Изоляция точки доступа wifi что это

Обновлено: 23.01.2025

Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.

К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.

Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.

К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.

Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.

Скриншот с сайта производителя

Добавить гостевую сеть можно, когда устройство уже настроено и работает.

Скриншот с сайта производителя

Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.

Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.

Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.

Некоторые Wi-Fi маршрутизаторы включают в себя функции для изоляции беспроводных и проводных клиентов, это идеально для обеспечения безопасности сети, а также самих клиентов Wi-Fi и проводных сетей, поскольку это предотвратит некоторые основные атаки на сети передачи данных, такие как популярный ARP Spoofing. В некоторых маршрутизаторах у нас есть только опция AP Isolation, которая влияет только на сеть WiFi, поэтому беспроводные клиенты не взаимодействуют друг с другом. Однако другие маршрутизаторы также позволяют изолировать проводную сеть в новой подсети. Вы хотите знать все о Изоляция AP и сеть Isolation ? Сегодня мы собираемся подробно объяснить обе концепции.

Изоляция точки доступа: изоляция в сети Wi-Fi

Изоляция точек доступа - это функция маршрутизаторов, которая позволяет изолировать беспроводных клиентов друг от друга. Если Wi-Fi-клиент пытается подключиться к Интернету, с проводным компьютером или с локальным сервером NAS, который подключен через кабель, он сможет общаться без каких-либо проблем, все будет работать. Если этот же клиент Wi-Fi пытается связаться с другим беспроводным устройством в той же сети Wi-Fi, связь будет запрещена, связь не разрешена, потому что Изоляция точки доступа то, что он делает, изолирует беспроводных клиентов друг от друга , чтобы не общаться друг с другом.

Хотя эта функция обычно доступна и настраивается по умолчанию в гостевой сети Wi-Fi маршрутизаторов, есть некоторые производители, которые в своих прошивках также позволяют использовать эту очень интересную функцию для изоляции беспроводных клиентов друг от друга. Например, если у нас есть ASUS маршрутизатор, мы должны перейти к " Расширенная / Беспроводная / Профессиональная конфигурация », И мы можем включить изоляцию точки доступа для основной сети Wi-Fi на частоте 2.4 или 5 ГГц, поскольку ASUS позволит нам настраивать ее индивидуально для каждой полосы частот.

В случае других высокотехнологичных и рекомендуемых маршрутизаторов, таких как AVM FRITZ! Box, у нас также есть этот вариант конфигурации для основной сети. В этом случае, если мы активируем изоляцию точки доступа, это повлияет на обе полосы частот (что было бы нормально, мы заинтересованы в том, чтобы эта опция была доступна в обоих диапазонах). Конфигурация в этом роутере очень проста, мы активируем расширенную конфигурацию роутера в верхней правой части и переходим в «Wi-Fi / Безопасность», И мы видим опцию« Отображаемые здесь активные беспроводные устройства смогут связываться друг с другом ». Если мы отключим эту опцию, мы включим изоляцию точек доступа.

Самым нормальным является то, что маршрутизатор не имеет по умолчанию изоляцию точек доступа в основной сети, чтобы беспроводные клиенты могли взаимодействовать друг с другом.

Этот же вариант конфигурации также доступен в профессиональных точках доступа и контроллерах WiFi, обычно при настройке SSID это называется «Гостевой WiFi».

По умолчанию, когда мы включаем гостевую сеть Wi-Fi на нашем маршрутизаторе, у нас всегда будет включена изоляция точек доступа, на самом деле, у нас может даже не быть возможности разрешить их связь между ними, но это будет зависеть от прошивки маршрутизатора в вопрос.

Сетевая изоляция: изоляция в проводной и Wi-Fi сети

Сетевая изоляция - это характеристика маршрутизаторов, которая позволяет изолировать беспроводных и проводных клиентов, чтобы они не могли общаться друг с другом. Если WiFi-клиент пытается связаться с сервером NAS, расположенным в основной локальной сети, он не сможет установить связь, потому что он будет изолирован, то же самое происходит, если у нас есть проводной клиент, настроенный в проводной гостевой сети, он не будет способен связываться с основной сетью.

Связь с использованием ebtables / iptables между подключенными компьютерами запрещена.
Новая подсеть создается изолированной от основной подсети, этот метод является наиболее элегантным, чтобы все клиенты были «гостями» в новой подсети.

