta gästerna ta någon av de andra adresserna. Men man kan naturligtvis göra detta på många sätta beroende på vad man får från sin operatör och hur man vill göra.
Som sagt, det går att krångla till det här något oerhört, för en billig penning också, mha en Linux-burk med några nätverkskort och käck gratisprogramvara (se t ex http://ex-parrot.com/~pete/upside-down-ternet.html). Men jag har en känsla av att det inte riktigt var det "vedeldaren" var ute efter...
Tanken är bra, och på detta vis förhindrar du att gästen kan komma åt datorerna på ditt interna nätverk. Man förhindrar dock inte att gästen sniffar all trafik som går från din egen dator i det interna nätverket och ut på internet. Tex skulle han kunna läsa ditt lösenord när du loggar in på byggahus.se, eller dina mail som du skickar och tar emot (om du inte använder krypterad mail). Detta går att göra med vilken linuxdator som helst genom att installera ett program som tar fem minuter att lära sig.it-snubben skrev:
För att undvika den risken är enda lösningen att köpa en router som har en DMZ-port och vanliga portar. Då använder du dom vanliga portarna och trådlösa anslutningen på den routern hemma, sen kan du med fördel återanvända din gamla router och koppla den till DMZ-porten på den nya och låta gästerna använda den gamla routern.
Öhh... ? Gästnätet sitter väl inte i serie med routrarna utan grenas av i den första routern. Den grenen är ju dessutom det trådlösa på den routern och där ser man inte någon trafik mellan routrarna. Aven om gästnätet var en av de trådade anslutningarna på routern mot internet så ser ju inte den porten trafiken på de andra portarna. Enda möjligheten skulle ju vara en router med en hub isf en switch i sig men inte f.n vill man ha ut all trafik på rotern på det trådlösa nätet!
Inte riktigt. Eftersom det är en switch i routern så vidaresänds inte normal trafik ut på switchens övriga portar. Så länge som gästen inte har åtkomst till själva switchen så ser han aldrig datatrafik som passerar från en fysisk port till en annan.mrfrenzy skrev:
Om det ändå vore så enkelt.
Tyvärr är det väldigt enkelt att lura switchen, så trafiken från internet till den andra datorn (routern i det här fallet), går genom attackerns dator. Fråga vilken it-administratör som helst på en skola så får ni höra vilket elände det är när eleverna leker och försöker stjäla varandras lösenord osv. När det är tillräckligt många som gör det på en switch så blir nätverket överbelastat och ingen trafik kommer fram.
http://ettercap.sourceforge.net/
http://www.cout.se/forum/guider/794-arpspoofing-med-ettercap-ng.html
Tyvärr är det väldigt enkelt att lura switchen, så trafiken från internet till den andra datorn (routern i det här fallet), går genom attackerns dator. Fråga vilken it-administratör som helst på en skola så får ni höra vilket elände det är när eleverna leker och försöker stjäla varandras lösenord osv. När det är tillräckligt många som gör det på en switch så blir nätverket överbelastat och ingen trafik kommer fram.
http://ettercap.sourceforge.net/
http://www.cout.se/forum/guider/794-arpspoofing-med-ettercap-ng.html
Redigerat:
Allt går, självklart. Annars skulle inte internet vara osäkert med allt det innebär.
Men pratar vi om Pentagon eller låta några gäster hyra en stuga för en vecka nu?
Men pratar vi om Pentagon eller låta några gäster hyra en stuga för en vecka nu?
Jag skulle aldrig låta någon okänd använda samma subnät som min nätverkstrafik passerar igenom, oavsett om det är en kvart eller en vecka. Men då kanske jag är paranoid? Skillnaden i det här fallet mellan din och min lösning är kanske en femhundring, det tycker jag det är värt för att få en lösning som är i stort sett bombsäker istället för en som kan kringgås av vilken gymnasieelev som helst. Klarar han inte att köra ettercap/dsniff eller liknande så klarar han inte heller att komma igenom brandväggen som du redan har på din dator och då kan du lika väl använda en enda router till alltihopa.
Besserwisser
· Västra Götalands
· 11 200 inlägg
Ja, tyvärr så hjälper det inte mot ARP-spoofing/poisoning som mrfrenzy pratar om. Om du har en (enkel) switch på vägen så kommer den inte att hjälpa mot t ex ARP-spoofing eller CAM-table overflow. AP med DMZ är ett förslag, jag vet ärligt inte om de har lager 2 skydd inbyggd. Det skulle inte förvåna mig om de *inte* har det eftersom de är byggda för att hindra någon på internet-interfacet att komma åt det interna interfacet utan bara DMZ-interfacet. Här är användningsfallet lite annorlunda; vi vill hindra någon med länk-lager access till DMZ-interfacet att komma åt det interna. (Det borde man skydda mot, men man skall aldrig underskatta billighetsleverantörernas förmåga att få det fel...) Jag är dock nyfiken på hur det förhåller sig i det billigare segmentet (det enda jag vet något om detaljerna är i den stora änden och där är olika former av "port security" vara vanligt idag).
