В сценарии с небольшим офисом / домашним офисом (SOHO) я хотел бы настроить маршрутизатор ADSL для установки небольшого http-сервера - фактически эксперимент с Raspberry Pi, работающим в качестве http-сервера. Я немного обеспокоен последствиями безопасности компьютеров в локальной сети, в случае, если этот http-сервер будет взломан.
Для того, чтобы маленький сервер был доступен из внешнего Интернета, я считаю, что есть две опции, которые я могу использовать для настройки маршрутизатора ADSL:
- Перенаправление порта
- ДМЗ
В случае переадресации портов мне нужно будет только перенаправить порты 80,443 из Интернета /WAN на те же порты на http-сервере, которые в этом случае останутся внутри локальной сети LAN.
В случае DMZ становится чрезвычайно важно защитить / укрепить коробку http-сервера, например: изменить порт ssh и т.д., Но по крайней мере http-сервер больше не находится в локальной сети LAN; но все же как-то в связи с роутером ADSL напрямую.
Какой из этих двух вариантов обеспечит наибольшее количество гарантий безопасности в случае взлома http-сервера, пожалуйста?
Я полагаю, что в случае сценария переадресации портов атака может быть осуществлена только через http-порт, но если коробка скомпрометирована, она находится в локальной сети. Хотя в случае сценария DMZ блок теоретически отсутствует в локальной сети, но мне интересно, подвергает ли маршрутизатор более легким атакам, а также не совсем уверен, как проверить, является ли это подходящая DMZ для "сетевого раздела" или "подстановочный порт вперед". В любом случае я проверил, что для маршрутизатора установлено « отключено удаленное управление (из Интернета /WAN)», это Netgear DGND3300v2.
Я хотел бы провести этот эксперимент с http-сервером, не ставя под угрозу безопасность компьютеров домашнего офиса.