Как обезопасить домашнюю сеть и сервер?

Здравствуйте!
Я начинающий сисадмин и на днях увидел объявление о продаже сервера с вкусной ценой. 2xЕ5649, 24Гб RAM, 5х149гб SAS 10K всего за 6к вечно деревянных и подумал, почему бы дома не поставить свой сервак, дабы ставить свои эксперименты не на домашнем компе с важной инфой. На сервере будет стоять FTP (для обмена файлами с друзьями), пару сайтов со своим FTP, MAIL, хостить иногда сервера игр и некоторые около-IoT проекты в будущем.

Когда я ставил FTP сервер на винде посредством Serv-U я иногда мог наблюдать странную активность - ко мне долбилось от 3 до 30 внешних айпишников, НЕ связанные со службами или ПО на компе. Некоторые отваливались после 1-2 таймаута авторизации, некоторые висеть могли часами. Если я не ошибаюсь, это связано с некоторыми регионами, в которые выкидывает мой провайдер ("черно-белый" IP, он может не меняться год-полтора, а может поменять 6 раз за неделю и никакой связи с аптаймом роутера/ПК нет), ибо на некоторых IP ко мне постоянно кто-то долбился, а на некоторых тишина вне зависимости от даты и времени. Могу ошибаться конечно же, всё-таки у меня опыта толком нет.

В связи с этим решил перестраховаться, а значит прошу любые рекомендации или инструкции по жёсткой изоляции как проектов на сервере, так и самого сервера от остальных участников локальной сети, а так же информация или наводки на различное ПО по обеспечению безопасности. На данный момент схема подключения у меня следующая:
Роутер (MikroTik hAP lite)
↪ Wi-Fi для телефонов
↪ Компьютер 1 (в дальнейшем UserPC)
↪ Сервер → Компьютер 2 (в дальнейшем MainPC)
↪ Android приставка

Подробности сети и планов:
MainPC управляет по SFTP сервером.
UserPC имеет папку в открытом доступе для LAN реализованную посредством Windows, дабы обмениваться файлами с MainPC.
•Android приставка общается с жестким диском на UserPC, но в принципе эту связь можно оборвать, не принципиально важно.
•Ещё не реализовано, т.к. сервер на днях только появится на руках, но планируется прямой (или не очень) доступ с сервера к файлам на харде в MainPC. Именно в таком порядке Юзер (естественно авторизованный) - Сервер - Файлы на MainPC.
•OS сервера Debian 10 или Ubuntu 20.04.2 Server. Предпочтителен Debian, т.к. я с ним больше всего работал.
•Возможно тыкну Webmin, т.к. питаю слабость к удобным и эстетичным панелькам с GUI.
•LAMP, Python, FTP, SFTP и прочее по стандарту.

Крайне не желательно, чтобы рандом обойдя посредственную защиту стокового Апача получил доступ к условной папке в общем доступе с UserPC или заразил вообще всю сеть не пойми чем, ведь в таком случае есть риск лишится важных данных, которые попросту нельзя обезопасить на данный момент, ни облаком, ни копированием на физические носители, которые не будут подключаться к локальной сети. Рассмотрю любые предложение с благодарностью, в том числе и избыточные (в программном плане), ведь это опыт, а он бесценен.

P.S. На всякий случай дополню. Так же есть возможность добавить активный коммутатор в цепочку с MainPC и сервером, т.е. вместо такого:
Роутер (MikroTik hAP lite)
↪ Сервер → Компьютер 2 (в дальнейшем MainPC)
Будет так:
Роутер (MikroTik hAP lite)
↪ Коммутатор
↪ Компьютер 2 (в дальнейшем MainPC)
↪ Сервер

Таким образом можно исключить дополнительные настройки сервера, но я не уверен, что это имеет вес при планировки обеспечения безопасности сети.

P.P.S. Все ПК только на Windows, даже главный, с которого идёт управление, т.к. возможности поставить на него параллельно Linux не представляется возможным.
  • Вопрос задан
  • 256 просмотров
Пригласить эксперта
Ответы на вопрос 2
anthtml
@anthtml
Системный администратор программист радиолюбитель
DMZ на хардовом микротике и CHR на виртуалке для экспериментов, чтоб не остаться из-за них без интернета
Ответ написан
@dronmaxman
VoIP Administrator
Блокировка скан портов
https://monovm.com/blog/how-to-block-port-scanner-...
Блокировка РДП перебора как пример.
www.admblog.ru/mikrotik-bruteforce-block
Еще есть port nocking, для параноиков.
https://wiki.mikrotik.com/wiki/Port_Knocking

Самый жесткий ограничитель доступа - VPN
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы