Zabezpečení lokální LAN sítě vyvedené z bytu na jiné místo

[Liam]

Zdravím,

mám otázku na zkušenější.
Potřebuji dostat wifi signál v našem bytovém domě do přízemí a to tím způsobem, že plánuji natáhnout rozvaděčem na chodbě mezi patry ethernet kábl, který bude zapojen v mém routeru do LANky a na druhém konci v přízemí bude AP v podobě Mikrotiku. Nebude v tom žádný problém, ale řeším, jak zabezpečit část sítě síť vedenou kabelem mezi routerem a AP. Teoreticky je možné, že se mi kdokoliv může na kabel v rozvaděči napíchnout a tím se dostat do mé LAN sítě, která není nijak zabezpečena. Rád bych, aby zařízení v přízemí, které se připojí na WiFi měly přístup do stejné LAN sítě jako u mě v bytě a také na internet. Existuje nějaké řešení, jak to zabezpečit proti neautorizovanému připojení? Stačilo by zabezpečení pro konkrétní LAN port routeru. Na routeru mi běží OpenWRT a v přízemí bude jak jsem psal Mikrotik. Přemýšlel jsem o VLAN, ale tam není možnost to asi nijak zabezpečit, VPN by tady asi také nešla...

Díky,
L.

[hol]

co mě napadá na první dobrou:

- primitivní řešení je, že na tom kabelu to nedá DHCP adresu. Bez znalosti IP na té páteři se připojit můžem ale fungovat mu to nebude. Sice to jde překonat, ale lama to nedá. DHCP bude dávat až router ve sklepu.

- jde na MK vytáčet vpnku a druhým routerem se k tomu připojovat. Bez znalosti konfigurace VPN, hesla, popř. cetrifikátu (dle typu VPN) se linka nespojí. Lepší by to bylo mezi 2ma MK, openWRT znám jen okrajově a tak nevím, zda má příslušné funkce

- na switchých existuje funkce, co nepovolí k portu připojit jinou než definovanou MAC adresu. Zda to umí MK/openwrt netuším, ale google asi poradí

Snad jsem pochopil zadání správně . Určitě budou ještě další možnosti, ostatní jistě doplní.

[Liam]

co mě napadá na první dobrou:

- primitivní řešení je, že na tom kabelu to nedá DHCP adresu. Bez znalosti IP na té páteři se připojit můžem ale fungovat mu to nebude. Sice to jde překonat, ale lama to nedá. DHCP bude dávat až router ve sklepu.

- jde na MK vytáčet vpnku a druhým routerem se k tomu připojovat. Bez znalosti konfigurace VPN, hesla, popř. cetrifikátu (dle typu VPN) se linka nespojí. Lepší by to bylo mezi 2ma MK, openWRT znám jen okrajově a tak nevím, zda má příslušné funkce

- na switchých existuje funkce, co nepovolí k portu připojit jinou než definovanou MAC adresu. Zda to umí MK/openwrt netuším, ale google asi poradí

Snad jsem pochopil zadání správně . Určitě budou ještě další možnosti, ostatní jistě doplní.

Díky, zadání si pochopil
O DHCP a blokování MAC jsem uvažoval, ale je to opravdu dosti primitivní a lze pak chvíli poslouchat na ethernetu a je jasno. Navíc DHCP potřebuji na bytovém routeru mít. A zakázat to pro konkrétní LAN port asi nepůjde.

Pro tu VPN je ale asi zase nutné být nejdříve připojen do sítě, to bych musel na tom portu vytvořit asi jinou síť pomocí VLAN? Nejsem zas takový expert

[ludvik]

Řeknu ti to asi takto ... pro tyhle účely to nikdo neřeší. Každé řešení totiž je tak složité, že to každého odradí.

Ano, můžeš použít VPN. Ale ve tvém případě budeš muset na tom WRT dokázat zakázat každý jiný provoz na tom portu.
V lepších sítích můžeš použít MACsec, pak je šifrováno vše na L2 úrovni. Ale s MK a se vší pravděpodobností ani s WRT nepochodíš.
Případně alespoň 802.1x autentifikaci. Podle mě je to ovšem jen teorie (klient na MK určitě není, jak je na tom WRT opět netuším).

Jednodušší bude sledovat událost down/up na těch portech a zkontrolovat pokaždé kabel ...

Nebo použít optiku, její narušení je přeci jenom složitější. A pokud i to je pro tebe nedostatečné, tak pracuješ pro NSA a nech si poradit od jejich oddělení

Mimochodem mi přijde jednodušší hacknout tu wifi, než riskovat prozrazení při hrátkách s kleštěmi v rozvaděči.

---
Proti nechtěnému odpojení RJ konektoru lze použít třeba toto: https://www.t3innovation-asia.com/produ ... 5/?lang=en
nebo lepidlo ...

