web-dev-qa-db-ja.com

デュアルルーター構成

最近ハッキングされたホームネットワークがあります。私のネットワークに入った人は実際に私の個人用ファイルにアクセスしましたが、証明することはできませんが、それらの一部が盗まれた可能性があります。

これが起こって以来、私はこれが二度と起こらないようにするためのさまざまな方法を検討してきました。誰かがあなたのプライバシーを奪ったように、それは非常に個人的です。

そうすることで、記事を見つけました 2つのルーターをデイジーチェーン接続して複数のファイアウォール効果を作成する方法について、DMZ安全なホームWebホスティングを設定するにはどうすればよいですか? このアプローチについての私の解釈は、ルーターファイアウォール保護の別のレイヤーを追加すると、ハッカーが私のホームネットワークに侵入することをほぼ不可能にするというものです。

そこで、この記事では、2台のルーターを接続し、各ルーターの設定を次のように設定しました。

  • ルーター1-ISPに直接接続されたNetgear D6200

    Internet settings tab
Internet IP address - Get auto from ISP

DNS 1: 208.67.222.222 (Open DNS)
DNS 2: 208.67.220.220 (Open DNS)

NAT: Enabled

LAN setup:

IP address: 192.168.0.1  
Subnet: 255.255.255.0

DHCP: Yes
IP Start: 192.168.0.2
IP End: 192.168.0.254

UPnP: Off

All radios on this device are OFF.

  • ルーター2-Linksys WRT1900AC

    Internet settings tab
Internet connection type is set to - Auto Configuration DHCP

Local Network Tab
IP address: 192.168.1.1
Subnet: 255.255.255.0

DHCP: On
IP start: 192.168.1.51
IP end: 192.168.1.100

DNS 1: 8.8.8.8 (Google)
DNS 2: 8.8.4.4 (Google)

Advanced Routing Tab
NAT: Enabled
Dynamic routing (RIP): Disabled

Security Tab
Firewalls IPv4 IPv6:  ON

DMZ Tab
DMZ: OFF

Connectivity tab
UPnP: Disabled

私の質問は、この構成を強化してセキュリティのために最適化するにはどうすればよいですか?

networkrouter
8
Lai

oSI参照モデルには7つの層があります。ネットワークファイアウォールは、レイヤー4までの攻撃からユーザーを保護できます。保護されていないレイヤーがまだ3つあります。したがって、これらの2つのルーターをどのように使用しても、インフラストラクチャの保護には大きなギャップが残ります。

また、あなたはすでにハッキングされていると信じているので、攻撃者もバックドアを残した可能性があります。

19
JOW

この記事で説明するのは、ホームネットワークにDMZを作成することです。ただし、これは、自宅から何らかの種類のサービス(Webサーバーなど)をホストしている場合にのみ役立ちます。

DMZ=の背後にある考え方は、このサービスは外部ネットワーク(あなたの場合はインターネット)からアクセス可能である必要があるため、「経由」する必要があるということです。そうしないと、サービスは使用できなくなります。現時点では悪用できない可能性がありますが、潜在的な脆弱性があります。この潜在的な悪用がセットアップ全体(通常の状況では他のサーバー、ホームケースではデスクトップ/ラップトップコンピュータ)に影響を与えるのを防ぐために、追加のファイアウォールがサービスをホストするサーバーの「後」に導入されました。

私が理解していることから、あなたはサービスをホストしていないので、DMZを必要としません。したがって、追加のファイアウォールを追加しても、ファイアウォールの1つが正しく構成されていないことが "保護"されるだけです。ただし、2つのファイアウォールの同期を維持すると、設定ミスが発生する可能性が高くなります。ファイアウォールはコンピューターであるため、両方のデバイスに潜在的な脆弱性があるため、セキュリティを低下させる可能性があります。ファイアウォールが役に立たないことをここで主張しているわけではありません。ファイアウォールの利点はそのリスクをはるかに上回りますが、2番目のファイアウォールを追加しても利点はありません(DMZが必要でない限り)。

12
Selenog

質問( "現在のセットアップを強化する方法")に具体的に回答するには:

  • ルーターのファームウェアを最新に更新します(これにより、ルーターに関する既知の脆弱性が修正されます。特定のルーターの既知の脆弱性を調査することもできます)。
  • ルーター設定の「リモート管理」を無効にします。 (100の99倍、これは利便性よりもセキュリティの脅威ベクトルにすぎません)
  • ルーターの管理者のパスワードを変更します(これはwifiネットワークのパスワードとは異なります)。
  • Wifiネットワークのパスワード自体を、デフォルトまたは辞書のパスワードではなく、より安全なものに変更します。
  • また、暗号化方式が少なくともWPA2であることを確認してください。

上記は、basicの手順であり、誰でもルーターに対して実行する必要があります。以下もお勧めします:

  • そのオプションが利用可能な場合、「WPSセットアップ」を無効にします。
  • ネットワークのブロードキャスト信号強度を、必要なまで下げます(ヒント、ルーターを家の中心点に移動します)。
  • ルーターレベルでログを有効にします(可能な場合)。
  • 個人的にハッキングされた場合、newルーターを個人的に取得しますが、これは必要ないかもしれません。

このリストは、使用しているルーターの数に依存しないことに注意してください。真実は、提案したチェーンを物理的に作成する必要がないことです。ほとんどのルーターにはファイアウォールが組み込まれていますが、 sonicwall デバイスなどの別の物理デバイスを検討することもできます。これはおそらくやり過ぎですが、それでもオプションです。

あなたのPCレベルで、私は:

  • より堅牢なロギングを有効にします。
  • 共有する必要があるファイルとディレクトリのみを「共有」します(残りをロックダウンします)。
  • ウイルス対策製品とファイアウォールの商用製品の両方を使用します。
  • 何らかの形の委任アクセスを有効にします(たとえば、Microsoftの場合は( [〜#〜] uac [〜#〜] 、Macの場合は permissions ))。
  • ネットワークIOをさらに制御したい場合は、 netlimiter または little snitch などの別のファイアウォール製品をインストールします。
  • また、すべてのパスワードを頻繁に変更し、そうすることで適切な慣行に従ってください(IE固有および複雑)。
5
Matthew Peters

さて、あなたがここでしようとしていることの要点がわかります。私がやります。実際、ここにある本能には価値の核心があります。私が古き良き、ユーザーの操作を必要としない、なんらかの利点を利用してホームネットワークに侵入しようとする攻撃者である場合Netgearルーターにパッチが適用されていないセキュリティの脆弱性があり、その背後に別のルーターが置かれているため、同じ脆弱性の影響を受けない場合、攻撃がネットワークを侵害するために使用されている可能性があります。そこに「かもしれない」という言葉の使用に注意してください。 2番目のルーターのブロッキングパスに、私がそれを乗り越えるために使用できる独自の脆弱性がある場合、その2番目のルーターは最初のルーターと同じくらい価値がなくなり、私はあなたのネットワークにいて、私の使命は達成されます。ただし、そうは言っても、2番目のルーターが最初のルーターを突破したのと同じ攻撃の影響を受けない場合、つまり、他のルーターとは異なる設計の異なるタイプのファームウェアを使用している場合、およびその2番目のルーターがそうでない場合独自の脆弱性があり、攻撃者がインターネットから制御したり、保護したいネットワークにその周りのトラフィックを盗んだりする可能性があります。(3)2番目のルーターもn人の敵が制御を奪うことを防ぐように適切に設定されている場合それをバイパスすることで、2番目のルーターアプローチは、ネットワークベースの侵入攻撃からネットワークをより保護します。

