Costruire una rete domestica sicura

3

Sto provando a progettare la mia prossima rete domestica ed ero curioso di sapere se c'era un modello accettato o se qualcosa del genere avrebbe funzionato.

-> Main Gateway AT&T Duel Modem Router combo
    |-> Nice Firewall something like a Sophos
            |->DMZ Router cheap router
                |->Web Server - Public facing
            |->LAN Router cheap router
                |->Home Network - xbox, pc's, iot devices
            |->Lab Router cheap router
                |->Pentest Network - vulnerable VM's galore 

Una configurazione come questa può danneggiare o pregiudicare la sicurezza della mia rete?

L'avvertimento qui è che so ben poco della rete, motivo per cui sto cercando di impostare qualcosa di complesso a casa.

I miei obiettivi qui sono i seguenti

  • Tutte e tre le sottoreti hanno accesso al web
  • La rete di My Lab non è visibile dal Web
  • La rete My Lab non può vedere la mia rete domestica o il mio server web.
  • Il mio server web non può vedere la mia rete domestica o il mio ambiente di laboratorio

Non so se è ancora possibile, ma è per questo che lo sto facendo.

    
posta Anthony Russell 07.10.2016 - 16:52
fonte

2 risposte

2

Sulla base delle informazioni che hai fornito, penso che dovresti iniziare ad avere:  - un buon firewall (Sophos è ok, SE ha WAF (web app firewall) poiché i blog vengono attaccati principalmente usando il livello dell'app). Ma se non vuoi pagare, allora pFsense è anche una buona scelta, è un firewall tutto in uno.

  • ospitalo dietro cloudflare o incapsula (preferibilmente pacchetto pagato con WAF e prevenzione DDOS)

  • IPS / IDS per il rilevamento e la prevenzione degli attacchi (pFsense ha snort per esso o suricata)

  • Il design della rete sembra essere ok, quindi è meglio avere vLANS per la segregazione di rete

  • Sistema di monitoraggio (con registrazione basata su qualsiasi SIEM, come OSSEC)

Penso che dovrebbe essere abbastanza per te

    
risposta data 07.10.2016 - 17:09
fonte
2

Considera anche quanto segue (sono disponibili anche sotto pfsense, se segui questa rotta, ma probabilmente sono disponibili su molte altre piattaforme:

Essendo una rete domestica, presumo che gli ospiti lo usino. Configura 2 sottoreti separate, una per uso fidato e una per tutto il resto. Imposta regole che impediscono alla rete "tutto il resto" di parlare oltre che alla WAN, o almeno ad altre località LAN molto limitate. Usa autenticazione basata su certificato non WAP2 sulla rete fidata (802.1X / WPA2-enterprise), non è difficile da configurare e rende la rete molto più sicura in quanto hai bisogno di un certificato (salvato sul tuo dispositivo) e password non solo parola d'ordine. Oppure cerca OTP (one time password) che sono quei piccoli token che cambiano in modo imprevedibile e rendono possibile l'accesso a 2 fattori. Non fidarti dell'autenticazione MAC in quanto può essere falsificata. Questi aumenteranno la barriera per le persone che cercano di ottenere l'accesso alla rete senza permesso.

Sonda la tua rete - pfsense ha nmap, usalo. Verifica con gli scanner delle porte online.

Supponete che il vostro laptop / dispositivo sia un possibile punto debole (se qualcuno controlla che anche loro abbiano la rete). Assicurati che sia sicuro e usalo qui.

Esegui calamaro + uno scanner di malware basato su rete e un IDS come securicata o snort. Non risolverà tutto ma catturerà molti tipi di tentativi noti.

Per quanto riguarda pfsense, un'altra idea - invece di più router, ottenere una scheda core2 2008 (dual core o Q6600 o simile, sono tutti economici) con 4GB di RAM per £ 50 / $ 75 e una piccola (8-16 GB ) ssd off eBay (a volte chiamato "disk on module"), metti su pfsense e impilalo con 2-3 schede di rete su eBay (Intel se è in grado di gestire vlans per quando ne hai bisogno, la maggior parte Intel Gb le carte saranno). Avrà un costo inferiore a quello di un router OEM e gestirà tutto quanto sopra con un sacco di succo da spendere, e gestirà qualsiasi routing e firewall che sarà probabilmente necessario tra una mezza dozzina di reti locali (sia fisicamente separate su diversi poeti o logicamente separati da vlans). Non preoccuparti della qualità del server: questo tipo di scheda può durare molti anni ed è economico sostituire / fissare la seconda mano se necessario, e non è necessario il tempo di attività del 99,999%.

Idee casuali. Buona fortuna!

    
risposta data 07.10.2016 - 19:57
fonte

Leggi altre domande sui tag