Control Drawing
NEKOTOPIA TORUS SECURITY MODEL - In ASCII
This content is aA visual representationoverview of the contentNekotopia describedTorus security model. This complements the detail in Torus Controls.
How the otherTorus page.Protects You
┌─────────────────┐
│ INTERNET │
│ (Untrusted) │
└────────┬────────┘
│
▼Encrypted WireGuard Tunnels
│
┌──────────────────────────────────────┐
│ NEKOTOPIA TORUS MESH │
│ │
│ ┌──────────────────────────────┐ │
│ │ ControlRegional PlaneHubs │ │
│ │ │ │
│ │ London · Ohio · Frankfurt │ │
│ │ │ │
│ │ • JoinTraffic Policiesisolation by tier │ │
│ │ • ACLsPer-user /access Segmentscontrols │ │
│ │ • AdminBandwidth Controlsmanagement │ │
│ │ • Connection monitoring │ │
│ └──────────────────────────────┘ │
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │ Node AYou │◄─────►│ Node BOther │ │
│ │ (You)Your │ │ Member │ │
│ │ Site) │ │ (Other)Their │ │
│ │ │ │ Site) │ │
│ └────┬────┘ └────┬────┘ │
│ │ │ │
│ │ ┌─────────┐ │ │
│ └───►│ Node C │◄─┘ │
│ │ (Other) │ │
│ └─────────┘ │
│ │
│ ⚠️ ALL NODES CAN REACH EACH OTHER │
│ UNLESS YOU APPLY CONTROLS │
└──────────────────────────────────────┘
│
▼
Your
Side — What You Control
┌─────────────────────────────────────────────────────────────────────────────┐
│ YOUR HOMELAB /HOME NETWORK │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────────────────────────────────────────────────┐ │
│ │ RECOMMENDED: LOCALYOUR FIREWALL / ROUTER │ │
│ │ FilterChoose bywhat Sourceto IPshare /and Destinationwith Portwhom (recommended) │ │
│ └─────────────────────────────────────────────────────────────────────┘ │
│ │ │ │ │
┌───────────┴───────────┐ │ │
│ ▼ ▼ ▼ │
│ ┌──────────────────┐ ┌──────────────────┐ ┌──────────────────┐ │
│ │ MODERNModern SYSTEMSPCs │ │ RETRORetro SYSTEMSGear │ │ RETRO SYSTEMSShared │ │
│ │ │ │ (Protected) │ │ (Exposed)Services │ │
│ │ • Patched OS │ │ • SGI IRIX │ │ │ │
│ │ • AntivirusAV │ │ • SGI IRIX │ │ • Telnet Open │ │
│ │ • MFA Enabledcurrent │ │ • Classic Mac │ │ • FTPWeb Openserver │ │
│ │ • Strong auth │ │ • Amiga / Atari │ │ • File share │ │
│ │ │ │ • FilteredBeOS, OS/2 │ │ • NoGame Filteringserver │ │
│ │ ✅ SAFEGood │ │ Filter access │ │ • BBS │ │
│ │ │ │ ✅ SAFERBetter │ │ ❌✅ AT RISKBest │ │
│ └──────────────────┘ └──────────────────┘ └──────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
What the Platform Provides
┌─────────────────────────────────────────────────────────────────────────────┐
│ THREATTORUS VECTORSPLATFORM CONTROLS │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ MESHENCRYPTION RISKSACCOUNT ENDPOINTTIERS RISKSMONITORING │
│ ────────── ───────────── ────────── │
│ • CompromisedWireGuard nodetunnels • LegacyBasic: OSmesh (noonly patches)• Connection health │
│ canencrypt pivotall laterallytraffic • WeakPlus: protocolsmesh (SMBv1,+ Telnet)internet • Peer activity │
│ • SharedNo credentialsunencrypted data • DefaultPro: credentialsdedicated IP • Bandwidth usage │
│ •crosses Over-permissivethe accessinternet + public services • NoAdmin encryptiondashboard │
│ │
│ REGIONAL HUBS ACCESS CONTROL CONNECTIVITY │
│ ┌─────────┐ LATERAL ┌─────────┐ EXPLOIT ┌─────────────┐ │
│ │ Attacker│───MOVEMENT────►│Weak Node│──────────-───►│ Your Retro │ │
│ │ Node │ │ │ │ Systems │ │
│ └─────────┘ └─────────┘ └─────────────┘─ ──────────── │
│ • London (primary) • Individual accounts • Echo service at │
│ • Ohio, US • Invite-only signup 10.254.100.102 │
│ • Frankfurt, DE • Admin approval • Verify your tunnel │
│ • More regions planned • Operator oversight is working anytime │
│ │
│ COMING SOON │
│ ──────────── │
│ • Hub-side intrusion prevention │
│ • Deep packet inspection (opt-in) │
│ • Enhanced segmentation controls │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
Best Practices
┌─────────────────────────────────────────────────────────────────────────────┐
│ RECOMMENDEDWHAT CONTROLSWE RECOMMEND │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ 1. SEGMENTUSE YOURA NETWORKFIREWALL │
│ ├──A Untrustedsmall hobby zonerouter (retrolike kit)MikroTik) between the Torus and your │
│ └──equipment Trustedlets zoneyou (modernchoose systems,exactly sensitivewhat data)is reachable. │
│ │
│ 2. FILTER ATSEPARATE YOUR EDGENETWORKS │
│ ├──Keep Permitretro bygear sourceon IPa (knowndifferent goodsubnet nodesfrom only)your personal devices. │
│ └──If Permitsomething bygoes destinationwrong, portthe (onlyblast servicesradius youis want exposed)contained. │
│ │
│ 3. HARDENSHARE WHAT YOU CANDELIBERATELY │
│ ├──Only Disableexpose unnecessarythe services you intend to share. A web server is │
│ ├──great; Changeyour defaultentire credentialsfilesystem │probably │ └── Keep modern endpoints patched + AV currentisn't. │
│ │
│ 4. USECHANGE TORUS CONTROLSDEFAULTS │
│ ├──Default Per-nodepasswords ACLson (accountold tiersystems dependent)were fine in 1995. They're not │
│ └──fine Comingon soon:a hub-sidenetwork IPS,with NGFW,other DPIpeople. Change them. │
│ │
│ 5. KEEP MODERN STUFF PATCHED │
│ Your retro kit can't be updated, but your modern PC can. │
│ Keep it current — it protects everything else on your LAN. │
│ │
└─────────────────────────────────────────────────────────────────────────────┘