איך לאבטח שקע רשת שמותקן במיקום ציבורי?

א

אדנדום

New member
אני זקוק לאינטרנט בחניון של הבניין, ולכן מתכוון להוריד כבל רשת מהדירה שלי (שיהיה מחובר לנתב) עד לשקע רשת שימוקם בחניון, ושם לחבר נקודת גישה אלחוטית. בשל אילוצים, השקע ימוקם במיקום שאי אפשר לאבטח פיסית בארון נעול וכד'.
השאלה איך אני מונע מפורץ שיתחבר פיסית לשקע הרשת בחניון מלגשת באופן חופשי לרשת הביתית שלי. איך אני מגדיר מעין DMZ שיחול רק על אותו חיבור רשת?
הנתב בבית הוא Deco M5.
 
sys_admin

sys_admin

Active member
מה שנדרש במקרה שלך זה שימוש בשני תקנים. הראשון הוא IEEE 802.1X או בשמו האחר PNAC. זה ההסבר על התקן:
IEEE 802.1X - Wikipedia
הפורט הספציפי של המתג יוגדר כך שהתקשורת בו תתאפשר אך ורק, אם ההתקן שמחובר עליו פיזית יזדהה עם השם משתמש וסיסמה הנדרשים אשר יהיו מוגדרים בנקודת גישה אשר מחוברת לקצה השני של הכבל בחניון. כך, אם ינתקו את הנקודת גישה ויחברו כל דבר אחר, ללא ההזדהות הנדרשת לא תיווצר תקשורת כלל. בשביל זה כמובן גם המתג וגם הנקודת גישה צריכים לתמוך בתקן זה ונדרש להגדיר את פרטים אלה.

והתקן השני הוא IEEE 802.1Q או בשמו האחר VLAN. וזה ההסבר על התקן המדובר:
Virtual LAN - Wikipedia

צריך יהיה להגדיר את הפורט של המתג שמחובר בו כבל שיורד לחניון לעבוד עם VLAN שונה מ VLAN של הרשת הביתית שלך וגם להגדיר לפורט שמתחבר לנתב לעבוד במצב של VLAN TRUNK מתאים. אחרי זה גם בנתב צריך להגדיר VLAN נוסף לרשת ציבורית וגם להגדיר בחומת אש של הנתב את הכללים הנדרשים. למשל שלא תהייה תקשורת בין VLAN של הרשת הביתית ל VLAN של הרשת הציבורית.

כך גם, אם הפורץ יצליח להשיג חיבור קווי או אלחוטי, עדיין הוא לא יוכל לגשת לרשת הביתית שלך.

מיותר לציין שלשימושים אלה הנתב שיש לך כרגע הוא לא מתאים כלל ומה שנדרש זה ציוד "טיפה" יותר מתקדם, מהציודים הפשוטים למשל כל נתב ביתי שיכול להריץ את OpenWRT או, אם רוצים מערכת שיותר נוח להגדיר אז כל מכשיר שעליו יותקן pfSense.

זה כל הסיפור.
 
א

אדנדום

New member
תודה רבה על התשובה המפורטת!

אם אני מוכן להסתפק בהזדהות IEEE 802.1X וללא הגדרת VLAN (שנראה שתצריך נתב חדש), האם מתג מנוהל פשוט יכול לעשות את העבודה? למשל זה. מניח שניתן להגדיר בו שאחת היציאות, זו שממנה יצא הכבל לחניון, תעבוד בפרוטוקול IEEE 802.1X ותצריך הזדהות, נכון?
 
sys_admin

sys_admin

Active member
אם אתה מוכן להסתפק בהזדהות IEEE 802.1X וללא הגדרת VLAN (שבטוח שתצריך נתב חדש), מתג מנוהל פשוט יכול לעשות את החלק שלו בעבודה. אבל בשביל שהוא יעשה את החלק זה בעבודה, הוא צריך לפחות לתמוך בתקן 802.1X המדובר. ולפי המפרט של המתג שצירפת, מתג שצירפת, הוא לא תומך כלל במה שנדרש.
אם אנו מדברים על מתג מנוהל הכי פשוט שתומך במה שנדרש, וגם ב PoE. אז למשל אפשר להשתמש במכשיר זה:
8-Port Managed Gigabit PoE+ Switch | Linksys
אבל כפי שכתבתי מדובר על כך שמתג עושה רק חלק מהעבודה בתקן 802.1X. החלק הנוסף עושה התקן שמתחבר לפורט זה של המתג וצריך להזדהות מולו. במקרה שלך זו נקודת גישה אלחוטית שגם צריכה לתמוך בהזדהות ב 802.1X. והחלק האחרון, בסיפור הוא שרת RADIUS שמזהה את מי שמנסה להתחבר לפורט של המתג.
שרת זה יכול להיות מותקן בנתב, למשל בנתב שמריץ את OpenWRT או עדיף בנתב שמריץ את pfSense . או שזה יכול להיות מחשב ברשת שלך שמריץ את השרת זה או אפילו התקן קטן כמו raspberry pi שמריץ את השרת זה. ואם כבר ממילא אתה נדרש לנתב הגיוני, אז הוא גם יבצע את הטרמינצייה של רשתות משנה VLANs וגם יעסוק בחוקי FireWall נדרשים.

כך למשל נראה צילום מסך של אחד התפריטי ניהול של שרת RADIUS בנתב pfSense שמותקן אצלי והוא מנהל את ההרשאות הזדהות של כל הציודי רשת ביתית.
 
א

אדנדום

New member
שוב תודה על התשובה המקיפה.
לא לגמרי הבנתי למה צריך שרת RADIUS. האם בממשק של המתג המנוהל לא אוכל להגדיר את שם המשתמש והסיסמה לפורט הרלוונטי?
 
sys_admin

sys_admin

Active member
אני אנסה להסביר בקצרה את מה שנתתי לו קישור בתחילת הדיון ומה שכבר מוסבר בפשטות בהקשר זה בויקיפדייה ואפילו אצרף את התרשים הרלוונטי משם:

במקרה שלך, Supplicant זה אותה נקודת גישה אלחוטית שמנסה להתחבר לפורט של המתג, Authenticator , בדיוק כמו גם בתשים זה מתג שלפורט שלו מתחברת אותה נקודת גישה ו Authentication server זה שרת RADIUS שיכול להיות בכל אחד מהמכשרים שהסברתי מקודם ומומלץ כפי שכתבתי שיהיה מותקן בנתב, למשל ב pfSense.

כמובן שבממשק ניהול של המתג לא מגדירים את השם משתמש וסיסמה לפורט ספציפי, אלה שמגדירים את הקישור בין המתג לשרת RADIUS.
למשל בהקשר של המתג בפשוט והזול שצירפתי ניתן לראות את ההגדרות אלה בעמוד 151 בהוראות הפעלה שבקישור הבא:

זה כל הסיפור בפשטות.
 
R

rafid1

Active member
מנהל
בהנחה שאתה לא יושב כול היום בחניון, גישה אחרת יכולה להיות - ניטרול הפורט של הנתב בדירה, ואיפשור שלו ידנית בזמן שאתה צריך גישה (או פיסית או בממשק הבקרה שלו ממחשב אחר ברשת).
בנוסף, תוכל תגדיר ססמא טובה לWIFI , ותסתפק במועט (עם אפשרות לפריצה, אבל רק למי שמגיע פיסית לחניון שלך, אז תנעלו טוב את החניון... :) )
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה