Hur säkert är ditt hemmanätverk?

Har varit lite för lat för att hitta ny router/switch/etc behöver ju klara av mina 1,2Gb så 2,5Gb utrustning är ju minimum och har varit ont om det ett tag.

Men säker de vet jag att det inte är, använder ju Comhems C3 som de har tillgång till och man får inte ändra användarnamn från admin på... Behöver något som jag själv kan administrera utan ISP kan taffsa på för helvete att jag litar på comhem/tele2 efter de återställde routern när det var fel på deras nät, frågade för jag ville inte in och confa om den igen. Gör inte om det misstaget...

Bra artikel -- bara det att ämnet lyfts fram är viktigt!
Men jag vill argumentera för att ägna sig åt MAC-filtrering är bortkastat idag. Det är trivialt för en angripare att ändra (spoofa) sin MAC-adress, och, som artikeln också poängterar, eftersom många enheter kopplar upp med WiFi idag kan man lätt hitta närliggande enheter och deras MAC. Om ditt lösenord till det trådlösa nätverket är svagt nog att ta sig förbi kommer inte ytterligare 200 försök (förenklat) med olika MAC-adresser vara det som gör skillnaden. I avvägningen mellan nytta och användarvänlighet tycker jag att MAC-filtrering faller bort. Då borde starka och unika lösenord lösenfraser (passphrase; har det skapats någon "officiell" översättning av detta ord än?) premieras högre.

Mitt eget nät består är fortfarande väldigt enkelt med väldigt lite indelning. Men i gengäld finns det bara servern, bärbara datorer och mobiler på nätet -- än så länge är det okej att alla enheter kommer åt alla.

Jag skulle kunna föreslå att du byter ut Netgear R7000 med en UniFi Dream Router (UDR) om du inte redan har en UniFi "konsol".

Konsolen kör UniFi OS "Network"-appen. Det kan konfigureras för att isolera IoT-enheter medan casting fortfarande fungerar. Det senare innebär att man lägger till några VLAN och portprofiler och öppnar specifika portar mellan VLAN. Det här kan vara lite komplicerat. Lyckligtvis finns det bra videor och artiklar om hur man gör detta på UniFi. Vissa inkluderar specifika inställningar för Chromecast och andra populära enheter.

En UDR och åtminstone vissa typer av UniFi-åtkomstpunkter kan köra många WiFi-nätverk/SSID på en gång. Det är enkelt att skapa ett separat WiFi-nätverk för WiFi IoT-enheter med "Client Device Isolation" påslagen eller som en "Gäst Hotspot".

Jag har själv en UDR och har konfigurerat liknande. Den är så mycket bättre på alla sätt än min gamla Netgear Orbi.

Jag har ett "insider" nätverkssäkerhetsproblem ifall någon kunnig kan svara.

Jag kan pausa barnens tillgång till WiFi, inga problem. Jag kan inte begränsa LAN-socklarna på liknande sätt utan att pausa det mesta av LAN, vilket skulle störa allt för mycket. En MAC-vitlista har inte fungerat. En av l33t hax0rz använder falska MAC-adresser. Finns det en lösning? Är det ett jobb för Radius?

Jag bör tillägga att Circle for Disney inte fungerade. De besegrade det snabbt och enkelt. Det krävs inte mycket research på nätet för att ta reda på hur man gör.

Om jag inte minns helt fel så kan olika chromecast-enheter brygga själva, även utan mDNS. Jag har valt att ha min nvidia shield på mitt säkra nät för att komma åt lokal media. Det gör alltså att olika chromecast kan kommunicera även om de är på olika nät.

I mitt fall så får i och för sig det säkra nätet upprätta nya anslutningar till IoT nätet, men inte tvärt om, så det kanske är ett specialfall. Dock är nätet Work helt nedstängt.

Jag undrar dock hur bra det är att placera google home enheter på gästnätet annat än i väldigt enkla fall? Normalt har man ju network isolation på det nätet så att lokala enheter inte kan kommunicera. Sammankopplade högtalare för stereo lär ju t.ex. inte fungera då?

Det generella problemet är ju som vanligt att enkelt och säkert inte går hand i hand.

Om du kan se till att barnen inte kan administrera sina enheter helt själva kan du testa att sätta upp NextDNS som deras DNS-tillhandahållare. NextDNS har en flik för just Parental Control, och det kan kanske vara en bättre väg att gå än att försöka kontrollera LAN portarna. Fördelen här är att även om barnen skulle internetdela med sina (eventuella) telefoner, och på så vis försöka kringgå alla hemmets begränsningar, så ligger DNS-inställningarna fortfarande kvar.

