что такое изоляция клиентов в настройках роутера
Изоляция точки доступа в Wi-Fi (AP Isolation): для чего нужна, как включить и выключить
ВОПРОС! Привет! В настройках роутера в разделе настройки Wi-Fi столкнулся с настройкой «Enable AP Isolation». Если переключить на русский, то будет – «Изоляция точки доступа». Что это за конфигурация и нужна ли она?
БЫСТРЫЙ ОТВЕТ! Изоляция точки доступа – это функция, которая запрещает общаться устройствам, подключенным к одной сети по Wi-Fi. Посмотрите на картинку выше. До включения этой функции оба ноутбука могут видеть друг друга в сети и общаться между собой. Если включить эту функцию, то они станут полностью изолированы, но при этом могут иметь доступ к интернету. Данная функция чаще всего нужна в общественных местах, чтобы предотвратить атаку хакерского оборудования, подключенного по вайфай, на другое устройства. Ни для кого не секрет, что подобными сетями часто пользуются хакеры для перехвата трафика. Таким образом можно перехватить данные для авторизации в личных кабинетах, реквизиты банковской карты или лицевого счета. Ниже в статье я более подробно расскажу про безопасность Wi-Fi, а также как её можно защитить от соседа и взлома.
Как включить и выключить изоляция точки доступа?
Обычно этот пункт находится в подразделе «Расширенные» в разделе «Wi-Fi». Может также называться как: «Изоляция клиентов». Не на всех прошивках есть подобная настройка, но найти её достаточно легко. Опять же уточню, что включать её дома не имеет смысла, так как в противном случае устройства не смогут передавать данные друг другу. Ниже вы можете посмотреть, где можно включить эту настройку на разных роутерах.
D-Link
«Беспроводной режим» – «Дополнительные настройки беспроводного режима».
«Беспроводная сеть» – «Профессионально».
TP-Link
На классической прошивке переходим в «Беспроводной режим», открываем раздел «Дополнительные настройки».
На новой прошивке данная функция включается только при активации «Гостевой сети», а сам пункт называется: «Разрешить гостевым пользователям доступ друг к другу».
Netis
Переходим в главный раздел «Advanced». После этого слева кликаем по той вай-фай сети, которую вы хотите ограничить – их тут может быть 2,4 и 5 ГГц. После этого заходим в «Расширенные» настройки.
ZyXEL Keenetic
Настройку можно включить только в гостевой сети. Переходим в раздел «Настройка сегмента сети» и включаем галочку «Изоляция беспроводных клиентов».
Поговорим о безопасности Wi-Fi
Как уже и было сказано, для предприятия и компании лучше всего просто организовать гостевую беспроводную сеть. Настраивается она достаточно легко. По умолчанию устройства гостевой сети не имеют доступ к основной локалке, что очень удобно и безопасно. Там же и стоит включать изоляцию клиентов.
Если же вы хотите обезопасить свою домашнюю сеть, или вы боитесь, что вас взломает злой сосед, то есть несколько рекомендаций, которые вам должны помочь. Давайте пройдемся по всем моментам.
Эта функция позволяет быстро подключаться к беспроводной сети, минуя сложный пароль. Если вы замечали, то на роутере есть такая маленькая кнопочка. При запросе пароля, можно на неё нажать, и вы сможете подключиться к вай-фай.
Вроде бы ничего особенного, ведь сосед не сможет проникнуть к вам в квартиру и нажать на неё. Но есть еще один момент – это WPS PIN код, который состоит из 8 цифр. Как вы понимаете, достаточно легко перехватить любой пакет и попробовать его расшифровать с помощью кода, обычным перебором. Про возможности взлома по WPS можете почитать статью тут.
Смысл в том, что каким бы не был сложным у вас пароль, вас сможет взломать любой школьник с обычной программой. Поэтому лучше зайти в настройки и отключить PIN код.
Использование шифрования
На данный момент самым популярным типом шифрования является WPA2-PSK. Но я открою вам секрет – у него есть некоторая уязвимость. Понятное дело, что об этой уязвимости знают немногие, но она есть. Эту уязвимость заштопали в версии WPS3, но она поддерживается только в Wi-Fi 6-го поколения. Да этот стандарт становится достаточно популярным, но он поддерживается не всеми устройствами. В любом случае WPA2-PSK пока еще достаточно надежно для домашнего использования. Самое главное не использовать обычный WPA.
Про пароли
На самом деле не нужно придумывать какие-то суперсложные пароли с символами и буквами верхнего и нижнего регистра. Самое главное, не использовать очевидные пароли, типа:
И т.д. Также я не рекомендую использовать чисто цифирные пароли, номера телефонов, а также дату рождения, имена и клички животных. А то сосед, прозная эту информацию, может вас взломать.
