モデムのファームウェアを変更できず、ブリッジモードを有効にする合法的な方法がありません。ネットワークを完全に制御できるようにルーターを追加したいと思います。
DMZを使用してこれを達成する場合、私はどの程度安全ですか?攻撃者が安全性の低いモデム(ルーターでもある)を侵害し、DNSなどの設定を変更できるとどうなりますか?リスクを最小限に抑えるためのアプローチはありますか?
ISPからのルーター/モデム¹=> DMZ => DHCPを備えたルーターとNAT=>すべてのデバイス
¹wifiが無効で、有線デバイスが接続されていませんが、無効にできませんNATまたはDHCP
はい、自分のモデムにDMZを適用することで害を及ぼす可能性はないと思います。つまり、基本的にはルーターをMIMとして使用しますが、それはすべて内部ネットワークにあります。 1つの懸念は、これにより多くのルーティングが作成され、遅延が増加するなどですが、小規模なセットアップでは発生しないはずです。セキュリティに関しては、ハッカーがモデムシェルにアクセスできたとしても、ルーターにしかアクセスできませんでした。つまり、システムにアクセスするには2回ハッキングする必要があり、実際にセキュリティが強化されます。
DNSに関する限り、ハッカーがサーバーを悪意のあるサーバーに変更した場合、SSLの使用中にハッカーがリクエストをフィッシングしようとすると、無効な証明書の警告が表示されます。最後にできることの1つは、ログを有効にすることです(ただし、ほとんどの場合、ルーターを再起動すると、通常、ログは消去されます)
また、モデムで(WANからの)リモート管理を完全にオフにすると、非常に役立ちます。最も簡単な方法は、すべてのポートを単純に変更してあいまいなポートにすることです。例えばルーターのtelnetポートを23から10023に変更します。特にターゲットを絞っていない限り、通常、すべてのポートをスキャンするのに十分なリソースはありません。