web-dev-qa-db-fra.com

La fonctionnalité "Guest Network" est-elle sécurisée sur les routeurs Asus?

Mon routeur Asus RT-AC68U a une option pour permettre un "réseau d'invités". Je suis curieux de savoir comment "sûr" c'est. La page de configuration affirme qu'il ne permet que le trafic via Internet, donc je suppose qu'il bloque physiquement le trafic du réseau invité à n'importe quel port LAN et lui permet uniquement de passer à travers le port WAN?

Notez que ce que je veux dire est un réseau invité ouvert, aucune authentification.

Quelqu'un a-t-il des informations à ce sujet et à quel point c'est sûr/dangereux?

routersecuritywireless-networking
6
Josh M.

Fais attention. Mon assus est en cours d'exécution en mode pont.

Lorsque je me connecte via un SSID configuré en tant que réseau d'invités, je peux toujours atteindre mon réseau interne.

Alors testez-le d'abord cela correctement.

Serait mieux car le routeur n'est pas filtrant en mode Bridge, il ne doit pas offrir la possibilité de configurer les réseaux clients. L'offre seulement lors de la configuration de routeur.

1
TonAdam

La question est en fait assez bonne. Je viens ici pour voir COMMENT Cette fonctionnalité fonctionne, que trouvons-nous sous le capot car elle fonctionne parfaitement à partir de 2019/avril/12 avec le Version du firmware asus: 1.1.2.3_674

Il n'y a pas de "fuite" entre le réseau d'invités et le WiFi/LAN régulier. J'ai essayé maintenant à peu près tout comme la modification manuelle de la propriété intellectuelle, la numérisation du sous-réseau entier et la séparation du travail, donc je voulais comprendre COMMENT .

Il semble que Asus puisse faire de la magie du noyau dans le code NetFilter car ce qu'il fait:

Votre routeur a une interface dédiée pour cela:

ra1       Link encap:Ethernet  HWaddr <MAC>
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15136 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1960036 (1.8 MiB)  TX bytes:7742992 (7.3 MiB)

rAI1 est probablement l'équivalent WiFi de 5,0 GHz. Puis dans le code de pont EBTABLES, je vois:

Bridge chain: FORWARD, entries: 4, policy: ACCEPT
-i ra1 -j DROP
-o ra1 -j DROP
-i rai1 -j DROP
-o rai1 -j DROP

Mais cela ne serait-il pas un sens. Avec cela, vous bloquez clairement tout le trafic de la couche2 entre votre réseau local et votre réseau d'invités, mais je suppose que l'Internet aussi depuis sa règle générique.

Le seul problème de sécurité que j'ai trouvé avec cette "séparation" que si votre client sur le réseau invité connaît la propriété intellectuelle de certaines autres machines, il peut tromper le routeur dans le fait de penser qu'il est d'autre machine en modifiant l'adresse mais cela n'affectera pas la Table arp de toute autre machine sur le réseau uniquement le routeur.

Ils font toutes partie de l'interface de pont principale BR0. Peut-être que quelqu'un peut nous éclairer de la vérité, jusqu'à ce que cela disons cela fonctionne!

1
sunflower