Например, в случае роутеров ASUS используется первый вариант, ebtables / iptables используются для ограничения связи различных компьютеров гостевой сети WiFi с основной сетью. Если мы заинтересованы в том, чтобы они имели доступ к локальной сети, мы всегда можем настроить » Доступ к интрасети " в " Общие / Гость Cеть " раздел.

В случае с AVM FRITZ! Коробочные маршрутизаторы, конфигурация Wi-Fi и проводной гостевой сети намного элегантнее и дает нам больше возможностей. Например, мы можем настроить частную гостевую сеть Wi-Fi или создать общедоступную (открытую) сеть Wi-Fi с аутентификацией на адаптивном портале.

В этой гостевой сети Wi-Fi мы также можем включить или отключить изоляцию точек доступа. Надо иметь в виду, что AVM FRITZ! создать новую подсеть отдельно от основной, чтобы разместить всех гостей, и мы могли бы без проблем обеспечить связь между ними. По умолчанию у нас самая лучшая безопасность, то есть у нас включена изоляция точек доступа. Если мы хотим отключить его, мы должны нажать на опцию «Wi-Fi-устройства могут связываться друг с другом».

Это АВМ ФРИЦ! Это также позволяет нам настроить порт LAN4 для гостевой сети, он будет иметь доступ к Интернету, но не к основной локальной сети. Это идеально подходит для подключения одного или нескольких компьютеров (с помощью коммутатора) к гостевой сети и полного отделения от основной сети. В разделе «Локальная сеть / Сеть / Конфигурация сети» вы можете увидеть эту очень интересную конфигурацию.

Основная локальная сеть: 192.168.188.0/24
Гостевая сеть: 192.168.189.0/24

А между ними не активируется маршрутизация, следовательно, из гостевой сети Wi-Fi мы не сможем общаться с основной сетью, у нас будут полностью изолированные беспроводные и проводные клиенты.

Активирована изоляция точек доступа + активирована изоляция сети: существует изоляция между клиентами WiFi (они не могут взаимодействовать), и доступ к основной сети не разрешен.
Изоляция точек доступа включена + Изоляция сети отключена: между клиентами Wi-Fi существует изоляция (они не могут взаимодействовать), и доступ к основной сети разрешен.
Изоляция точек доступа отключена + Изоляция сети включена: клиенты Wi-Fi могут взаимодействовать друг с другом, но доступ к основной сети не разрешен.
Изоляция точек доступа отключена + Изоляция сети отключена: клиенты WiFi могут связываться друг с другом, и доступ к основной сети разрешен.

В зависимости от того, что нас интересует, в некоторых роутерах мы можем сделать все эти конфигурации. Мы надеемся, что это руководство помогло вам, и вы также разъяснили концепции изоляции точек доступа и сетевой изоляции.

В наше время точки доступа Wi-Fi появились практически везде: в каждой квартире, в общественном транспорте, кафе или заведении другого рода — есть Wi-Fi маршрутизатор. Многие мобильные устройства тоже могут выступать в роли точки доступа к сети.

Чтобы примерно представить масштаб распространения Wi-Fi сетей в крупных городах, достаточно просто достать смартфон в любом общественном месте или собственной квартире и активировать функцию поиска сетевых подключений. Вероятно, в зоне действия окажется не менее трех-четырех точек доступа, мобильных устройств и других устройств, оборудованных модулем беспроводной связи.

Что говорить, стремительно набирает популярность даже «умная» бытовая техника, которой можно управлять удаленно (технологии «умного дома»).

Зачем и от кого защищать свой роутер

Не стоит удивляться тому, что в результате повсеместного распространения таких сетей, уровень сознательности владельцев сетевого оборудования значительно упала.

Пользователи старшего возраста нередко просят младших родственников убрать пароль для подключения к роутеру, а кто-то оставляет заводской пароль, не задумываясь о возможных последствиях. Даже если вы очень хороший человек и не прочь поделиться частью интернет-канала с экономными соседями, не забывайте, кроме бесплатного интернета, любой человек, получивший доступ к вашему сетевому оборудованию, если захочет, может получить и гораздо больше, чем бесплатный доступ в интернет. Злоумышленники могут получить доступ к вашим деньгам, личным фотографиям, информации о вашем времяпрепровождении, а возможно и вскипятить чайник без вашего ведома!

