¿Es segura la función "red de invitados" en los enrutadores ASUS?

Mi enrutador ASUS RT-AC68U tiene una opción para habilitar una "red de invitados". Tengo curiosidad por lo "seguro" que es esto. La página de configuración afirma que solo permite el tráfico a través de Internet, por lo que supongo que bloquea físicamente el tráfico de la red de invitados a cualquier puerto LAN y solo permite que fluya a través del puerto WAN.

Tenga en cuenta que lo que quiero decir es una red de invitados ABIERTA, sin autenticación.

¿Alguien tiene alguna información sobre esto y qué tan seguro / inseguro es?

Ron tenía razón en que esta es una pregunta basada en la opinión dependiendo de cuán aversivo al riesgo sea usted, pero aquí hay algunos factores a considerar:

1. ¿Con qué frecuencia verifica manualmente que el firmware de su enrutador esté actualizado y lo parchea si no lo está? Y los actualizadores automáticos no son confiables en mi experiencia, FWIW. Ese es probablemente su mayor riesgo si habilita una red invitada: se descubren y reparan vulnerabilidades, lo que alerta a los actores maliciosos sobre la vulnerabilidad, por lo que la incorporan a su kit de herramientas, pero no ha actualizado su firmware, por lo que aún es vulnerable, y el kiddy script de tu vecindario se conecta a tu red.
2. ¿Tiene una buena contraseña para cada una de las cuentas de administrador de su enrutador? Idealmente, uno que fue generado aleatoriamente por el software de administración de contraseñas, pero al menos uno que no devuelve ningún resultado cuando lo busca en Google. Alguien en su red de invitados puede intentar iniciar sesión en el panel de control de su enrutador y una buena contraseña en la diferencia entre adivinar en un día y adivinar después de 1000 años.
3. ¿Qué tan valiosa es su red doméstica? ¿Su escritorio siempre encendido tiene cien bitcoins? ¿Sueles ignorar si la página en la que estás es http cuando debería ser https? ¿Sus documentos médicos y financieros se comparten en su red? Debe evaluar honestamente qué tan malo sería si escaparan de la red de invitados y llegaran a su red normal y pudieran ver sus archivos y ver / modificar su tráfico no cifrado.
4. ¿Qué beneficios obtiene al habilitar la red de invitados? ¿Quieres una negación plausible para cuando te pillen pirateando películas y música? ¿Te incomoda compartir tu contraseña de WiFi con los invitados? ¿O sus invitados son flojos y odian usar WiFi seguro de cualquier tipo? ¿Espera realizar una "buena acción" dando WiFi gratis a vecinos y transeúntes? Sopesar esos beneficios contra los riesgos.

Si ASUS lo implementó sin problemas, entonces es seguro hacerlo, pero nada en seguridad informática es realmente impecable.

En lo que a él respecta, una red "Invitada" es solo una característica común entre muchos enrutadores o ISR que creará otra subred y adicionalmente una WLAN separada con su ESSID correspondiente que restringe el dominio de difusión y no enrutará ningún tráfico al red principal de ella; Esto significa que no podría, ssh 192.168.1.1por ejemplo, desde cualquier host en, digamos, 192.168.0.0 (la red "Invitado"). Pero vale la pena señalar que, dadas las condiciones correctas, no impedirá que las computadoras en la red "Invitada" accedan a la red principal o a una DMZ a través de la WAN (es decir, utilizando la dirección pública NAT), o incluso desde Internet si el firewall está abierto, entre otras cosas.

En palabras simples, solo aísla la red principal de la red invitada en el puerto LAN, por lo que podría decir que es segura y cumple su propósito como debería.

Fuente: las páginas de capacitación de Cisco NetAcad

Ten cuidado. Mi Assus se está ejecutando en modo puente.

Cuando me conecto a través de un SSID configurado como red invitada, aún puedo acceder a mi red interna.

Así que primero prueba esto correctamente.

Sería mejor ya que el enrutador no está filtrando en modo puente, no debería ofrecer la opción de configurar redes invitadas. Solo ofrézcalo cuando esté configurado como enrutador.

La pregunta es realmente bastante buena. Vengo aquí para ver CÓMO funciona esta característica, qué encontramos debajo del capó porque NO funciona perfectamente a partir de ahora 2019 / Abr / 12 con la versión de firmware Asus: 1.1.2.3_674

No hay "fuga" entre la red de Invitados y el Wifi / LAN normal. He intentado ahora casi todo, como cambiar manualmente la dirección IP, escanear toda la subred y la separación está funcionando, así que quería entender CÓMO .

Parece que Asus podría hacer algo de magia del núcleo en el código del filtro de red porque lo que hace:

Su enrutador tiene una interfaz dedicada para esto:

ra1       Link encap:Ethernet  HWaddr <MAC>
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15136 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1960036 (1.8 MiB)  TX bytes:7742992 (7.3 MiB)

rai1 es probablemente el equivalente wifi de 5.0 Ghz. Luego, en el código del puente ebtables, veo:

Bridge chain: FORWARD, entries: 4, policy: ACCEPT
-i ra1 -j DROP
-o ra1 -j DROP
-i rai1 -j DROP
-o rai1 -j DROP

Pero eso ahora no tendría sentido, ¿verdad? Con esto, está bloqueando claramente todo el tráfico de capa 2 entre su LAN y la red de invitados, pero supongo que Internet también es una regla genérica de reenvío.

El único problema de seguridad que encontré con esta "separación" es que si su cliente en la red Guest conoce la IP de otras máquinas, puede engañar al enrutador haciéndole creer que es esa otra máquina cambiando la dirección, pero esto no afectará el Tabla ARP de cualquier otra máquina en la red solo el enrutador.

Todos forman parte de la interfaz del puente principal br0. Tal vez alguien pueda iluminarnos con la verdad, ¡hasta que digamos que funciona!