kpa6uu
@kpa6uu
Программист Талибана [Пыхерский Алибаба]

Как отрезать устройство от доступа ко внутренней сети?

Здравствуйте. Нужно поднять на малине (Raspberry) сервер под некоторые нужны у себя дома.
Каким образом можно обезопасить себя и запретить доступ ко внутренний сети с Raspberry?
Сервер может быть скомпрометирован, ну а в дальнейшем - все прочие устройства сети.
Спасибо.
  • Вопрос задан
  • 1238 просмотров
Решения вопроса 2
@yaror
10 лет в мобильном телекоме
В дополнение к варианту Eugene Khrustalev:
Предполагаю, что малина сидит не голым задом в интернете, а за каким-то маршрутизатором.

В таком случае, разумнее всего было бы выселить её в так называемую демилитаризованную зону (DMZ):
1. Поселить её в отдельный Ethernet-сегмент/VLAN
2. В этом сегменте:
2.1. Использовать отдельную серую ip-адресацию
2.2. Настроить NAT: Destination NAT для входящих и Source NAT для исходящих соединений с малины
2.3. Запретить любой доступ на сам маршрутизатор, разрешив только транзит трафика
3. На маршрутизаторе явно разрешить только разрешённые типы трафика:
3.1. Из внутренней сети в DMZ
3.2. Из DMZ во внутреннюю сеть (не стоит, но вдруг зачем-то очень надо)
3.3. Из DMZ в интернет
3.4. Из интернета в DMZ

Таким образом, даже при взломе сервера, получении рута и отключения iptables на малине злодей не сможет вылезти оттуда куда попало, поскольку трафик режется на условно неуязвимом для него маршрутизаторе.
Ответ написан
1. Создать непривилегированного пользователя, из-под которого будет запускаться сервер
2. Запаролить рута
3. В iptables запретить исходящий трафик во внутреннюю сеть (кроме уже установленных соединений)
4. В iptables дропать весь входящий трафик кроме портов, на которых висит сервер
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы