In einem Kleinbüro/Homeoffice (SOHO) möchte ich den ADSL-Router für die Installation eines kleinen HTTP-Servers konfigurieren – eigentlich ein Experiment mit einem Raspberry Pi, der als HTTP-Server fungiert. Ich mache mir ein paar Sorgen über die Sicherheitsrisiken für die Computer im LAN, falls dieser HTTP-Server kompromittiert wird.
Damit der kleine Server auch vom externen Internet erreichbar ist, gibt es meines Erachtens zwei Möglichkeiten, mit denen ich den ADSL-Router konfigurieren kann:
- Port-Weiterleitung
- DMZ
Im Fall vonPort-Weiterleitung, müsste ich lediglich die Ports 80.443 vom Internet/WAN an selbige auf dem http-Server weiterleiten, der in diesem Fall innerhalb des lokalen Netzwerks LAN bleiben würde.
Im Fall vonDMZEs ist äußerst wichtig, die HTTP-Server-Box zu sichern/härten, z. B. durch Ändern des SSH-Ports usw., aber zumindest befindet sich der HTTP-Server nicht mehr im lokalen Netzwerk-LAN, sondern ist immer noch irgendwie direkt mit dem ADSL-Router verbunden.
Welche der beiden Optionen würde im Falle einer Kompromittierung des HTTP-Servers die meisten Sicherheitsgarantien bieten?
Ich glaube, dass im Fall des Portweiterleitungsszenarios ein Angriff nur über den HTTP-Port erfolgen könnte, aber wenn die Box kompromittiert wird, ist die Box im LAN. Im Fall des DMZ-Szenarios ist die Box theoretisch nicht im LAN, aber ich frage mich, ob dies den Router leichteren Angriffen aussetzt, und bin mir auch nicht sicher, wie ich überprüfen kann, ob es sich um eine richtige DMZ für „Netzwerkpartition“ oder eine „Wildcard-Portweiterleitung“ handelt. Auf jeden Fall habe ich überprüft, dass der Router mit „Remote-Verwaltung (aus Internet/WAN)“ eingestellt ist, umdeaktiviert, es handelt sich um einen Netgear DGND3300v2.
Ich möchte dieses HTTP-Server-Experiment durchführen, ohne die Sicherheit der Home-Office-Computer zu gefährden.
Antwort1
Die Verwendung von DMZ ist in jedem Fall eine sehr schlechte Idee.
Grundsätzlich deaktiviert DMZ das Routerprotokoll für alle IP-Adressen vollständig und leitet alle Ports von außen nach innen weiter.
Und der Server kann sich weiterhin in Ihrem Netzwerk befinden und somit erreichbar sein. Somit sind alle Ports zu Ihrem Server geöffnet und unerwünschte Angriffe möglich.
Portweiterleitung ist IMMER die beste Lösung. DMZ wird normalerweise verwendet, wenn Ihr Router diese Art von Datenverkehr nicht unterstützt, oder wenn sich dahinter ein zweiter Router befindet und Ihr Router keine Brücke bildet, oder wenn Sie schnell testen müssen, ob der Router Probleme verursacht.
Aber denken Sie daran, dass Sie Ihren Server immer außerhalb des anderen Netzwerks platzieren können, wenn Sie Ihr Netzwerk mithilfe von VLANs richtig einrichten (sofern Ihr Router dies unterstützt).