Ваша местная сеть (LAN) жизненно важна для вашего дома и офиса. Это то, что обрабатывает весь внутренний и исходящий трафик, гарантируя, что все клиенты на вашей стороне могут общаться друг с другом, а также миллиарды устройств по всему миру, если у вас есть маршрутизатор и внешняя ссылка. Но как можно обеспечить их локальную сеть? Вот некоторые указатели о том, как не сделать вашу локальную локальную локальную, уязвимой для внешних атак. Некоторые участвуют в здравом смысле, а другие требуют, чтобы вы немного поработали.
Замените основной маршрутизатор ISP
Не все брандмауэры и маршрутизаторы построены одинаково
Ваш интернет -провайдер (ISP) предоставит стандартный маршрутизатор из своего инвентаря, но этот блок обычно заблокирован и предлагает только базовую функциональность. Если у вас нет маршрутизатора, поставляемого интернет-провайдером, с расширенными функциями сети, вы упустите жизненно важные инструменты, которые помогут обеспечить безопасность вашей сети. Не только это, но ваш интернет -провайдер будет наслаждаться только тем, что вы делаете как в своей локальной сети, так и в его интернет -услугах. Если вы хотите получить полный контроль над вашей локальной сети, вы захотите построить пользовательский брандмауэр.
Это проще, чем вы думаете. Все, что вам нужно, это мини -ПК или специальное устройство брандмауэра с процессором, оперативной памятью, хранением и несколькими портами Ethernet. OpnSense – это солидный программный пакет, который включает в себя все для создания надежного и безопасного устройства брандмауэра и маршрутизатора. После того, как вы создали локальную сеть, вы сможете возиться с виртуальными локальными локальными средствами (VLAN), демилитаризованными зонами (DMZ), виртуальными частными сетями (VPN) и многим другим. Некоторые маршрутизаторы ISP могут поддерживать эти функции, поэтому стоит проверить, прежде чем вы создаете свои собственные.
Связанный
9 вещей, которых следует избегать при создании брандмауэра своей мечты Opnsense
Создание собственного брандмауэра может быть невероятно полезным, но вот некоторые вещи, за которые стоит обратить внимание.
Избегайте использования слабых паролей
Это касается администратора и Wi-Fi
Основной защитой от любого, кто присоединился к вашей беспроводной сети, является пароль и шифрование. Всегда используйте WPA3 (или WPA2, если WPA3 недоступен). Хотя может иметь смысл иметь запоминающееся слово или фразу для этого, чтобы гостям и посетителям было легче подключаться в здании, я всегда рекомендую использовать случайно сгенерированную цепочку символов. Это должно включать буквы, цифры и специальные символы. То же самое касается любых паролей у подключенных клиентов, которые могут быть скомпрометированы каким -либо другим образом.
Ваша учетная запись администратора на маршрутизаторе также должна иметь сильный пароль. Маршрутизатор ISP, возможно, уже настроил его с помощью беспорядочного пароля, но он обычно отображается где -то на устройстве, что делает его бесполезным, если кто -то к нему получает доступ к нему. Всегда лучше изменить это на случайный пароль. И если вы создаете свой собственный брандмауэр с помощью OpnSense, при установке необходимо создать сильный пароль. Если кто -то попадет в вашу локальную сеть, по крайней мере, мы можем попытаться удержать его от дальнейшего повреждения.
Рассмотрим сегментирование своей сети
VLAN – ваш новый лучший друг
VLAN – это средство разделения вашей сети на сегменты. Это идентично физической локальной сети, но полностью виртуализируется через сеть. Если ваш маршрутизатор/брандмауэр и остальная часть вашего сетевого оборудования все поддерживают VLAN, вы можете создавать несколько сетей, не тратя деньги на специализированную инфраструктуру. С VLANS вы можете создавать гостевые сети для тех, кто посещает вашу собственность и не требует доступа к различным услугам в вашей сети.
Также можно считать хорошей практикой, чтобы держать аппаратное обеспечение IoT отдельно от остальной части сети. Устройства, разделенные на локальной сети, включая сетевое хранилище (NAS) и принтеры, могут быть настроены на конкретные (или все) VLAN, поэтому вы не пропустите сегментирование частей сети. Как и контейнеры Docker, изолирующие части вашей локальной сети могут улучшить безопасность и избежать дальнейшего ущерба, если конкретное устройство станет скомпрометированным.
Связанный
3 причины, по которым вы должны использовать VLAN в своей домашней сети
Виртуальные локальные сети отлично подходят для создания идеальной сети.
Создать виртуальную частную сеть
Остановите всех, кто прижимается на вашем движении
Есть большая вероятность, что вы можете планировать открыть некоторые услуги в вашей локальной сети. Это может быть NAS, сервис потоковой передачи медиа, хранение фотографий, облачное хранилище, программное обеспечение для сотрудничества, наблюдение и многое другое. Все это может быть запущено из вашего дома или офиса, и обычно можно предоставить внешний доступ. Это включает в себя открытие вашей локальной сети во внешнее мир, но есть несколько способов достичь этого без роста риска. Одним из методов является использование VPN, который может быть размещен в вашей локальной сети.
Запустив свой собственный VPN, вы можете подключиться к своей сети из любой точки мира и получить доступ к всем услугам, как дома или в офисе. Он безопасен и мешает вам открывать уязвимые порты без настройки SSL и других расширенных функций. Вы можете спуститься по маршруту DDN и доменного имени с обратными прокси, но VPN будет работать так же хорошо для того, чтобы попасть в вашу сеть без особых усилий. Я также предложил бы использовать VPN в вашей локальной сети при подключении к внешнему миру.
Использование VPN через брандмауэр/маршрутизатор может покрыть всю вашу локальную сеть, охватывая весь трафик и отрицая необходимость установить клиентов по всем направлениям.
