VLAN 隔离 防止恶意设备嗅探局域网内其他设备 的有效性和局限性?

2021-04-25 16:19:02 +08:00
 dLvsYgJ8fiP8TGYU

鉴于近日在本站看到一篇关于某智能设备厂商涉嫌未经授权擅自扫描用户局域网,并上传包含其他设备名称+MAC 地址+接入 /离开本地网络时间等隐私数据的帖子,遂在家里的路由器上配置了 VLAN 进行隔离实验,配置如下:

|             | LAN           | LAN_100       |
|-------------|---------------|---------------|
| VLAN_ID     | 1             | 100           |
| Gateway     | 192.168.0.1   | 10.100.0.1    |
| DNS         | 192.168.0.1   | 10.100.0.1    |
| Subnet Mask | 255.255.255.0 | 255.255.255.0 |

LAN 是家里大部分设备所在的网段; LAN_100 则计划用于特定“不受信任”的设备(比如存在非法嗅探嫌疑的智能硬件)

在接入 LAN_100 网段的一台电脑上通过 arp -a 命令,只能查询到网关和在此网段的设备 IP 地址和 MAC 地址,无法查询到接入 LAN 网段的其他设备。

在接入 LAN 网段的一台电脑上执行同样命令,也只能查询到网关和在此网段的设备。

目前为止一切都很合理,VLAN 隔离似乎起到了作用。

但是当我在浏览器输入位于 LAN 网段的一台 NAS 的 IP 地址 192.168.0.88,可以显示管理登录界面,该地址也可以跨 VLAN ping 通

进一步测试发现,位于 LAN_100 网段上的一台智能电视,依然可以连接到 NAS 上的影音服务器

结论似乎是:跨 VLAN 无法扫描(比如 ARP ),但是只要你手动输入了另一个网段的 IP 地址,依然可以连通?

那么问题来了:

4390 次点击
所在节点    信息安全
10 条回复
swulling
2021-04-25 16:22:53 +08:00
能访问通是路由器上加了路由表,你可以修改路由表关掉就行了。
Jirajine
2021-04-25 16:37:00 +08:00
你怕不是完全没理解 vlan 。
vlan 是在二层划分,不同 vlan 之间无法二层直接互通,需要通讯只能通过三层路由。
对于那些无需访问局域网的设备,直接给一个 /31 的点对点连接,即除了访问网关和通过网关访问互联网以外,看不到任何其他设备。
而不同 vlan 之间通过路由连通了,那你就操作路由表和防火墙就是了。划分 vlan 以后你的 nas 对它来说和 baidu 一样,相当于“外网”。
jim9606
2021-04-26 00:48:08 +08:00
1. 通常是枚举 IP,例如你的例子中 DHCP 指派了 10.100.0.2/24,枚举 10.100.0.1-254,探测方法看你具体感兴趣的服务决定。另外 IPv6 ICMP 的 Neighbour Solication 也可以探测到部分主机,但难度比 IPv4 大很多,所以很少用。多数时候给个独立 IP 网段就行。

2. 至少 OpenWRT 可以做到,在 INPUT 方向选择 REJECT 特定 interface(VLAN)或者特定源 IP 的包,其他路由看固件做得怎样,通常提供访客 wifi 的路由器固件都会拦截

3. 同 2,这东西通常是防火墙实现而不是路由表实现
ysc3839
2021-04-26 01:59:50 +08:00
这些智能设备一般都是用 WiFi 连接的吧?那直接弄个访客网络就好了。
suifengdang666
2021-04-26 08:55:15 +08:00
如果是 openwrt 之类的路由,直接新建一个网段单独给这些不受信任的设备,路由上用防火墙策略控制这个网段只能访问哪些 ip 就行了
nbweb
2021-04-26 10:56:34 +08:00
@suifengdang666 openwrt 如何新建一个网段,谢谢。
Greatshu
2021-04-26 12:32:05 +08:00
用 pfsense,这些都是基本操作
tankren
2021-04-26 13:44:58 +08:00
VLAN 默认互通啊 企业级的路由或交换机有隔离功能
一般需要在防火墙规则里面禁止掉 我用 pfsense IOT 设备的 VLAN 只能访问 WAN 限速 5M 晚上 9 点之后就断网
justin03
2021-04-26 17:06:58 +08:00
除了 ARP 还有没有其他方式,可以嗅探到局域网内其他设备的 设备名称+MAC 地址?如何防范?
可以,任何合理的广播包都可以,在自己的子网里看到其他设备
路由器 VLAN 设置选项里面可以禁止来自特定 VLAN 的设备访问路由器管理界面 192.168.0.1,经测试有效。这是如何实现的?能否推广到禁止从指定 VLAN 访问任意 IP
可以,基于 VLAN 的 ACL
在不使用软路由防火墙的前提下,是否可以仅使用传统路由器自带的 [策略路由] [静态路由] 等功能实现禁止跨 VLAN / 跨网段的连接
20 年前的路由不行,现在的都可以。[策略路由] [静态路由]用词不准。路由器上有访问策略,不过是 lan 或者 vlan 都可以控制。
ysc3839
2021-04-26 17:56:02 +08:00
@nbweb #6 OpenWrt 官网就有设置访客网络的教程 https://openwrt.org/docs/guide-user/network/wifi/guestwifi/configuration_webinterface

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/773147

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX