Sto pensando di usare un raspberry pi, o qualche altro SBC, per aprire un semplice server web basato su node.js e un server ssh. So che quando si aprono porte ci sono sempre vulnerabilità di sicurezza create. Mentre non mi interessa troppo la gente che entra nel mio SBC mi chiedevo se aprire una porta avrebbe reso altri computer sulla stessa rete non sicuri.
In tal caso, c'è un modo per "isolare" l'SBC dagli altri computer sulla mia rete?
Ogni volta che apri una porta per il traffico in entrata, stai aggiungendo un rischio alcuni alla rete. Nota che hai detto "insicuro" ma la verità è che devi pensare ai livelli di rischio. Non esiste un computer "sicuro", specialmente quello connesso a Internet. Devi semplicemente fare in modo che ci si rompa troppo per essere disturbato. Dovresti anche provare a limitare il danno che qualcuno può fare se si interrompe, il che è davvero quello che stai chiedendo quando parli di "isolamento".
Il rischio è ovviamente notevolmente moltiplicato se si consente a un utente malintenzionato di prendere piede su qualsiasi computer, anche su un SBA. Questo è particolarmente vero per una rete domestica in cui in genere non si ha alcuna segmentazione della LAN. Quindi dovresti e DEVE preoccuparsi dell'SBA in quella situazione. Per fortuna, la maggior parte degli SBA esegue installazioni Linux standard e quindi può essere configurato con lo stesso livello di sicurezza di qualcosa come un VPS.
Puoi fare qualcosa?
Forse. Dipende piuttosto dall'attrezzatura che hai a disposizione o da cosa sei disposto ad installare e configurare. Un numero crescente di router domestici / di piccoli uffici è in grado di creare una DMZ che isola una o più macchine sul proprio segmento di rete. In alternativa, puoi creare una DMZ davvero potente incatenando 2 router con il tuo router interno che trasporta il tuo WiFi e altri computer e quello esterno collegato non solo al router interno ma anche al tuo SBA semi-protetto.
Assicurati inoltre che qualsiasi account utente sul Pi non abbia alcuna relazione con gli account utente su nessun altro dispositivo e che il Pi non abbia bisogno di connettersi a qualcosa sulla tua rete interna. Se hai bisogno di comunicazioni con il Pi - che sicuramente farai - dovrebbero essere "spinte" al Pi e non dal Pi a un altro dispositivo.
Hai ragione: gli altri computer sono a rischio.
Soluzione: usa un firewall e metti il Raspberry Pi nella DMZ. Questo isolerà il tuo Raspberry Pi dagli altri PC.
Leggi altre domande sui tag network isolation port-forwarding