昨天的楼歪了,都在讨论光猫和桥接的问题。。
今日重开一贴,讨论下需要哪些家庭内网防护?请从审计方向去想,不是像深信服那种用来监控内网的方向,可能有些方面有重叠(比如 Adguard Home 可以大致知道使用者在干什么,与深信服的部分功能重叠),但更多的在于防止内部泄露,保护内网的安全。
比如 Adguard Home 可以防止 dns 泄露,并且查看有没有异常的高频域名访问。
至于类似于火绒那种查看进程和对应流量的服务,在网关层面有什么推荐么?比如能通过 mac 识别机器,并且列出对应的上下行流量。
又或者像是 Tenable 这种漏洞/网络扫描的服务可以定期执行自动出报告。
以及还有什么其他方面的防护?
第 1 条附言 · 11 天前
还请各位不要讨论需求的必要性,这东西没人看法不同,问就是为了折腾。
比如 百度能查资料为什么翻墙用谷歌。。。(需求不同,同样对于一些人可有可无)
比如 百度能查资料为什么翻墙用谷歌。。。(需求不同,同样对于一些人可有可无)
第 2 条附言 · 11 天前
除了软件的推荐,也希望各位看看有什么安全方面是我没有想到的,存在隐患的,比如去年报出来的 clash 权限漏洞( clash 面板默认密码+允许共享,导致外面直接可以扫到,配合提权漏洞可以拿到订阅地址,详见油管不良林视频)
20 条回复 • 2024-10-24 19:24:57 +08:00
 |
1
baobao1270 11 天前
没有,家庭里搞这些纯属折腾
|
 |
2
testver 11 天前
这不是太累了吗?我家买了个 unifi 的 ucg ,默认设置就好。
|
 |
3
luoyide2010 11 天前  1
真的看重安全,可以考虑部署个 opnsense 软防火墙,带 IPS 功能看,可以根据规则拦截高风险行为,或者 Security Onion ,偏审计,内置 IDS 可以分析出可疑流量,这两款都需要花时间上手,说实话家庭网络没必要搞这些
|
 |
4
guazila 11 天前
关掉路由器 upnp ,陌生设备默认隔离内网就行了,搞太多没必要。
|
 |
5
NevadaLi OP |
|
6
NevadaLi OP @luoyide2010 #3 okay 感谢,我去瞅瞅
|
 |
8
cloudsong 11 天前 via iPhone 1
1. wan 口做端口镜像,所有流量发送给 pfsense
2. pfsense 这边可以用 suricata 或者 snort ,规则自己配置。其中 ids 功能不需要拆包 3. 流量可视化可以用 ntopng 这样做可以不影响上网速度,同时可以知道流量的关键信息。 第二种做法是主路由用 pfsense ,这样可以 block 掉威胁,但是性能会受限制,特别是小包性能。 |
 |
9
jones2000 11 天前
家庭要什么防护, 网络供应商都帮你防护了, 几个常用的端口,都是连不同的, 如果你访问了什么可疑的地址, 还会有电话来问候你, 如果数据量异样了, 直接把你调整到带限制的网段里面。
|
 |
10
laikick 11 天前 via iPhone
不需要 国内运营帮你审计好了 有问题直接反诈中心给你打电话
|
 |
11
fuzzsh 11 天前 via Android 1
ZTNA
BYOD |
|
14
NevadaLi OP @jones2000 #13 为啥没用?指定上游信任的 dns ,并且能看到有没有下层设备泄露。
因为 adhome 是在网关部署的,下层是软路由,而软路由的 passwall 分流应该使用外网 dns 直接查询,不应该递归到网关 dns 。如果在 adhome 上看到了 google 什么的请求,那绝对是软路由存在 dns 泄露问题,并且由于 adhome 也指定了信任的 dns ,会在这一层拦截,不会泄漏到国内 isp |
 |
15
moefishtang 11 天前
上网行为管理?有一些很便宜的企业路由器带这个
|
 |
16
sofm 11 天前
企业级路由器 ,一般自带这个功能。 可以看到 一些基本流量细节。 app ,网站 等等
低配方案:比如爱快的 Q6000 企业级,350 块 高配方案:unifi 的 路由器 ,控制器 可以看 网络日志,UI 很精美。 超级顶配方案:MikroTik 的 routeros 路由器系统,打开日志,配合 ElasticSearch ,啥都能看到,再弄个数据大屏。 |
 |
17
tankren 11 天前
opnsense
|
 |
20
ho121 11 天前 via Android
|
Select Language