En un escenario de pequeña oficina/oficina doméstica (SOHO), me gustaría configurar el enrutador ADSL para una pequeña instalación de servidor http; en realidad, un experimento con una Raspberry Pi, que funciona como un servidor http. Estoy un poco preocupado por las implicaciones de seguridad de las computadoras en la LAN, en caso de que este servidor http se vea comprometido.
Para que se pueda acceder al pequeño servidor desde Internet externo, creo que hay dos opciones que puedo usar para configurar el enrutador ADSL:
- Reenvío de puertos
- DMZ
En el caso deReenvío de puertos, solo necesitaría reenviar los puertos 80.443 de Internet/WAN al mismo en el servidor http, que en este caso permanecería dentro de la red local LAN.
En el caso deDMZse vuelve extremadamente importante proteger/reforzar la caja del servidor http, por ejemplo: cambiar el puerto ssh, etc., pero al menos el servidor http ya no está en la red local LAN; pero todavía de alguna manera en conexión directa con el enrutador ADSL.
¿Cuál de las dos opciones ofrecería mayores garantías de seguridad en caso de que el servidor http se vea comprometido, por favor?
Creo que en el caso del escenario de reenvío de puerto, un ataque podría ocurrir solo a través del puerto http, pero si la caja se ve comprometida, la caja está en la LAN. Mientras que en el caso del escenario DMZ la caja teóricamente no está en la LAN, pero me pregunto si esto expone al enrutador a ataques más fáciles, y tampoco estoy seguro de cómo verificar si es una DMZ adecuada para la "partición de red" o una "reenvío de puerto comodín". En cualquier caso, verifiqué que el enrutador esté configurado con "administración remota (desde Internet/WAN)" paradesactivado, es un Netgear DGND3300v2.
Me gustaría ejecutar este experimento con el servidor http sin comprometer la seguridad de las computadoras de la oficina en casa.
Respuesta1
DMZ es una muy mala idea de usar en cualquier caso.
Básicamente, lo que hace DMZ es desactivar completamente el protocolo del enrutador para cualquier dirección IP y reenviar todos los puertos desde el exterior al interno.
Y el servidor aún puede estar dentro de su red y, por lo tanto, ser accesible. Por lo tanto, cualquier puerto está abierto para su servidor y es posible cualquier ataque no deseado.
El reenvío de puertos es SIEMPRE el camino a seguir. DMZ generalmente se usa cuando su enrutador no admite ese tipo de tráfico, o hay un segundo enrutador detrás y su enrutador no hace puente o cuando necesita probar rápidamente si el enrutador está causando algún problema.
Pero recuerde, siempre puede colocar su servidor fuera de la otra red si configura su red correctamente usando VLAN (si su enrutador las admite).