在大多數互聯家庭中,家庭網路的拓撲始終相同:所有設備都直接連接到運營商的互聯網盒並共享相同的本地網路。問題是,隨著家庭終端的激增,各種各樣的設備最終都被裝在一個包包裡。在同一個網路上,我們將擁有允許在線購買的桌上型電腦、保存所有家庭照片的 NAS 驅動器、開始在點對點網路上閒逛的兒童筆記型電腦,品質很差且完全不可用。
分段以更好地確保安全
不建議以這種方式混合佈和餐巾。成功感染一個連接物件或一台筆記型電腦的駭客可以輕鬆存取其他裝置。這就是安全專家建議盡可能對網路進行分段的原因。例如,我們可以一方面放置絕對必須受到保護的重要設備(父母的電腦、NAS),另一方面我們可以放置高風險終端,例如兒童的筆記型電腦或連接的物件。
實現此目的的第一個簡單方法是將兩個 Wi-Fi 路由器連接到互聯網盒的乙太網路插座。他們各自的網路自然會相互隔離。另一方面,您將不再需要使用互聯網盒的 Wi-Fi 網絡,因為它與其他兩個網絡沒有隔離。這個解決方案的問題是我們放棄了Internet box網絡,我們必須購買兩個新的路由器。有點浪費了。
我們推薦並命名的解決方案« 首頁FW »– 是將 Raspberry Pi 3 改造成具有整合式防火牆的 Wi-Fi 存取點,並將其連接到互聯網盒。這種方法實現起來稍微複雜一些,但成本更低,並且提供了更多可能性。卡巴斯基實驗室安全研究員 David Jacoby 在 2017 年的新聞發布會上向我們展示了這一點。「製造商不願意在安全方面進行投資,因為這會讓他們付出太多代價。因此,我們必須採取不同的管理方式來限制風險”他解釋說,這是為了證明他的示範是正確的。
在這種配置中,連接到 HomeFW 的使用者可以連接到 Internet,但防火牆阻止他們搜尋 Internet 盒的網路。相反,連接到 Internet 盒的裝置將無法存取 HomeFW 網路。分割很完美。
安裝步驟
創建這樣的設備並不是很複雜,但您不應該害怕命令列。你還需要有一些設備。配置需要有一個帶有 HDMI 插座的螢幕、一個帶有 USB 插座的鍵盤和滑鼠,以及一條將 Raspberry Pi 3 連接到互聯網盒的乙太網路電纜。
1 – 刷新系統
下載最新版本的拉斯皮安,一個基於 Linux Debian 的作業系統,專門用於 Raspberry Pi 計算機,然後您必須「閃存」(即安裝)該系統到 microSD 卡(最小 16 GB)上。最簡單的方法就是使用軟體蝕刻機這非常容易使用。該過程與建立可啟動 USB 隨身碟。
2 – 初始化系統
首次啟動時,系統會要求您選擇語言並變更密碼。選擇一個堅固的。
一方面,您不需要連接到 Wi-Fi 網絡,Raspberry Pi 已經透過乙太網路電纜連接到互聯網。另一方面,Wi-Fi 模組將用於建立存取點。所以點擊跳過在這個階段。
然後系統會要求您搜尋更新,您必須透過按一下接受下一個。這可能需要一點時間。你要為自己煮點咖啡嗎?
3 – 下載程式碼
點擊頂部左起第四個圖示開啟命令視窗。該圖示代表一個帶有上部符號和下劃線的視窗。編寫下面的命令,然後驗證。
> git 克隆 https://github.com/gkallenborn/HomeFW
然後,電腦會將防火牆腳本 (firewall.sh)、設定檔 (configurations.txt) 和資訊檔案下載到名為 HomeFW 的新資料夾中。
4 – 安裝軟體
然後,您必須下載並安裝允許您建立我們著名的安全接入點的軟體。在本例中:hostapd(Wi-Fi 熱點軟體)、isc-dhscp-server(為連接的終端機分配 IP 位址的軟體)、dnsmasq(DNS 服務軟體)和 iptables(防火牆軟體)。為此,您必須執行以下命令,並在安裝過程中每次請求時進行驗證。期限apt-get 安裝啟動下面列出的軟體的安裝。期限須藤表示整個命令以管理員權限運行。
> sudo apt-get install hostapd isc-dhcp-server dnsmasq iptables
5 – 配置熱點
為了使接入點正常運作,必須修改許多設定檔。這是最重要的部分。集中註意力,因為你不能犯錯。最好是並排打開兩個命令視窗。首先,使用以下命令顯示configuration.txt檔案的內容:
> 更多./HomeFW/configurations.txt
在第二個視窗中,您將使用「nano」文字編輯器透過將行從一個視窗複製並貼上到另一個視窗來修改檔案。請小心遵循configurations.txt 檔案中的說明。以下是必須連續執行的命令:
> sudo nano /etc/hostapd/hostapd.conf
> sudo nano /etc/dhcp/dhcpd.conf
> sudo nano /etc/sysctl.conf
> sudo nano /etc/default/isc-dhcp-server
> sudo nano /etc/default/dnsmasq
> sudo nano /etc/網路/接口
接下來,重新啟動 Raspberry Pi 3,執行以下命令:
> 重新啟動
6 – 啟用防火牆
此時,如果您掃描附近的 Wi-Fi 網絡,您應該會看到標有“IOT”的熱點。但這個新網絡不允許訪問互聯網,而且與您盒子的網絡相比,它不一定是防水的。為此,您必須執行firewall.sh 腳本。運行以下命令:
> cd 首頁FW
> chmod +x 防火牆.sh
> sudo ./firewall.sh
第一個命令將您置於 HomeFW 目錄中,第二個命令使腳本可執行,第三個命令執行它。這就是工作。您現在擁有一個名為「IOT」的 Wi-Fi 網絡,與網路的其餘部分完全隔離。幹得好。
Opera One - AI 驅動的網頁瀏覽器
作者:歌劇
