昨天的楼歪了,都在讨论光猫和桥接的问题。。
今日重开一贴,讨论下需要哪些家庭内网防护?请从审计方向去想,不是像深信服那种用来监控内网的方向,可能有些方面有重叠(比如 Adguard Home 可以大致知道使用者在干什么,与深信服的部分功能重叠),但更多的在于防止内部泄露,保护内网的安全。
比如 Adguard Home 可以防止 dns 泄露,并且查看有没有异常的高频域名访问。
至于类似于火绒那种查看进程和对应流量的服务,在网关层面有什么推荐么?比如能通过 mac 识别机器,并且列出对应的上下行流量。
又或者像是 Tenable 这种漏洞/网络扫描的服务可以定期执行自动出报告。
以及还有什么其他方面的防护?
1
baobao1270 44 天前
没有,家庭里搞这些纯属折腾
|
2
testver 44 天前
这不是太累了吗?我家买了个 unifi 的 ucg ,默认设置就好。
|
3
luoyide2010 44 天前 1
真的看重安全,可以考虑部署个 opnsense 软防火墙,带 IPS 功能看,可以根据规则拦截高风险行为,或者 Security Onion ,偏审计,内置 IDS 可以分析出可疑流量,这两款都需要花时间上手,说实话家庭网络没必要搞这些
|
4
guazila 44 天前
关掉路由器 upnp ,陌生设备默认隔离内网就行了,搞太多没必要。
|
5
NevadaLi OP |
6
NevadaLi OP @luoyide2010 #3 okay 感谢,我去瞅瞅
|
8
cloudsong 44 天前 via iPhone 1
1. wan 口做端口镜像,所有流量发送给 pfsense
2. pfsense 这边可以用 suricata 或者 snort ,规则自己配置。其中 ids 功能不需要拆包 3. 流量可视化可以用 ntopng 这样做可以不影响上网速度,同时可以知道流量的关键信息。 第二种做法是主路由用 pfsense ,这样可以 block 掉威胁,但是性能会受限制,特别是小包性能。 |
9
jones2000 44 天前
家庭要什么防护, 网络供应商都帮你防护了, 几个常用的端口,都是连不同的, 如果你访问了什么可疑的地址, 还会有电话来问候你, 如果数据量异样了, 直接把你调整到带限制的网段里面。
|
10
laikick 44 天前 via iPhone
不需要 国内运营帮你审计好了 有问题直接反诈中心给你打电话
|
11
fuzzsh 44 天前 via Android 1
ZTNA
BYOD |
14
NevadaLi OP @jones2000 #13 为啥没用?指定上游信任的 dns ,并且能看到有没有下层设备泄露。
因为 adhome 是在网关部署的,下层是软路由,而软路由的 passwall 分流应该使用外网 dns 直接查询,不应该递归到网关 dns 。如果在 adhome 上看到了 google 什么的请求,那绝对是软路由存在 dns 泄露问题,并且由于 adhome 也指定了信任的 dns ,会在这一层拦截,不会泄漏到国内 isp |
15
moefishtang 44 天前
上网行为管理?有一些很便宜的企业路由器带这个
|
16
sofm 43 天前
企业级路由器 ,一般自带这个功能。 可以看到 一些基本流量细节。 app ,网站 等等
低配方案:比如爱快的 Q6000 企业级,350 块 高配方案:unifi 的 路由器 ,控制器 可以看 网络日志,UI 很精美。 超级顶配方案:MikroTik 的 routeros 路由器系统,打开日志,配合 ElasticSearch ,啥都能看到,再弄个数据大屏。 |
17
tankren 43 天前
opnsense
|
20
ho121 43 天前 via Android
|