(aggiornato (si spera) meno ampio)
Indipendentemente dal livello di protezione di una rete, c'è sempre la possibilità che un utente malintenzionato ottenga l'accesso. In una rete condivisa di home + home office (ad esempio per un lavoratore in remoto e la loro famiglia) vi è un rischio considerevole da parte di amici e familiari che utilizzano la rete in modo non sicuro o su dispositivi potenzialmente compromessi.
Per mancanza di una terminologia migliore farò riferimento a due tipi di utenti della rete:
- Ospiti - (in genere transitori) utenti che hanno solo bisogno di accedere a WAN, non a LAN.
- Utenti / dispositivi privilegiati: utenti coerenti / persistenti e che devono comunicare con altri dispositivi sulla LAN. Ad esempio, un lavoratore remoto e la loro famiglia diretta.
Ora, assumiamo quanto segue:
- Gli insider "fare canaglia" non sono un problema.
- Suppongo che l'autore dell'attacco non abbia quindi alcuna conoscenza preliminare della configurazione di rete oltre a ciò che è possibile ottenere prima di intervenire.
- Il WiFi è utilizzato sia dagli ospiti che dagli utenti privilegiati per dispositivi mobili e laptop.
- I dispositivi privilegiati su WiFi vorrebbero poter comunicare in modo sicuro con altri dispositivi privilegiati (sia cablati che wireless) e viceversa.
- A volte gli ospiti si connettono tramite la connessione cablata (ad esempio utilizzando una porta Ethernet in una stanza degli ospiti).
- Il Wi-Fi non può essere considerato affidabile per essere crittografato poiché non tutti gli utenti privilegiati possono essere considerati attendibili per non perdere inavvertitamente la password.
- La rete include alcuni servizi LAN come stampanti condivise, un file server / NAS, ecc. Supponiamo che abbiano un'autenticazione / un'autorizzazione appropriate abilitate (password, chiavi SSH, ecc.)
- La rete non include servizi accessibili pubblicamente (ad esempio nessun server web accessibile da Internet).
Vedo due modi in cui un utente malintenzionato può accedere alla rete:
- Tramite un dispositivo a cui hanno accesso per essere aggiunti come dispositivo ospite (ad esempio rompendo il WiFi o compromettendo il dispositivo di un ospite). In questo caso presumibilmente non hanno (ancora) ottenuto l'accesso a dispositivi privilegiati o password o segreti utilizzati da dispositivi privilegiati o comunicazioni LAN.
- Compromettendo un dispositivo privilegiato. In questo caso, presumibilmente ora hanno o possono accedere a qualsiasi segreto usato sul o dal dispositivo.
Quali minacce presentano questi scenari e come possono essere mitigati tramite l'impostazione della rete? (Mitigarli tramite antivirus, ecc. è una lattina completamente diversa di worm)
Nota: il caso d'uso a cui sono interessato è per i lavoratori remoti che eseguono reti condivise home + home office - le soluzioni che possono essere implementate da qualcuno che è competente tecnicamente ma non necessariamente in rete sarebbe preferibile.