Разместить сайт в домашней сети; безопасность

Question

Мне трудно найти информацию в Интернете.

Если бы я должен был разместить веб-сайт в моей домашней сети, я бы открыл себя для хакера, чтобы получить доступ к моей сети, даже если я использую другую машину для размещения веб-сайта.

Пути, которые я видел, смутно обсуждались, чтобы обойти это:

1. Настройте VLAN
2. Настройте подсеть
3. Настройте гостевую учетную запись на маршрутизаторе
4. Используйте OpenVPN или аналогичный VPN сервис

Теперь с этими ...

1. Я не верю, что мой маршрутизатор способен добавить VLAN.
2. Я не уверен на 100%, как настроить подсеть ...
3. Я пытался настроить гостевую сеть Wi-Fi с паролем, но независимо от того, что я делаю, он говорит мне, что он не активен.
4. Достигает ли OpenVPN чего-то подобного, что-то прерывает мою основную сеть?

Могу ли я что-нибудь еще сделать, чтобы конкретный компьютер, в данном случае размещающий веб-сервер, не мог обмениваться данными с другими устройствами в моей сети?

Answer 1

Да, возможно, что хакер может использовать эксплойт на вашем веб-сервере для получения доступа к вашей сети. Однако, если вы обновляете свое программное обеспечение с помощью обновлений безопасности, вы рискуете крайне низким.

При этом большинство современных маршрутизаторов / брандмауэров должны иметь возможность ограничивать доступ через списки контроля доступа. Вы можете спросить своего провайдера о том, как это сделать. Если по какой-либо причине ваш маршрутизатор не способен на это, вы можете заменить его другим маршрутизатором / брандмауэром или просто разместить новый между провайдерами и веб-сервером.

Кроме того, вы должны иметь возможность настроить программные брандмауэры на веб-сервере и других компьютерах для блокировки доступа.

Answer 2

Многие домашние маршрутизаторы не поддерживают VPN. Для этого вам понадобятся маршрутизаторы / коммутаторы из более высокого сегмента.

Самый простой способ добавить сетевую безопасность в вашем доме - это использовать DMZ между двумя домашними маршрутизаторами и небольшим компьютером (например, моим любимым, Pi) в качестве веб-сервера.

Такая установка будет выглядеть так:

   ______
 _(      )_      a +---------------+ b        c +----------------+ d     +--+
(_Internet_)-------|router provider|------------|internal router |-------|pc|
  (______)         +---------------+   lan1     +----------------+  lan2 +--+
                                 | e
                           +------------+
                           | web server |
                           +------------+

a - это WAN-интерфейс маршрутизатора, который соединяет вас с вашим провайдером. Это уже должно быть связано. b и e - интерфейсы локальной сети на маршрутизаторе вашего провайдера.

На маршрутизаторе вашего провайдера вы, вероятно, включите DHCP для локальной сети, иначе вам придется назначать статические IP-адреса. Для веб-сервера вы можете использовать статический IP-адрес (не в диапазоне DHCP маршрутизатора провайдера, а в той же подсети). Вы также включите переадресацию портов с портов 80 и 443 на ваш веб-сервер.

c - интерфейс WAN внутреннего маршрутизатора. Убедитесь, что интерфейс WAn этого маршрутизатора использует DHCP, если вы включили его на маршрутизаторе провайдера, или назначьте статический IP-адрес интерфейсу WAN в подсети lan1 (локальной сети маршрутизатора провайдера).

На Внутреннем маршрутизаторе на labn2 вы, вероятно, включите DHCP. Убедитесь, что используемая здесь подсеть отличается от lan1.

Пример того, что это может означать для подсетей и IP-адресов:

Provider router
         WAN:        83.163.211.192 (as the provider gave me)
         LAN:        192.168.178.1, mask 255.255.255.0
         portforward: 80 and 443 to 192.168.178.10

Web server
         IP address: 192.168.178.10
         netmask:    255.255.255.0
         def. gw:    192.168.178.1

Internal router:
         WAN IP:     192.168.178.254
         WAN mask:   255.255.255.0
         WAN GW:     192.168.178.1

         LAN iIP:    192.168.1.1
         LAN mask    255.255.255.0
                     dhcp-enabled  

Тем не менее, вы должны заметить, что создание DMZ для вашего веб-сервера все еще требует, чтобы вы не отставали от (security0) патчей на веб-сервере и сохраняли строгую безопасность в отношении всего, что вы делаете на сервере. Хотя эта настройка защищает вашу внутреннюю домашнюю сеть, она не будет полностью защищать вас от атак и попыток порчи.