Quali sono i rischi derivanti dall'avere uno switch senza un strong controllo degli accessi direttamente rivolto verso Internet?

0

A casa ho una connessione al mio provider tramite fibra di vetro che fornisce due VLAN: IPTV e Internet.

La struttura della rete è esattamente come mostrato nell'immagine seguente, ad eccezione della connessione telefonica, che non ho. Il router che utilizzo (nell'immagine quello con antenne) si basa su OpenWRT e viene aggiornato.

Come interruttore davanti alla fibra di vetro uso uno switch Netgear GS108Ev2, che non ha accesso al web, ma accede solo attraverso l'utility Netgear ProSafe con una semplice password.

Ho impostato una password e ho dato al router un indirizzo IP statico nella rete locale, ma non sono a conoscenza di alcuna impostazione che possa limitare l'accesso alla configurazione a una VLAN specifica, quindi suppongo che sarebbe possibile per forzare la password da Internet e quindi modificare le impostazioni IP del router, per consentire la configurazione tramite Internet.

Quali sono i rischi a cui sono esposto? C'è qualcosa di malvagio che un utente malintenzionato potrebbe fare oltre a rimescolare le impostazioni e causare mal di testa / perdita di servizio fino al ripristino di tutto? Considero questa alternativa priva di interesse per gli aggressori, soprattutto perché richiede la forzatura bruta di una password (supponendo che non vi siano altre vulnerabilità nel router).

Penso che non ci siano soluzioni alternative, ma per favore menzionale, se sono semplici (altrimenti aprirò una nuova domanda). Ho anche un Netgear GS105E v2, nel caso in cui aiuta.

    
posta FarO 14.12.2018 - 10:29
fonte

1 risposta

0

La tua configurazione non mi sembra inusuale dal punto di vista della sicurezza. Alla fine della giornata qualcosa deve essere rivolto verso l'esterno se sei connesso a Internet, giusto?

Per la tua domanda su ulteriori tecniche di irrigidimento, la maggior parte dei piccoli router / switch per ufficio / casa che ho incontrato hanno un'opzione nelle impostazioni amministrative per forzare solo la gestione locale del dispositivo, il che significa che devi essere collegato alla LAN per autenticare e cambia qualcosa. Tutti gli altri tentativi di accesso da IP esterni verrebbero rimbalzati. Forse la tua configurazione ha qualcosa di simile.

Vorrei anche esaminare i modi per stratificare le difese. Ad esempio, configurando i router aggiuntivi, fisicamente separati, dietro di esso per filtrare il traffico diretto a ciascun segmento della rete. Forse la tua rete ha già un po 'di questo, ma mi sembra che gran parte di tutto provenga da una scatola anziché essere scomposta. L'idea consiste nell'aggiungere strati di complessità logica e fisica da superare per un utente malintenzionato prima di arrivare a qualcosa di veramente sensibile, offrendoti un po 'di tempo per rilevare e mitigare il problema.

Oltre a ciò, genera alcune password difficili e ruotale periodicamente.

    
risposta data 18.12.2018 - 05:46
fonte

Leggi altre domande sui tag