Quero acessar meu PC doméstico quando estiver fora. Eu sei que isso pode ser feito usando DNS dinâmico (ex. DynDNS), mas minha pergunta é sobre a segurança de fazer isso.
Se eu configurasse isso hoje, terei que configurar meu roteador Linksys E3000 para permitir conexões externas à rede local. O firewall deste roteador será suficiente contra hackersnesse caso?
É melhor construir um roteador personalizado que forneça melhor segurança? (ex. Untangle, smoothwall, Astaro .. etc) Isso o tornará mais seguro?
Responder1
A única maneira de ter certeza de que seu computador não pode ser hackeado pela Internet é não conectá-lo à Internet.
Dito isto...
Presumo que você queira se conectar ao seu computador com Conexão de Área de Trabalho Remota ou SSH.
Com qualquer uma dessas opções, você precisará encaminhar a porta 3389 (para RDC) ou 22 (SSH) para conexões provenientes do endereço IP público do seu roteador para o seu PC doméstico.
Depois de fazer isso, toda e qualquer conexão do mundo externo poderá se conectar à sua máquina local. A segurança agora é responsabilidade do aplicativo que escuta na porta encaminhada.
Não faz diferença se você está usando um serviço de nome de domínio dinâmico ou não. Se for tentada uma conexão com seus endereços IP (independentemente do nome de domínio) nas portas encaminhadas, essas conexões serão realizadas.
Se o seu roteador permitir o encaminhamento de porta apenas para conexões provenientes de endereços IP específicos, "toda e qualquer conexão do mundo externo" deverá ser limitada a esses endereços IP específicos.
Responder2
A parte do DNS dinâmico não tem implicações reais de segurança, então não me preocuparia com isso.
Seu Linksys deve ser suficientemente seguro para proteger uma rede doméstica "normal", mas se você tiver dados de sensibilidade extra, talvez eu adicione camadas extras de segurança, por exemplo, só permito conexões externas em uma DMZ, com um alcance muito limitado de conectividade de lá para a rede interna.
Você precisa configurar o roteador para permitir a entrada apenas nas portas específicas necessárias, e o que eu faria é permitir apenas SSH (qualquer outra coisa que você fizer pode ser encapsulada por SSH de qualquer maneira), pois isso pode fornecer autenticação forte (usando certificados ou segredos compartilhados ) e criptografia de ponta a ponta.