Om du ändå vill sätta upp hemmets LAN-portar så skulle jag säga att du behöver använda VLAN-taggar, vilket kan kräva ny hårdvara. Du kan då säga att vissa portar i routern/switchen ska använda en viss VLAN-tagg, och sedan genom en brandvägg säga att trafik med den taggen inte får komma ut på nätet en viss tid (eller enligt andra kriterier).

Såg över mina inställningar iom denna artikel.
Har separat gästnät, ändrade till wpa3 på båda näten, då slutade vissa enheter använda näten, som t.ex. dammsugare, trådlös högtalare etc.

Fick skapa nytt dolt gästnät för iot-enheter..

Inte helt säker på hur ja ska komma runt det för högtalaren dock, den behöver ju vara på samma nät för airplay å vill helst inte öppnat det mellan näten.
Får köra blåtand medans jag funderar...

Tack för tipset. Jag filtrerar WAN med OpenDNS. Jag ska titta på NextDNS. Det är dock för sent för telefonerna.

WAN kommer in via en UniFi Dream Router. På det kan jag verkligen ställa in ett VLAN för varje RJ45. Nedströms fast jag har fastnat för infrastruktur såsom elnätsdistribution. Det fungerar som en ohanterad switch.

UniFi Network router-appen låter mig tilldela ett specifikt VLAN till en klient. Tyvärr säger den då till mig "Your DHCP reservation has been made, but this IP can only be obtained by connecting to its respective network." Jag hoppas att det finns ett sätt att lösa det.

Det kommer fortfarande inte att lösa sårbarheten för de falska MAC-adresserna. Radius låter som att den är designad för det problemet, men jag vet inget om det än.

Lätthanterlig samtidigt som det kan krävas lite tekniskt kunnande.
Över din prislapp tyvärr men grymt bra:
Netgate 1100
Billigast hos Layer8 just nu tror jag.
Väggfäste finns att köpa eller göra som jag, skriva ut på 3D-skrivare.

Har kört i flera år nu. Funkar klockrent. Kommer uppdateringar titt som tätt. Uppdatering sker med ett klick och sedan vänta ett antal minuter. Grundkonf är relativt enkelt. Sedan kan du göra typ allt, och lite till. Har själv satt upp flera VLAN och har nu även trunkat in VLAN som kommer för vår IPTV så kan köra på mina egna burkar i stället för Felias shit.

Efter denna sitter hos mig en Unifiswitch med tillhörande UFO för trådlöst.

Ja, detta paket med alles kostar väl runt 5.000:
Netgate 1100
Unifi US8 60W (8 portar varav 4 har PoE)
Unifi UAP-AC-LR (UFO som ger trådlöst)

Få igång grunden var relativt enkelt. Få till VLAN och den biten var nästa kurs men egentligen såhär i efterhand inte så svårt.
Brandväggen kan konfas i det oändliga och kräver en del tänkande om man vill göra något mer avancerat än grundinställningar.
Prata med Unifi genom deras controllerprogramvara var, en liten uppförsbacke först, men sedan rullar det klockrent.

Såhär nu i efterhand så:
Det var helt klart värt varenda krona!
Riktiga prylar till enligt mig ändå rimliga priser.
Och det är säkra prylar från välkända företag som kommer med uppdateringar och lär komma med det under lång tid (om inget märkligt händer som plötslig konkurs men känns tveksamt).
Har tidigare haft semiprofessionell Netgear men den var ju ett under av trötthet, trots priset, och updateringar upphörde efter några år. Och var inte alls lika mångsidig.

Ibland är det värt att betala lite extra och lägga lite tid för att lära sig grunderna.

Not:
Till Unifi finns en drös olika typer av antenner i olika prisklasser och utföranden, som vägg eller takmontering, radiolänkar med mera. Finns även annat som kameror med mera. Skaffar man även deras stora cloudkey (typ 2500 kr, inklusive hårddisk på 1 TB) så finns standardstöd för att kameror från Unifi (kanske andra också?) spelar in på den disken och då hamnar även controllerprogramvaran i den lådan och behövs inte i en dator. Täntke avvakta någon bra rabatt på till exempel Clasohlson och slå till på den också faktiskt.

Du kanske vill kika på att installera Tailscale -- du slipper öppna en enda port, och åtkomsten sker genom en ständigt aktiv Wireguard-VPN (ish). Fördelen är att den enbart skyfflar trafik som ska till ditt interna nät genom VPNet, medans allt annat (t.ex. jobb) fortsätter att använda systemets nätverk som vanligt. Du kommer då åt både Synologyn, interna SSH-portar samt slipper öppna en extra OpenVPN-port.