К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Скриншот с сайта производителя
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход — дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все — функциональные возможности встроенного софта у них, повторимся, очень разные.
Комментарии (14)
thauquoo
26.02.2018 22:00Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов.
Главное, чтобы была поддержка OpenWRT, которая дает возможность гибкой настройки вне зависимости от маркетологических хотелок вендора. Настройка через Web GUI тоже есть. Ведь проблема в том, что часто на адекватном железе на официальной прошивке просто софтварно блокируют или удаляют часть функциональности устройства, потому что «устройство в бюджетном сегменте», и компании не нужно, чтобы предыдущие или малобюджетные модели составляли конкуренцию новым. Повторюсь ещё раз — речь об адекватном железе и именно программном ограничении функциональности.Smart_Soft Автор
27.02.2018 05:22OpenWRT доступна практически для всех популярных роутеров и пригодится, например, в случае, если производитель уже не поддерживает устройство. Однако у целевой аудитории статьи установка сторонней прошивки может вызвать определенные затруднения.
AkaZLOY
27.02.2018 04:02Всегда было интересно, что это за целевая аудитория домашних железок Zyxel? Вроде и домохозяйкам вышеописанного не надо, и люди которые более-менее знают чего хотят от устройства, покупают либо конкретную модель, либо Mikrotik, где всё упирается в фантазию, производительность коробочки и просто физическое наличие тех или иных интерфейсов.
u010602
27.02.2018 04:43Большая часть описанного есть во всех роутерах, и железо совершенно обычное. Основные отличия между железками разных брендов — стабильность и надежность. Zyxel вроде выше среднего, и если есть желание что-то купить друзьям или близким, и потом не ездить и не отвечать на вопросы по телефону — можно взять что-то стабильное но простое в настройке.
Smart_Soft Автор
27.02.2018 05:18Смысл статьи в том, что описанная функциональность уже нужна условным домохозяйкам, которые не осилят даже настройку MikroTik. Про использование сторонних прошивок можно не говорить. Техника развивается, к сети сейчас даже кофеварки подключают. Разделить домашнюю сеть на изолированные сегменты — хорошая идея. Но не у всех для этого есть навыки сетевого администрирования. И да, это не реклама Keenetic, изолированный гостевой Wi-Fi сейчас практически любой роутер умеет, хотя реальное качество изоляции у всех разное. Keenetic, при этом, умеет все, что умеет MikroTik, но его настройка доступна даже условной домохозяйке.
smesh
27.02.2018 20:31Я прошу прощения, но
Keenetic, при этом, умеет все, что умеет MikroTik
это, мягко говоря, неправда.Smart_Soft Автор
27.02.2018 20:31А что умеет Mikrotik и чего не умеет Keenetic?
AcidVenom
27.02.2018 23:18OSPF, скрипты, IPsec в разных вариация. Ну и фаервол такой же функциональный? Очень сомневаюсь.
Ну и CAPsMAN, конечно же.
AkaZLOY
28.02.2018 04:05По опыту работы с ZyWall USG, он умеет только в GRE и IPIP, без поддержки IPsec.
smesh
28.02.2018 14:42Маршрутизация в первую очередь. Гибкость настроек прохождения пакета, маркировка пакетов, сортировка и т.д.
Возможно сделать два дефоулт-роута на Keenetic? А распределить нагрузку по каналам?
Я понимаю что Вы мне ответите — «Домохозяйке это не надо». И я полностью согласен (впрочем, гостевой Вай-Фай домохозяйке тоже не нужен, будем честны).
Но я обратил внимание на конкретную фразу.
AcidVenom
Mikrotik: «Hold my beer.»
Smart_Soft Автор
Устройства этого производителя мы упомянули. Вы совершенно правы, роутеры Mikrotik не уступают Keenetic по функциональным возможностям. Но они гораздо сложнее в настройке и могут вызвать определенные затруднения у начинающих.
AcidVenom
Они и у продолжающих часто вызывают затруднения, но это связано с нетривиальными задачами. Как говорится, аппетит приходит во время еды.
Я лишь говорил о том, что этот производитель выгодно отличается в части поддержки оборудования.