Aislamiento de red para un solo dispositivo

0

Estoy planeando configurar un servidor local (Minecraft) accesible para que solo otra persona se conecte desde una IP estática. Está en una máquina dedicada que puedo limpiar fácilmente (Raspberry Pi).

Estoy tratando de exponer solo un puerto, mantener el sistema operativo actualizado, ejecutar todo a través de un usuario limitado, etc ... pero con el propósito de discusión, supongamos que es un hecho que se piratea.

No soy un experto en seguridad, hasta ahora mi política ha sido "es más fácil proteger una casa sin puertas". Básicamente no abro mi red en absoluto  Incluso obligo a mis amigos a usar wifi de invitados. Así que mi configuración ideal aquí todavía me permitiría cerrar la mayoría del acceso a mi red.

Preferiblemente, me gustaría tener el servidor en una red completamente separada (y tal vez la respuesta sea simplemente "registrarse para obtener una gota de Digital Ocean"). La DMZ es lo que veo que la gente recomienda, pero se habla tanto de que los enrutadores de nivel de consumidor rara vez lo hacen bien y que una mala implementación puede ser incluso más peligrosa que el reenvío de puertos.

  • ¿Cómo puedo saber si mi enrutador implementa DMZ correctamente?
  • Si se implementa correctamente, ¿es algo en lo que puedo confiar para mantener ¿Mi red doméstica está completamente aislada de un dispositivo comprometido?
  • ¿Estoy sobrevalorando los peligros de exponer un solo puerto? ¿Hay mejores formas de permitir el acceso remoto desde una única IP remota?
pregunta danShumway 21.06.2017 - 02:20
fuente

1 respuesta

0

La seguridad es una función del estado de alerta (también = paranoia en algún nivel), por lo que es bueno que practique la seguridad todo el tiempo, incluso cuando es su red doméstica.

How can I tell if my router implements DMZ correctly?

Opciones:

  1. Audita el enrutador en cuestión. Por lo general, necesita tanto esfuerzo que podría poner esto en la categoría de "esfuerzo desproporcionado (para beneficiar)". Funciona bien si su trabajo diario incluye auditar dispositivos de red, porque ya está a mitad de camino en las TTP.
  2. Configura una IDS con un buen análisis de excepciones y espero que se detecte si el enrutador se atasca; y luego investigue para descubrir dónde / cómo falló. Necesita más recursos (especialmente, tiempo y paciencia), pero será mi elección porque es más práctico. Necesitamos las capacidades de detección de todos modos.
If it is implemented correctly, is it something I can trust to keep my home network completely isolated from a compromised device?

Dentro de lo razonable: sujeto a su confianza en "si se implementó correctamente", sí. Todavía diría confianza pero verifico (¿un escepticismo saludable?), Así que, si puede, configure un nivel de capacidad de detección.

Am I over-rating the dangers of exposing a single port? Are there better ways of allowing remote access from a single remote IP?

Respuestas breves: sí (sobrevaloración de peligros) y puede que no (la lista de direcciones IP suele ser lo suficientemente buena).

Pensemos como un adversario que podría apuntarte. Cuando se toman medidas razonables en el nivel de la red, es mucho más sencillo intentar comprometer a usted / a su servidor a través de otros métodos que intentar atravesar la infraestructura.

Entonces, en esta configuración, diría que es más probable que sus riesgos sean (que no):

  • compromiso humano (phishing + keylogger en el punto final incluido en la lista blanca)
  • vulnerabilidades de la capa superior / de la aplicación (en la pila de juegos) contra las que aún debe proteger su lista blanca, a menos que el vector involucre a su punto final remoto en la lista blanca.
  • un día cero en su enrutador + capa superior vuln + ... No es inusual que los grandes hackers necesiten múltiples ataques encadenados ... así que eso es lo que está viendo.

Es una buena situación estar en - que un adversario necesita múltiples cadenas de explotación y tal vez quemar uno o dos días cero para atacarte. Aún mejor: después de todo eso, detectas al adversario rápidamente y reaccionas para evitar cualquier impacto. Aquí es donde su fuerte detección / respuesta kung-fu sirve bien.

    
respondido por el Sas3 21.06.2017 - 04:19
fuente

Lea otras preguntas en las etiquetas