さて、あなたが上に提示した事実から、私の目には、おそらくこれら3つの要件を満たしているように思えます。良い。 netgearルーターまたはLinksysルーターを単独で使用した場合よりも、インターネット側の侵入攻撃に対してより安全になります。これが悪いニュースです:従来の侵入ハック(あるデバイスの重大な誤設定を制御または利用して、本来あるべきではないターゲットの内部ネットワークに到達するための経路を作成すること)は、単にあなたが心配しなければならない一種の多くの種類の攻撃。実際、今日のほとんどのコンシューマールーターはその脅威に対して十分な保護を備えているので、他の攻撃ベクトルは、広大な大多数の人々にとってより厄介なものになっています
次のような脅威のベクトル:-PC /タブレット/電話でマルウェアを取得するための、ブラウザベースのダウンロードによる攻撃-マルウェアに汚染された毒されたドキュメントファイル(PDF、Officeファイル形式、場合によっては他のドキュメントファイル) &フィッシング&スピアフィッシングキャンペーンを通じて、メール、メッセージングアプリなどで拡散します。 -オンラインサービスのログイン情報を偽のWebサイトに入力させようとする他の種類のフィッシングキャンペーン-機密情報を保存したいモバイルデバイスの物理的な紛失または盗難。 -そして、多くの、多くの、他の多くの。

したがって、正直に言うと、他のタイプのセキュリティリスク(上記のような)を防ぐために代わりに使用できる時間と他のリソースを費やすという観点から、ほとんどの場合、クライアントに多くの時間を費やさないように指示します2つのルーターのセットアップを実装する時間の。 (例外があります。実際のセキュリティを追加すると思った他のケースでは、クライアントにデュアルルーターアプローチを実装しました。)代わりに、通常のユーザーには、大まかな優先順位で、次のことに注意するようにアドバイスします。

-デバイスにマルウェアが含まれている可能性がある、または既知の以前の感染後にまだマルウェアが残っている可能性があるという疑いがある場合は、優れたマルウェアスキャナーを使用して調べてください。何をどのように使用し、どのように対処するかについての詳細な情報が利用可能です...まあ、ここの多くのページで、私は確信しています。しかし、最終的には、選択したOSをワイプして再インストールするだけで安全だと感じる可能性に備えて準備を始めてください。

-すべてのデバイスのオペレーティングシステムとすべてのファームウェアが、セキュリティ更新(つまり、完全にパッチされている)で完全に最新であること、およびユーザーが更新をダウンロードしてインストールする必要がないすべての自動更新機能を確認する何かをすることに煩わされ、働いています。

-プログラムに同様に完全にパッチが適用されていること、およびプログラムに付属している自動更新プログラムがすべて稼働中であることを確認します。 特にブラウザ、ブラウザアドイン/プラグイン、およびドキュメントの表示と編集プログラム

-ブラウザー:特別な設定がない限り、Google ChromeまたはMicrosoft Edge、あるいはその両方を使用して、一般的な日常のブラウジングを行います。ビルトインをオンにして、ほとんどの場合、およびPDFリーダーをAdobe Readerではなく)ブラウザーに焼き付けることにより、Adobe Flashをオフにします。また、セキュリティボーナス:どちらのブラウザーもセキュリティの問題で動作しなくなります-plagued Javaプラグイン。

-まだ持っていない場合は、費用対効果の高いSPI(ステートフルパケットインスペクション)ルーターを購入します。現在知られているルーターはありません) ファームウェアのパッチ未適用の恐ろしいセキュリティ脆弱性(GoogleまたはBingはあなたの友達です。)デフォルトのユーザー名を変更し(可能な場合)、強力なパスワードを設定します。ファームウェアの更新を確認します。100%確認します「リモート管理」機能は確実にオフに設定されています。安全のためにUnPを強制終了します。これで、ホーム/ホームオフィスのルーターが直面する可能性のある侵入の脅威をブロックできます。 。よりハードコアなセキュリティ機能を使いたい場合は、ビジネスクラスのルーターにアップグレードするか、安価なルーターメーカーのファームウェアを DD-WRT のようなものに変更することができます。購入する前にDD-WRTの互換性を確認することをお勧めします(念のためです)。

-保護するためになんらかの方法で気にかけるすべてのアカウントまたはサービスについては、一意で明白ではないばかげたパスワードを使用してください。ある種のパスワード管理プログラムまたはシステムを使用して、それらのパスワードを追跡します。