Всего этого можно избежать, всего лишь позаботившись о своем роутере, путем совершения нескольких достаточно простых действий.

Шаг первый: смена заводского пароля

На всех маршрутизаторах по умолчанию установлен заводской пароль. Как правило, он не отвечает даже минимальным требованиям безопасности — может состоять из простейшей цифровой комбинации или быть одинаковым для всех роутеров одной модели.

Это значит, что подобрать его сможет не только хакер, но даже человек не слишком близкий к миру цифровых технологий.

Первым шагом после установки нового (особенно предоставленного провайдером) роутера должна быть замена заводского пароля. Самым устойчивым ко взлому паролем будет сложный порядок прописных и строчных букв, цифр и спецсимволов. При этом желательно, чтобы такой набор не образовывал каких-либо слов и словосочетаний.

Для генерирования хорошего пароля вы можете воспользоваться одним из множества онлайн-генераторов:

Если вы все-таки решили придумать пароль сами — запомните несколько простых правил:

не используйте в качестве пароля простейшие цифровые комбинации (000000, 111111 и т.д.);
ваша фамилия и домашний номер — тоже плохая идея;
не рекомендуется использовать и любые словосочетания.

Шаг второй: использование гостевого доступа для выхода в интернет

Гостевой Wi-Fi — это обособленная точка доступа, которая не затрагивает домашние устройства, подключенные к основной точке и объединенные в сеть.

Подключившись к гостевой точке доступа, злоумышленник не сможет получить доступ к вашим домашним устройствам и информации хранящейся в их памяти.

Гостевое сетевое подключение обеспечивает пользователя только доступом во внешний интернет, оставляя другие домашние устройства вне зоны досягаемости.

Если гостевая сеть не нужна, то ее необходимо отключить. У некоторых устройств она отключается автоматически, если не используется определенное время.

Шаг третий: шифрование сети

Для защиты от вторжений извне каждый современный маршрутизатор по умолчанию шифрует канал доступа в собственную сеть. Существует несколько протоколов шифрования:

OPEN. По сути, в таком протоколе полностью отсутствует шифрование. Передача данных в этой сети проходит по открытому каналу.
WEP. На сегодняшний день самый слабый тип шифрования, появившийся в 90-х годах 20 века. Имеет массу уязвимостей, взламывается за несколько секунд.
WPS(или QSS). Механический вход в сеть (вход осуществляется с помощью нажатия кнопки). Ненадежен, взламывается в течение суток.
WPA/WPA2. Самый надежный протокол. Основан на различных алгоритмах шифрования. До недавнего времени был практически неуязвим. Недавно хакеры нашли лазейки для его взлома, однако ваши соседи все еще имеют очень мало шансов пробиться сквозь такое шифрование.

Если среди ваших соседей не затесался Mr.Robot, то протокол WPA/WPA2 в комбинации со сложным паролем станет серьезной проблемой для любителей халявного интернета.

Прежде чем использовать маршрутизатор убедитесь, что шифрование включено. Проверить это можно в WEB-интерфейсе роутера (через браузер).

Получить доступ к настройкам устройства можно введя в строке браузера url или ip-адрес, указанный на корпусе роутера (обычно на нижней его части).

При выборе способа шифрования ориентируйтесь на протокол WPA2 — он более надежен по сравнению с остальными.

Шаг четвертый: изменение сетевого идентификатора

Service Set Identifier (SSID) — это имя вашей беспроводной сети, которое ей присвоил завод-изготовитель маршрутизатора. Оно видно всем, кто обладает устройством с возможностью беспроводного подключения. По стандартному SSID любой человек может идентифицировать тип вашего роутера, что значительно облегчит его взлом (особенно если вы затянули со сменой стандартного пароля).

Вы можете также скрыть отображение SSID в настройках роутера, однако в этом случае гаджеты перестанут видеть его в списке доступных подключений и имя сети придется вводить каждый раз при переподключении к интернету. Это усложнит работу, поэтому проще всего изменить идентификатор. В этом случае сложность не требуется — можете задать любое имя на свой вкус. Для этого необходимо зайти в меню, найти соответствующий раздел и изменить его.

