Zabezpiecznie sieci lokalnej, routera, nas?

[zoltan 2]

Witam, 

 

Jak zabezpieczacie swoje sieci?

 

Postawiłem sobie mały nas, kilka usług na nim. 

Porobiłem co mogłem na routerze, ale pewnie nie wystarczająco. Jednak muszę mieć dostęp z zewnątrz. 

 

Jedyne chyba czego nie zrobiłem to połączenia przez VPN w nas

 

Jak to robicie?

 

[narmiak 135]

Moim zdaniem minimum jakie mozna zrobić to:
1. Stawiasz serwer VPN w swojej sieci (obojętnie gdzie, na routerze, urządzeniu zewnętrznym, NASie).
2. Z zewnątrz przekierowujesz port TYLKO na VPN.

Bardzo prostym sposobem na zrobienie tego jest postawienie sobie gdzieś maszyny działającej na Debiana (Ubintu, Mint, RaspberryOS itp.), moze być wirtualka, i puszczenie skryptu z tej strony: https://www.pivpn.io/
Największą wadą tego rozwiazania jest to, że potrzebujesz zainstalować na urządzeniach łączących się z zewnątrz klienta VPN oraz mieć w domu dostępne zewnętrzne IP (nie koniecznie stałe). Klienci nie mają takich obostrzeń.

 

Dodatkowo co można zrobić, aby zabezpieczyć sieć, to postawienie VLANów, przeniesienie różnych urządzeń do różnych VLANów i ustawienie na firewallu odpowiedniego ruchu między nimi, plus skonfigurowanie w VPNie gdzie się można połączyć.

 

Inną opcją (bardziej niebezpieczną moim zdaniem, ale bezpieczniejszą niż po prostu przekierowanie poru na NAS) będzie to: 

 

 

Zaletą jest to, że nie potrzebujesz dodatkowego klienta aby się łączyć do takich zasobów. Co jest też wadą, ale w teorii Cloudflare powinien blokować większość ataków. Plus jak postawisz jakiś monitoring ze swojej strony, to nie powinno być problemu. Minusem jest jednak to, że jesteś uzależniony od Cloudflare. Coś się im "odwidzi", będą mieli awarię, wygaśnie jakiś klucz = nie masz dostępu.

 

[zoltan 2]

Obecnie odświeżyłem nas z omv3 na 8 po 8 latach, dlatego tak dopytuję, 

 

sftp, https, porty inne niż domyślne, silne hasła, certyfikaty. Nawet jak ktoś się wślizgnie to raczej chyba wszystko mam szyfrowowane. fail2ban też jest plus proxy z ustawionymi ddns. No i zostało mi vpn

 

o Vlan się dowiedziałem dopiero dzić, ale i tak routera nie mam odpowiedniego. Wymieniać nie zamierzm mimo, że mój już nie ma wypuszczanych aktualizacji. A openwrt nie wchodzi w jego przypadku w grę. 

 

Na samy routerze mam wyłączony vps. Stoi WPA2 personal AES i silne hasło. No ale te porty. 

 

 

 

No bo tak się boimy tych portów, ale co się stanie gdy vpn padnie? w sensie ktoś jednak wejdzie? jakie są realne scenariusze?

Edytowane 18 Marca przez zoltan