[placek.milan]

To pracuješ pro NASA nebo co? Prostě zapoj kabel a ostatní porty disabluj.
Trochu mi to připadá jako sdílečka Proč chceš tahat kabel z bytu do dalšího bytu v bytovce?

[K3NY]

To pracuješ pro NASA nebo co? Prostě zapoj kabel a ostatní porty disabluj.
Trochu mi to připadá jako sdílečka Proč chceš tahat kabel z bytu do dalšího bytu v bytovce?

uz jen to ze nekdo resi takovou to moznost me dohani k slzam smichu. Jinak 802.1x je spravna odpoved za zlateho bludostaka.

[Selič]

Pokud je na obou stranách kabelu mikrotik, tak stačí nastavit na obou stranách EOIP tunel se šifrováním. Podle návodu na mikrotik wiki práce na 5 minut.
Switch pak případně nahradit RB750 nebo něčím podobným.

[Liam]

To pracuješ pro NASA nebo co? Prostě zapoj kabel a ostatní porty disabluj.
Trochu mi to připadá jako sdílečka Proč chceš tahat kabel z bytu do dalšího bytu v bytovce?

Žádná sdílečka. Prostě potřebuju mít ve sklepě WiFi, na které bude viset čidlo teploty/vlhkosti a podobné IOT věci. Vzdáleně budu moci otevírat okno apod. Nic více.
Navíc 2 další LAN porty bytového routeru používám pro NAS atd...

Kabel vede rozvaděčem, ale na min. dvou místech bude spojka RJ45, takže připojení cizince by bylo snadnější. Proto se ptám na zabezpečení. Nepotřebuji nic extra, ale jen pro klid v duši.
Je ale pravda, že prolomení přes WiFi je asi snadnější.

[Liam]

Díky ale za poznámku o 802.1x, zní to zajímavě.
Na to se podívám, pokud by to bylo schůdné. Jen na začátku přemýšlím, zda se tato autentifikace dá povolit pouze na jednom portu LAN v routeru.

[Adolf.Shitler]

Neumím si představit, že někdo bude v bytovce vědět, k čemu tam vede nějaký UTP kabel, natož aby ho přerušil, hodil tam koncovky a ještě strčil switch... A spojka RJ45 se dá dát do smršťovací bužírky a tím se ke spojce nikdo nedostane.

[hapi]

tak to máš houby představivost. Ti co si to umí představit už i viděly přestřihnutý UTP a nataženej kabel do jinýho bytu. Samozřejmě napojený do hvězdy a ono to tak nějak funguje a na nic se nepřijde.

Já bych tam dal vlanu a hotovo, pochybuju že lopata bude vědět co je vlana a že ho vůbec napadne že tam je vlana. A jestli je někdo tak dobrej aby vůbec se zabejval něčim dál než "připojit kabel a jede to" tak fakt nevim proč by někdo takovej si napojoval net na černo. Píšeš bytovka... to tam máš takový sousedy nebo co?

[Adolf.Shitler]

Nějaká naivní lama to může samozřejmě přestřihnout i tak, protože bude prd vědět, že to má někdo zabezpečený. Ale takových magorů už dneska naštěstí moc není. A jak bylo napsáno, tak je snadnější hacknout tu WiFi, než se s tím tentovat kdesi v rozvaděči.

[hapi]

opravdu? myslíš že menšina bude hackovat wifi? menšina přijde se štípačkama a naváže kabel. Easy.

[Adolf.Shitler]

Kolik takových menšin je? Jsou paneláky se stovkama bytů a nikoho ani nenapadne tam někde stříhat kabely a cosi navazovat. Nehledě na to, že ten navázaný kabel je naprosto jasně zjistitelný, takže to by udělal akorát někdo s IQ, že sotva dojde sám na WC (a takový blb nejspíš o netu stejně nic neví). Hacknutá WiFi je už zjistitelná o poznání hůř, to toho se klidně může někdo pustit.

[rsaf]

Dvě spojky cestou je prasácké řešení - přetáhnout to celistvým kabelem, nenechávat po cestě žádné rezervy, které by nabádaly k nějakému stříhání a napojování... Případně kabel dát ještě do chráničky.
Samozřejmě je dobrý nápad řešit i zabepečení domácí sítě jako takové - např. na NASce nemít vše přístupné pro guest/public ale mít tam uživatelské účty se solidními hesly (hesla uložená v PC, takže se nic nemusí zadávat).
Optika samozřejmě taky není špatné řešení - koupit hotový EasyFlex patchcord, protáhnout ho do sklepa, na koncích použít SFP moduly s SC konektory...

Jinak asi nejjednodušší řešení pro paranoiky by byl zmiňovaný EoIP tunel, případně pokud dole bude jen wifi tak CAPSMAN.