एकल परिवार के घर में सुरक्षित, उच्च स्तरीय नेटवर्क

ठीक है, तो संक्षेप में:

हाँ, तुम कर सकते हो।

यह आम तौर पर हमेशा होता है। "अच्छा" तब होता है जब तुम्हारा डिवाइस 802.1x को सपोर्ट करता हो। "कम अच्छा" तब होता है जब इसमें केवल एक MAC एड्रेस हो।

सामान्य तौर पर मैं ऐसे हमले के परिदृश्यों के बारे में यथार्थवादी रूप से सोचूंगा। VLANs के जरिए तुम आउटडोर पोर्ट्स को बाकी नेटवर्क से अलग कर देते हो। फिर कुछ निश्चित रूट्स बचे रहते हैं जैसे कि इंटरनेट तक। और फिर? तुम्हारा मेहमान सर्फ कर सकता है। लेकिन हर दूसरे पड़ोस में खराब तरीके से सुरक्षित वाईफाई होने पर इतना बड़ा प्रयास करना? मुझे तो ज्यादा तकलीफ होगी कि इसी मौके पर कोई मेरा एक्सेसपॉइंट या गार्डेना-गेटवे चुरा ले।

यह सब सही और स्पष्ट है। मेरा उद्देश्य केवल यह जानना था कि क्या मैं इसे फिर भी हल कर सकता हूँ, क्योंकि मेरी कोई जानकारी नहीं थी। मेरा मकसद हमले के परिदृश्यों की संभावनाओं के बारे में नहीं, बल्कि क्रियान्वयन की संभावना के बारे में था। मैं इससे यह निष्कर्ष निकालता हूँ कि यह स्पष्ट रूप से प्रभावी ढंग से क्रियान्वित नहीं किया जा सकता।

क्या आपने Fing-Box देखी है? … इसके साथ आपको कम से कम एक दृश्य मिलेगा जब कोई नया उपकरण प्लग इन किया जाता है

यह पता लगाने के लिए कि क्या कोई नया डिवाइस जुड़ा है, किसी अतिरिक्त बॉक्स की आवश्यकता नहीं है। यह सिस्टम में बस एक बॉटलनैक है…

जो स्विच, फायरवॉल और APs का उपयोग किया गया है उसके अनुसार काम कर सकता है:
जैसे FortiGate फायरवॉल के साथ FortiAP बाहर:
- Accesspoint के पोर्ट पर DHCP निष्क्रिय करें, अपना VLAN (बाहर) सेट करें।
- 802.1x सर्वर सेट करें और APs तथा क्लाइंट्स को उसके माध्यम से प्रमाणित करें।
- Accesspoint पर क्लाइंट्स के लिए DHCP सक्रिय करें और FortiGate को गेटवे और DNS के रूप में दर्ज करें, वहाँ संबंधित रूट्स भी सेट करें।
इससे केवल एक क्लाइंट को सफल 802.1x प्रमाणन के बाद Accesspoint से IP मिलेगा, यदि Accesspoint गायब है तो इस पोर्ट पर DHCP नहीं मिलेगा और एक हमलावर को पता होना चाहिए कि एड्रेस रेंज क्या है, VLAN क्या है और 802.1x क्रेडेंशियल्स क्या हैं। एक अतिरिक्त VPN के साथ आप सुरक्षा को और बढ़ा सकते हैं।
एक अन्य पोर्ट पर आप अपना Gardena Gateway लगाएं, MAB और ACL बनाएं, इसका मतलब है कि MAC स्पूफिंग के मामले में भी हमलावर तभी आगे बढ़ पाएगा जब वह Gardena Gateway के एक ही Source IP और Destination IPs और Ports का उपयोग करे। मतलब वह अधिकतम Gardena सेवाओं तक ही पहुंच सकता है।

मैं वैसे ही करूंगा।

थीम को फिर से उठाने के लिए…
क्या कोई ऐसा राउटर सुझा सकता है जो VLAN में DHCP ला सके?
इसके अतिरिक्त, वर्तमान में एक फ्रीटल (Fritte) नेटवर्क एक्सेस संभालती है, अगर उसे राउटर के साथ जोड़ा जाए तो डबल NAT होगा। क्या यह वास्तव में गंभीर है यदि VPN आदि का कोई रोल नहीं है? VoIP के मामले में यह कैसा दिखता है?
इसके लिए मैं सोच रहा हूँ कि अपने Windows 2016 सर्वर, जो 24/7 एक डेस्कटॉप PC पर चलता है, को एक NAS से बदल दूं। मैं Synology DS920+ के बारे में सोच रहा हूँ।
क्या कोई अंदाजा लगा सकता है कि क्या यह डिवाइस कुछ विंडोज सर्वर सेवाओं (VM के रूप में) को बदलने और साथ ही Radius और DNS को संभालने के लिए पर्याप्त होगा?

पूरक सूचना: मेरे पास एक वैध Windows Server 2016 Datacenter लाइसेंस है। यह निश्चित रूप से सब कुछ कवर कर लेगा यदि मैं सब कुछ VM में करता। एक उपयुक्त सर्वर की कीमत जरूर होती है।
फिर भी यह एक विकल्प है?

तुम फ्रीटे को ब्रिज मोड में क्यों नहीं करते या इसे एक साधारण मोडेम से क्यों नहीं बदलते? तब तुम्हें डबल NAT नहीं होगा।
VLAN में DHCP असल में हर VLAN सक्षम राउटर कर सकता है।
तुम Synology पर क्या चलाना चाहते हो? RAM तुम्हें निकालना चाहिए। तब Windows कुछ हद तक चलेगा। लेकिन भारी गणना वाले कामों के लिए यह ठीक नहीं है।
Radius और DNS को नज़रअंदाज़ किया जा सकता है। वैसे भी मेरे होम नेटवर्क में। ज्यादा डिवाइस नहीं हैं इसलिए कोई बड़ी लोड नहीं है।