Em um cenário de pequeno escritório/home office (SOHO), gostaria de configurar o roteador ADSL para uma instalação de pequeno servidor http - na verdade, um experimento com um Raspberry Pi, funcionando como um servidor http. Estou um pouco preocupado com as implicações de segurança dos computadores na LAN, caso este servidor http seja comprometido.
Para que o pequeno servidor seja acessível de fora da Internet, acredito que existem duas opções que posso usar para configurar o roteador ADSL:
- Encaminhamento de porta
- DMZ
No caso deEncaminhamento de porta, precisaria apenas encaminhar as portas 80.443 da Internet/WAN para a mesma no servidor http, que neste caso ficaria dentro da rede local LAN.
No caso deDMZtorna-se extremamente importante proteger/fortalecer a caixa do servidor http, por exemplo: alterar a porta ssh, etc., mas pelo menos o servidor http não está mais na rede local LAN; mas ainda de alguma forma em conexão direta com o roteador ADSL.
Qual das duas opções forneceria mais garantias de segurança caso o servidor http fosse comprometido, por favor?
Acredito que no caso do cenário de encaminhamento de porta, um ataque poderia vir apenas por meio da porta http, mas se a caixa for comprometida, a caixa estará na LAN. Embora no caso do cenário DMZ a caixa teoricamente não esteja na LAN, mas eu me pergunto se isso expõe o roteador a ataques mais fáceis, e também não tenho certeza de como verificar se é um DMZ adequado para "partição de rede" ou um "porta curinga para frente". De qualquer forma, verifiquei que o roteador está configurado com "gerenciamento remoto (da Internet/WAN)" paradesabilitado, é um Netgear DGND3300v2.
Gostaria de realizar este experimento de servidor http, sem comprometer a segurança dos computadores do escritório doméstico.
Responder1
DMZ é uma péssima ideia para usar em qualquer caso.
Basicamente, o que o DMZ faz é desabilitar completamente o protocolo do roteador para qualquer endereço IP e encaminhar todas as portas de fora para dentro.
E o servidor ainda pode estar dentro da sua rede e, portanto, acessível. Portanto, qualquer porta está aberta para o seu servidor e quaisquer ataques indesejados são possíveis.
O encaminhamento de porta é SEMPRE o caminho a percorrer. DMZ geralmente é usado quando seu roteador não suporta esse tipo de tráfego, ou há um segundo roteador atrás e seu roteador não faz ponte ou quando você precisa testar rapidamente se o roteador está causando algum problema.
Mas lembre-se, você sempre pode colocar seu servidor fora da outra rede se configurar sua rede corretamente usando VLANs (se o seu roteador suportar tal).