Om man inte vill lita till hårdvara så finns det mjukvara (fri och gratis) som åtminstone upptäcker ARP-attacker, som man kan köra inne på sig nät (men de hjälper inte mot en CAM overflow). Men för ett fullständigt skydd så skulle jag bygga en router med tre interface baserat på en Linuxburk, då får man enkelt full kontroll över precis vilka paket som går vart. Själv så ser jag till att all viktig trafik som lämnar mitt nät är krypterad/autenticerad så bara paketen till slut kommer fram är jag nöjd.
MEN, man får som sagt alltid se till hotet, och det är trots allt inte en högstadie/gymnasieskola vi har att göra med (redan på universitetet blir det bättre, dels är studenterna straffmyndiga/myndiga och dels så kan vi kasta ut dem. Dessutom har vi kurser och lab i säkerhet för de som är intresserade. Så jag skulle nog i vedeldarens situation sköta det socialt istället: Om familjen som hyr har tonnårssöner som verkar vara dataintresserade så är svaret på om det går att ansluta sig till nätverket "nej, det gör det inte". ;-) Man får i slutändan göra någon slags avvägning om vilka hyresgäster man tar in. Problemen med mera allvarligt missbruk av anslutningen kvarstår trots allt, oavsett om man har sina arp-tabeller i ordning eller inte.
Om man inte vill lita till hårdvara så finns det mjukvara (fri och gratis) som åtminstone upptäcker ARP-attacker, som man kan köra inne på sig nät (men de hjälper inte mot en CAM overflow). Men för ett fullständigt skydd så skulle jag bygga en router med tre interface baserat på en Linuxburk, då får man enkelt full kontroll över precis vilka paket som går vart. Själv så ser jag till att all viktig trafik som lämnar mitt nät är krypterad/autenticerad så bara paketen till slut kommer fram är jag nöjd.
MEN, man får som sagt alltid se till hotet, och det är trots allt inte en högstadie/gymnasieskola vi har att göra med (redan på universitetet blir det bättre, dels är studenterna straffmyndiga/myndiga och dels så kan vi kasta ut dem. Dessutom har vi kurser och lab i säkerhet för de som är intresserade.
Så jag skulle nog i vedeldarens situation sköta det socialt istället: Om familjen som hyr har tonnårssöner som verkar vara dataintresserade så är svaret på om det går att ansluta sig till nätverket "nej, det gör det inte". ;-) Man får i slutändan göra någon slags avvägning om vilka hyresgäster man tar in. Problemen med mera allvarligt missbruk av anslutningen kvarstår trots allt, oavsett om man har sina arp-tabeller i ordning eller inte.Det var en bra fundering, jag har aldrig provat DMZ-funktionen på en billig router så jag vet inte om den har lager 2-skydd, jag vet iaf att linksys wrt* med linuxos har olika vlan för internet och lanportarna.
En billig lösning, som inte kräver mycket konfiguration och bör vara säker för detta syfte är att köpa en billig hemmarouter utan wlan, till den kopplar man två enkla routers med wlan, en för gästerna och en för hemmet. Så länge inte gästerna knäcker adminlösenordet på "sin" router och lyckas brygga interfacen på den, ska dom inte kunna göra någon attack.
En billig lösning, som inte kräver mycket konfiguration och bör vara säker för detta syfte är att köpa en billig hemmarouter utan wlan, till den kopplar man två enkla routers med wlan, en för gästerna och en för hemmet. Så länge inte gästerna knäcker adminlösenordet på "sin" router och lyckas brygga interfacen på den, ska dom inte kunna göra någon attack.
DMZ på billiga hemma-routrar har väl inget skydd alls?
Det är ju inte ens en egen port, utan bara en IP-adress på LAN-sidan,
som blir en "slask". Där hamnar all trafik som inte passar in på någon regel i routern.
Den burk som är "DMZ" har alltså full tillgång till LAN-sidan.
En "riktig" DMZ måste ha en egen port på routern.
/Hasse
Det är ju inte ens en egen port, utan bara en IP-adress på LAN-sidan,
som blir en "slask". Där hamnar all trafik som inte passar in på någon regel i routern.
Den burk som är "DMZ" har alltså full tillgång till LAN-sidan.
En "riktig" DMZ måste ha en egen port på routern.
/Hasse