Riscos de segurança no encaminhamento de porta para o segundo roteador

Navegue suas respostas
0

Por isso, li muito sobre encaminhamento de portas recentemente (e entendo os riscos em uma porta aberta), mas quero executar um servidor Minecraft com meu primo (que mora nos estados). Eu tive a ideia de encaminhar a porta para um segundo roteador para evitar que minha família fosse exposta enquanto a porta estava aberta.

Meu pai não gostou muito dessa ideia, já que não sabemos se isso ainda seria arriscado para os outros dispositivos conectados (e eu concordo, mas espero que não:)

Esta configuração removeria o risco de computadores na rede principal se apenas a porta do Minecraft fosse encaminhada?

Editar: minhas idéias alternativas ...

  1. Use o encaminhamento de porta no roteador original. (Meu pai disse que não.)
  2. Executar um servidor baseado em nuvem (~ US $ 5 por mês)
  3. Sem servidor: (
por seadoggie01 10.08.2017 / 05:16

3 respostas

1

Você escreve "remover o risco", mas não acho que você tenha escrito explicitamente qual era a alternativa. Se é contra não executar um servidor Minecraft, acho que você está adicionando risco (insignificante), assumindo que tudo está configurado corretamente.

Se você estiver encaminhando dados para um roteador que esteja dentro da parte da sua LAN "normal", se o servidor do Minecraft ou o segundo roteador estiver comprometido, o invasor terá acesso à sua rede interna. Se você executar o seu servidor Minecraft em uma LAN separada (então você acaba com duas LANs internas), então provavelmente você está bem. Uma alternativa para isso é colocar o servidor Minecraft diretamente atrás do roteador de Internet e criar uma nova LAN atrás de um segundo roteador conectado ao seu roteador de Internet. Se feito corretamente, você deve ser capaz de iniciar uma conexão ao seu servidor Minecraft a partir da rede do segundo roteador, mas não vice-versa.

    
por 10.08.2017 / 05:45
0

Dependendo de quão profunda você quer uma explicação e de como você é capaz de configurar seu Servidor e Rede, uma situação de NAT / PAT dupla pode ser muito segura, mas difícil de gerenciar. especialmente se sua configuração for executada por um longo tempo e, de repente, algo mudar / quebrar. Então você provavelmente terá uma sessão de depuração mais longa. Mas isso não é motivo para não fazê-lo;) Então, como @lungj já escreveu, uma segunda LAN interna seria muito segura. Especialmente Se o seu servidor Minecraft estiver realmente comprometido, você poderá facilmente negar qualquer comunicação dessa Sub-rede.

A questão é, se você retransmitir precisa de um segundo roteador para que o roteador atual já seja capaz de lidar com várias sub-redes e fazer o firewall da comunicação entre eles. Isso também reduziria muito o nível de complexidade. 

      +~~~~~~~~~~~~~~+
      (   Internet   )
      )              (
      +~~~~~+^~~~~~~~+
            ||
            ||
            ||
      +-----v+-------+
      |   Router1    |
      |              |
      +-----+^-------+
            ||
            ||
      +-----||------------------------------+       +----------------------------------------+
      |     ||LAN segment 1 (private)       |       |           LAN segment 2 (DMZ)          |
      |-----||------------------------------|       |----------------------------------------|
      |     ||                              |       |                                        |
      |     ||                              |       |                                        |
      |     ||             +--------------+ |       |              +--------------+          |
      |     |+-------------+   Router2    +------------------------> MinecraftSRV |          |
      |     +^------------->              | |       |              |              |          |
      |     ||             +--------------+ |       |              +--------------+          |
      |+----v+-----------+                  |       |                                        |
      ||   other Hosts...|                  |       |                                        |
      ||                 |                  |       |                                        |
      |+-----------------+                  |       |                                        |
      +-------------------------------------+       +----------------------------------------+

Aqui está um pequeno diagrama da solução proposta (complexa). Se o roteador 1 puder ter o segundo IP em outra interface e um bom firewall, a mesma configuração poderá ser obtida sem um segundo roteador na sua LAN privada.

Se você configurá-lo com um segundo roteador, não se esqueça de adicionar uma rota estática no Roteador1 no DMZ através do Roteador2 para se comunicar internamente Segmento de LAN!

    
por 10.08.2017 / 06:57
0

Não importa quantos roteadores você coloca entre o seu ISP conectado (ISP-facing) e seu servidor Minecraft, você ainda tem que abrir uma porta no roteador voltado para ISP.

Assim, você terá que abrir uma porta em seu roteador voltado para o ISP e fazer com que o tráfego atravesse em algum lugar, de alguma forma, sua LAN, não importa o quê.

Se você quiser isolar o tráfego de entrada para que uma LAN não possa ser vista ou afetada por ele, a solução é A) uma rede física separada (que você não poderia fazer a menos que seu ISP fornecesse 2 IPs) ou B) VLANs, o que requer que seu roteador as suporte.

Aqui está minha configuração inicial e a ilustração rápida e suja abaixo provavelmente deve explicar as coisas. Você precisa de um roteador que suporte VLANs.

O OpenWRT permite configurar o roteador para designar diferentes portas para diferentes VLANs. O tráfego que passa por diferentes VLANs não pode se ver.

Usando essa configuração, não há como o tráfego destinado ao servidor ultrapassar sua LAN, a menos que alguém invada o roteador.

Você realmente não precisa de um roteador / switch sem fio separado, como eu tenho, mas tenho muitos dispositivos com fio em minha LAN doméstica.

    
por 10.08.2017 / 15:04

Tags

Ordenar uma tabela baseada em uma coluna com string misturada com números no bash Túnel ssh invertido com meias