Вопрос безопасности при удалённом доступе к домашней локальной сети

на что обратить внимание

Главное чтобы тебе было весело.

Определяешь модели угроз и проверяешь своё решение на устойчивость к этим угрозам.

ChatGPT:

Важно учитывать различные модели угроз, чтобы обеспечить безопасность. Вот некоторые из них:

• Перехват данных (Eavesdropping): Злоумышленники могут попытаться перехватить передаваемые через VPN данные. Для защиты от этой угрозы, используй шифрование трафика, предоставляемое WireGuard по умолчанию.

• Атака «Man-in-the-Middle» (MITM): Злоумышленники могут попытаться вмешаться в соединение между клиентом и сервером, подменяя ключи или данные. Используй проверку и аутентификацию ключей, чтобы предотвратить MITM атаки.

• Отказ в обслуживании (DoS): Злоумышленники могут попытаться перегрузить сервер VPN запросами и вызвать отказ в обслуживании. Можно применять меры, такие как фильтрация трафика и ограничение доступа.

• Утечка данных (Data Leakage): Важно предотвращать утечку данных из VPN-сети через DNS-запросы или другие каналы. Настройте правильную конфигурацию DNS-серверов и проверьте, чтобы DNS-запросы также проходили через VPN.

• Компрометация сервера (Server Compromise): Обеспечь безопасность сервера, на котором работает WireGuard. Регулярно обновляй систему, следи за безопасностью и ограничивай доступ к серверу.

• Компрометация клиентских устройств (Client Compromise): Учти, что клиентские устройства могут быть уязвимыми. Обновляй их, используй антивирусное ПО и следи за безопасностью.

• Потеря ключей (Key Loss): Убедись, что ключи доступа к VPN хранятся в безопасном месте и регулярно резервируются. Потеря ключей может привести к утечке данных.

• Слабые пароли и аутентификация: Используй сложные пароли и механизмы аутентификации для защиты от несанкционированного доступа.

• Мониторинг и журналирование (Monitoring and Logging): Веди журналы событий и мониторь активность в сети VPN. Это поможет выявить аномалии и быстро реагировать на инциденты.

• Социальная инженерия: Обучи своих пользователей осторожности и бережному обращению с информацией, чтобы предотвратить атаки, основанные на социальной инженерии.

В принципе, не открывай на вход никакие порты без необходимости, да следи за ключами.

Вообще, можно арендовать vps, поднять vpn на нём, уже к нему подключить домашнюю сеть. Тогда ничего открывать вообще не нужно, только к безопасности нужно будет ещё серьёзнее отнестись. Из первого и совершенно необходимого - прикрытый ssh на нестандартном порту и по ключам.

Ну и фаерволлом прикрой всё и зазреши только то, что нужно.

ВПН, чтобы можно было удалённо подключаться к устройствам

Я тоже себе хочу, как это работает?

NAT ставь.

ssh на нестандартном порту

Не поможет. Определят всё равно.

Очень дельный совет, спасибо!

Это скорее для защиты от «тупых» ботов и забивания логов ошибками аутентификации, от взлома это не сильно спасёт. Всё верно, бот поумнее насканит нужный порт, но там его будет ждать аутентификация только по ключу. Всё.

Чувак, ничего не знающий по теме оценивает каждый комментарий. Мне весело)

В целом да, но насколько я понимаю, закрытие портов + файрвол + ключи отсеят 99% случаев, в остальном я вижу только целенаправленный взлом

Вопрос решен, благодарю дружелюбное сообщество линукс-пользователей, всегда готовых помочь новичкам и поделиться опытом!

Endlessh, везде вход только по ключам, порты подменить, лишнее выключить, иметь всегда самую свежую прошивку роутера, забанить лишние рейнджи вроде Китая

иметь всегда самую свежую прошивку роутера

Не знаю не знаю, не все йогурты прошивки одинаково полезны. Я тут недавно просил совета сообщества и плакал плачем ярославны. Домашний роутер микротик, много лет служивший верой и правдой, стал глючить, причем не после обновления, а спустя какое то время, я полез смотреть- есть новое обновление, обновился думал если допустили ошибку, исправили, скинул все к заводским настройкам, заново все настроил, через какое то время все начало повторяться,стал смотреть в сторону магазина. Решил откатиться на 2 обновления назад, все как бабушка отходила, работает.

vpn клиентов в отдельную подсеть и в firewall ограничить доступ между vpn и lan

Каждому своё, обычно ставлю после усердного чтения хотя бы чейнджлогов, ибо только на самых последних обновах зачинены CVE