vvpoloskin
@vvpoloskin
Инженер связи

Как защитить домашнюю сеть от взлома?

Вопрос параноикам.
У меня есть знакомый с желанием защитить его ПК и домашнюю сеть от взлома и кражи критичных данных.
Так как компьютер домашний, на нем он пользуется интернетом, в игры не играет. Я предложил ему ряд мероприятий:

1) на основную машину гипервизор, на нем две виртуалки - для работы с критичными данными и для интернетиков. Возможно ещё и третью контрольную виртуалку (мониторинг, проверка и т.д.)
2) на входе от провайдера два последовательных роутера разных моделей (с пакетным фильтром или если денег хватит statefull fw)
3) для гипервизора разрешить только обновления, для виртуалки с критичными данными - белый список, для виртуалки с интернетиками - что угодно (ну конечно established на вход).
4) с одной из виртуалок или гипервизора чекаем по крону md5 по прошивкам и конфигам обоих роутеров, сравниваем с эталоном.
5) Также чекаем хешы бинарников гипервизора.

Чтобы ещё вы рекомендовали?
  • Вопрос задан
  • 909 просмотров
Пригласить эксперта
Ответы на вопрос 10
@wulfdog
Тогда просто пусть заведет два компьютера, один для интернетиков - другой для работы с критическими данными.
Ответ написан
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
В идеале - рабочая машина, и небольшой домашний сервер с гипервизором.
Самый основной принцип который недооценивают - это не работать с полными правами.
На критичных машинах настраиваем ограниченную учетную запись, устанавливаем необходимый софт, настраиваем политику ограниченного использования программ, ничего лишнего - закрыты все порты кроме явно разрешенных, машина за NAT'ом. Если не требуется круглосуточная работа с этими данными - глушим виртуалку при ненадобности. Доступ по RDP/VNC с рабочей машины с ограниченными правами. Это надежно, это непробиваемо. Если при работе с критичными данными интернет не нужен, вообще доступ в интернет запрещаем.

на входе от провайдера два последовательных роутера разных моделей
Зачем? Хватит одного, того же микротика, главное чтобы управлялся он вами, а не провайдером.

Но если у человека фобия - тут уже все сложно. Логичные аргументы тут не помогут. А излишние навороты это лишние проблемы.
На основной машине - среднюю безопасность, там шаримся в интернете, делаем что хотим, но критичных данных не держим.
Ответ написан
profesor08
@profesor08
Ноут с вынутым модулем вайфая и с шифрованием. Просто, удобно, надежно.

А вы предлагаете играться с роутерами, виртуалками, списками ip, какой-то крон чекающий мд5 (чиииво?), чекать хеши бинарников (чиииво?). Вы хоть понимаете сколько времени занимает проверка хешей? А проверять надо не только .exe, еще и .dll, .lib и кучу всего. А что будет между проверками? А кто за этим будет следить? А что если что-то отвалится?
Ответ написан
@rionnagel
От взлома защититься нельзя. Можно только снизить риски. Безопасность можно грейдить бесконечно, вплоть до изолированного острова с пулеметчиками по периметру и оружием массового поражения. Затраты на безопасность не должны превышать ценность защищаемого.
Надо разобраться что защищаем и каков бюджет. Может проще будет не иметь вообще защищаемых данных и/или не пользоваться ничем сложнее микроволновки? Или подойдет отдельный комп без подключения к интернету и сети с зашифрованной файловой системой?
Ответ написан
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
Вы предлагаете просто ну какой-то тяжелый случай паранойи :)

Отдельный аппаратный комп без выхода в тырнет. Только RDP с соседней тачки с контролем по IP (заход возможен только одной учетке только с одного IP). Сверх-параноидальный вариант (уровень Первого отдела заводов СССР) - комп, вообще без проводов в сетевухах - работа только за локальной консолью, перенос данных на флэшках.
Ответ написан
gremlintv2
@gremlintv2
критические данные крипта?) может проще аппаратный кошелек, если для работы)
Ответ написан
Gremlin92
@Gremlin92
Ленивый и безъинициативный
Попробуйте антивирус поставить с фаерволлом
Ответ написан
@Asparagales
1) на основную машину гипервизор, на нем две виртуалки - для работы с критичными данными и для интернетиков. Возможно ещё и третью контрольную виртуалку (мониторинг, проверка и т.д.)

Обратите внимание на операционную систему Qubes OS. Она вроде бы специально для таких целей сделана.
Ответ написан
fara_ib
@fara_ib
В качестве ОС почитайте про https://ru.wikipedia.org/wiki/Qubes_OS вот сайт https://www.qubes-os.org/ пишут что там ориентированная на безопасность настольная операционная система, которая призвана обеспечить безопасность через изоляцию. Виртуализация осуществляется на базе Xen. А для сети попробовать pfsense по схеме "роутер на палке" с вланами и прочими вещами типа антивируса и ids/ips.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы