El enfoque del enrutador con alimentación remota (o local) tiene sentido, pero crea un camino hacia el interior que debe ser protegido.
Los riesgos de este enfoque es que alguien aprende o filtra la información sobre el número de teléfono, o tal vez alguien llama por error (o a través de la rellamada, a la Wargames ) y el enrutador se deja. accionado.
Así que diría que
- el enrutador no se puede alimentar simplemente con "una llamada telefónica". Por lo menos
el dispositivo debe reconocer el (los) número (s) de llamada y / o el contenido de
un SMS con una contraseña (que deberá ser mantenido y actualizado como
todas las demás contraseñas).
- como una mejora de lo anterior, el SMS también puede especificar el rango de IP
para aceptar conexiones entrantes de.
- lo que sucedió debe registrarse y, posiblemente, compararse con un registro
o programa de verificaciones de mantenimiento, para que se pueda detectar una anomalía.
- 20 minutos de llamada no es una carga de datos tan grande. El enrutador podría entonces
también registra y almacena todo el tráfico, por si acaso.
Con los componentes disponibles en el mercado, se puede configurar un sistema de marcación por SMS con el equivalente en hardware de una PC, una placa / módem SMS, una placa de relé y un enrutador, que tiene una lista de teléfonos permitidos números. En este caso, el enrutador estaría encendido en todo momento (para la programación del firewall, el mantenimiento, las actualizaciones de firmware y tales comprobaciones de rutina), pero la conexión con el exterior se desconectaría físicamente a través de la placa de relés. El flujo de trabajo sería:
- la placa de SMS recibe un SMS
- el sistema "guardián" analiza los SMS y valida el número del remitente,
el contenido del texto y el rango de IP solicitado
- el sistema "guardián" realiza verificaciones de diagnóstico en el enrutador y
construye y sube la nueva ruta
- el sistema "guardián" abre un shell SSH en la interfaz del enrutador
- la placa de relés conecta físicamente la línea de datos de entrada del enrutador
- el usuario del rango de IP permitido ahora puede acceder al inicio de sesión de SSH
También:
- el sistema "guardián" supervisa la conexión en busca de tiempos de espera, problemas y otras anomalías. También debe haber un tiempo máximo después del cual el enrutador se desconecta sin importar qué. Y finalmente, cuando está "desconectado", el guardián verificará que la ruta esté realmente inactiva al interrogar los diagnósticos del enrutador.
(Si uno quisiera, el sistema "guardián" podría incluso estar formado por dos sistemas independientes, uno con todos los anteriores, excepto el servidor SSH, el otro que actúa como cortafuegos en el interior de la red. El primer sistema luego podría detectar todo el tráfico y no podría haber manera de acceder a él excepto desde una consola local)
ACTUALIZACIÓN La mayoría de los anteriores están (casi) fácilmente disponibles mediante scripting en un dispositivo Android que ofrece un punto de acceso. Un SMS de una fuente aprobada activará el enlace de datos, el punto de acceso WiFi y una actualización DynDNS. Luego, una IP estará disponible para ejecutar un shell (y una VPN), aunque la velocidad de los datos estará limitada a la disponible para el proveedor de servicios telefónicos.