La creazione di una DMZ per un'appliance "cloud" per il consumatore domestico ha senso?

Naviga le tue risposte
2

Alcuni di voi potrebbero aver visto / duro la soluzione MyCloud NAS di Western Digital per le reti domestiche. Questo include una suite di app proprietaria per dispositivi mobili e workstation. Ciò consente al consumatore un'esperienza simile a "dropbox" con un supporto di memorizzazione di cui sono proprietari e operatori privati.

Ho giocato con questa idea, semplicemente per aggirare le limitazioni di archiviazione che le soluzioni ospitate impongono, a quel punto inizierai a pagare le quote di iscrizione. Per non parlare della capacità di assumersi la responsabilità per la mia sicurezza e per le mani di terzi.

Ma dato che questo dispositivo è destinato ad essere accessibile da Internet, avrebbe senso progettare e implementare una rete domestica basata su DMZ per una protezione aggiuntiva?

Come memorizzerai / accederai in modo sicuro ai tuoi dati in questo modo?

Ovviamente, supponiamo che l'unità sia crittografata, o almeno, memorizzi volumi protetti da TrueCrypt.

Grazie.

    
posta 4ensicLog 15.01.2014 - 19:09
fonte

2 risposte

1

Anche se questo ha un senso, non lo farei da solo.

Presumo che tu abbia già una rete domestica interna con laptop, desktop, tablet, NAS interno, ecc. Il modo normale di configurare su DMZ è che si tratta di una rete separata, con regole firewall che consentono porte specifiche. Pertanto, se il NAS di MyCloud utilizza la porta 443, probabilmente si consente la porta 443 da Internet al NAS e anche la porta 443 dalla rete interna al NAS.

Il vantaggio di questo è che se il NAS viene violato, l'hacker non ottiene l'accesso alla tua rete interna. Non aiuta a proteggere i dati sul NAS: se il NAS viene violato, l'aggressore sarà in grado di ottenere tutti i dati; usare una DMZ non ti aiuta.

Tre domande da porsi per aiutare a prendere una decisione:

La protezione della rete interna è un vantaggio importante? Sulla mia rete domestica non mi dispiace che i dispositivi non fidati si trovino sulla rete. I laptop hanno un firewall personale - è necessario quando collego i laptop agli hotspot non attendibili. E il NAS e il router sono protetti da password. Quindi, essere semplicemente sulla mia rete interna non guadagna molto un hacker. Preferisco le cose in questo modo, poiché i visitatori chiedono spesso la password WiFi.

Qual è la probabilità che il NAS venga violato? molti di questi tipi di dispositivi hanno avuto vulnerabilità, ma se si applicano gli aggiornamenti di sicurezza non appena vengono rilasciati e si utilizzano password complesse, il rischio è limitato . Se si dispone di computer portatili Windows che si connettono a Internet, sono a rischio più elevato.

Quanto costerà implementare una DMZ? La maggior parte dei router domestici non ha capacità DMZ. Se il tuo fa e la porta è attualmente inutilizzata, allora è poco costoso implementare la DMZ. Ma se hai bisogno di acquistare un nuovo router, forse non ne vale la pena.

    
risposta data 15.01.2014 - 19:37
fonte
0

Vorrei innanzitutto verificare se è necessaria persino una DMZ. Se lo hanno progettato per l'uso domestico, ci sono buone probabilità che abbiano implementato un sistema di callout in cui il NAS stabilisce una connessione con Western Digital che può quindi essere utilizzata per ridurre il firewall (simile a come le applicazioni di messaggistica istantanea consentono alle persone per contattarti).

Se sei preoccupato che il NAS venga utilizzato come punto di lancio per un attacco, se compromesso, potrebbe non essere pericoloso inserirlo in un segmento di rete isolato (ma ancora dietro il tuo firewall se hanno un firewall attraversato già). Lo metterei in una DMZ solo se è necessario per funzionare, altrimenti lo terrei dietro il firewall per limitare la superficie disponibile ad attaccare il NAS stesso.

    
risposta data 15.01.2014 - 19:56
fonte

Leggi altre domande sui tag

Quanto può vedere qualcuno dal mio iPhone collegandosi al mio wifi [duplicato] Qualsiasi buon tutorial / librerie per l'implementazione di TLS-SRP? [chiuso]