Svinkovod.ru

Бытовая техника
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Изоляция клиентов на роутере

Изоляция клиентов на роутере

Так как системным администратором, человеком, занимающимся созданием сайтов, грузчиком и плотником в большинстве компаний является один человек, то мы пойдем по пути наименьшего сопротивления, т.е. не будем заморачиваться со сложной маршрутизацией, а просто немного «подкрутим» настройки модема. На многих маршрутизаторах пункт Access Point Isolation выведен в отдельный пункт и найти его не составляет труда. Мы рассмотрим это на примере модема Dlinka 2640u с русской прошивкой:

Заходим в настройки по стандартному сценарию — 192.168.1.1. Далее слева выбираем пункт Wi-Fi, а затем Основные настройки. Увидеть мы должны следующую картину:

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «Гостевая сеть Wi-Fi».

Начиная с версии ОС NDMS v2.10.C0 была добавлена возможность изолировать беспроводных клиентов одного сегмента друг от друга (запрещает беспроводным клиентам обмен информацией между собой в пределах одной сети).

В веб-конфигураторе в настройках гостевого сегмента добавлена опция Изоляция беспроводных клиентов. По умолчанию данная возможность выключена.

Для изолирования беспроводных клиентов гостевого сегмента (Guest) друг от друга включите опцию Изоляция беспроводных клиентов и нажмите кнопку Применить.

Эту же настройку можно выполнить через режим командной строки (CLI) интернет-центра.

(config)> interface Bridge1 peer-isolation
Network::Interface::Ethernet: «Bridge1»: peer isolation enabled.
(config)> system configuration save

Также можно настроить изоляцию беспроводных клиентов основной точки доступа Wi-Fi (сегмента Home) друг от друга.
Для этого выполните команды:

(config)> interface Bridge0 peer-isolation
Network::Interface::Ethernet: «Bridge0»: peer isolation enabled.
(config)> system configuration save

Обращаем ваше внимание, что механизм изоляции клиентов включается на Bridge-интерфейсе и распространяется на все включенные в него точки доступа.

Пользователи, считающие этот материал полезным: 6 из 8

Что такое изоляция точки доступа?

Изоляция точки доступа используется для защиты устройства от атак с другого устройства в той же сети. Когда этот режим включен, устройство изолирует всех подключенных клиентов в одной и той же беспроводной сети друг от друга, что повышает безопасность в сети. Как показано на рисунке ниже, при включенном режиме изоляции точки доступа, два хоста в одной и той же беспроводной сети не могут взаимодействовать друг с другом.

Как настроить режим изоляции точки доступа?

Продукты TP-Link Pharos поддерживают режим изоляции точки доступа. Данный режим по умолчанию отключен в настройках. Чтобы включить этот режим, выберите меню Беспроводной режим в нем подраздел Дополнительные настройки беспроводного режима и установите галку на против пункта Включить изоляцию точки доступа.

Примечание. Изоляция точки доступа недоступна в режиме Клиента.

Если устройство работает в режиме точки доступа и включен Multi-SSID, вы можете включить изоляцию точки доступа для определенного SSID в списке SSID, как показано на рисунке ниже.

Безопасная домашняя сеть: создаём изолированный сегмент для гостей

Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

Читайте так же:
История посещений сайтов на моем компьютере

К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.

К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.

Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.


Скриншот с сайта производителя

Добавить гостевую сеть можно, когда устройство уже настроено и работает.


Скриншот с сайта производителя


Скриншот с сайта производителя

Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.

Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.

Читайте так же:
Механическая клавиатура logitech g413

Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.

Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход — дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все — функциональные возможности встроенного софта у них, повторимся, очень разные.

Изоляция точки доступа Wi-Fi: что это в роутере и как включить или отключить?

