Construyendo una red doméstica segura

3

Estoy tratando de diseñar mi próxima red doméstica y tenía curiosidad por saber si había un patrón aceptado o si algo como mi diseño funcionaría.

-> Main Gateway AT&T Duel Modem Router combo
    |-> Nice Firewall something like a Sophos
            |->DMZ Router cheap router
                |->Web Server - Public facing
            |->LAN Router cheap router
                |->Home Network - xbox, pc's, iot devices
            |->Lab Router cheap router
                |->Pentest Network - vulnerable VM's galore 

¿Una configuración como esta beneficiaría o perjudicaría la seguridad de mi red?

La advertencia aquí es que sé muy poco acerca de las redes, por lo que estoy tratando de configurar algo complejo en casa.

Mis objetivos aquí son los siguientes

  • Las tres redes secundarias tienen acceso a la web
  • La red de My Lab no es visible desde la web
  • La red de Mi laboratorio no puede ver mi red doméstica o mi servidor web.
  • Mi servidor web no puede ver mi red doméstica o mi entorno de laboratorio

No sé si esto es posible todavía, pero es por eso que estoy haciendo esto.

    
pregunta Anthony Russell 07.10.2016 - 16:52
fuente

2 respuestas

2

En función de la información que ha proporcionado, creo que debería comenzar por tener:  - un buen cortafuegos (Sophos está bien, SI tiene WAF (cortafuegos de aplicaciones web) ya que los blogs son atacados en su mayoría a nivel de la aplicación). Pero si no quiere pagar, pFsense también es una buena opción, es un firewall todo en uno.

  • alojarlo detrás de cloudflare o incapsula (preferiblemente paquetes pagados con WAF y DDOS en la prevención)

  • IPS / IDS para la detección y prevención de ataques (pFsense tiene resoplido o suricata)

  • El diseño de la red parece estar bien, por lo que es mejor tener vLANS para la segregación de la red

  • Sistema de monitoreo (con registro basado en cualquier SIEM, como OSSEC)

Creo que debería ser suficiente para ti

    
respondido por el Hamza Islam 07.10.2016 - 17:09
fuente
2

Considera también lo siguiente (también están disponibles bajo pfsense, si vas por esa ruta, pero probablemente estén disponibles en muchas otras plataformas:

Como es una red doméstica, asumo que los huéspedes la usarán. Configure 2 subredes separadas, una para uso confiable y otra para todo lo demás. Establezca reglas que detengan la red de 'todo lo demás' hablando de otra manera que no sea a la WAN, o al menos a otras ubicaciones de LAN muy limitadas. Utilice la autenticación basada en certificados no WAP2 en la red de confianza (802.1X / WPA2-enterprise), no es difícil de configurar y hace que la red sea mucho más segura ya que necesita un certificado (guardado en su dispositivo) y una contraseña, no solo una contraseña. O busque OTP (contraseña de un solo uso), que son esos pequeños tokens que cambian de forma impredecible y hacen posible el inicio de sesión de 2 factores. No confíe en la autenticación MAC, ya que puede ser falsificada. Esto levantará la barrera para las personas que intentan obtener acceso a la red sin permiso.

Pruebe su propia red: pfsense tiene nmap, utilícelo. Consulte con los escáneres de puertos en línea.

Suponga que su propia computadora portátil / dispositivo es una posible debilidad (si alguien controla que también se conecte a la red). Asegúrese de que sea seguro y use buenas prácticas allí.

Ejecuta squid + un escáner de malware basado en red, y un IDS como securicata o snort. No resolverá todo, pero detectará muchos tipos de intentos conocidos.

En cuanto a pfsense, otra idea: en lugar de múltiples enrutadores, obtenga una placa 2008 core2 (dual core o Q6600 o similar, todas son baratas) con 4 gb de ram por £ 50 / $ 75 y una pequeña (8-16 gb) ) ssd off eBay (a veces llamado "disco en el módulo"), ponga pfsense en él, y apílelo con 2-3 tarjetas de adaptador de red fuera de eBay (Intel, si puede y puede manejar vlans para cuando las necesite, la mayoría de Intel Gb las tarjetas serán). Costará menos que un enrutador OEM y manejará todo lo anterior con mucho jugo de sobra, y manejará cualquier enrutamiento y cortafuegos que pueda necesitar entre media docena de redes locales (ya sea separadas físicamente en diferentes zonas o lógicamente separados por vlans). No se preocupe por la calidad del servidor: este tipo de placa puede durar muchos años y es barato de reemplazar / arreglar la segunda mano si se usa, y no necesita un tiempo de actividad de 99.9999%.

Ideas aleatorias. Buena suerte!

    
respondido por el Stilez 07.10.2016 - 19:57
fuente

Lea otras preguntas en las etiquetas