Фильтрация по MAC-адресам
Данный раздел есть почти на всех прошивках. Принцип очень простой. Есть два списка:
Можно посмотреть, кто подключен к вашей вай-фай сети. После этого у вас есть выбор. Если вас уже взломали, и вы хотите заблокировать устройства по MAC-адресу соседа, то идем в черный список и добавляем его там. Если же вы боитесь, что вас взломают, то открываем белый список, и заносим туда все домашние устройства. После этого никто не сможет подключиться к беспроводной сети, если его нет в белом списке.
Другие рекомендации
Старайтесь регулярно обновлять операционную систему на роутере. Это поможет залатывать дыры и уязвимости, которые присутствуют в алгоритмах ОС. Также рекомендую почитать про варианты взлома Wi-Fi, чтобы повысить свой уровень знания в разделе безопасности сетей.
Безопасная домашняя сеть: создаём изолированный сегмент для гостей
Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Скриншот с сайта производителя
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход — дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все — функциональные возможности встроенного софта у них, повторимся, очень разные.
Изоляция точки доступа и изоляция сети: для чего это нужно в маршрутизаторе WiFi
Изоляция точки доступа: изоляция в сети Wi-Fi
Хотя эта функция обычно доступна и настраивается по умолчанию в гостевой сети Wi-Fi маршрутизаторов, есть некоторые производители, которые в своих прошивках также позволяют использовать эту очень интересную функцию для изоляции беспроводных клиентов друг от друга. Например, если у нас есть ASUS маршрутизатор, мы должны перейти к » Расширенная / Беспроводная / Профессиональная конфигурация », И мы можем включить изоляцию точки доступа для основной сети Wi-Fi на частоте 2.4 или 5 ГГц, поскольку ASUS позволит нам настраивать ее индивидуально для каждой полосы частот.
В случае других высокотехнологичных и рекомендуемых маршрутизаторов, таких как AVM FRITZ! Box, у нас также есть этот вариант конфигурации для основной сети. В этом случае, если мы активируем изоляцию точки доступа, это повлияет на обе полосы частот (что было бы нормально, мы заинтересованы в том, чтобы эта опция была доступна в обоих диапазонах). Конфигурация в этом роутере очень проста, мы активируем расширенную конфигурацию роутера в верхней правой части и переходим в «Wi-Fi / Безопасность», И мы видим опцию« Отображаемые здесь активные беспроводные устройства смогут связываться друг с другом ». Если мы отключим эту опцию, мы включим изоляцию точек доступа.
Самым нормальным является то, что маршрутизатор не имеет по умолчанию изоляцию точек доступа в основной сети, чтобы беспроводные клиенты могли взаимодействовать друг с другом.
Этот же вариант конфигурации также доступен в профессиональных точках доступа и контроллерах WiFi, обычно при настройке SSID это называется «Гостевой WiFi».
По умолчанию, когда мы включаем гостевую сеть Wi-Fi на нашем маршрутизаторе, у нас всегда будет включена изоляция точек доступа, на самом деле, у нас может даже не быть возможности разрешить их связь между ними, но это будет зависеть от прошивки маршрутизатора в вопрос.
Сетевая изоляция: изоляция в проводной и Wi-Fi сети
Например, в случае роутеров ASUS используется первый вариант, ebtables / iptables используются для ограничения связи различных компьютеров гостевой сети WiFi с основной сетью. Если мы заинтересованы в том, чтобы они имели доступ к локальной сети, мы всегда можем настроить » Доступ к интрасети » в » Общие / Гость Cеть » раздел.
В случае с AVM FRITZ! Коробочные маршрутизаторы, конфигурация Wi-Fi и проводной гостевой сети намного элегантнее и дает нам больше возможностей. Например, мы можем настроить частную гостевую сеть Wi-Fi или создать общедоступную (открытую) сеть Wi-Fi с аутентификацией на адаптивном портале.
В этой гостевой сети Wi-Fi мы также можем включить или отключить изоляцию точек доступа. Надо иметь в виду, что AVM FRITZ! создать новую подсеть отдельно от основной, чтобы разместить всех гостей, и мы могли бы без проблем обеспечить связь между ними. По умолчанию у нас самая лучшая безопасность, то есть у нас включена изоляция точек доступа. Если мы хотим отключить его, мы должны нажать на опцию «Wi-Fi-устройства могут связываться друг с другом».