Изоляция точки доступа (AP Isolation) – это функция в настройках Wi-Fi роутера, которая позволяет изолировать устройства, которые подключены к одной сети. После включения этой функции в настройках роутера, устройства, которые подключены к одной Wi-Fi сети не будут взаимодействовать между собой. Дальше в статье я более подробно расскажу как это работает, что такое изоляция точки доступа, и для чего она нужна. А так же покажу, как включить или отключить эту функцию в настройках Wi-Fi роутера. Рассмотрим на примере TP-Link, D-Link, ASUS, Keenetic, Huawei, Netis.

Как работает Изоляция точки доступа (AP Isolation)

Все устройства, которые мы подключаем к одной Wi-Fi сети (через один роутер) могут «общаться» между собой. Обмениваться файлами по локальной сети или FTP, транслировать медиаконтент по DLNA, объединяться в пары для управления и взаимодействия. Мы очень часто пользуемся этим функционалом (а иногда даже не догадываемся, что соединение идет через роутер) . Если возникает необходимость с целью безопасности запретить устройствам такое «общение» в рамках одного роутера, то можно изолировать точку доступа, активировав эту функцию в настройках роутера.Такая возможность есть практически на всех современных роутерах. Устройства будут полностью изолированы друг от друга, но при этом у них будет доступ к интернету. Как правило, по умолчанию эта функция всегда отключена.

Читайте так же:
Мастер очистки на компьютер

Нужно ли активировать изоляцию точки доступа?

Если речь идет о домашней сети, то нет особого смысла в активации этой настройки. К тому же у вас престанут работать многие функции, которые, возможно, вы используете. Такие как локальная сеть, печать по локальной сети, DLNA и т. д. Эта настройка нужна больше для общественных сетей, когда к одной сети подключаются разные, чужие устройства. Чтобы у злоумышленников не было легкой возможности перехватить какие-то данные, пароли, взломать чужое устройство и т. д.

Если у вас появилась необходимость дать родственнику, знакомому, или чужому человеку доступ к своей Wi-Fi сети, и вы не хотите, чтобы это человек имел возможность как-то взаимодействовать с вашими устройствами, то есть более простое решение – гостевая Wi-Fi сеть. Сейчас такая функция есть практически на всех роутерах. Мы просто включаем еще одну Wi-Fi сеть (с другим именем и паролем) , изолируем ее от своей основной сети и даем данные для подключения к этой сети другому человеку. Несколько стаей на эту тему:

Совет: если вы все же решите изолировать устройства в своей сети, то постарайтесь об этом не забыть. А том потом можно долго думать и искать решения, когда устройства перестанут обнаруживать друг друга при настройке локальной сети или связи по DLNA. По поим наблюдениям, такое бывает не редко.

Как включить или отключить изоляцию точки доступа Wi-Fi в настройках роутера?

Если у вас настройки роутера на английском, то скорее всего это будет пункт «AP Isolation», или «Enable AP Isolation». Если на русском, то это пункт «Изоляция точки доступа», или «Изоляция клиентов». Находятся эти настройки как правило в разделе с расширенными настройками Wi-Fi сети (Wireless — Wireless Advanced) .

Нужно зайти в настройки роутера ASUS, перейти в раздел «Беспроводная сеть» и открыть вкладку «Профессионально». Там будет пункт «Установить изолированную точку доступа». Установите переключатель возле «Да» или «Нет» и сохраните настройки.

Установить изолированную точку доступа на роутере ASUS

TP-Link

Выполняем вход в настройки своего роутера TP-Link. Дальше все зависит от того, какой веб-интерфейс установлен на вашем роутере. Если старый (зеленый) , то в нем эта настройка находится в разделе «Wireless — Wireless Advanced» (Беспроводной режим — Дополнительные настройки) . Нужно установить галочку возле «Активировать AP Isolation (изоляция точки доступа) » и сохранить настройки.

AP Isolation на WI-Fi роутере TP-Link

Если у вас популярный сегодня веб-интерфейс в голубых тонах, то перейдите в раздел «Дополнительные настройки» и слева откройте вкладку «Беспроводной режим» — «Дополнительные настройки». Там нужно установить или убрать галочку возле пункта «Изоляция точки доступа» и сохранить настройки роутера.

