小規模オフィス/ホーム オフィス (SOHO) のシナリオでは、ADSL ルーターを小規模な http サーバーのインストール用に構成したいと考えています。これは、実際には、http サーバーとして機能する Raspberry Pi を使用した実験です。この http サーバーが侵害された場合、LAN 上のコンピューターのセキュリティへの影響が少し心配です。
外部のインターネットから小規模サーバーにアクセスできるようにするには、ADSL ルーターを構成するために使用できるオプションが 2 つあると思います。
- ポート転送
- 非武装地帯
の場合ポート転送この場合、ポート 80,443 をインターネット/WAN から http サーバー上の同じポートに転送するだけで済みます。この場合は、ローカル ネットワーク LAN 内に残ります。
の場合非武装地帯たとえば、ssh ポートを変更するなど、http サーバー ボックスを保護/強化することが非常に重要になりますが、少なくとも http サーバーはローカル ネットワーク LAN 上にはなくなり、ADSL ルーターに直接接続されたままになります。
http サーバーが侵害された場合に最もセキュリティが保証されるオプションはどれですか?
ポート転送シナリオの場合、攻撃は http ポート経由でのみ行われる可能性があると思いますが、ボックスが侵害された場合、ボックスは LAN 上にあります。一方、DMZ シナリオの場合、ボックスは理論的には LAN 上にありませんが、これによりルータがより簡単な攻撃にさらされるのではないかと思います。また、それが「ネットワーク パーティション」または「ワイルドカード ポート転送」に適した DMZ であるかどうかを確認する方法もよくわかりません。いずれにしても、ルータが「リモート管理 (インターネット/WAN から)」に設定されていることを確認しました。無効それはNetgear DGND3300v2です。
ホームオフィスのコンピュータの安全性を損なうことなく、この http サーバー実験を実行したいと思います。
答え1
いずれにしても、DMZ を使用するのは非常に悪い考えです。
基本的に、DMZ が行うことは、すべての IP アドレスのルーター プロトコルを完全に無効にし、すべてのポートを外部から内部に転送することです。
サーバーは引き続きネットワーク内にあるため、アクセス可能です。そのため、サーバーに対して任意のポートが開かれ、望ましくない攻撃を受ける可能性があります。
ポート転送は常に最適な方法です。DMZ は通常、ルーターがそのようなトラフィックをサポートしていない場合、または背後に 2 番目のルーターがありルーターがブリッジしていない場合、またはルーターが問題を引き起こしているかどうかをすぐにテストする必要がある場合に使用されます。
ただし、VLAN を使用してネットワークを正しく設定すれば (ルーターがサポートしている場合)、いつでもサーバーを他のネットワークの外部に配置できることを覚えておいてください。