Il mio obiettivo è isolare un computer sulla mia rete domestica. Questo computer (un pi greco) dovrebbe essere considerato non affidabile ed è accessibile da internet (porta 22). Ho bisogno di una soluzione che impedisca a questo Raspberry Pi di accedere o interagire con la mia rete domestica in qualsiasi modo nel caso in cui sia compromessa. Domande simili sono già state fatte prima, ma voglio sapere se la seguente installazione funzionerà.
Ecco la mia soluzione tentata, per favore fatemi sapere se si notano problemi importanti con esso dal punto di vista della sicurezza.
La mia rete domestica di esempio ora, senza Pi:
┌───────> PC 1
Internet <───────> Router <──┼───────> PC 2
└───────> Network Drive
La mia rete pianificata:
┌───────> PC 1
Internet <───────> Router A <───┬───> Router B <──┼───────> PC 2
│ └───────> Network Drive
│
└───> Router Z <──────────> Raspberry Pi
Il router A è utilizzato principalmente per internet NAT e firewall. Il router B viene utilizzato per il firewall per impedire al Pi di connettersi a qualsiasi PC di casa. Il Router Z impedisce al Pi di falsificare l'indirizzo del router B e di intercettare le comunicazioni (dovrebbe funzionare?). Tutti i router (A, B e Z) avranno NAT abilitato per mantenere separate le reti. I router A e Z inoltreranno la porta 22 al Pi.
Hardware: non ho hardware di rete di classe business, ma ho un Apple Airport Extreme (router B) e alcuni router Linksys casuali (router A e Z).
Questa soluzione potrebbe avere problemi di rete e sarei lieto di ascoltarli, ma la mia priorità principale è la sicurezza. Ci sono problemi con questa configurazione o miglioramenti che possono essere apportati? O sto prendendo un approccio completamente sbagliato?
Potenziale problema: il Pi avrà accesso alla pagina di accesso di Router Z e, a causa di possibili vulnerabilità nel router, potrebbe essere in grado di disattivare NAT e il firewall su Router Z.
A parte: questo è un progetto semplicemente divertente. Ho intenzione di proteggere il Pi con l'autenticazione della chiave SSH, quindi questo è uno scenario di difesa in profondità. Potrei voler eseguire altri servizi dal Pi in futuro (probabilmente una VPN), e so che non sono un esperto di sicurezza, quindi potrei commettere errori in termini di software sul Pi e desiderare che l'installazione di rete funzioni come ultima difesa. Sono principalmente preoccupato per gli script-kiddies dato che non sarò un obiettivo primario per gli hacker, ma implementerò altre tecniche di sicurezza e oscurità come disabilitare il login della password, usando port-knocking, ecc. Sul Pi.