我的情况是,我在家为几个客户工作。对于其中一个客户,我购买了一台单独的机器,并将其用于与该客户相关的任何活动。
从这台机器上,我有一些远程连接软件,它允许我访问客户的服务器来执行发布等。
为了允许我连接,它必须在我的计算机上安装一个“代理”。起初,这不是问题,但后来我注意到,这个代理可以通过远程连接重新连接到我的计算机,还可以远程将软件安装到我的计算机上。
如果他们现在可以通过“代理”完全访问我的机器,那么我猜测他们也将可以完全访问我的本地网络及其上的所有设备。
我并不是说这家公司会对我的机器或网络做任何坏事,但我有媒体服务器、SAN、网络摄像机、音响系统、电视等东西,这些都可以在外部使用。
有什么方法可以配置我的网络以防止该计算机访问其上的任何资源?我怀疑这会是机器本身的设置,因为他们已经控制了这台机器,并且可以修改任何设置。
我猜这类似于允许朋友/邻居连接到您的网络,但不允许他们访问网络上的其他资源。
我意识到我可能有点偏执,但是我非常担心向外部开放我的网络。
答案1
我认为 Jacob Evans 的评论是正确的。我会考虑投资购买第二个路由器,该路由器具有访客 wifi 选项,或者允许您将用于客户端的单独机器划分为 VLAN。(如果您愿意刷新新路由器,DDWRT 和 Tomato 都允许这样做。当然,请确保您购买的硬件受您要使用的软件支持。)
至于虚拟机选项,好吧。我要离开了这这里: 虚拟机逃逸在 Pwn2Own 黑客大赛中斩获 105,000 美元奖金。(我不认为这很常见,但显然是可能的。)
答案2
你至少有两个选择:
配置您的家庭路由器(如果有的话)或您的机器以仅允许来自您的网络内部的连接,这样您将能够获得与远程网络的连接,而他们则无法获得。
在您的机器上安装虚拟机管理程序(如 virtualbox),创建虚拟机,在其中安装代理,并过滤此虚拟机的连接。这样,危害将仅被隔离在此虚拟机内(考虑到您不会允许虚拟机连接到您的家庭网络)。
答案3
我建议使用虚拟机。
我认为 @新手的建议都很好。
然而:
你似乎假设要求你安装该代理的公司有良好的安全卫生习惯。这很可能是有道理的,但总的来说,这似乎是一个冒险的假设。这意味着虽然“公司”自己可能不会做任何坏事,但能够破坏其环境的人可能会
你还说他们
通过“代理”可以完全访问我的机器
这可能是一种偏执,但“完全访问”听起来有点令人担忧,如果准确的话,对我来说,这证明设置虚拟机以避免(当 DNS 发生变化或配置代理时可能会发生不好的事情……更不用说对您的隐私的任何影响)。
尝试在不使用虚拟机的情况下限制他们的访问权限,同时保持您的访问权限,这听起来有点复杂。使用虚拟机时限制他们的访问权限听起来要容易得多(此外,通过使用虚拟机,您已经限制了他们对您使用系统所做的任何与您与他们的工作关系不直接相关的操作的访问权限)。
使用虚拟机并不能免除你对各种内部服务进行充分保护的责任(即访问不会独自取决于您的源IP)。
但使用它肯定会使创建正确的防火墙规则变得简单得多。
答案4
这在很大程度上取决于您的互联网硬件,但现在有些电缆调制解调器有多个以太网端口(我的有四个),并且内置了 NAT。我在调制解调器的内部也有自己的 NAT 路由器,这意味着我正在进行双 NAT。可以想象,我可以将第二个路由器插入电缆调制解调器上的另一个端口之一,然后我将拥有 2 个完全相互隔离的内部 LAN。
如果您无法做到这一点,还有更高级的路由器可供选择,它们可以让您更好地控制流量。当然,它们有点贵,但有些人愿意支付额外费用来满足他们的偏执。