З точки зору безпеки, які вигоди від того, щоб ціла свиня створити DMZ в домашніх умовах, якщо ви плануєте запустити звідти веб-сайт з низьким трафіком?
У будинку в одній мережі Windows є декілька комп'ютерів, але весь трафік HTTP & SSL перенаправляється на певну машину в цій мережі. Чи потрібно встановлювати цю машину в якомусь DMZ для додаткової безпеки?
Відповіді:
Так. Будь-який вхідний трафік з Інтернету, який не відповідає на запит одного з ваших комп'ютерів, повинен бути підозрюваним. Існує багато сценаріїв, коли ваш веб-сайт може бути порушений, і це може призвести до того, що хтось має доступ до внутрішньої мережі.
Тепер прикрою реальністю є те, що більшість комерційних домашніх маршрутизаторів не мають можливості встановити належний DMZ. Вони можуть дозволити вам встановити IP DMZ, до якого спрямовується весь зовнішній трафік. Це не дозволяє відокремити ДМЗ. Щоб мати функціональний DMZ, комп'ютери в DMZ повинні знаходитися в іншому діапазоні IP або підмережі, ніж основна мережа, і знаходитися на іншому порті маршрутизатора, який підтримує лише діапазон IP DMZ. Кінцевим результатом правильно налаштованого DMZ є те, що системи в DMZ не можуть отримати доступ до IP-адрес у головній мережі безпосередньо.
Також переконайтесь, що ваш маршрутизатор не сприймає DMZ як внутрішній для цілей адміністрування. Таким чином, він не повинен довіряти трафіку з DMZ більше, ніж він довіряє трафіку з Інтернету, і ви не повинні мати можливість діставатися до інтерфейсу адміністрування для маршрутизатора з будь-яких систем DMZ. Це часто проблема з рішеннями "двох маршрутизаторів", запропонованими іншими. Зовнішній маршрутизатор все ще розглядає системи в DMZ як внутрішні та надійні. Цей зовнішній маршрутизатор може бути скомпрометований, і весь внутрішній трафік все ще повинен проходити через нього, щоб дістатися до Інтернету.
Якщо ви вже просто пересилаєте певні послуги (HTTP & SSL), які ви хочете зробити доступними, єдиним використанням для DMZ було б обмеження збитків, якщо ця машина буде порушена (скажімо, через погано написаний cgi ). Вирішити цю проблему слід, виходячи з того, скільки шкоди це може заподіяти - якщо в мережі все одно немає інших машин, це нічого не важливо, але якщо є незахищений внутрішній NAS з усіма вашими особистими фінансовими записами на ньому, ви, ймовірно, хочу додатковий внутрішній рівень безпеки, так.
Я все ще хотів би, тому що це зробити порівняно легко. Якщо у вас є два широкосмугові маршрутизатори, ви можете встановити їх у відповідність з різними приватними просторами IP-адрес (наприклад, 192.168.100.1-254 та 192.168.200.1-254). Відключіть веб-сервер від першого, який підключений безпосередньо до Інтернету. Використовуйте переадресацію портів для переходу на ваш веб-сервер. Поставте всі ваші системи, які будуть у вашій приватній мережі, за другим широкосмуговим маршрутизатором. Таким чином, якщо веб-сервер чомусь порушений, їм доведеться пройти через другий широкосмуговий маршрутизатор, щоб потрапити у ваші інші системи.
Більшість домашніх мереж не мають достатньо публічного простору IP-адрес для ефективного налаштування DMZ. Однак DMZ, як правило, полягає в тому, щоб розмістити там презентаційний шар, як веб-сервер, а потім тримати сервер бази даних за брандмауером, що дозволяє лише машині в DMZ спілкуватися з сервером бази даних через вказаний порт і протоколи. Це збільшує безпеку, але для домашніх налаштувань, якщо ви не обслуговуєте N-ярусні програми, які піддаються DMZ, це не має особливого сенсу.