-ああ、wifiセットアップ、そうです。もちろん、WPA2。パスキーが長く、ほとんどすべてのパスワードよりも長く、複雑さを増すために、擬似ランダムに選択された文字(または実際には十分にランダムである限り、単語)がたくさんあります。ブラストされたWPSの「機能」はすべてオフになります。ゲストアカウントをオフにします(ゲストがそれを使用するまで)。

-PCの場合、ユーザーレベルのアカウントと管理者アカウントの両方を作成します。セキュリティプロンプトに煩わされることなく管理者の作業を行う必要がある場合にのみ、日常的に使用するユーザーとして、また管理者として実行してください。

-できる限り2要素認証を有効にします。

-すべての種類のメッセージ(メール、メッセージングアプリ、Facebookのウォールポスト、Facebookのメッセージ、ツイート、すべての手段)に含まれるすべてのリンク、ドキュメント、およびその他のファイルに懐疑的で疑わしいあなたが考えることができる情報を電子的に伝達します)。送信者を知っていても。

-少しだけ見たプログラムとアプリのみをインストールし、信頼できるソース(つまり、Amazon、Apple、Google、Microsoftアプリストア)からのみインストールします。従来のWindowsプログラムについて話している場合、anyの良い宿題の調査を行っていないもののいずれかが、悪意があるか、またはあなたのプライバシー。 [誤解しないでください。私はWindowsの人です。しかし、インターネットで見つけたWin32アプリケーションをダウンロードする場合は、自分が何をしているかを確認する必要があります。]

つまり、基本に注意してください。そして、念のためにオフラインで重要なものをバックアップしてください。保護する必要のある非常に重要なものがない限り、基本に焦点を当ててバックアップします。そして、後で時間と傾向がある場合は、マルチレベルルーターネットワークの設定を楽しんでください。

そして、あなたが保護するために超重要なものを持っているなら?

まず、基本に焦点を当て、バックアップを行います。

2
mostlyinformed

ルーター1のコンピューターはルーター2のコンピューターにアクセスできません。これにはポート転送が必要になるためです。インターネット上のコンピューターがルーター1上のコンピューターにアクセスできないのも同じです。

したがって、ルーター1のユーザーからの攻撃に対するルーター2のユーザーのセキュリティは、インターネットからの攻撃に対するルーター1のユーザーと同様です。これはすべて、両方のルーターが管理者パスワードやアップデートなどで同等に安全であることを考えると.

2
SPRBRN

私の最初の提案は、Mikrotikルーターを入手することです。それらは安価で非常に強力です。任意のポート(ワイヤレスインターフェイスを含む)は、必要に応じてルーティングや切り替えを行うことができます。ファイアウォールルールは、任意のペアまたはポート、および任意のトラフィックパターンに対して確立できます。ただし、ネットワーキングについて少し知っておく必要があるため、これは誰にとっても役立つとは限りません。

それが選択肢にならない場合は、提案どおりにルーターのペアを使用できますが、少し異なる方法で配置します。

[ISP]-wan_port [無線ルーター] lan_port ---- wan_port [2番目のルーター] lan_port-[安全なLAN]

違いは、記事がISPとワイヤレスLANの間でDMZが確立されていることを示唆していることです。しかし...ほとんどの「ハッキング」はワイヤレスネットワークで発生します。共有キーまたはハッキングソフトウェアを使用して侵入したものです。インターネットをググると、Wifi Protected Setup(WPS)標準の欠陥が原因でほとんどのルーターが脆弱であることがわかります。私が提案したスキームでは、 WiFiに侵入するすべてのハッカーは無料のインターネットのみを取得し、必ずしも安全なLANに到達するわけではありません。セカンダリルーターはポート/アドレス変換(PAT)を実行しており、ほとんどのファイアウォールと同じように機能します。ただし、サービスの明示的な変換を指定する必要があります。ワイヤレスネットワークからアクセスしたい。

1
Arijan