家庭网关需要什么安全防护/审计类型的服务?

63 天前
 NevadaLi

昨天的楼歪了,都在讨论光猫和桥接的问题。。

今日重开一贴,讨论下需要哪些家庭内网防护?请从审计方向去想,不是像深信服那种用来监控内网的方向,可能有些方面有重叠(比如 Adguard Home 可以大致知道使用者在干什么,与深信服的部分功能重叠),但更多的在于防止内部泄露,保护内网的安全。

比如 Adguard Home 可以防止 dns 泄露,并且查看有没有异常的高频域名访问。

至于类似于火绒那种查看进程和对应流量的服务,在网关层面有什么推荐么?比如能通过 mac 识别机器,并且列出对应的上下行流量。

又或者像是 Tenable 这种漏洞/网络扫描的服务可以定期执行自动出报告。

以及还有什么其他方面的防护?

1946 次点击
所在节点    宽带症候群
20 条回复
baobao1270
63 天前
没有,家庭里搞这些纯属折腾
testver
63 天前
这不是太累了吗?我家买了个 unifi 的 ucg ,默认设置就好。
luoyide2010
63 天前
真的看重安全,可以考虑部署个 opnsense 软防火墙,带 IPS 功能看,可以根据规则拦截高风险行为,或者 Security Onion ,偏审计,内置 IDS 可以分析出可疑流量,这两款都需要花时间上手,说实话家庭网络没必要搞这些
guazila
63 天前
关掉路由器 upnp ,陌生设备默认隔离内网就行了,搞太多没必要。
NevadaLi
63 天前
@baobao1270 #1
@guazila #4
是的呢,就是折腾,不然不用市场的成品替代。
NevadaLi
63 天前
@luoyide2010 #3 okay 感谢,我去瞅瞅
NevadaLi
63 天前
@testver #2 unifi ?经常听说,哪天整个试试,能像 agh 这种查看不同机器的访问请求么?
cloudsong
63 天前
1. wan 口做端口镜像,所有流量发送给 pfsense
2. pfsense 这边可以用 suricata 或者 snort ,规则自己配置。其中 ids 功能不需要拆包
3. 流量可视化可以用 ntopng
这样做可以不影响上网速度,同时可以知道流量的关键信息。

第二种做法是主路由用 pfsense ,这样可以 block 掉威胁,但是性能会受限制,特别是小包性能。
jones2000
63 天前
家庭要什么防护, 网络供应商都帮你防护了, 几个常用的端口,都是连不同的, 如果你访问了什么可疑的地址, 还会有电话来问候你, 如果数据量异样了, 直接把你调整到带限制的网段里面。
laikick
63 天前
不需要 国内运营帮你审计好了 有问题直接反诈中心给你打电话
fuzzsh
63 天前
ZTNA
BYOD
NevadaLi
63 天前
@jones2000 #9
@laikick #10

就是为了防止被他们审计到,所以才用 adhome 避免 dns 泄露
jones2000
63 天前
@NevadaLi 你确定 adhome 这个东西有用? 不是智商税。
NevadaLi
63 天前
@jones2000 #13 为啥没用?指定上游信任的 dns ,并且能看到有没有下层设备泄露。

因为 adhome 是在网关部署的,下层是软路由,而软路由的 passwall 分流应该使用外网 dns 直接查询,不应该递归到网关 dns 。如果在 adhome 上看到了 google 什么的请求,那绝对是软路由存在 dns 泄露问题,并且由于 adhome 也指定了信任的 dns ,会在这一层拦截,不会泄漏到国内 isp
moefishtang
63 天前
上网行为管理?有一些很便宜的企业路由器带这个
sofm
63 天前
企业级路由器 ,一般自带这个功能。 可以看到 一些基本流量细节。 app ,网站 等等
低配方案:比如爱快的 Q6000 企业级,350 块
高配方案:unifi 的 路由器 ,控制器 可以看 网络日志,UI 很精美。

超级顶配方案:MikroTik 的 routeros 路由器系统,打开日志,配合 ElasticSearch ,啥都能看到,再弄个数据大屏。
tankren
63 天前
opnsense
sofm
63 天前
@sofm 网络流量方面的协议 ,参考 :NetFlow 。

以上只是资料,表示 可以该方案可以实现。 不过 我也不会。
sofm
63 天前
@sofm #16 还有 panabit 解决方案。 供 楼主参考。
ho121
63 天前

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1083131

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX