С точки зрения безопасности, каковы преимущества использования всей домашней сети для создания демилитаризованной зоны, если вы планируете оттуда запускать малопопулярный (непопулярный) веб-сайт?
Есть несколько компьютеров в одной сети Windows, но весь трафик HTTP и SSL перенаправляется на конкретный компьютер в этой сети. Нужно ли настраивать этот компьютер в какой-то DMZ для дополнительной безопасности?
Если вы уже просто пересылаете конкретные службы (HTTP и SSL), которые хотите сделать доступными, единственным способом использования DMZ будет ограничение ущерба, если эта машина будет взломана (скажем, с помощью плохо написанного CGI). ). Решение о том, чтобы сделать это, должно быть основано на том, какой ущерб это может причинить - если в любом случае в сети нет других машин, это не составляет особого труда, но если есть незащищенный внутренний NAS со всеми вашими личными финансовыми записями, вы, вероятно, хочу дополнительный внутренний уровень безопасности, да.
Да. Любой входящий трафик из Интернета, который не является ответом на запрос одного из ваших компьютеров, должен быть подозрительным. Существует много сценариев, когда ваш сайт может быть взломан, и это может привести к тому, что кто-то получит доступ к внутренней сети.
Теперь, к сожалению, реальность такова, что большинство коммерческих домашних маршрутизаторов не имеют возможности настроить надлежащую DMZ. Они могут позволить вам установить IP-адрес DMZ, на который направляется весь внешний трафик. Это не учитывает разделение, которое должна обеспечить DMZ. Чтобы иметь функциональную DMZ, компьютеры в DMZ должны находиться в другом диапазоне IP-адресов или подсети, чем основная сеть, и иметь другой порт на маршрутизаторе, который поддерживает только диапазон IP-адресов DMZ. Конечным результатом правильно настроенной DMZ является то, что системы в DMZ не могут получить доступ к IP-адресам в основной сети напрямую.
Также убедитесь, что ваш маршрутизатор не рассматривает DMZ как внутреннюю для целей администрирования. Поэтому он не должен доверять трафику из DMZ больше, чем трасту из Интернета, и вы не сможете получить доступ к интерфейсу администрирования для маршрутизатора из каких-либо систем в DMZ. Это часто проблема с решениями "два маршрутизатора", предложенными другими. Внешний маршрутизатор по-прежнему рассматривает системы в демилитаризованной зоне как внутренние и доверенные. Этот внешний маршрутизатор может быть скомпрометирован, и весь внутренний трафик должен пройти через него, чтобы попасть в Интернет.
Я бы так и сделал, потому что это относительно легко сделать. Если у вас есть два широкополосных маршрутизатора, вы можете настроить их в линию с различными частными пространствами IP-адресов (например, 192.168.100.1-254 и 192.168.200.1-254). Повесьте веб-сервер на первый, который подключен напрямую к Интернету. Используйте переадресацию портов для прямого доступа к вашему веб-серверу. Поместите все ваши системы, которые будут в вашей частной сети, за вторым широкополосным маршрутизатором. Таким образом, если веб-сервер по какой-либо причине скомпрометирован, им придется пройти через этот второй широкополосный маршрутизатор, чтобы войти в другие ваши системы.
В большинстве домашних сетей недостаточно общедоступных IP-адресов для эффективной настройки DMZ. Смысл DMZ, как правило, состоит в том, чтобы разместить уровень представления там, как веб-сервер, а затем оставить сервер базы данных за брандмауэром, позволяя только машине в DMZ общаться с сервером базы данных через указанный порт и протоколы. Это повышает безопасность, но для домашней установки, если вы не обслуживаете N-уровневые приложения, которые поддаются DMZ, это не имеет особого смысла.
