Control Drawing
┌─────────────────────────────────────────────────────────────────────────────┐
│ NEKOTOPIA TORUS SECURITY MODEL │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────────┐
│ INTERNET │
│ (Untrusted) │
└────────┬────────┘
│
▼
┌──────────────────────────────────────┐
│ NEKOTOPIA TORUS MESH │
│ ┌──────────────────────┐ │
│ │ Control Plane │ │
│ │ • Join Policies │ │
│ │ • ACLs / Segments │ │
│ │ • Admin Controls │ │
│ └──────────────────────┘ │
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │ Node A │◄─────►│ Node B │ │
│ │ (You) │ │ (Other) │ │
│ └────┬────┘ └────┬────┘ │
│ │ │ │
│ │ ┌─────────┐ │ │
│ └───►│ Node C │◄─┘ │
│ │ (Other) │ │
│ └─────────┘ │
│ │
│ ⚠️ ALL NODES CAN REACH EACH OTHER │
│ UNLESS YOU APPLY CONTROLS │
└──────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ YOUR HOMELAB / NETWORK │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────────────────────────────────────────────────┐ │
│ │ RECOMMENDED: LOCAL FIREWALL │ │
│ │ Filter by Source IP / Destination Port │ │
│ └─────────────────────────────────────────────────────────────────────┘ │
│ │ │ │
│ ┌───────────┴───────────┐ │ │
│ ▼ ▼ ▼ │
│ ┌──────────────────┐ ┌──────────────────┐ ┌──────────────────┐ │
│ │ MODERN SYSTEMS │ │ RETRO SYSTEMS │ │ RETRO SYSTEMS │ │
│ │ │ │ (Protected) │ │ (Exposed) │ │
│ │ • Patched OS │ │ │ │ │ │
│ │ • Antivirus │ │ • SGI IRIX │ │ • Telnet Open │ │
│ │ • MFA Enabled │ │ • Classic Mac │ │ • FTP Open │ │
│ │ │ │ • Filtered │ │ • No Filtering │ │
│ │ ✅ SAFE │ │ ✅ SAFER │ │ ❌ AT RISK │ │
│ └──────────────────┘ └──────────────────┘ └──────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────────────┐
│ THREAT VECTORS │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ MESH RISKS ENDPOINT RISKS │
│ ────────── ────────────── │
│ • Compromised node • Legacy OS (no patches) │
│ can pivot laterally • Weak protocols (SMBv1, Telnet) │
│ • Shared credentials • Default credentials │
│ • Over-permissive access • No encryption │
│ │
│ │
│ ┌─────────┐ LATERAL ┌─────────┐ EXPLOIT ┌─────────────┐ │
│ │ Attacker│───MOVEMENT────►│Weak Node│─────────────►│ Your Retro │ │
│ │ Node │ │ │ │ Systems │ │
│ └─────────┘ └─────────┘ └─────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────────────┐
│ RECOMMENDED CONTROLS │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ 1. SEGMENT YOUR NETWORK │
│ ├── Untrusted hobby zone (retro kit) │
│ └── Trusted zone (modern systems, sensitive data) │
│ │
│ 2. FILTER AT YOUR EDGE │
│ ├── Permit by source IP (known good nodes only) │
│ └── Permit by destination port (only services you want exposed) │
│ │
│ 3. HARDEN WHAT YOU CAN │
│ ├── Disable unnecessary services │
│ ├── Change default credentials │
│ └── Keep modern endpoints patched + AV current │
│ │
│ 4. USE TORUS CONTROLS │
│ ├── Per-node ACLs (account tier dependent) │
│ └── Coming soon: hub-side IPS, NGFW, DPI │
│ │
└─────────────────────────────────────────────────────────────────────────────┘