소규모 사무실/홈 오피스(SOHO) 시나리오에서는 소규모 http 서버 설치를 위해 ADSL 라우터를 구성하고 싶습니다. 실제로는 http 서버로 작동하는 Raspberry Pi를 사용한 실험입니다. 이 http 서버가 손상될 경우 LAN에 있는 컴퓨터의 보안 영향이 약간 걱정됩니다.
외부 인터넷에서 소규모 서버에 접근할 수 있도록 하기 위해 ADSL 라우터를 구성하는 데 사용할 수 있는 두 가지 옵션이 있다고 생각합니다.
- 포트 포워딩
- DMZ
의 경우포트 포워딩, 인터넷/WAN의 포트 80,443만 http 서버의 동일한 포트로 전달하면 되며, 이 경우 로컬 네트워크 LAN 내부에 유지됩니다.
의 경우DMZhttp 서버 상자를 보안/강화하는 것이 매우 중요해집니다(예: ssh 포트 변경 등). 그러나 적어도 http 서버는 더 이상 로컬 네트워크 LAN에 있지 않습니다. 하지만 여전히 ADSL 라우터와 직접 연결되어 있습니다.
http 서버가 손상된 경우 두 가지 옵션 중 어느 것이 가장 많은 보안을 보장합니까?
포트 포워딩 시나리오의 경우 공격은 http 포트를 통해서만 이루어질 수 있지만 상자가 손상되면 상자는 LAN에 있습니다. DMZ 시나리오의 경우 상자는 이론적으로 LAN에 없지만 이로 인해 라우터가 더 쉽게 공격에 노출되는지 궁금하고 "네트워크 파티션"에 적합한 DMZ인지 또는 "와일드카드 포트 전달". 어쨌든 나는 라우터가 "원격 관리(인터넷/WAN에서)"로 설정되어 있음을 확인했습니다.장애가 있는, 넷기어 DGND3300v2입니다.
나는 홈 오피스 컴퓨터의 안전을 손상시키지 않고 이 http 서버 실험을 실행하고 싶습니다.
답변1
DMZ는 어떤 경우에도 사용하는 것은 매우 나쁜 생각입니다.
기본적으로 DMZ가 수행하는 작업은 모든 IP 주소에 대한 라우터 프로토콜을 완전히 비활성화하고 모든 포트를 외부에서 내부로 전달하는 것입니다.
그리고 서버는 여전히 네트워크 내에 있으므로 액세스할 수 있습니다. 따라서 모든 포트가 서버에 열려 있으며 원치 않는 공격이 가능합니다.
포트 포워딩은 언제나 옳은 방법입니다. DMZ는 일반적으로 라우터가 해당 유형의 트래픽을 지원하지 않거나 뒤에 두 번째 라우터가 있고 라우터가 브리지되지 않거나 라우터가 문제를 일으키는지 신속하게 테스트해야 하는 경우에 사용됩니다.
그러나 VLAN을 사용하여 네트워크를 올바르게 설정한 경우(라우터가 이를 지원하는 경우) 항상 다른 네트워크 외부에 서버를 배치할 수 있다는 점을 기억하십시오.