Доступ для незарегистрированных устройств в локальную сеть

[Epic]

Добрый день.

Keenetic KN-1010 3.4.3

Как незарегистрированным устройствам закрыть доступ в локальную сеть?
Доступ к интернету запрещен, но незарегистрированным устройствам есть доступ в локальную сеть.
Как отключить доступ?

 

Заранее благодарен!

Edited July 3, 2020 by Epic

[enterfaza]

1 час назад, Epic сказал:

Добрый день.

Keenetic KN-1010 3.4.3

Как незарегистрированным устройствам закрыть доступ в локальную сеть?
Доступ к интернету запрещен, но незарегистрированным устройствам есть доступ в локальную сеть.
Как отключить доступ?

 

Заранее благодарен!

так понимаю, незарегистрированные клиенты подключаются к домашней сети?в вэб домашнего сегмента такого функционала нет, настройте гостевую сеть и запретите в ней доступ к приложениям и там же поставьте изоляцию клиентов(не распространяется на экстендеры, только контроллер) и пусть все гости цепляются к этой сети, смысла запрещать доступ в локалке домашним клиентам - не вижу

[Epic]

2 часа назад, enterfaza сказал:

так понимаю, незарегистрированные клиенты подключаются к домашней сети?в вэб домашнего сегмента такого функционала нет, настройте гостевую сеть и запретите в ней доступ к приложениям и там же поставьте изоляцию клиентов(не распространяется на экстендеры, только контроллер) и пусть все гости цепляются к этой сети, смысла запрещать доступ в локалке домашним клиентам - не вижу

Благодарен за ответ, но меня такой вариант не устраивает. Мне нужна именно опция полной изоляции незарегистрированных клиентов. Чтобы вообще трафик от него и к нему не ходил, даже пинг.

Если подберут пароль к Wi-Fi то получат доступ к локальной сети, а там у меня и SMB ресурсы и много другого. Почему нельзя сделать полную изоляцию для незарегистрированных клиентов?!

[Mikesk]

6 минут назад, Epic сказал:

Благодарен за ответ, но меня такой вариант не устраивает. Мне нужна именно опция полной изоляции незарегистрированных клиентов. Чтобы вообще трафик от него и к нему не ходил, даже пинг.

Если подберут пароль к Wi-Fi то получат доступ к локальной сети, а там у меня и SMB ресурсы и много другого. Почему нельзя сделать полную изоляцию для незарегистрированных клиентов?!

если вам нужно именно защититься от гипотетического взлома, а "своих" незарегистрированных клиентов нет - сделайте белый список, и лишние просто не подключатся. А уж если таки смогут (и узнать ключ, и подменить MAC) - то никакая изоляция вам не поможет.

PS: ситуация очень маловероятная, разве что вы ключ кому-то сами дадите.

[Epic]

1 минуту назад, Mikesk сказал:

если вам нужно именно защититься от гипотетического взлома, а "своих" незарегистрированных клиентов нет - сделайте белый список, и лишние просто не подключатся. А уж если таки смогут (и узнать ключ, и подменить MAC) - то никакая изоляция вам не поможет.

PS: ситуация очень маловероятная, разве что вы ключ кому-то сами дадите.

Как вариант я это рассматривал, но опять же это постоянно добавлять новый mac адрес.

Есть огромное неудобство в белом списке. У многих IoT устройств или элементов умного дома нет этикетки с mac адресом и чтобы его узнать нужно подключиться.
Я не помню, когда стоит белый список, то при попытке коннекта к WiFi светится mac?

[enterfaza]

11 минуту назад, Epic сказал:

а там у меня и SMB ресурсы и много другого

не Вы один, выходит, эдакий администратор, не у Вас одного, выходит, насы в локалке и ничего, с трудом верится, что кого-либо взломали 

15 минут назад, Epic сказал:

Почему нельзя сделать полную изоляцию для незарегистрированных клиентов?!

видимо также считают и разработчики, что для домашнего сегмента она без надобности, ибо Вы знаете свои устройства 

верно, настройте контроль, не у каждого сосед хакер  

[Mikesk]

2 часа назад, Epic сказал:

Я не помню, когда стоит белый список, то при попытке коннекта к WiFi светится mac?

Да.

Не ставьте защиту с открытым ключом, WEP или WPA. WPA2 все еще достаточно надежен. Поставьте пароль на SMB. И будет вам ЩАСЬЕ безо всяких аксес-листов!

[3-50]

Нравится озвученная топикстартером мысль. Речь о существующем микробизнесе.

• Дополнительный сегмент для гостей не нужен в принципе, так как гости не приходят;
• Но ок, разделяем на сегменты для корпоративных устройств и прочих. Реальный случай, я пришёл в начале года к стоматологу, попросил на ресепшене пароль от гостевой wifi, дали, к гостевой не подошёл, пароль был хорошим, решил проверить на их рабочей сети и вот к ней подошёл без проблем, внутри куча компьютеров с шарами, томограф с запущенным веб-сервером, ещё какое-то специфическое оборудования с открытыми характерными портами;
• Ок, выстраиваем третий уровень защиты в виде белого списка у основного сегмента. В текущей сети мешанина из 40 устройств, в белый список летят или все устройства (смысла в таком списке почти нет) или только известные корпоративные. Начинается ор, штатного системного администратора нет, разбираться у какого сотрудника какое устройство куда должно быть подключено выглядит как отдельный квест (у человека может быть личный телефон и/или ноутбук, которые могут использоваться для работы, и личный и рабочий телефоны, прочие всевозможные сочетания, да и появляться он может в офисе раз в месяц);
• Ок, вывешиваем заранее бумажку: если вы хотите подключить устройство к WiFi в развлекательных целях, то используйте такую-то сеть с таким-то паролем, если в рабочих, то такую-то с таким-то (а смысл скрывать пароль, если на личном компьютере посмотреть его не проблема, а вариант передать сакральное знание о пароле к основному сегменту одному единственному человеку (например, секретарю) и обучить его вводить пароль у гостей отметается, так как в штате такого человека нет), но прежде свяжитесь вот с этим человеком, чтобы он временно отключил белый список. Во время переходного процесса регулярно икаем, так как постоянно вспоминают недобрым словом, а заодно чувствуем себя клоуном, понимая, что свернули куда-то не туда;
• Ок, вариант с raduis, к сожалению, отбрасываем;
• Ок, в основной WiFi сети меняем название и пароль, в дополнительной WiFi указываем данные, которые ранее были в основной, разрешаем через файрвол двусторонний доступ, регистрируем всех подключившихся в течение какого-то времени, а потом доступ из дополнительного сегмента к основному выключаем, а точечно всем жалующимся, что не открывается корпоративные ресурсы, открываем.

Или просто запрещаем всем незарегистрированным устройствам доступ к локальной сети.

[3-50]

Ответ представителя официальной тех.поддержки:

Цитата

подобной реализации в ближайших планах нет. Дело в том, что в KeeneticOS не реализован межсетевой экран на базе mac-адресов, который понадобится для ограничения доступа незарегистрированных устройств в локальную сеть. Есть только экран на базе ip, при помощи которого реализовано ограничение доступа в интернет и между сегментами. Кроме того, реализация межсетевого экрана на основе mac-адресов приведет к существенному снижению производительности устройства. А наш основной потребитель все же домашние пользователи, для которых это самое важное.