Forum » Omrežja in internet » Kako povecati varnost v home omrezju
Kako povecati varnost v home omrezju
harmony ::
Zadnje case poskusam svoje omrezje zascititi kolikor se le da.
Moje home omrezje je trenutno taksno:
Modem - v bridge nacinu
Firewal - Sophos UTM
Switch
WLAN Router
Vse lepo in prav, ampak najbolj me dejansko skrbi WLAN. Trenutno imam klasicno WPA2 enkricpijo vklopljeno z dokaj dobrim passwordom. Ni fraza, je mesano iz crk, stevilk, znakov...
Prisel je se tudi en TV v omrezje...
Dejansko se bojim najsibkejsih clenov...je to TV, je to WLAN, ne vem.
V svojem domacem omrezju imam postavljen AD,DNS,DHCP,CA...Ali bi namesto WPA2 Personal z WPA2 Enterprise (torej RADIUS) bilo kaj "varneje"? Torej vsak user, ki je registriran v AD-ju, bi se lahko povezal v omrezje, drugi ne...
Mogoce opcija, da naredim VLAN in omogocim klientom dostop do WLANA, ki pa ne bi imeli dostopa do internega omrezja, oziroma po potrebi manuelno dolocal dostope...npr. dostop do NAS streznika (ki tudi pride na vrsto)...
Torej glavno vprasanje - kako se izboljsati varnost v domacem omrezju. Sem res bolj zacetnik, vsak dan izvem nekaj novega, sprobam...pac ucenje...
Moje home omrezje je trenutno taksno:
Modem - v bridge nacinu
Firewal - Sophos UTM
Switch
WLAN Router
Vse lepo in prav, ampak najbolj me dejansko skrbi WLAN. Trenutno imam klasicno WPA2 enkricpijo vklopljeno z dokaj dobrim passwordom. Ni fraza, je mesano iz crk, stevilk, znakov...
Prisel je se tudi en TV v omrezje...
Dejansko se bojim najsibkejsih clenov...je to TV, je to WLAN, ne vem.
V svojem domacem omrezju imam postavljen AD,DNS,DHCP,CA...Ali bi namesto WPA2 Personal z WPA2 Enterprise (torej RADIUS) bilo kaj "varneje"? Torej vsak user, ki je registriran v AD-ju, bi se lahko povezal v omrezje, drugi ne...
Mogoce opcija, da naredim VLAN in omogocim klientom dostop do WLANA, ki pa ne bi imeli dostopa do internega omrezja, oziroma po potrebi manuelno dolocal dostope...npr. dostop do NAS streznika (ki tudi pride na vrsto)...
Torej glavno vprasanje - kako se izboljsati varnost v domacem omrezju. Sem res bolj zacetnik, vsak dan izvem nekaj novega, sprobam...pac ucenje...
SeMiNeSanja ::
TV je problem, če je preveč pameten - če hočeš uporabljati DLNA, da nanj streamaš vsebine. V tem primeru boš imel problem, če ga prestaviš v svoj VLAN (in SSID).
Lahko mu pa prepoveš 'prosto gibanje' po internetu. Nastaviš mu fiksni IP naslov (ali mu fiksnega dodeljuješ preko DHCP), na Firewall-u pa ga blokiraš za vse ostalo eksterno, razen za update stran za firmware, pa mogoče še kakšno malenkost (ne vem, kaj na njemu še vse poganjaš).
Če ga postaviš v ločen SSID/VLAN, potem računaj, da boš vsaj za takrat, ko boš nanj stremal, na ta SSID priključil tudi DLNA strežnik.
WPA2 Enterprise za domačo rabo....? Kot eksperiment mogoče, da se spoznaš z zadevo. Ni pa ravno običaj, da bi to našel na tipičnem domačem omrežju. Sploh boš imel težave, če ti bo kdaj AD strežnik 'nagajal', ti se pa ne boš mogel prijaviti na WiFi. V takem primeru je fino imeti tak AP, da ima še vedno 'backup' opcijo z 'navadnim' WPA2.
Jaz imam WPA2 Enterprise kombiniran z Radius SSO avtentikacijo za požarno pregrado, kar pa je že čisti overkill za domačo rabo.
V podjetjih je Radius avtentikacija 'bolj varna', ker ni 'javno objavljenega' gesla za WiFi. Če se torej več naprav prijavlja z istim userjem, točno veš, koga je treba povabiti na razgovor. Kadar pa vsi uporabljajo isto geslo, pa nikdar ne moreš vedeti, če ga ni kdo posodil še kakšni čedni sosedi,....
Lahko mu pa prepoveš 'prosto gibanje' po internetu. Nastaviš mu fiksni IP naslov (ali mu fiksnega dodeljuješ preko DHCP), na Firewall-u pa ga blokiraš za vse ostalo eksterno, razen za update stran za firmware, pa mogoče še kakšno malenkost (ne vem, kaj na njemu še vse poganjaš).
Če ga postaviš v ločen SSID/VLAN, potem računaj, da boš vsaj za takrat, ko boš nanj stremal, na ta SSID priključil tudi DLNA strežnik.
WPA2 Enterprise za domačo rabo....? Kot eksperiment mogoče, da se spoznaš z zadevo. Ni pa ravno običaj, da bi to našel na tipičnem domačem omrežju. Sploh boš imel težave, če ti bo kdaj AD strežnik 'nagajal', ti se pa ne boš mogel prijaviti na WiFi. V takem primeru je fino imeti tak AP, da ima še vedno 'backup' opcijo z 'navadnim' WPA2.
Jaz imam WPA2 Enterprise kombiniran z Radius SSO avtentikacijo za požarno pregrado, kar pa je že čisti overkill za domačo rabo.
V podjetjih je Radius avtentikacija 'bolj varna', ker ni 'javno objavljenega' gesla za WiFi. Če se torej več naprav prijavlja z istim userjem, točno veš, koga je treba povabiti na razgovor. Kadar pa vsi uporabljajo isto geslo, pa nikdar ne moreš vedeti, če ga ni kdo posodil še kakšni čedni sosedi,....
harmony ::
Sem uposteval nasvete in postavil RADIUS na 5Ghz interfaceu, na 2Ghz pustil WPA2 Personal. Izi postavitev, zdaj pa veselo naprej raziskovat.
Za AD streznik pa nameravam dodati se en Backup server...na drugem fizicnem racunalniku, ki bo ponovno Shuttle MiniPC.
@jb_j
Najbrz ne mislis resno.
Za AD streznik pa nameravam dodati se en Backup server...na drugem fizicnem racunalniku, ki bo ponovno Shuttle MiniPC.
@jb_j
Najbrz ne mislis resno.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Moja domaca mrezaOddelek: Omrežja in internet | 7294 (5142) | mahoni |
| » | Eduroam in ubuntu (strani: 1 2 )Oddelek: Omrežja in internet | 14130 (8288) | ramiz?! |
| » | Domače WIFI omrežjeOddelek: Omrežja in internet | 1722 (1315) | n0pin |
| » | Zaščita RouterjaOddelek: Omrežja in internet | 4964 (3899) | blackbfm |
| » | Teroristi uporabljajo tuja nezaščitena brezžična omrežjaOddelek: Novice / Zasebnost | 6436 (4039) | madviper |