Возможно ли обезопасить себя имея два роутера?

Question

[H0pkins]

Здравствуйте. Очередной ламерский вопрос (простите я только учусь). Вот есть такая схема простая.

Есть два роутера, которые старые и на них не получится сделать несколько VLAN. И есть два клиента, которых хочется разделить.

Будет ли безопасно так разделить два клиента? Клиент 2 ведь не сможет организовать митм атаку на клиентов из Роутера 1? Или какую-то другую мб атаку?

В идеале насколько я понимаю это создать на одном роутере две раздельные локальные сети, но что делать если аппаратная/программная часть не позволяет это сделать?

Зачем я это вообще спрашиваю?)
Я провел интернет в свой населенный пункт. И мы с товарищем решили сделать локалку и делить тариф на двоих. Товарищ мой знатный шутник и любит поковыряться в кали (я параною слегка, чтобы не стать жертвой его пранка). Вот хочу как-то изолировать нас друг от друга, чтобы он не мог вред нанести, ни я (хотя я этого делать и не собираюсь).

В наличии есть разные роутеры, но они старые. OpenWrt ели вывозят, т.е. ставить не дефолтную прошивку не имеет смысла ибо режет скорость интернета из-за просадки производительности.

Думаю два роутера использовать, как на схеме. Но, не уверен, что это будет эффективно в плане изолированности и безопасности.

Comments

[TheBigBear]

"которые старые и на них не получится сделать несколько VLAN"
Ну хоть модели роутера сообщил бы... может и умеют на стандартной прошивке, а Вы не знаете

Answer 1

[rPman]

для полноценной защиты тебе нужно 3 простых роутера
1 роутер выходит в интернет, в нем локальная сеть 192.169.0.0/24
каждому клиенту роутеры 2 и 3, в каждой из них настроена своя сеть, отличающаяся от сети первого роутера (маловероятно что роутеры сумеют NAT-ить если ip совпадут, хотя в принципе такое возможно), пусть будет 192.168.1.0/24, при этом WAN порты этих 2 и 3 роутеров подключены к портам локальной сети 1 роутера.

в этой схеме оба клиента максимально изолированы друг от друга (читай vlan) но будет очень нехороший недостаток - не будет работать upnp, а для настройки перенаправлений портов нужно будет доступ к роутеру 1 и роутеру 2 и 3 соответственно, т.е. один пользователь должен иметь доступ к первому роутеру и оба клиента к своим.

Answer 2

[Sanes]

Если он Client 2, то да. В плане, что ничего вам не сломает.
Если он занимается фигнёй, из-за которой приедет тов. Майор, то лучше не делить с ним сеть.

Comments

[Valentin Barbolin]

В этой схеме client2 имеет доступ к client1, но client1 НЕ имеет доступ к client2.

[Sanes]

Andrey Barbolin, а проблема в чём?

[Sanes]

Andrey Barbolin, я точно так же имею доступ к провайдеру.

[H0pkins]

Andrey Barbolin, значит лучше быть client 2?

Разве client 1 не может совершить митм атаку?

[rPman]

H0pkins, имея доступ к роутеру такая возможность есть, другой вопрос, много ли у тебя приложений, которые подвержены этой атаке? сейчас весь трафик шифрован и твоя задача просто не отключать проверку сертификата и следить за сообщениями об ошибках

[Александр Фалалеев]

H0pkins, На счёт митм-атаки про которую Вы спрашивали - Вам правильно ответил Sanes.
Но если ваш друг охр.. офигительный кулхацкер (или Вы полный ламер) то когда его трафик будет проходить через Роутер 1, то он его взломает и будет знать про Вас всё (закадровый злобный смех Тёмного Властелина) - это Вам хотел сказать Andrey Barbolin.

Так что оба варианта ужасно опасны :)))

[H0pkins]

rPman, согласно этой схемы лучше быть client 1?

(При условии, что client 2 не имеет доступа к управлению router 2)

Client 2 будет видеть клиентов из сети router 1, но по идеи не сможет провести атаку ?

[H0pkins]

Александр Фалалеев, как такое возможно?)

[Sanes]

H0pkins, если есть опасения, то просто не делите с ним сеть. Других дел нет? следить ещё за ним.

[rPman]

локальная сеть по определению менее защищена, не потому что она локальная, а потому что в ней приложения защищены роутером (ообычно подключение идет через NAT и все подключения из вне запрещены или регулируются upnp) и из-за того что такое происходит годами, разработчики расслабились и допускают очень глупые ошибки в приложениях, предпологая что 'к ним никто подключаться из интернета не будет а в локальной сети все свои'

тупой пример - роутеры (старые и дешевые часто) бывают доступны без пароля (доступ по ssh с дефолтным паролем или telnet вообще без пароля) изнутри локальной сети., так же бывают приложения организуют IPC между своими модулями организовав нешифрованную (зачем все ведь свои) сеть прямо на одной машине, но сетевое подключение слушают на всех интерфейсах, это значит как минимум злоумышленник может сломать работу этих приложений или даже управлять ими удаленно

пользователи часто ставят простые пароли или даже отключают их в локальной сети windows, какой у вас там пароль входа? 'a'? а это уже доступ к файлам, машину можно заразить своим трояном и вот уже полный доступ.

если злоумышленник в твоей сети - ты в гораздо большей опасности, так что не пускай его к себе

Answer 3

[Yan]

Помни, что можно вместо роутера №2 можно вставить свою хакерскую машинку. Отсюда всё вытекает.
Если роутеры старые, то может на них найдется альтернативная прошивка open wrt / dd wrt / tomato / etc и там можно будет как-то изолировать lan. Первые два, если правильно помню умеют в vlan
Либо купить keenetic, и добавить lan порт в гостевой сегмент (либо любой кроме домашнего с изоляцией клиентов)