V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NevadaLi
V2EX  ›  宽带症候群

家庭网关需要什么安全防护/审计类型的服务?

  •  
  •   NevadaLi · 12 天前 · 1602 次点击

    昨天的楼歪了,都在讨论光猫和桥接的问题。。

    今日重开一贴,讨论下需要哪些家庭内网防护?请从审计方向去想,不是像深信服那种用来监控内网的方向,可能有些方面有重叠(比如 Adguard Home 可以大致知道使用者在干什么,与深信服的部分功能重叠),但更多的在于防止内部泄露,保护内网的安全。

    比如 Adguard Home 可以防止 dns 泄露,并且查看有没有异常的高频域名访问。

    至于类似于火绒那种查看进程和对应流量的服务,在网关层面有什么推荐么?比如能通过 mac 识别机器,并且列出对应的上下行流量。

    又或者像是 Tenable 这种漏洞/网络扫描的服务可以定期执行自动出报告。

    以及还有什么其他方面的防护?

    第 1 条附言  ·  12 天前
    还请各位不要讨论需求的必要性,这东西没人看法不同,问就是为了折腾。

    比如 百度能查资料为什么翻墙用谷歌。。。(需求不同,同样对于一些人可有可无)
    第 2 条附言  ·  12 天前
    除了软件的推荐,也希望各位看看有什么安全方面是我没有想到的,存在隐患的,比如去年报出来的 clash 权限漏洞( clash 面板默认密码+允许共享,导致外面直接可以扫到,配合提权漏洞可以拿到订阅地址,详见油管不良林视频)
    20 条回复    2024-10-24 19:24:57 +08:00
    baobao1270
        1
    baobao1270  
       12 天前
    没有,家庭里搞这些纯属折腾
    testver
        2
    testver  
       12 天前
    这不是太累了吗?我家买了个 unifi 的 ucg ,默认设置就好。
    luoyide2010
        3
    luoyide2010  
       12 天前   ❤️ 1
    真的看重安全,可以考虑部署个 opnsense 软防火墙,带 IPS 功能看,可以根据规则拦截高风险行为,或者 Security Onion ,偏审计,内置 IDS 可以分析出可疑流量,这两款都需要花时间上手,说实话家庭网络没必要搞这些
    guazila
        4
    guazila  
       12 天前
    关掉路由器 upnp ,陌生设备默认隔离内网就行了,搞太多没必要。
    NevadaLi
        5
    NevadaLi  
    OP
       12 天前
    @baobao1270 #1
    @guazila #4
    是的呢,就是折腾,不然不用市场的成品替代。
    NevadaLi
        6
    NevadaLi  
    OP
       12 天前
    @luoyide2010 #3 okay 感谢,我去瞅瞅
    NevadaLi
        7
    NevadaLi  
    OP
       12 天前
    @testver #2 unifi ?经常听说,哪天整个试试,能像 agh 这种查看不同机器的访问请求么?
    cloudsong
        8
    cloudsong  
       12 天前 via iPhone   ❤️ 1
    1. wan 口做端口镜像,所有流量发送给 pfsense
    2. pfsense 这边可以用 suricata 或者 snort ,规则自己配置。其中 ids 功能不需要拆包
    3. 流量可视化可以用 ntopng
    这样做可以不影响上网速度,同时可以知道流量的关键信息。

    第二种做法是主路由用 pfsense ,这样可以 block 掉威胁,但是性能会受限制,特别是小包性能。
    jones2000
        9
    jones2000  
       12 天前
    家庭要什么防护, 网络供应商都帮你防护了, 几个常用的端口,都是连不同的, 如果你访问了什么可疑的地址, 还会有电话来问候你, 如果数据量异样了, 直接把你调整到带限制的网段里面。
    laikick
        10
    laikick  
       12 天前 via iPhone
    不需要 国内运营帮你审计好了 有问题直接反诈中心给你打电话
    fuzzsh
        11
    fuzzsh  
       12 天前 via Android   ❤️ 1
    ZTNA
    BYOD
    NevadaLi
        12
    NevadaLi  
    OP
       12 天前
    @jones2000 #9
    @laikick #10

    就是为了防止被他们审计到,所以才用 adhome 避免 dns 泄露
    jones2000
        13
    jones2000  
       12 天前   ❤️ 1
    @NevadaLi 你确定 adhome 这个东西有用? 不是智商税。
    NevadaLi
        14
    NevadaLi  
    OP
       12 天前
    @jones2000 #13 为啥没用?指定上游信任的 dns ,并且能看到有没有下层设备泄露。

    因为 adhome 是在网关部署的,下层是软路由,而软路由的 passwall 分流应该使用外网 dns 直接查询,不应该递归到网关 dns 。如果在 adhome 上看到了 google 什么的请求,那绝对是软路由存在 dns 泄露问题,并且由于 adhome 也指定了信任的 dns ,会在这一层拦截,不会泄漏到国内 isp
    moefishtang
        15
    moefishtang  
       12 天前
    上网行为管理?有一些很便宜的企业路由器带这个
    sofm
        16
    sofm  
       12 天前
    企业级路由器 ,一般自带这个功能。 可以看到 一些基本流量细节。 app ,网站 等等
    低配方案:比如爱快的 Q6000 企业级,350 块
    高配方案:unifi 的 路由器 ,控制器 可以看 网络日志,UI 很精美。

    超级顶配方案:MikroTik 的 routeros 路由器系统,打开日志,配合 ElasticSearch ,啥都能看到,再弄个数据大屏。
    tankren
        17
    tankren  
       12 天前
    opnsense
    sofm
        18
    sofm  
       12 天前
    @sofm 网络流量方面的协议 ,参考 :NetFlow 。

    以上只是资料,表示 可以该方案可以实现。 不过 我也不会。
    sofm
        19
    sofm  
       12 天前
    @sofm #16 还有 panabit 解决方案。 供 楼主参考。
    ho121
        20
    ho121  
       12 天前 via Android
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3819 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 00:14 · PVG 08:14 · LAX 16:14 · JFK 19:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.