Mi objetivo es aislar una computadora en mi red doméstica. Esta computadora (una rapsberry pi) se debe considerar no confiable y se puede acceder a ella desde Internet (puerto 22). Necesito una solución que evite que esta frambuesa pi acceda o interactúe con mi red doméstica de cualquier manera en caso de que se vea comprometida. Preguntas similares se han hecho antes, pero quiero saber si la siguiente configuración funcionará.
Aquí está mi intento de solución, hágame saber si ve algún problema importante desde una perspectiva de seguridad.
Mi red doméstica de ejemplo ahora, sin el Pi:
┌───────> PC 1
Internet <───────> Router <──┼───────> PC 2
└───────> Network Drive
Mi red planificada:
┌───────> PC 1
Internet <───────> Router A <───┬───> Router B <──┼───────> PC 2
│ └───────> Network Drive
│
└───> Router Z <──────────> Raspberry Pi
El enrutador A se utiliza principalmente para Internet NAT y firewall. El enrutador B se usa para que el firewall evite que la Pi se conecte a cualquiera de las PC domésticas. El enrutador Z evita que la Pi falsifique la dirección del enrutador B e intercepte la comunicación (¿funcionaría?). Todos los enrutadores (A, B y Z) tendrán NAT habilitado para mantener las redes separadas. Los enrutadores A y Z reenviarán el puerto 22 al Pi.
Hardware: no tengo hardware de red de clase empresarial, pero tengo un Apple Airport Extreme (Router B) y algunos enrutadores de Linksys aleatorios (Routers A y Z).
Esta solución puede tener problemas de red y me encantaría escucharlos, pero mi principal prioridad es la seguridad. ¿Hay problemas con esta configuración, o mejoras que se pueden hacer? ¿O estoy tomando un enfoque completamente equivocado?
Problema potencial: el Pi tendrá acceso a la página de inicio de sesión del enrutador Z y, debido a posibles vulnerabilidades en el enrutador, puede ser capaz de desactivar NAT y el firewall en el enrutador Z.
Aparte: Este es un proyecto solo por diversión. Planeo asegurar la autenticación con la clave ssh Pi, por lo que este es un escenario de defensa en profundidad. Es posible que desee ejecutar otros servicios desde el Pi en el futuro (posiblemente una VPN), y sé que no soy un experto en seguridad, por lo que puedo cometer errores en términos de software en el Pi y quiero que la configuración de red actúe. Como última defensa. Estoy más preocupado por los guiones infantiles, ya que no voy a ser un objetivo primordial para los piratas informáticos, pero implementaré otras técnicas de seguridad y oscuridad como deshabilitar el inicio de sesión de contraseña, el uso de puertos, etc. en el Pi.