Это АВМ ФРИЦ! Это также позволяет нам настроить порт LAN4 для гостевой сети, он будет иметь доступ к Интернету, но не к основной локальной сети. Это идеально подходит для подключения одного или нескольких компьютеров (с помощью коммутатора) к гостевой сети и полного отделения от основной сети. В разделе «Локальная сеть / Сеть / Конфигурация сети» вы можете увидеть эту очень интересную конфигурацию.
А между ними не активируется маршрутизация, следовательно, из гостевой сети Wi-Fi мы не сможем общаться с основной сетью, у нас будут полностью изолированные беспроводные и проводные клиенты.
В зависимости от того, что нас интересует, в некоторых роутерах мы можем сделать все эти конфигурации. Мы надеемся, что это руководство помогло вам, и вы также разъяснили концепции изоляции точек доступа и сетевой изоляции.
Как настроить функцию Port Isolation (изоляция порта) для управляемых коммутаторов 2 уровня через веб-интерфейс?
Для порта 1 :
Для порта 2 :
Для порта 3 :
Для порта 4 :
Для порта 5 :
Нажмите Saving Config (Сохранить конфигурацию) для сохранения
файла настроек.
Если настройка будет выполнена таким образом, PC 1 сможет иметь доступ
Интеллектуальное распределение WiFi клиентов
В настоящее время эта фича поддерживается в целом ряде роутеров Д-Линк, в том числе в DIR-825/AC/G1. Вот на его примере и рассмотрим настройку этой новой разработки.
Настраивать DIR-825 будем через web-интерфейс. Адрес по умолчанию: 192.168.0.1
При первом подключении к устройству необходимо задать пароль. И он не может совпадать с логином admin (в предыдущих версиях прошивки по умолчанию использовалось сочетание логин/пароль admin/admin).
Не будем использовать мастер и перейдем сразу к расширенным настройкам.
Нас интересует раздел «Настройка Wi-Fi».
Основные настройки для частотных диапазонов 2.4 и 5 ГГц оставим пока без изменений.
В разделе «Роуминг» включим интересующую нас функцию «Интеллектуальное распределение WiFi-клиентов».
Если точки доступа в нашей сети будут находиться в разных IP-подсетях, то нужно включить использование мультикаста для обмена служебной информацией. Иначе будет использоваться широковещание, а его могут получать только устройства, находящиеся в одной подсети.
Мы мультикаст использовать в этом тесте не будем.
Но что означают параметры, значения которых – 60, 50, 15 и 7890?
60 (секунд) – это максимальный период времени, в течение которого маршрутизатор (точка доступа) хранит информацию об уровне сигнала беспроводного клиента.
50 (процентов) – минимальный уровень качества соединения. Пороговое значение уровня сигнала, при котором маршрутизатор (точка доступа) начинает опрос других маршрутизаторов (точке доступа).
15 (процентов) – «мёртвая зона». Если уровень сигнала, обеспечиваемый текущей точкой доступа (маршрутизатором), больше суммарного значения полей «минимальный уровень качества соединения» и «мёртвая зона» (50+15=65), то беспроводной клиент отключается от текущей точки доступа (маршрутизатора) и подключается к другой точке доступа.
При значениях по умолчанию мы получим, что при падении уровня качества соединения до 50% точка доступа начнет опрос соседей – кто видит этого клиента и с каким уровнем сигнала. Переподключение клиента произойдет, если другая точка доступа (маршрутизатор) видит этого клиента с уровнем сигнала 65% и выше.
7890 – это номер udp-порта, который точки доступа используют для обмена информацией о клиентах.
На скриншотах приведены значения по умолчанию. Их можно изменять, тем самым производя более тонкую настройку под конкретные условия.
Второй DIR-825 настроим в режим точки доступа.
Этот режим настраивается через мастер настройки.
Меняем IP-адрес интерфейса локальной сети с 192.168.0.1 на другой из той же сети, например – на 192.168.0.5
Далее настраиваем беспроводную сеть. Ее настройки (имя сети SSID и пароль) должны быть такими же, как на первом маршрутизаторе.
Вот и всё – настройки для использования функционала интеллектуального распределения беспроводных клиентов сделаны. Можем расставлять маршрутизатор и точки доступа по офису, дому или квартире и свободно перемещаться, всегда подключаясь к точке доступа с максимальным сигналом. Только не забываем, что наши маршрутизаторы и точки доступа должны быть соединены друг с другом проводной сетью.
Рекомендованное D-Link количество устройств при использовании интеллектуального распределения беспроводных клиентов – до 8 устройств в одной IP-подсети и до 16 устройств, если они находятся в разных IP-подсетях.