Z punktu widzenia bezpieczeństwa, jakie są korzyści płynące z zakładania DMZ w domu, jeśli planujesz stamtąd prowadzić witrynę o niskim natężeniu ruchu (niepopularną)?
W domu jest wiele komputerów w tej samej sieci Windows, ale cały ruch HTTP i SSL jest przekierowywany na określony komputer w tej sieci. Czy istnieje potrzeba ustawienia tego urządzenia w DMZ w celu zwiększenia bezpieczeństwa?
Odpowiedzi:
Tak. Każdy ruch przychodzący z Internetu, który nie jest odpowiedzią na żądanie jednego z twoich komputerów, powinien być podejrzany. Istnieje wiele scenariuszy, w których Twoja witryna może zostać naruszona, co może doprowadzić do uzyskania przez kogoś dostępu do sieci wewnętrznej.
Teraz niefortunną rzeczywistością jest to, że większość komercyjnych routerów domowych nie ma możliwości skonfigurowania odpowiedniej strefy DMZ. Mogą one umożliwiać ustawienie adresu IP DMZ, do którego kierowany jest cały ruch zewnętrzny. Nie pozwala to na separację, którą powinna zapewnić strefa DMZ. Aby mieć funkcjonalną strefę DMZ, komputery w strefie DMZ muszą znajdować się w innym zakresie adresów IP lub podsieci niż główna sieć i znajdować się w innym porcie routera, który obsługuje tylko zakres adresów DMZ. Efektem końcowym prawidłowo skonfigurowanej strefy DMZ jest to, że systemy w strefie DMZ nie mają bezpośredniego dostępu do adresów IP w głównej sieci.
Upewnij się także, że twój router nie traktuje DMZ jako wewnętrznego do celów administracyjnych. Dlatego nie powinien ufać ruchowi z DMZ tak samo, jak ufa ruchowi z Internetu i nie powinno być możliwości uzyskania dostępu do interfejsu administracyjnego routera z dowolnego systemu w DMZ. Jest to często problem z rozwiązaniami „dwóch routerów” proponowanymi przez innych. Zewnętrzny router nadal traktuje systemy w strefie DMZ jako wewnętrzne i godne zaufania. Ten zewnętrzny router może być zagrożony, a cały ruch wewnętrzny musi przez niego przejść, aby uzyskać dostęp do Internetu.
Jeśli już tylko przesyłasz określone usługi (HTTP i SSL), które chcesz udostępnić, jedynym zastosowaniem dla strefy DMZ byłoby ograniczenie szkód, gdyby maszyna została naruszona (na przykład przez źle napisane cgi ). Decyzja o tym, jak to zrobić, powinna opierać się na tym, ile szkód by to spowodowało - jeśli i tak nie ma innych maszyn w sieci, to nie jest wielka sprawa, ale jeśli istnieje niezabezpieczony wewnętrzny NAS z wszystkimi osobistymi danymi finansowymi, prawdopodobnie chcesz dodatkową wewnętrzną warstwę bezpieczeństwa, tak.
Nadal bym to zrobił, ponieważ jest to stosunkowo łatwe. Jeśli masz dwa routery szerokopasmowe, możesz skonfigurować je w jednej linii z różnymi prywatnymi przestrzeniami adresów IP (takimi jak 192.168.100.1-254 i 192.168.200.1-254). Zawieś serwer WWW na pierwszym, który jest podłączony bezpośrednio do Internetu. Użyj przekierowania portów, aby przekierować na serwer WWW. Umieść wszystkie swoje systemy, które będą w twojej prywatnej sieci, za drugim routerem szerokopasmowym. W ten sposób, jeśli serwer internetowy zostanie z jakiegoś powodu zagrożony, będą musieli przejść przez ten drugi router szerokopasmowy, aby dostać się do innych systemów.
Większość sieci domowych nie ma wystarczającej ilości publicznego adresu IP, aby skutecznie skonfigurować strefę DMZ. Jednak celem DMZ jest zazwyczaj umieszczenie tam warstwy prezentacji, takiej jak serwer WWW, a następnie utrzymanie serwera bazy danych za zaporą ogniową, umożliwiając tylko maszynie w DMZ komunikowanie się z serwerem bazy danych przez określony port i protokoły. Zwiększa bezpieczeństwo, ale w przypadku konfiguracji domowej, chyba że obsługujesz aplikacje warstwy N, które nadają się do strefy DMZ, nie ma to większego sensu.