家庭网关需要什么安全防护/审计类型的服务?

8 天前
 NevadaLi

昨天的楼歪了,都在讨论光猫和桥接的问题。。

今日重开一贴,讨论下需要哪些家庭内网防护?请从审计方向去想,不是像深信服那种用来监控内网的方向,可能有些方面有重叠(比如 Adguard Home 可以大致知道使用者在干什么,与深信服的部分功能重叠),但更多的在于防止内部泄露,保护内网的安全。

比如 Adguard Home 可以防止 dns 泄露,并且查看有没有异常的高频域名访问。

至于类似于火绒那种查看进程和对应流量的服务,在网关层面有什么推荐么?比如能通过 mac 识别机器,并且列出对应的上下行流量。

又或者像是 Tenable 这种漏洞/网络扫描的服务可以定期执行自动出报告。

以及还有什么其他方面的防护?

1517 次点击
所在节点    宽带症候群
20 条回复
baobao1270
8 天前
没有,家庭里搞这些纯属折腾
testver
8 天前
这不是太累了吗?我家买了个 unifi 的 ucg ,默认设置就好。
luoyide2010
8 天前
真的看重安全,可以考虑部署个 opnsense 软防火墙,带 IPS 功能看,可以根据规则拦截高风险行为,或者 Security Onion ,偏审计,内置 IDS 可以分析出可疑流量,这两款都需要花时间上手,说实话家庭网络没必要搞这些
guazila
8 天前
关掉路由器 upnp ,陌生设备默认隔离内网就行了,搞太多没必要。
NevadaLi
8 天前
@baobao1270 #1
@guazila #4
是的呢,就是折腾,不然不用市场的成品替代。
NevadaLi
8 天前
@luoyide2010 #3 okay 感谢,我去瞅瞅
NevadaLi
8 天前
@testver #2 unifi ?经常听说,哪天整个试试,能像 agh 这种查看不同机器的访问请求么?
cloudsong
7 天前
1. wan 口做端口镜像,所有流量发送给 pfsense
2. pfsense 这边可以用 suricata 或者 snort ,规则自己配置。其中 ids 功能不需要拆包
3. 流量可视化可以用 ntopng
这样做可以不影响上网速度,同时可以知道流量的关键信息。

第二种做法是主路由用 pfsense ,这样可以 block 掉威胁,但是性能会受限制,特别是小包性能。
jones2000
7 天前
家庭要什么防护, 网络供应商都帮你防护了, 几个常用的端口,都是连不同的, 如果你访问了什么可疑的地址, 还会有电话来问候你, 如果数据量异样了, 直接把你调整到带限制的网段里面。
laikick
7 天前
不需要 国内运营帮你审计好了 有问题直接反诈中心给你打电话
fuzzsh
7 天前
ZTNA
BYOD
NevadaLi
7 天前
@jones2000 #9
@laikick #10

就是为了防止被他们审计到,所以才用 adhome 避免 dns 泄露
jones2000
7 天前
@NevadaLi 你确定 adhome 这个东西有用? 不是智商税。
NevadaLi
7 天前
@jones2000 #13 为啥没用?指定上游信任的 dns ,并且能看到有没有下层设备泄露。

因为 adhome 是在网关部署的,下层是软路由,而软路由的 passwall 分流应该使用外网 dns 直接查询,不应该递归到网关 dns 。如果在 adhome 上看到了 google 什么的请求,那绝对是软路由存在 dns 泄露问题,并且由于 adhome 也指定了信任的 dns ,会在这一层拦截,不会泄漏到国内 isp
moefishtang
7 天前
上网行为管理?有一些很便宜的企业路由器带这个
sofm
7 天前
企业级路由器 ,一般自带这个功能。 可以看到 一些基本流量细节。 app ,网站 等等
低配方案:比如爱快的 Q6000 企业级,350 块
高配方案:unifi 的 路由器 ,控制器 可以看 网络日志,UI 很精美。

超级顶配方案:MikroTik 的 routeros 路由器系统,打开日志,配合 ElasticSearch ,啥都能看到,再弄个数据大屏。
tankren
7 天前
opnsense
sofm
7 天前
@sofm 网络流量方面的协议 ,参考 :NetFlow 。

以上只是资料,表示 可以该方案可以实现。 不过 我也不会。
sofm
7 天前
@sofm #16 还有 panabit 解决方案。 供 楼主参考。
ho121
7 天前

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1083131

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX