web-dev-qa-db-ja.com

ASUSルーターの「ゲストネットワーク」機能は安全ですか?

私のASUS RT-AC68Uルーターには、「ゲストネットワーク」を有効にするオプションがあります。これがどれほど「安全」か知りたいです。構成ページは、インターネットへのトラフィックのみを許可すると主張しているので、ゲストネットワークから任意のLANポートへのトラフィックを物理的にブロックし、WANポート?

私が言っているのは、OPENゲストネットワークであり、認証はないということです。

誰もがこれについてどのような情報を持っていますか?

routersecuritywireless-networking
6
Josh M.

ロンは、あなたがどのようにリスクを嫌うかに応じて意見ベースの質問であると正解でしたが、考慮すべきいくつかの要因があります:

  1. ルーターのファームウェアが最新であることを手動で確認し、最新でない場合はどれくらいの頻度でパッチを適用しますか?そして、自動更新は私の経験では信頼できません、FWIW。ゲストネットワークを有効にする場合、おそらくこれが最大のリスクです。脆弱性が発見されてパッチが適用され、悪意のある攻撃者に脆弱性が警告され、ツールキットに組み込まれますが、ファームウェアは更新されていないため、まだ脆弱です。近所のスクリプトキディがネットワークに侵入します。
  2. ルーターの管理者アカウントごとに適切なパスワードを持っていますか?理想的には、パスワード管理ソフトウェアによってランダムに生成されたものですが、それをグーグル検索したときにヒットを返さないものはありますか?ゲストネットワークの誰かが、ルーターのコントロールパネルにログインしようとすると、1日で推測したものと1000年後に推測したものの違いがわかる適切なパスワードになる可能性があります。
  3. あなたのホームネットワークはどれほど価値がありますか?常時稼働のデスクトップには100ビットコインが搭載されていますか?自分が表示しているページがhttpであるかどうかを、httpsである必要があるときに定期的に無視しますか?あなたの医療および財務文書はネットワーク全体で共有されていますか?ゲストネットワークから逃れて通常のネットワークに到達し、ファイルを確認して、暗号化されていないトラフィックを監視/変更できた場合の影響を正直に評価する必要があります。
  4. ゲストネットワークを有効にするとどのようなメリットがありますか?あなたが海賊版の映画や音楽に巻き込まれたときのもっともらしい否認を望んでいますか? WiFiパスワードをゲストと共有することに不快感はありませんか?それともあなたのゲストは怠惰であり、彼らはあらゆる種類の安全なWiFiを使用して嫌いですか?近所の人や通行人に無料のWiFiを提供することで「善行」を実行することを望んでいますか?これらの利点とリスクを比較検討してください。

ASUSが完全に実装した場合は安全ですが、コンピュータのセキュリティ上の問題は実際には完全ではありません。

4
Aron Foster

それに関する限り、「ゲスト」ネットワークは多くのルーターまたはISRに共通の機能であり、別のサブネットを作成し、さらに、対応するESSIDがブロードキャストドメインを制限し、トラフィックをにルーティングしない別のWLANを作成します。それからのメインネットワーク;これはssh 192.168.1.1たとえば、たとえば192.168.0.0(「ゲスト」ネットワーク)にある任意のホストから。ただし、適切な条件が与えられていても、「ゲスト」ネットワーク内のコンピューターがメインネットワークまたはDMZ through the WAN (NAT公開アドレスを使用)、またはファイアウォールが開いている場合は特にインターネットから。

簡単に言うと、LANポート上のゲストネットワークからメインネットワークを分離するだけなので、安全であり、本来の目的を果たしていると言えます。

出典:Cisco NetAcadトレーニングページ

3
arielnmz

注意してください。 Assusがブリッジモードで実行されています。

ゲストネットワークとして構成されたSSIDを介して接続しても、内部ネットワークに到達できます。

したがって、最初にこれを適切にテストします。

ルーターはブリッジモードでフィルタリングしないので、ゲストネットワークを構成するオプションを提供しないほうがよいでしょう。ルーターとして構成されている場合にのみ提供してください。

1
TonAdam

質問は実際にはかなり良いです。私はここに来て[〜#〜] how [〜#〜]この機能は機能していますが、現在2019/Apr/12で完全に機能しているので、内部で何が見つかりますか? Asusファームウェアバージョン:1.1.2.3_674

ゲストネットワークと通常のWifi/LANの間に「漏れ」はありません。私は今、手動でIPを変更する、サブネット全体をスキャンする、分離が機能しているなど、ほとんどすべてを試しましたので、理解したかった[〜#〜]方法[〜#〜]

Asusがnetfilterコードでカーネルマジックを作ったようです。

あなたのルーターはこれのための専用インターフェースを持っています:

ra1       Link encap:Ethernet  HWaddr <MAC>
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15136 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1960036 (1.8 MiB)  TX bytes:7742992 (7.3 MiB)

rai1はおそらく5.0 Ghzのwifiに相当します。次に、ebtablesブリッジのコードに次のように表示されます。

Bridge chain: FORWARD, entries: 4, policy: ACCEPT
-i ra1 -j DROP
-o ra1 -j DROP
-i rai1 -j DROP
-o rai1 -j DROP

しかし、それは今では意味をなさないだろう?!これにより、LANとゲストネットワーク間のすべてのレイヤー2トラフィックを明確にブロックしますが、インターネットも一般的な転送ルールであるため、インターネットもそうだと思います。

この「分離」で私が見つけた唯一のセキュリティ問題は、ゲストネットワーク上のクライアントが他のいくつかのマシンのIPを知っている場合、ルーターをだまして、アドレスを変更することによって他のマシンであると思わせることができますが、これは影響しませんルータのみのネットワーク上の他のマシンのARPテーブル。

それらはすべてメインブリッジインターフェイスbr0の一部です。たぶん誰かが私たちに真実を教えてくれるかもしれません。

1
sunflower