Шаг пятый: права доступа к настройкам маршрутизатора

Поэтому доступ к настройкам устройства есть у любой учетной записи, рангом выше «продвинутого пользователя». Для защиты необходимо установить пароль или поменять установленный по умолчанию в меню маршрутизатора.

Шаг шестой: обновление ПО

Необходимо систематически обновлять программное обеспечение роутера. Пакеты обновлений исправляют баги и уязвимости в прошивке устройства. Некоторые новейшие маршрутизаторы поддерживают функцию автоматического обновления прошивки. Если такая функция есть, то делать ничего не нужно. Вы также можете самостоятельно проверять наличие нового программного обеспечения в меню настроек и загружать их вручную.

Если ваше устройство не имеет функции автоматического или полуавтоматического обновления, вы должны загрузить соответствующий файл с официального сайта компании-производителя.

В закладки

Как показывает практика, большинство пользователей забывают или пренебрегают защитой своей домашней сети сразу после установки пароля на Wi-Fi.

Защита беспроводной сети – не самая простая, но очень важная задача.

Получив доступ к вашей сети, злоумышленник может безнаказанно размещать нелегальный контент или занять ваш канал и значительно снизить скорость соединения, за которое вы, кстати, платите. Он также может получить доступ не только к вашему компьютеру, но и ко всем устройствам в вашей сети.

Вместо того, чтобы испытывать судьбу – давайте пройдёмся по простым и очевидным мероприятиям, которыми пользователи частенько пренебрегают.

Скрываем SSID

Включаем шифрование

WEP (WIRED EQUIVALENT PRIVACY).
Вышел еще в конце 90-х и является одним из самых слабых типов шифрования. Во многих современных роутерах этот тип шифрования вовсе исключен из списка возможных вариантов шифрования. Основная проблема WEP — заключается в ошибке при его проектировании. WEP фактически передаёт несколько байт ключа шифрования (пароля) вместе с каждым пакетом данных. Таким образом, вне зависимости от сложности пароля можно взломать любую точку доступа зашифрованную при помощи WEP, перехватив достаточное для взлома пароля число пакетов.

WPA и WPA2 (WI-FI PROTECTED ACCESS)
Одни из самых современных на данный момент типов шифрования и новых пока не придумали. WPA/WPA2 поддерживают два разных режима начальной аутентификации (проверка пароля для доступа клиента к сети) — PSK и Enterprise.

Настраиваем фильтр MAC адресов

Включаем гостевой доступ

Отключаем удаленное администрирование

Описанные выше меры по повышению безопасности вашей Wi-Fi сети не могут гарантировать абсолютную защиту вашей сети. Не стоит пренебрегать профилактикой и изредка просматривать список подключенных устройств к вашей сети. В интерфейсе управления роутером можно найти информацию о том, какие устройства подключались или подключены к вашей сети.

Wi-Fi мы используем не только дома или на работе. Не стоит забывать об опасности использования публичных Wi-Fi сетей в кафе, торговых комплексах, аэропортах и других общественных местах. Все мы любим халявный бесплатный Wi-Fi, посидеть в социальных сетях, проверить почту за чашечкой кофе или просто полазить по любимым сайтам, ожидая посадки на рейс в аэропорту. Места с бесплатным Wi-Fi привлекают кибермошенников, так как через них проходят огромные объемы информации, а воспользоваться инструментами взлома может каждый.

Наиболее распространёнными вариантами атак и угрозами в публичных Wi-Fi сетях можно назвать:

Sniffing – перехват данных в wi-fi сети. Перехватывая пакеты на пути от вашего устройства к роутеру злоумышленник может перехватить абсолютно любую информацию, в том числе логины и пароли от сайтов.

Ewil twin – сеть созданная злоумышленником, который находится неподалёку от вас. Создав такую сеть ему остаётся лишь дождаться, пока кто-нибудь к ней подключится. Соответственно вся информация о всех ваших действиях будет проходить через ноутбук злоумышленника.

Что мы можем посоветовать, если вы всё-таки решили поработать из кофейни или аэропорта? Рекомендации опять же общеизвестны, но мало кем соблюдаются.

Помните! Злоумышленники для взлома используют человеческий фактор, и только потом прибегают к сложным техническим манипуляциим. Будьте бдительны и не забывайте элементарные меры по защите ваших устройств и данных.

(4 голосов, общий рейтинг: 4.50 из 5)

В закладки

Читайте также: