Как отрезать устройство от доступа ко внутренней сети?

Question

[kpa6uu]

Здравствуйте. Нужно поднять на малине (Raspberry) сервер под некоторые нужны у себя дома.
Каким образом можно обезопасить себя и запретить доступ ко внутренний сети с Raspberry?
Сервер может быть скомпрометирован, ну а в дальнейшем - все прочие устройства сети.
Спасибо.

Answer 1

[Ярослав]

В дополнение к варианту Eugene Khrustalev:
Предполагаю, что малина сидит не голым задом в интернете, а за каким-то маршрутизатором.

В таком случае, разумнее всего было бы выселить её в так называемую демилитаризованную зону (DMZ):
1. Поселить её в отдельный Ethernet-сегмент/VLAN
2. В этом сегменте:
2.1. Использовать отдельную серую ip-адресацию
2.2. Настроить NAT: Destination NAT для входящих и Source NAT для исходящих соединений с малины
2.3. Запретить любой доступ на сам маршрутизатор, разрешив только транзит трафика
3. На маршрутизаторе явно разрешить только разрешённые типы трафика:
3.1. Из внутренней сети в DMZ
3.2. Из DMZ во внутреннюю сеть (не стоит, но вдруг зачем-то очень надо)
3.3. Из DMZ в интернет
3.4. Из интернета в DMZ

Таким образом, даже при взломе сервера, получении рута и отключения iptables на малине злодей не сможет вылезти оттуда куда попало, поскольку трафик режется на условно неуязвимом для него маршрутизаторе.

Comments

[Eugene Khrustalev]

Ж-жесть!)) Думаю, что все гораздо проще. Если речь идет о домашней малинке, то к инету подключена она через тот же маршрутизатор, что и комп, телевизор, wifi; а на маршрутизаторе проброшены порты.
Тут главное, чтобы шелл не подсадили и спамить не начали. А если и начнут, то только во вне, ибо нафиг внутрь спамить и себя раскрывать?! Я бы в дополнение еще исходящий трафик на 25-й порт закрыл.

[Ярослав]

Eugene Khrustalev: дык вот на этом же маршрутизаторе её в отдельный VLAN и посадить )

И явно прописать, например, так:
- из интернета к малинке: только по порту HTTP (TCP port 80)
- из малинки в интернет: только DNS куда попало и HTTP/HTTPS (порты 80 и 443) на строго конкретные ip-адреса
- из малинки во внутреннюю сеть: не пускать вообще
- из внутренней сети в малинку: разрешить вообще всё

Вот и получится, что даже если вдруг подсадят шелл - им же и утрутся, ибо никуда низя )

[Eugene Khrustalev]

kpa6uu Ярослав Если все так,и малинка подключена отдельным шнурком к маршрутизатору, то, как вариант, можно рассмотреть следующее: Перепрошить роутер на OpenWRT и настроить правила на нем. С iptables разбираться не придется, т.к. на OpenWRT эти правила декларируются мышкой, да и прошивка довольно достойная и выверенная.

[kpa6uu]

Eugene Khrustalev Ярослав Да, это домашняя сеть. Пользуюсь ростелекомом. Их ТВ и Интернет по оптоволокну. Боюсь, что после перепрошивки маршрутизатора ТВ отвалится, а для семейства это крайне важно. Подключение Малины идёт через свитч. То есть, полная схема: [Ростелеком] - [Маршрутизатор (4 порта. 3 для ТВ, 1 под сеть)] - [Сетевой кабель идёт в свитч] - [Два из него. Один в PC, другой в Малину]. Свитч, к несчастью, "тупой". Без настройки.

[Eugene Khrustalev]

kpa6uu: Тогда стоит, как минимум, разобраться с iptables и советом Ярослав.
Напиши мне (ничего что на "ты"?) в понедельник-вторник на eugenehr-собака-mail.ru нарисуем скрипт с настройками iptables.

[kpa6uu]

Eugene Khrustalev: да-да, уже курю маны и читаю доки :) Спасибо за помощь, обязательно напишу!

Answer 2

[Eugene Khrustalev]

1. Создать непривилегированного пользователя, из-под которого будет запускаться сервер
2. Запаролить рута
3. В iptables запретить исходящий трафик во внутреннюю сеть (кроме уже установленных соединений)
4. В iptables дропать весь входящий трафик кроме портов, на которых висит сервер

Comments

[kpa6uu]

Eugene Khrustalev спасибо, почитаю про настройку iptables