Estoy pensando en usar una frambuesa pi, o algún otro SBC, para abrir un servidor web simple basado en node.js y un servidor ssh. Sé que al abrir puertos siempre se crean vulnerabilidades de seguridad. Si bien no me importa mucho que las personas ingresen a mi SBC, me preguntaba si abrir un puerto también haría que otras computadoras en la misma red sean inseguras.
Si es así, ¿hay alguna manera de 'aislar' el SBC de las otras computadoras en mi red?
Cada vez que abre un puerto para el tráfico entrante, está agregando algunos riesgos a la red. Tenga en cuenta que dijo "inseguro", pero la verdad es que debe pensar en los niveles de riesgo. No existe tal cosa como una computadora "segura", especialmente una conectada a Internet. Simplemente necesitas hacer que romper con eso sea demasiado difícil para ser molestado. También debes tratar de limitar el daño que alguien puede hacer si se rompe, lo cual es realmente lo que estás preguntando cuando hablas de "aislamiento".
El riesgo obviamente se multiplica en gran medida si permites que un atacante logre un punto de apoyo en cualquier computadora, incluso una SBA. Esto es particularmente cierto en el caso de una red doméstica en la que normalmente no tiene segmentación de la LAN. Así que debería y DEBE preocuparse por la SBA en esa situación. Afortunadamente, la mayoría de las SBA ejecutan instalaciones de Linux bastante estándar y, por lo tanto, pueden configurarse con el mismo nivel de seguridad que algo así como un VPS.
¿Puedes hacer algo?
Tal vez. Depende más bien del equipo que tenga disponible o de lo que esté preparado para instalar y configurar. Un número cada vez mayor de enrutadores domésticos / de pequeña oficina son capaces de crear una DMZ que aísla una o más máquinas en su propio segmento de red. Alternativamente, puede crear una DMZ realmente sólida encadenando 2 enrutadores con su enrutador interno que lleva su WiFi y otras computadoras y el externo conectado no solo al enrutador interno sino también a su SBA semiprotegida.
También asegúrese de que las cuentas de usuario en el Pi no tengan relación con las cuentas de usuario en ningún otro dispositivo y que el Pi no necesite conectarse a nada en su red interna. Si necesita comunicaciones con el Pi, que seguramente lo hará, deberían "empujarse" al Pi y no desde el Pi a otro dispositivo.
Lea otras preguntas en las etiquetas network isolation port-forwarding