Читайте так же:
Майнинг криптовалюты на компьютере

Изоляция точки доступа на TP-Link

Есть у TP-Link еще один вид веб-интерфейса (см. скриншот ниже) . Показываю, как активировать, или деактивировать изоляцию точки доступа Wi-Fi, если у вас установлен именно такой веб-интерфейс. Там эти настройки совсем далеко спрятали. Перейдите в раздел «Дополнительные настройки» — «Системные инструменты» — «Системные параметры» и там в начале страницы будет данный пункт.

Включение и отключение изолированной Wi-Fi сети на TP-Link

D-Link

Открываем веб-интерфейс роутера (если не знаете как – смотрите эту статью) и переходим в раздел «Wi-Fi» — «Основные настройки». Там в самом низу будет пункт «Изоляция клиентов».

Изоляция клиентов (точки доступа) на D-Link

Keenetic

На роутерах ZyXEL Keenetic и просто Keenetic эта функция доступна только в случае запуска отдельной, гостевой Wi-Fi сети. В процессе ее запуска можно активировать изоляцию клиентов. Ссылку на подробную инструкцию я оставлял в начале этой статьи.

Изоляция точки доступа на ZyXEL Keenetic

Huawei

В веб-интерфейсе роутеров Huawei, в разделе «Wi-Fi» — «Дополнительные настройки Wi-Fi» так же есть возможность включить или отключить этот функционал.

Роутеры Huawei: изоляция точки доступа Wi-Fi

Netis

На странице с настройками роутера, слева нужно открыть раздел «Wireless 2.4G» или «Wireless 5G» (в зависимости от того, для сети в каком диапазоне вам нужно изолировать клиентов) и перейти в «Wireless Advanced». Там можно включить или отключить AP Isolation.

AP Isolation на роутере Netis

Дополнительная информация

Если вы беспокоитесь о безопасности своей домашней беспроводной сети, то я рекомендую первым делом установить современный тип безопасности и надежный пароль. Об этом я более подробно рассказывал в этой статье: тип безопасности и шифрования беспроводной сети. Так же у нас есть отдельная статья, в которой я давал рекомендации по максимальной защите Wi-Fi сети.

Кроме этого не забывайте использовать гостевую Wi-Fi сеть (с включенной изоляцией беспроводных клиентов) , когда подключаете к своему роутеру посторонние устройства.

Заблокируйте свою сеть Wi-Fi с опцией беспроводной изоляции вашего маршрутизатора

Некоторые маршрутизаторы имеют функцию «Беспроводная изоляция», «Изоляция точки доступа», «Изоляция станции» или «Изоляция клиента», которая позволяет заблокировать сеть Wi-Fi

Некоторые маршрутизаторы имеют функцию «Беспроводная изоляция», «Изоляция точки доступа», «Изоляция станции» или «Изоляция клиента», которая позволяет заблокировать сеть Wi-Fi. Эта функция идеально подходит для предприятий с публичными сетями Wi-Fi или для тех, кто немного параноидален.

Эта функция ограничивает и ограничивает клиентов, подключенных к сети Wi-Fi. Они не могут взаимодействовать с устройствами, подключенными к более защищенной проводной сети, и не могут общаться друг с другом. Они могут получить доступ только к Интернету.

Что делает эта функция

На стандартных домашних маршрутизаторах со стандартными настройками каждое устройство, подключенное к маршрутизатору, считается частью одной локальной сети и может обмениваться данными друг с другом в этой сети. Будь то сервер, подключенный к проводной сети, или мобильное устройство, подключенное к сети Wi-Fi, каждое устройство может связываться с каждым из других устройств. По понятным причинам это часто не идеально.

