Red de segmentación: ubicación de la zona de un NAS multipropósito

0

Actualmente estoy segmentando mi red doméstica en varias redes y zonas debido al hecho de que mi enrutador barato mantiene todos los dispositivos (privado, hogar inteligente, entretenimiento) en una red (sin una función de red de invitado y aislamiento del cliente).

La red contiene un NAS que normalmente tiene un rol multiuso en redes privadas: todas las máquinas relevantes se guardan en el NAS y se usan como servidor de archivos y transmisión de datos (intercambio de archivos entre equipos, música almacenada en él, etc.). y aloja un sitio web muy pequeño al que solo se puede acceder en la red local, y algunos datos se muestran en una aplicación para el hogar inteligente que se ejecuta en un teléfono inteligente estándar (no solo para uso doméstico inteligente).

Naturalmente, asumiría el NAS como algo que debería residir en una zona de alta seguridad porque contiene datos importantes. Las PC y las computadoras portátiles están en la misma zona. Ahora, la parte difícil: mi smart-tv, mi reproductor de música en red, las consolas y mis tabletas a veces necesitan acceder al NAS para su contenido, que no pueden por defecto porque estarían en una "zona de medios" de la zona inferior (por ejemplo, I No confíes en mi televisión inteligente de ninguna manera).

¿Hay solo tres soluciones para eso?

  1. Mueva el NAS a la zona de seguridad inferior (a la zona de medios)
  2. Permitir la comunicación desde la zona de medios a la zona de alta seguridad (¿mala práctica?)
  3. ¿Obtener otro NAS y colocarlo en la zona de medios con el contenido apropiado para esta zona y realizar tareas de sincronización y copia de seguridad desde / hacia este NAS desde el NAS en la zona de alta seguridad?

Si bien la última solución sería la más segura, podría no ser lo más viable. ¿Hay otros enfoques que echo de menos aquí? ¿Tiene 1. un beneficio en comparación con 2. o viceversa?

Por supuesto, también está la zona de casa inteligente / IoT, que básicamente no debería acceder a nada y aislar los dispositivos ya que no hay confianza o control sobre ellos (podría ser la red invitada: D)

    
pregunta Samuel 12.06.2017 - 12:11
fuente

1 respuesta

1

Cuando se comunique entre diferentes zonas, considere la suma de:

  1. Es mejor cuando un dispositivo de alta seguridad inicia la conexión al dispositivo de menor seguridad. Por lo tanto, un dispositivo de alta seguridad no escucha las conexiones de forma pasiva, sino que controla activamente cuándo y a quién se comunica.
  2. Pase los protocolos necesarios (puertos) y bloquee el resto, en ambos sentidos.
  3. Pase las direcciones IP necesarias y bloquee el resto, en ambos sentidos.
  4. Pase durante horas específicas, bloquee el tiempo restante.
  5. Use un proxy si puede ayudar a la autenticación / autorización / auditoría. (Por lo general, NAS los implementa lo suficiente, por lo que probablemente no sea necesario).

En tu situación, cuando no puedes permitirte implementar los puntos 1 + 2 + 3 + 4 + 5, es mejor decir que implementar los puntos 2 + 3 + 4 que nada. Es de bajo costo (como ya ha decidido que segmentará la red) y proporciona cierta seguridad adicional.

    
respondido por el kubanczyk 12.06.2017 - 16:52
fuente

Lea otras preguntas en las etiquetas