9

С точки зрения безопасности, каковы преимущества использования всей домашней сети для создания демилитаризованной зоны, если вы планируете оттуда запускать малопопулярный (непопулярный) веб-сайт?

Есть несколько компьютеров в одной сети Windows, но весь трафик HTTP и SSL перенаправляется на конкретный компьютер в этой сети. Нужно ли настраивать этот компьютер в какой-то DMZ для дополнительной безопасности?

4 ответа4

7

Если вы уже просто пересылаете конкретные службы (HTTP и SSL), которые хотите сделать доступными, единственным способом использования DMZ будет ограничение ущерба, если эта машина будет взломана (скажем, с помощью плохо написанного CGI). ). Решение о том, чтобы сделать это, должно быть основано на том, какой ущерб это может причинить - если в любом случае в сети нет других машин, это не составляет особого труда, но если есть незащищенный внутренний NAS со всеми вашими личными финансовыми записями, вы, вероятно, хочу дополнительный внутренний уровень безопасности, да.

7

Да. Любой входящий трафик из Интернета, который не является ответом на запрос одного из ваших компьютеров, должен быть подозрительным. Существует много сценариев, когда ваш сайт может быть взломан, и это может привести к тому, что кто-то получит доступ к внутренней сети.

Теперь, к сожалению, реальность такова, что большинство коммерческих домашних маршрутизаторов не имеют возможности настроить надлежащую DMZ. Они могут позволить вам установить IP-адрес DMZ, на который направляется весь внешний трафик. Это не учитывает разделение, которое должна обеспечить DMZ. Чтобы иметь функциональную DMZ, компьютеры в DMZ должны находиться в другом диапазоне IP-адресов или подсети, чем основная сеть, и иметь другой порт на маршрутизаторе, который поддерживает только диапазон IP-адресов DMZ. Конечным результатом правильно настроенной DMZ является то, что системы в DMZ не могут получить доступ к IP-адресам в основной сети напрямую.

Также убедитесь, что ваш маршрутизатор не рассматривает DMZ как внутреннюю для целей администрирования. Поэтому он не должен доверять трафику из DMZ больше, чем трасту из Интернета, и вы не сможете получить доступ к интерфейсу администрирования для маршрутизатора из каких-либо систем в DMZ. Это часто проблема с решениями "два маршрутизатора", предложенными другими. Внешний маршрутизатор по-прежнему рассматривает системы в демилитаризованной зоне как внутренние и доверенные. Этот внешний маршрутизатор может быть скомпрометирован, и весь внутренний трафик должен пройти через него, чтобы попасть в Интернет.

2

Я бы так и сделал, потому что это относительно легко сделать. Если у вас есть два широкополосных маршрутизатора, вы можете настроить их в линию с различными частными пространствами IP-адресов (например, 192.168.100.1-254 и 192.168.200.1-254). Повесьте веб-сервер на первый, который подключен напрямую к Интернету. Используйте переадресацию портов для прямого доступа к вашему веб-серверу. Поместите все ваши системы, которые будут в вашей частной сети, за вторым широкополосным маршрутизатором. Таким образом, если веб-сервер по какой-либо причине скомпрометирован, им придется пройти через этот второй широкополосный маршрутизатор, чтобы войти в другие ваши системы.

0

В большинстве домашних сетей недостаточно общедоступных IP-адресов для эффективной настройки DMZ. Смысл DMZ, как правило, состоит в том, чтобы разместить уровень представления там, как веб-сервер, а затем оставить сервер базы данных за брандмауэром, позволяя только машине в DMZ общаться с сервером базы данных через указанный порт и протоколы. Это повышает безопасность, но для домашней установки, если вы не обслуживаете N-уровневые приложения, которые поддаются DMZ, это не имеет особого смысла.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .