В сценарии малого офиса/домашнего офиса (SOHO) я хотел бы настроить маршрутизатор ADSL для установки небольшого http-сервера — на самом деле это эксперимент с Raspberry Pi, работающим в качестве http-сервера. Я немного обеспокоен последствиями для безопасности компьютеров в локальной сети, в случае, если этот http-сервер будет скомпрометирован.
Я считаю, что для того, чтобы небольшой сервер был доступен из внешнего Интернета, есть два варианта настройки маршрутизатора ADSL:
- Перенаправление порта
- ДМЗ
В случаеПеренаправление порта, мне нужно будет только перенаправить порты 80,443 из Интернета/WAN на те же порты на http-сервере, который в этом случае останется внутри локальной сети LAN.
В случаеДМЗстановится чрезвычайно важным обеспечить безопасность/укрепление http-сервера, например: изменить порт ssh и т. д., но, по крайней мере, http-сервер больше не находится в локальной сети LAN; но все еще каким-то образом напрямую связан с маршрутизатором ADSL.
Какой из двух вариантов обеспечит наибольшие гарантии безопасности в случае взлома http-сервера?
Я считаю, что в случае сценария переадресации портов атака может произойти только через порт http, но если ящик будет скомпрометирован, ящик находится в локальной сети. В то время как в случае сценария DMZ ящик теоретически не находится в локальной сети, но мне интересно, подвергает ли это маршрутизатор более легким атакам, и также я не совсем уверен, как проверить, является ли это правильной DMZ для "сетевого разделения" или "wildcard port forward". В любом случае я проверил, что маршрутизатор настроен с "удаленным управлением (из Интернета/WAN)" нанеполноценный, это Netgear DGND3300v2.
Я хотел бы провести этот эксперимент с http-сервером, не ставя под угрозу безопасность компьютеров домашнего офиса.
решение1
В любом случае DMZ — очень плохая идея.
По сути, DMZ полностью отключает протокол маршрутизатора для любого IP-адреса и перенаправляет все порты извне во внутренние.
И сервер все еще может находиться в вашей сети и, таким образом, быть доступным. Таким образом, любой порт открыт для вашего сервера и любые нежелательные атаки возможны.
Переадресация портов — это ВСЕГДА верный способ. DMZ обычно используется, когда ваш маршрутизатор не поддерживает такой тип трафика, или за ним находится второй маршрутизатор, а ваш маршрутизатор не выполняет функцию моста, или когда вам нужно быстро проверить, не вызывает ли маршрутизатор какие-либо проблемы.
Но помните, вы всегда можете разместить свой сервер за пределами другой сети, если правильно настроите свою сеть с использованием VLAN (если ваш маршрутизатор поддерживает их).