СВЯЗАННЫЕ С: Почему использование общедоступной сети Wi-Fi может быть опасным даже при доступе к зашифрованным сайтам

Например, если вы работаете с общедоступной сетью Wi-Fi, вы не хотите, чтобы клиенты, подключенные к общедоступной сети Wi-Fi, имели доступ к вашим серверам и другим системам, подключенным к проводной сети. Вы, вероятно, также не хотите, чтобы устройства, подключенные к проводной сети, могли общаться друг с другом, так как это означает, что зараженные системы могут потенциально заразить другие уязвимые системы или злоумышленники могут попытаться получить доступ к незащищенным сетевым общим папкам. Вы только хотите предоставить доступ в Интернет своим клиентам, и все.

Читайте так же:
Лучшие компьютерные игры для девочек

Дома у вас, вероятно, есть один маршрутизатор с множеством устройств, подключенных к нему. Возможно, у вас есть сервер, подключенный к проводной сети или просто к проводным настольным системам, которые вы хотите защитить. Возможно, вы все же захотите предоставить Wi-Fi доступ своим гостям в зашифрованной сети, но вы не хотите, чтобы ваши гости имели полный доступ ко всей проводной сети и всем вашим беспроводным устройствам. Возможно, их компьютеры заражены — это хорошая идея, чтобы ограничить ущерб.

Гостевые сети против беспроводной изоляции

Функция гостевой сети маршрутизатора также может работать аналогично. Ваш маршрутизатор может иметь обе эти функции, одну из них или их вообще нет. Многие домашние маршрутизаторы не имеют функций беспроводной изоляции или гостевой сети.

СВЯЗАННЫЕ С: Как включить гостевую точку доступа в вашей беспроводной сети

Функция гостевой сети Wi-Fi маршрутизатора обычно дает вам две отдельные точки доступа Wi-Fi — основную, безопасную для вас и изолированную для ваших гостей. Гости, которые присоединяются к гостевой сети Wi-Fi, ограничены отдельной сетью и имеют доступ к Интернету, но не могут общаться с основной проводной сетью или основной беспроводной сетью. Вы также можете установить отдельные правила и ограничения для гостевой сети Wi-Fi. Например, вы можете отключить доступ в Интернет в гостевой сети между определенными часами, но оставить доступ в Интернет для устройств в основной сети все время. Если ваш маршрутизатор не имеет этой функции, вы можете получить ее по установка DD-WRT и следование нашей процедуре установки ,

Беспроводная изоляция менее привлекательна. Просто включите опцию изоляции, и все клиенты, подключенные к сети Wi-Fi, будут заблокированы для связи с другими устройствами в локальной сети. Через систему правил брандмауэра клиенты, подключенные к Wi-Fi, смогут обмениваться данными только с Интернетом, а не друг с другом или любыми компьютерами в проводной сети.

Включение беспроводной изоляции

СВЯЗАННЫЕ С: 10 полезных опций, которые вы можете настроить в веб-интерфейсе вашего маршрутизатора

подобно другие функции вашего роутера эта опция будет доступна в веб-интерфейсе вашего роутера, если он у вас есть. Обратите внимание, что эта функция доступна не на каждом маршрутизаторе, поэтому есть большая вероятность, что ее нет на текущем маршрутизаторе.

Обычно вы найдете эту опцию в расширенных настройках беспроводной сети. Например, на некоторых маршрутизаторах Linksys вы найдете его в разделе «Беспроводная сеть»> «Дополнительные параметры беспроводной сети»> «Изоляция точки доступа».

Один из нескольких маршрутизаторов, включая маршрутизаторы NETGEAR, можно найти на главной странице настроек беспроводной сети. На этом маршрутизаторе NETGEAR он находится в разделе «Параметры беспроводной сети»> «Беспроводная изоляция».

Разные производители маршрутизаторов ссылаются на эту функцию самыми разными способами, но в ее названии обычно есть «изоляция».

Обратите внимание, что включение этих функций предотвратит работу определенных типов беспроводных функций. Например, страницы справки для Google Chromecast отмечает, что включение AP Isolation предотвратит работу Chromecast. Chromecast должен обмениваться данными с другими устройствами в сети Wi-Fi, а беспроводная изоляция блокирует эту связь.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector