С точки зрения безопасности, каковы преимущества использования всей домашней сети для создания демилитаризованной зоны, если вы планируете оттуда запускать малопопулярный (непопулярный) веб-сайт?
В одной сети Windows есть несколько компьютеров в доме, но весь трафик HTTP и SSL перенаправляется на конкретный компьютер в этой сети. Нужно ли настраивать этот компьютер в какой-то DMZ для дополнительной безопасности?
Ответы:
Да. Любой входящий трафик из Интернета, который не является ответом на запрос одного из ваших компьютеров, должен быть подозрительным. Существует много сценариев, когда ваш сайт может быть взломан, и это может привести к тому, что кто-то получит доступ к внутренней сети.
Теперь, к сожалению, реальность такова, что большинство коммерческих домашних маршрутизаторов не имеют возможности настроить надлежащую DMZ. Они могут позволить вам установить IP-адрес DMZ, на который направляется весь внешний трафик. Это не учитывает разделение, которое должна обеспечить DMZ. Чтобы иметь функциональную DMZ, компьютеры в DMZ должны находиться в другом диапазоне IP-адресов или подсети, чем основная сеть, и иметь другой порт на маршрутизаторе, который поддерживает только диапазон IP-адресов DMZ. Конечным результатом правильно сконфигурированной DMZ является то, что системы в DMZ не могут напрямую обращаться к IP-адресам в основной сети.
Также убедитесь, что ваш маршрутизатор не рассматривает DMZ как внутреннюю для целей администрирования. Поэтому он не должен доверять трафику из DMZ больше, чем он доверяет трафику из Интернета, и вы не сможете получить доступ к интерфейсу администрирования маршрутизатора из каких-либо систем в DMZ. Это часто проблема с решениями «два маршрутизатора», предложенными другими. Внешний маршрутизатор все еще рассматривает системы в DMZ как внутренние и доверенные. Этот внешний маршрутизатор может быть скомпрометирован, и весь внутренний трафик должен пройти через него, чтобы попасть в Интернет.
Если вы уже просто перенаправляете определенные службы (HTTP и SSL), которые хотите сделать доступными, единственное использование для DMZ будет ограничивать ущерб, если эта машина будет скомпрометирована (скажем, через плохо написанный cgi ). Решение о том, чтобы сделать это, должно быть основано на том, какой ущерб это может причинить - если в любом случае в сети нет других машин, это не составляет особого труда, но если есть незащищенный внутренний NAS со всеми вашими личными финансовыми записями, вы, вероятно, хочу дополнительный внутренний уровень безопасности, да.
Я бы так и сделал, потому что это относительно легко сделать. Если у вас есть два широкополосных маршрутизатора, вы можете настроить их в линию с различными частными пространствами IP-адресов (например, 192.168.100.1-254 и 192.168.200.1-254). Повесьте веб-сервер на первый, который подключен напрямую к Интернету. Используйте переадресацию портов для направления на ваш веб-сервер. Поместите все ваши системы, которые будут в вашей частной сети, за вторым широкополосным маршрутизатором. Таким образом, если по какой-либо причине веб-сервер будет скомпрометирован, им придется пройти через этот второй широкополосный маршрутизатор, чтобы войти в другие ваши системы.
В большинстве домашних сетей недостаточно общедоступного пространства IP-адресов для эффективной настройки DMZ. Смысл DMZ, как правило, состоит в том, чтобы разместить уровень представления там, как веб-сервер, а затем оставить сервер базы данных за брандмауэром, позволяя только машине в DMZ общаться с сервером базы данных через указанный порт и протоколы. Это повышает безопасность, но для домашней установки, если вы не обслуживаете N-уровневые приложения, которые поддаются DMZ, это не имеет особого смысла.