安全子网的第二个路由器设置

信息安全 网络 路由器 局域网
2021-09-01 13:13:33

我有一个 BT Smart Hub 作为我的路由器,它没有访客网络功能,我还有一个 Netgear Nighthawk D7000。

最初我尝试只使用 D7000 并利用访客 wifi 功能,但我无法正确设置,以便 BT 的 YouView 和互联网电视频道按要求工作(有些是加密的,例如 BT Sport 所以想知道这是否是问题)。

我正在考虑这样的设置:

 Phone Line
     |
     |
 Main router, BT Smart Hub (has guest access)
     |      |        |                \  
     |     TV     YouView etc      Guest wireless devices
     | 
     |
 2nd / D7000 router (LAN on Main router -> Internet port on 2nd / D7000)

设置注定会引起无尽的头痛设置还是非常简单?

BT Smart Hub 实际上也有一个额外的 WAN 端口,我不确定是否有可能从这个 WAN 端口连接到 D7000 上的 Internet(WAN?)端口?如果可能的话,这有什么额外的好处吗?更安全?更难设置吗?

解决访客无线设备(或连接的 LAN)可以接管主路由器并有效跟踪来自专用路由器(有我的笔记本电脑/pc/mac 等)的所有互联网流量的问题,将使用类似 VPN 2nd Private 路由器上所有设备上的 F-Secure Freedome 显着减轻甚至阻止那里的任何 MITM?是否存在通过主路由器直接访问第二个路由器上的设备的风险,或者第二个路由器中的防火墙会阻止这种情况吗?

这个问题是对这里的问题的一种跟进,因为其中一个答案表明这里的设置是倒退的,但即使颠倒设置也会向中间人攻​​击打开设置,并且所有网络都可能暴露在第二个路由器之外。

1个回答

这是一个很好的问题,作为一个不断建立分层网络的渗透测试者......我可以告诉你,这不是一个直截了当的答案。以我的经验,更多的是关于这些路由器/交换机的设计有多好,而不是良好的设置实践。

1:试试看。只需设置它,打开wireshark,然后就可以了。如果遇到问题,请检查wireshark。特别注意 ARP 和 DHCP 调用。您可能会遇到的一个主要问题是对拥有两个 arp 表感到困惑。如果第一个路由器认为 IP 已更改(DHCP),但第二个路由器(基本上用作第 3 层交换机)没有刷新它的 arp 表......该设备将是一个幽灵。不要害怕拔掉并插入第二个路由器来解决这样的问题。

2:路由器如何处理多个“网关”并不总是很好。如果您将 D700 插入 D700 的 WAN 端口上的主路由器,它可能会混淆。有些路由器具有减轻这种情况的功能,有些则没有。如果其中一个路由器无法处理您正在设置的配置,我建议将第二个路由器的 IP 范围与第一个(10.0.0.0/24 和 192.168.0.0/24)不同,以帮助解决问题拍摄和确认正确的路线。它将强制在第二个路由器上创建一个路由表,这可能有助于混淆(为什么有多个 DHCP?!,路由器和设备说)。

3:MITM 在此处使用的上下文中令人困惑。最常见的 MITM:模仿任何一个路由器的假 SSID,当有人登录它时,SSL 会剥离并收集密码等。这是一种非常具体且令人讨厌的攻击类型。如果有人已经入侵了您的网络,那么中间的第二个最常见的人就会发生,我不会进入它,因为无论您如何看待它,您都会遇到严重的麻烦。在我看来,你的设置并不会真正影响你对有动机的攻击者的 MITM 的暴露。

把它全部连接起来,然后报告错误?乐于帮助解决问题。祝你好运。

其它你可能感兴趣的问题
上一篇了解 CSRF 攻击预防 下一篇使用 malloc 识别简单程序中的漏洞