ホームネットワーク上の異なるサブネットマスクはセキュリティを提供しますか?
つまり、ホームネットワークに2つのルーターがあります。1つはISPから提供され、もう1つはプライベートルーターです。ルーターA- ISPルーター:192.168.1.xルーターB-プライベートルーター:192.168.2.x
ルータAのLANネットワーク上のクライアントが、Bのネットワーク上のクライアントにpingできない。ただし、B上のクライアントはA上のクライアントにpingを実行できます。友人/訪問者がISPのルーターを使用できるようにすると、セキュリティは確保されますか?または、これはあいまいさによる唯一のセキュリティですか。攻撃者がルーターAに侵入した場合、ルーターB上のクライアントを簡単に見つけることができますか?
まあそれはおそらくNATをルーターBに使用しているためです。それは悪くはありませんが、悪い習慣ではありません。明らかに、ルーターAに入ることができれば、技術的にはネットワークを実際に引き継ぐことができます。ルータBがトラフィックを送信するルータAはそのフローを確認します。
適切な設定が必要な場合は、いくつかのサブネットを作成し、それに応じて制限することが重要です。たとえば、3つの異なるサブネットを作成します。
- 192.168.1.0管理
- 192.168.2.0信頼済み
- 192.168.3.0の訪問者
これらのネットワークは分離する必要があり、相互にルーティングしないでください(ただし、信頼できるユーザーから訪問者にルーティングできますが、その逆はルーティングできません(ファイアウォール機能))。次に、192.168.1.0ネットワークが構成されているルーターのポートを割り当てて、管理インターフェースにアクセスできるようにします(これは、他の2つのネットワークから到達できないはずです)。これにより、攻撃者がルーターにアクセスできなくなります。
それは正確にはあいまいさによるセキュリティではなく、状況に応じたセキュリティに似ています。 Bのクライアントは内部的にNAT処理されているため、Aに対してはpingを実行できますが、その逆はできません。インターネット上の他の友達のルーターに対してのみpingを実行できるのと同じように、NATを使用しているためです。
攻撃的なセキュリティの経験から言えば、そのようなネットワークは、ルーターB(プライベートサブネットをホストしている)を攻撃してARPスプーフィングに至るまで、いくつかの方法で侵害される可能性がありますまたはネットワークトラフィック分析。ただし、これは攻撃者の専門知識に依存します。
ルーカスが言ったように、ファイアウォールポリシーは間違いなく自分をより安全に保護する1つの方法ですが、投稿から判断すると、この問題は企業ではなく家計のセキュリティに関するものです。
しかし、これは内部クライアントが関係している場合(攻撃者、つまりあなたの家にいる必要がある場合)は本当に問題ではないので、WiFiが外部に対して安全に保護されていることを確認してください。 WiFi Allianceは 個人のWiFiの保護に関する論文を掲載しています。