Aus irgendeinem seltsamen Grund habe ich immer davon geträumt, meine eigene Website von zu Hause aus zu hosten ...
Ich weiß, dass es sicherheitstechnisch nicht das Beste auf der Welt ist, aber ich suche heute nach neuen Tipps dazu.
Ich denke ehrlich gesagt, dass es am besten wäre, meinen Webserver (eigentlich die VM, die den Webserver enthält) in einer DMZ zu platzieren.
Im Moment sieht mein Netzwerklayout folgendermaßen aus:
Nicht zu komplex. Was ich hinzufügen möchte, ist auch ganz einfach:
Aber wenn jemand meinen Webserver kompromittieren würde, hätte er grundsätzlich Zugriff auf das gesamte Netzwerk (192.168.1.0/24).
Wie würde das Diagramm aussehen, wenn ich diesen Webserver in einer eigenen DMZ platzieren möchte, vollständig getrennt von meinem Netzwerk und nur Zugriff auf das Internet und vom Internet haben möchte? Wie würde ich es implementieren?
Nur für den Fall: Ich habe es überprüft und mein ISP blockiert Port 80 NICHT.
EDIT: Ich habe vergessen zu erwähnen, dass ich, wenn ich eine dynamische IP habe, aber einen DDNS-Dienst, mit DNS-Einträgen einen CNAME erstellen kann, der auf die tatsächliche Site verweist, richtig? Wie zum Beispiel:
myactualsite.com CNAME ddns.no-ip.org
myactualsite.com DNAME ddns.no-ip.org
Antwort1
Ich habe die pfSense-Dokumente nicht gelesen, gehe aber davon aus, dass es möglich ist, einen der mehreren Ethernet-Ports als DMZ-Port mit einem separaten Subnetz zu konfigurieren, sodass psSense seinen Datenverkehr von Ihrem LAN-Datenverkehr isoliert. Anschließend können Sie Regeln festlegen, um zu verhindern, dass kompromittierte DMZ-Server Verbindungen zu Ihren LAN-Geräten herstellen können.
,--------. LAN ,---------.
PC --------| switch |---------| pfSense |------ Intertubes
,-| | ,---| |
Server--' '--------' | '---------'
with |DMZ
secrets |
,--+---.
|web |
|server|
'------'
Ich bin mir nicht sicher, wie ein Computer mit Vmware ESXi ein pfSense-Gerät hosten kann, aber das scheint mir merkwürdig. Ich hätte gern ein separates physisches Gerät, das ausschließlich der Sicherheit dient.