He visto enormes cantidades de guías sobre cómo protegerse cuando utiliza una conexión inalámbrica pública de Internet, pero nada sobre cómo proteger su punto de acceso público de usuarios malintencionados.
Un poco de fondo. Compré esta Raspberry Pi y todavía no tengo nada útil que hacer, y una Dongle USB WiFi de repuesto (con una antena). Así que decidí compartir mi conexión a Internet cuando no la estoy usando. Así que instalé hostapd, uso dnsmasq para dhcp, un servidor proxy de calamar (transparente con iptables que redirecciona el puerto 80 a 3128). Tenga en cuenta que soy consciente de lo breve que será la vida útil de mi tarjeta SD. Otro punto que no debe considerar es el consumo de uso de ancho de banda, ya que he configurado QoS en mi puerta de enlace y tengo internet ilimitado (estándar aquí, en Francia)
Lo que me preocupa es que no tengo idea de qué tipo de política de seguridad debo configurar para evitar, por ejemplo, que alguien inyecte un programa malicioso dentro de la frambuesa pi que luego no infectará solo cada cliente nuevo en la subred inalámbrica, pero cualquier computadora que haya conectado a la LAN local.
También me siento preocupado por cómo proteger cualquier host conectado de otro usuario wifi malicioso. Habiendo tenido la misma preocupación una vez en el trabajo, todo lo que pensé sería que ARP envenenara a cada host y les dijera que cualquier dirección MAC diferente a la de ellos es el punto de acceso, pero eso parece excesivo e ineficiente.
Aquí están mis ideas:
- Bloquee el puerto 443 en cualquier conexión
- Instale SquidGuard para hacer cumplir los sitios web autorizados / no autorizados (lo intenté, demasiado intensivo de CPU para un RPi)
- Restrinja las interacciones en la red local (excepto la puerta de enlace de Internet) a SSH desde mi computadora y HTTP para mis herramientas de monitoreo
Lo que ya tengo como medida de seguridad:
- contraseñas no estándar para usuarios locales
-
sshd
no escucha en la interfaz inalámbrica -
httpd
no escucha en la interfaz inalámbrica - Las copias de seguridad regulares de mis registros
squid
en un medio sin conexión en caso de que alguna fuente legal los solicite?
Entonces, ¿qué más debo configurar, según usted?