Proteggere gli host collegati alla WAN del captive portal da potenziali attacchi dei client della rete Hotspot WiFi

Proteggere gli host collegati alla WAN del captive portal da potenziali attacchi dei client della rete Hotspot WiFi

Nelle installazioni di aree hotspot non dobbiamo sottovalutare la sicurezza della rete del cliente.

La rete hotspot vista la sua natura di rete "aperta" agli ospiti è necessario sia isolata dalla rete LAN dove risiedono normalmente server ed host "a rischio". Per fare questo andrebbero utilizzate delle vlan o addirittura reti parallele isolate e con accesso ad internet dedicato.

Purtroppo troppo spesso questo non è fattibile, sia per problematiche di budget che strutturali. In questi casi è necessario configurare opportunamente il firewall interno degli apparati RouterOS per garantire un buon livello di sicurezza.

Ipotizzando che la lan da proteggere sia 10.10.0.0/16 andremo ad aggiungere questa semplice regola:

/ip firewall filter add chain=forward \
hotspot=from-client dst-address=10.10.10.0/24 \
action=reject reject-with=icmp-net-prohibited \
comment="Protect LAN from Hotspot Clients"

Con questa regola di firewall abbiamo inibito qualunque accesso/attacco alla rete del cliente dalla sottorete gestista dall'hotspot. Semplice no?

Vediamo in dettaglio cosa abbiamo inserito:

hotspot=from-client dst-address=10.10.10.0/24 \

in questo punto definiamo 2 cose importanti:

  1. Cosa dobbiamo proteggere: tutta la classe 10.10.10.0/24
  2. Da chi. E qui vieni in aiuto l'helper "hotspot" del firewall di RouterOS che ci permette di catturare tutti i pacchetti generati dai client dell'area WiFi
action=reject reject-with=icmp-net-prohibited \
comment="Protect LAN from Hotspot Clients"

qui andiamo a specificare l'azione da attuare sui pacchetti identificati. L'action "reject" si occupa di bloccare il pacchetto e di inviare al client un errore icmp "Network Prohibited", in alternativa è utilizzabile anche l'action "drop" che in maniera silente blocca solo il traffico indesiderato.

In chiusura non dimentichiamoci di inserire un commento descrittivo alla regola inserita in modo da poterne comprendere il significato anche a distanza di mesi dalla configurazione.

Pagine: 1 | 2 | Single Page