Segmentazione della rete: posizione della zona di un NAS multiuso

Naviga le tue risposte
0

Attualmente sto segmentando la mia rete domestica in diverse reti e zone perché il mio router economico mantiene tutti i dispositivi (privati, casa intelligente, intrattenimento) in una rete (senza una funzione di rete ospite e l'isolamento del client).

La rete contiene un NAS con un ruolo tipicamente polifunzionale nelle reti private: tutte le macchine rilevanti eseguono il backup sul NAS e vengono utilizzate come server di file e streaming (scambio di file tra macchine, musica memorizzata su di esso, ecc.), e ospita un sito Web molto piccolo accessibile solo nella rete locale con alcuni dati visualizzati in un'applicazione smart home in esecuzione su uno smartphone standard (non puramente per uso domestico intelligente).

Naturalmente assumerei il NAS come qualcosa che dovrebbe risiedere in una zona ad alta sicurezza perché contiene dati importanti. PC e computer portatili si trovano nella stessa zona. Ora la parte delicata: la mia smart-tv, il mio lettore musicale di rete, le console e i miei tablet a volte hanno bisogno di accedere al NAS per i loro contenuti, che non possono per impostazione predefinita perché si troverebbero in una "zona media" della zona inferiore (ad es. non fidarti della mia smart tv in alcun modo).

Ci sono solo tre soluzioni per questo?

  1. Sposta il NAS nella zona di sicurezza inferiore (nell'area multimediale)
  2. Permetti la comunicazione dalla zona multimediale alla zona di massima sicurezza (cattiva pratica?)
  3. Prendi un altro NAS e inseriscilo nella zona multimediale con il contenuto appropriato per questa zona ed esegui attività di sincronizzazione e backup da / verso questo NAS dal NAS nella zona ad alta sicurezza?

Mentre l'ultima soluzione sarebbe la più sicura potrebbe non essere la cosa più fattibile da fare. Ci sono altri approcci che mi mancano qui? Ha 1. un vantaggio rispetto a 2. o viceversa?

Ovviamente c'è anche la zona casa intelligente / IoT, che in pratica non dovrebbe accedere a nulla e isolare i dispositivi in quanto non vi è alcuna fiducia o controllo su di essi (potrebbe essere la rete ospite: D)

    
posta Samuel 12.06.2017 - 12:11
fonte

1 risposta

1

Quando comunichi tra zone diverse, considera la somma di:

  1. È meglio quando un dispositivo ad alta sicurezza avvia la connessione al dispositivo di sicurezza inferiore. Quindi un dispositivo ad alta sicurezza non ascolta le connessioni passivamente, ma controlla attivamente quando e a chi comunica.
  2. Passa i protocolli necessari (porte) e blocca il resto, in entrambi i modi.
  3. Supera gli indirizzi IP necessari e blocca il resto, in entrambi i modi.
  4. Passa durante orari specifici, blocca il tempo rimanente.
  5. Utilizzare un proxy se può aiutare l'autenticazione / l'autorizzazione / auditing. (Il NAS di solito li implementa a sufficienza, quindi probabilmente non è necessario.)

Nella tua situazione, quando non puoi permetterti di implementare i punti 1 + 2 + 3 + 4 + 5, è ancora meglio dire che implementa i punti 2 + 3 + 4 di niente. È a basso costo (come hai già deciso segmenterà la rete) e fornisce una maggiore sicurezza.

    
risposta data 12.06.2017 - 16:52
fonte

Leggi altre domande sui tag

Un amministratore non attendibile decodifica il traffico HTTPS in Linux senza chiave privata del server? Quanto è sicuro modificare i file PHP nel browser Web tramite CPanel? [chiuso]