2 104 läst · 36 svar
2k läst
36 svar
WiFi, säkerhet och access - frågor
Jo här har du den officiella versionen från UbiquitiT Testarn skrev:
https://help.ui.com/hc/en-us/articles/9761080275607-UniFi-Network-Creating-Virtual-Networks-VLANs-
Sen är det viktigt att du kör en uppdaterad version av mjukvaran i din dator.
Jag förstår hur du menar men samtidigt tycker jag det tyder på professionalism att inte använda ett krångligt lösenord om avsikten ändå är att "alla" ska kunna ansluta.B b8q skrev:
Jag vet inte hur många gånger jag blivit irriterad i exempelvis flygplatslounger där ett "superkrångligt" lösenord delats ut på små papperslappar till alla som önskar...
Varför ha ett lösenord alls i det läget...?Alfredo skrev:Jag förstår hur du menar men samtidigt tycker jag det tyder på professionalism att inte använda ett krångligt lösenord om avsikten ändå är att "alla" ska kunna ansluta.
Jag vet inte hur många gånger jag blivit irriterad i exempelvis flygplatslounger där ett "superkrångligt" lösenord delats ut på små papperslappar till alla som önskar...
Jag kör unifi, har flera VLAN uppsatta:
- LAN (trådat), kommer åt alla andra VLAN
- WLAN (WiFi), kommer åt IoT
- IoT, enheter på detta VLAN kommer inte åt några andra enheter, de kommer endast åt internet
- Data, separat VLAN för NAS, mestadels för att kunna limitera access och bandbredd
- Guest, fristående VLAN som endast kommer åt internet
Det går att få till det mesta, men är en del konfiguration att sätta in sig i.
Det som är struligast, enligt mig, är Chromecast (och liknande enheter) då det är specifika regler för multicast och IGMP snooping att sätta upp för att få det att lira.
- LAN (trådat), kommer åt alla andra VLAN
- WLAN (WiFi), kommer åt IoT
- IoT, enheter på detta VLAN kommer inte åt några andra enheter, de kommer endast åt internet
- Data, separat VLAN för NAS, mestadels för att kunna limitera access och bandbredd
- Guest, fristående VLAN som endast kommer åt internet
Det går att få till det mesta, men är en del konfiguration att sätta in sig i.
Det som är struligast, enligt mig, är Chromecast (och liknande enheter) då det är specifika regler för multicast och IGMP snooping att sätta upp för att få det att lira.
Jag tycker att den första länkens sida var lättare att förstå vid en första genomläsning. Den här är också mer specifik kring ett ämne och inte hela uppsättningen.P paralun skrev:
Sen är det ju alltid en "risk" med att försöka täcka in alla varianter/möjligheter, det blir lätt otydligt.
Tack!
OK, det ger mig hopp om att det ska gå.Walle85 skrev:Jag kör unifi, har flera VLAN uppsatta:
- LAN (trådat), kommer åt alla andra VLAN
- WLAN (WiFi), kommer åt IoT
- IoT, enheter på detta VLAN kommer inte åt några andra enheter, de kommer endast åt internet
- Data, separat VLAN för NAS, mestadels för att kunna limitera access och bandbredd
- Guest, fristående VLAN som endast kommer åt internet
Det går att få till det mesta, men är en del konfiguration att sätta in sig i.
Det som är struligast, enligt mig, är Chromecast (och liknande enheter) då det är specifika regler för multicast och IGMP snooping att sätta upp för att få det att lira.
Det är ju rimligt att allt som är trådat kommer kommer åt "allt" och därmed får ett eget VLAN eller ingår i ett betrott wifi.
Jag ska grunna lite på behovsbilden och se om jag kan rita upp det för mig själv och sen blir det till att få lite tid när jag kan pula med det här och ingen annan behöver interwebs just då
Tack för att du delar med dig.
Varför skulle det som är anslutet med kabel per någon slags definition vara mer pålitligt än det som ansluter via radiosignaler? Jag ser ingen självklar rimlighet i detta. Varje ansluten enhet måste väl värderas säkerhetsmässigt/behovsmässigt helt oberoende av om den tekniska metoden för anslutning är kabel eller radio?T Testarn skrev:
Det beror på vad du ansluter och hur du hanterar dina portar. För mig så är allt som är smart home och media (saker jag inte 100% litar på) på separat IoT VLAN, oavsett om det är wifi eller kabel. Men min stationära dator och några få andra utvalda enheter är på ett VLAN som har full access för att kunna administrera allt. Sedan så kan man sätta upp att bara vissa MAC adresser får koppla upp till vissa portar samt att man kan stänga ner oanvända portar så att ingen annan kan koppla in sig utan att först aktivera porten.Alfredo skrev:Varför skulle det som är anslutet med kabel per någon slags definition vara mer pålitligt än det som ansluter via radiosignaler? Jag ser ingen självklar rimlighet i detta. Varje ansluten enhet måste väl värderas säkerhetsmässigt/behovsmässigt helt oberoende av om den tekniska metoden för anslutning är kabel eller radio?
Precis, men man kan som regel utgå från att smarta hemmet prylar, speciellt de från no name företag från Kina, inte är att lita på i samma utsträckning. Så de kan man ha isolerat på ett eget VLAN.Alfredo skrev:
Enkel setup är enligt mig två VLAN, ett för allt man litar på och ett för IoT. IoT kan bara nå ut till internet och svara tillbaka på anrop från huvud VLAN. Huvud VLAN kan nå både internt, IoT VLAN samt router.
Nästa steg är att kanske lägga till gäst VLAN med begränsad bandbredd samt isolerat. Steget efter det är att ha gästnätverksportal för inlogg samt ge access till t.ex. Chromecast från gäst VLAN.
Absolut! Så är det ju, men baserat på hur vi lever och de gäster vi har samt de enheter de har med sig osv så gör jag ändå antagandet att den som kommit in i vårt hus och får vår tillåtelse att koppla in sig med sladd är att lita på (åtminstone tillräckligt för att inte tro att de avsiktligt och med onda avsikter har med sig virus eller försöker komma åt saker de inte ska komma åt)Alfredo skrev:Varför skulle det som är anslutet med kabel per någon slags definition vara mer pålitligt än det som ansluter via radiosignaler? Jag ser ingen självklar rimlighet i detta. Varje ansluten enhet måste väl värderas säkerhetsmässigt/behovsmässigt helt oberoende av om den tekniska metoden för anslutning är kabel eller radio?
När det gäller wifi som når utanför huset och även delas med barnens bekanta så finns en större risk att det är någon med "onda" avsikter eller bara är nyfiken på vad som finns tillgängligt.
Därav min tanke att ethernetanslutningar kan vara med på det "säkra" nätet.
Hela ursprungstanken med att se över mitt hemmanätverk var ju att ha ett gästnät som vi kan dela ut till besökare som sen kan komma åt Chromecast och trådlösa högtalare (Sonos) samtidigt som vi som bor i huset ska kunna åt dessa enheter utan att behöva byta nät.
Sen, när jag kollade på hur det hä,r kom det upp svar kring segmentering med VLAN och så vidare. Det här är ju inget jag kan eller riktigt förstod hur det skulle göras så efter att ha sökt lite mer på nätet, lite läsning och videotittande så ställde jag frågan här då jag tänkte att här finns personer med intresse och kunskap
Personligen så har jag tagit inspiration från dessa två kanaler på Youtube, finns flertalet bra videos de gjort för att sätta upp diverse saker i unifi man kan dra lärdomar av.
Mactelecom Networks
Crosstalk Solutions
Mactelecom Networks
Crosstalk Solutions
Fast även "opålitlig-iot-spionerande-kinakrafs" kan vara ansluten med kabel.T Testarn skrev:
Det jag försöker säga är att bara för att något ansluts med kabel är det inte per definition mer pålitligt. I praktiken är det kanske ofta så, men det är ändå en olämplig faktor att basera säkerhetsbeslut på.
Jovisst, om jag själv funderar över något så söker jag då alltid efter bra guider och det brukar sluta med flera inkl om det finns hos tillverkaren i det här fallet Ubiquiti.T Testarn skrev:
Sen efter att noga studerat guiderna så sätter man igång med "meckandet".