Isole o PC na minha rede

1

O cenário que tenho é que trabalho em casa para alguns clientes. Para um desses clientes, comprei uma máquina separada e uso isso para qualquer atividade relacionada a esse cliente.

A partir desta máquina, eu tenho alguns softwares de conexão remota, o que me permite acessar os servidores do meu cliente para realizar lançamentos, etc.

Para me permitir conectar, é preciso instalar um 'agente' na minha máquina. No começo, isso não foi um problema, mas percebi que esse agente tornou possível conectar-se novamente à minha máquina por meio de uma conexão remota e também instalar o software remotamente na minha máquina.

Se eles agora tiverem acesso total à minha máquina por meio do 'agente', acredito que eles também terão acesso total à minha rede local e a todos os dispositivos nela.

Não estou sugerindo que essa empresa faça algo ruim em minha máquina ou rede, mas tenho coisas como Servidor de mídia, SANs, câmeras de rede, sistemas de som, TVs, etc., que estariam disponíveis externamente.

Existe alguma maneira de configurar minha rede para impedir que essa máquina acesse recursos nela? Eu duvido que seja uma configuração na própria máquina, já que eles já têm controle sobre essa máquina e poderiam apenas modificar qualquer configuração.

Eu acho que isso seria semelhante a permitir que amigos / vizinhos se conectem à sua rede, mas não conceda a eles acesso a outros recursos.

Eu percebo que talvez esteja sendo um pouco paranóico, mas tenho muito medo de abrir minha rede para acesso externo.

    
por Rich S 22.03.2017 / 11:57

4 respostas

3

Eu acho que Jacob Evans está no caminho certo com o seu comentário. Eu consideraria investir em um segundo roteador que tem uma opção de convidado wifi ou, caso contrário, permitirá que você VLAN a máquina separada que você usa para o seu cliente. (DDWRT e Tomato permitem isso, se você estiver disposto a fazer o flash do novo roteador. Certifique-se de que o hardware que você compra é suportado pelo software que você está pensando em usar, é claro.)

Quanto à opção de VM, bem. Eu estou indo só para deixar isso aqui: Virtual machine escape $ 105.000 no Pwn2Own hacking contest . (Eu não acho que é comum, mas aparentemente é possível.)

    
por 22.03.2017 / 21:12
0

Você tem pelo menos duas opções:

  • configure seu roteador doméstico (se você tiver um) ou sua máquina para permitir somente conexões originadas de dentro de sua rede, assim você será capaz de obter a conectividade com a rede remota, e elas não .

  • instale um hipervisor na sua máquina (como o virtualbox), crie a VM, instale o agente dentro dele e filtre as cionnections da VM. Dessa forma, o dano será isolado apenas com essa VM (considerando que você não permitirá que a VM se conecte à sua rede doméstica).

por 22.03.2017 / 12:06
0

Sugiro usar uma VM.

Acho que as recomendações do drookie são boas.

No entanto:

  • você parece estar assumindo que a empresa que solicitou a instalação desse agente tenha uma boa higiene de segurança. Isso pode ser justificado, mas, em geral, parece uma suposição arriscada. O que significa que, embora "a empresa" possa não fazer nada de mal, alguém capaz de comprometer seu ambiente poderia

  • você ainda diz que eles

    have full access to my machine through the 'agent'

    Pode ser a paranóia, mas 'acesso total' soa um pouco preocupante e, se preciso, justificaria o esforço (bastante pequeno) de configurar uma VM para evitar (coisas ruins podem acontecer quando o DNS é alterado, ou proxies configurados ... para não mencionar quaisquer implicações para sua privacidade).

  • Tentar limitar o acesso deles mantendo o seu, sem usar uma VM, parece um pouco complicado. Limitar seu acesso quando você tem uma VM parece muito mais fácil (e, além disso, ao usar uma VM, você já está limitando seu acesso a qualquer coisa que você faça com seu sistema que não esteja diretamente relacionada à sua relação de trabalho).

Usar uma VM não o isenta de garantir que seus vários serviços internos sejam adequadamente protegidos (ou seja, o acesso não é somente dependente de seu IP de origem).

Mas usar um definitivamente tornaria a criação das regras corretas de firewall muito mais simples.

    
por 22.03.2017 / 12:17
0

Isso depende muito do seu hardware de internet, mas alguns modems a cabo agora têm mais de uma porta Ethernet (a minha tem quatro) e NAT integrada. Eu também tenho meu próprio roteador NAT no lado interno do modem, o que significa que estou fazendo NAT duplo. Concebivelmente, eu poderia ligar um segundo roteador em uma das outras portas no modem a cabo, e então eu teria duas LANs internas que são completamente isoladas umas das outras.

Se isso não for uma possibilidade para você, existem roteadores de nível superior disponíveis que permitem maior controle sobre o fluxo de tráfego. Concedido, eles são um pouco caros, mas algumas pessoas estão dispostas a pagar um prêmio para satisfazer sua paranóia.

    
por 23.03.2017 / 01:44