Сценарий, который у меня есть, заключается в том, что я работаю из дома с несколькими клиентами. Для одного из этих клиентов я купил отдельную машину и использую ее для любых действий, связанных с этим клиентом.
С этой машины у меня есть программное обеспечение для удаленного подключения, которое позволяет мне получать доступ к серверам моего клиента для выполнения выпусков и т. Д.
Чтобы я мог подключиться, он должен установить на моем компьютере «агент». Сначала это не было проблемой, но потом я заметил, что этот агент позволяет подключиться к моей машине через удаленное соединение, а также удаленно устанавливать программное обеспечение на мою машину.
Если теперь у них будет полный доступ к моей машине через «агента», то я предполагаю, что они также будут иметь полный доступ к моей локальной сети и всем устройствам на ней.
Я не утверждаю, что эта компания сделает что-нибудь плохое на моей машине или в сети, но у меня есть такие вещи, как медиа-сервер, SAN, сетевые камеры, звуковые системы, телевизоры и т. Д., Которые затем будут доступны извне.
Есть ли способ настроить мою сеть, чтобы предотвратить доступ этой машины к каким-либо ресурсам на ней? Я сомневаюсь, что это будет настройка на самой машине, поскольку они уже контролируют эту машину и могут просто изменить любые настройки.
Я предполагаю, что это будет похоже на разрешение друзьям / соседям подключаться к вашей сети, но не предоставление им доступа к другим ресурсам в ней.
Я понимаю, что могу быть немного параноиком, но очень опасаюсь открывать свою сеть для внешнего доступа.
Я думаю, что Джейкоб Эванс на правильном пути со своим комментарием. Я бы подумал об инвестировании во второй маршрутизатор с возможностью гостевого Wi-Fi, иначе вы сможете подключить к VLAN отдельный компьютер, который вы используете для своего клиента. (DDWRT и Tomato допускают это, если вы хотите прошить новый маршрутизатор. Убедитесь, что приобретаемое вами оборудование поддерживается программным обеспечением, которое вы собираетесь использовать, конечно.)
Что касается варианта ВМ, ну. Я просто уйду этот Вот: Побег виртуальной машины получил 105000 долларов на хакерском конкурсе Pwn2Own. (Я не думаю, что это распространено, но очевидно, что это возможно.)
Это очень зависит от вашего интернет-оборудования, но некоторые кабельные модемы теперь имеют более одного порта Ethernet (у меня их четыре) и встроенный NAT. У меня также есть собственный маршрутизатор NAT на внутренней стороне модема, что означает, что я использую двойной NAT. Возможно, я мог бы подключить второй маршрутизатор к одному из других портов кабельного модема, и тогда у меня были бы 2 внутренние локальные сети, которые полностью изолированы друг от друга.
Если у вас нет такой возможности, существуют маршрутизаторы более высокого класса, которые позволяют вам лучше контролировать поток трафика. Конечно, они немного дорогие, но некоторые люди готовы платить больше, чтобы удовлетворить свою паранойю.
Я бы предложил использовать виртуальную машину.
Думаю @бездельникобе рекомендации хороши.
Тем не мение:
вы, кажется, предполагаете, что компания, которая попросила вас установить этот агент, соблюдает надлежащую гигиену безопасности. Это вполне может быть оправдано, но в целом это кажется рискованным предположением. Это означает, что, хотя «компания» сама не может сделать ничего плохого, кто-то, кто может поставить под угрозу свою среду, может
вы далее говорите, что они
иметь полный доступ к моей машине через "агента"
Это может быть паранойя, но `` полный доступ '' звучит немного тревожно, и, если он точен, я бы оправдал (довольно незначительные) усилия по настройке виртуальной машины, чтобы избежать (плохие вещи могут произойти, когда DNS изменяется или настроены прокси ... не говоря уже о любых последствиях для вашей конфиденциальности).
Попытка ограничить их доступ, сохранив ваш, без использования виртуальной машины, звучит немного сложно. Ограничить их доступ, когда у вас есть виртуальная машина, звучит намного проще (кроме того, используя виртуальную машину, вы уже ограничиваете их доступ ко всему, что вы делаете с вашей системой, что напрямую не связано с вашими рабочими отношениями с ними).
Использование виртуальной машины не освобождает вас от необходимости обеспечения надлежащей защиты различных внутренних служб (т.е. исключительно в зависимости от вашего исходного IP-адреса).
Но использование одного из них определенно упростит создание правильных правил брандмауэра.
У вас есть как минимум два варианта:
настройте домашний маршрутизатор (если он у вас есть) или машину, чтобы разрешить только подключения, которые происходят из вашей сети, таким образом вы сможете получить подключение к удаленной сети, а они нет.
установите гипервизор на свой компьютер (например, виртуальный бокс), создайте виртуальную машину, установите внутри нее агент и отфильтруйте эти подключения виртуальной машины. Таким образом, вред будет изолирован только от этой виртуальной машины (учитывая, что вы не разрешите виртуальной машине подключаться к вашей домашней сети).