Isolamento di rete per un singolo dispositivo

Naviga le tue risposte
0

Sto pianificando di configurare un server locale (Minecraft) accessibile solo da un'altra persona che si collega da un IP statico. È su una macchina dedicata che posso facilmente cancellare (Raspberry Pi).

Sto cercando di esporre solo una porta, mantenere aggiornato il sistema operativo, eseguire tutto tramite un utente limitato, ecc ... ma a scopo di discussione, supponiamo che sia un dato di fatto che viene violato.

Non sono un esperto di sicurezza, fino ad ora la mia politica è stata "è più facile proteggere una casa senza porte". Fondamentalmente non apro affatto la mia rete -  Faccio persino forza agli amici per usare il wifi degli ospiti. Quindi il mio setup ideale qui mi permetterebbe comunque di chiudere la maggior parte dell'accesso alla mia rete.

Preferibilmente, vorrei avere il server su una rete completamente separata (e forse la risposta è semplicemente "iscriviti per un droplet Digital Ocean"). DMZ è quello che sto vedendo le persone consigliano, ma ci sono altrettanti chiacchiere che dicono che i router di fascia consumer raramente funzionano correttamente e che una cattiva implementazione può essere ancora più rischiosa del port forwarding.

  • Come posso sapere se il mio router implementa DMZ correttamente?
  • Se è implementato correttamente, è qualcosa di cui posso fidarmi la mia rete domestica è completamente isolata da un dispositivo compromesso?
  • Sto sovrastimando i pericoli dell'esposizione di una singola porta? Esistono modi migliori per consentire l'accesso remoto da un unico IP remoto?
posta danShumway 21.06.2017 - 02:20
fonte

1 risposta

0

La sicurezza è una funzione di vigilanza (anche = paranoia ad un certo livello) - quindi è bello che tu pratichi la sicurezza tutto il tempo anche quando è la tua rete domestica. 

How can I tell if my router implements DMZ correctly?

Opzioni:

  1. Controlla il router in questione. Di solito ha bisogno di così tanto sforzo che potrebbe mettere questo in "sproporzionato sforzo (per beneficiare)" categoria. Funziona bene se il tuo lavoro di un giorno implica il controllo dei dispositivi di rete, perché sei già a metà strada su TTP.
  2. Impostare un IDS con una buona analisi delle eccezioni e sperare di catturarlo se / quando il router si rovina; e poi indagare per scoprire dove / come ha fallito. Ha bisogno di più risorse (specialmente, tempo e pazienza) - ma sarebbe la mia scelta perché è più pratico. Abbiamo comunque bisogno delle capacità di rilevamento. 
If it is implemented correctly, is it something I can trust to keep my home network completely isolated from a compromised device?

All'interno della ragione - soggetto alla tua fiducia in "se implementato correttamente", sì. Direi ancora fiducia ma verificare (sano scetticismo?), Quindi imposta un qualche livello di capacità di rilevamento, se puoi. 

Am I over-rating the dangers of exposing a single port? Are there better ways of allowing remote access from a single remote IP?

Risposte brevi - Sì (pericoli di sovrastimolazione) e Può non essere (l'inserimento di un indirizzo IP in genere è sufficiente).

Pensiamo come un avversario che potrebbe bersagliarti. Quando vengono prese misure ragionevoli a livello di rete, è molto più semplice cercare di compromettere il proprio server / server con altri metodi piuttosto che provare a hackerare le informazioni.

Quindi, in questa configurazione, direi che i tuoi rischi sono più probabili di essere (che non):

  • compromesso umano (phishing + keylogger su endpoint autorizzato)
  • vulnerabilità di livello superiore / livello applicazione (nello stack di gioco) che la tua whitelist dovrebbe ancora proteggere, a meno che il vettore non contenga l'endpoint remoto autorizzato.
  • uno zero-day sul router + livello superiore vuln + ... Non è insolito che i grandi hack abbiano bisogno di più exploit concatenati ... quindi è quello che stai guardando.

È una buona situazione essere dentro - che un avversario ha bisogno di catene di exploit multiple e magari bruciare uno o due giorni zero per arrivare a te. Ancora meglio - quando, dopo tutto ciò, si rileva rapidamente l'avversario e si reagisce per contrastare qualsiasi impatto. È qui che il tuo strong rilevamento / risposta kung-fu funziona bene.

    
risposta data 21.06.2017 - 04:19
fonte

Leggi altre domande sui tag

riferimento di entità HTML Memorizza la password in Chrome esclusivamente online