Я хочу получить доступ к моему домашнему ПК, когда я нахожусь снаружи. Я знаю, что это можно сделать с помощью динамического DNS (например, DynDNS), но мой вопрос касается безопасности этого.
Если бы я настраивал это сегодня, мне пришлось бы настроить маршрутизатор Linksys E3000, чтобы разрешить внешние подключения к локальной сети. Будет ли брандмауэр этого маршрутизатора достаточно хорош против хакеров?в этом случае?
Лучше ли создать собственный маршрутизатор, который обеспечит лучшую безопасность? (например, Untangle, Smoothwall, Astaro и т. д.) Сделает ли это его безопаснее?
решение1
Единственный способ гарантировать, что ваш компьютер не будет взломан через Интернет, — это не подключать его к Интернету.
Тем не менее...
Я предполагаю, что вы хотите подключиться к своему компьютеру с помощью подключения к удаленному рабочему столу или SSH.
При использовании любого из этих вариантов вам потребуется перенаправить порт 3389 (для RDC) или 22 (SSH) для подключений, поступающих с публичного IP-адреса вашего маршрутизатора на ваш домашний ПК.
После того, как вы это сделаете, любые соединения из внешнего мира смогут подключаться к вашей локальной машине. Теперь безопасность — это ответственность приложения, прослушивающего перенаправленный порт.
Не имеет значения, используете ли вы динамическую службу доменных имен или нет. Если попытка подключения к вашим IP-адресам (независимо от доменного имени) на перенаправленных портах будет выполнена, то эти подключения будут выполнены.
Если ваш маршрутизатор разрешает переадресацию портов только для подключений с определенных IP-адресов, то «любые подключения из внешнего мира» должны быть ограничены этими определенными IP-адресами.
решение2
Динамический DNS не имеет реальных последствий для безопасности, поэтому я бы не стал об этом беспокоиться.
Ваш Linksys должен быть достаточно безопасным для защиты «обычной» домашней сети, но если у вас там хранятся особо важные данные, я бы, возможно, добавил дополнительные уровни безопасности. Например, я разрешаю внешние подключения только в DMZ, с очень ограниченным диапазоном подключений оттуда к внутренней сети.
Вам необходимо настроить маршрутизатор так, чтобы он разрешал только определенные порты, которые вам нужны, и я бы разрешил только SSH (все остальное вы в любом случае можете туннелировать через SSH), поскольку это может обеспечить надежную аутентификацию (с использованием сертификатов или общих секретов) и сквозное шифрование.