С точки зрения безопасности, каковы преимущества использования всей домашней сети для создания демилитаризованной зоны, если вы планируете оттуда запускать малопопулярный (непопулярный) веб-сайт?
В одной сети Windows есть несколько компьютеров в доме, но весь трафик HTTP и SSL перенаправляется на конкретный компьютер в этой сети. Нужно ли настраивать этот компьютер в какой-то DMZ для дополнительной безопасности?
Да. Любой входящий трафик из Интернета, который не является ответом на запрос одного из ваших компьютеров, должен быть подозрительным. Существует много сценариев, когда ваш сайт может быть взломан, и это может привести к тому, что кто-то получит доступ к внутренней сети.
Теперь, к сожалению, реальность такова, что большинство коммерческих домашних маршрутизаторов не имеют возможности настроить надлежащую DMZ. Они могут позволить вам установить IP-адрес DMZ, на который направляется весь внешний трафик. Это не учитывает разделение, которое должна обеспечить DMZ. Чтобы иметь функциональную DMZ, компьютеры в DMZ должны находиться в другом диапазоне IP-адресов или подсети, чем основная сеть, и иметь другой порт на маршрутизаторе, который поддерживает только диапазон IP-адресов DMZ. Конечным результатом правильно сконфигурированной DMZ является то, что системы в DMZ не могут напрямую обращаться к IP-адресам в основной сети.
Также убедитесь, что ваш маршрутизатор не рассматривает DMZ как внутреннюю для целей администрирования. Поэтому он не должен доверять трафику из DMZ больше, чем он доверяет трафику из Интернета, и вы не сможете получить доступ к интерфейсу администрирования маршрутизатора из каких-либо систем в DMZ. Это часто проблема с решениями «два маршрутизатора», предложенными другими. Внешний маршрутизатор все еще рассматривает системы в DMZ как внутренние и доверенные. Этот внешний маршрутизатор может быть скомпрометирован, и весь внутренний трафик должен пройти через него, чтобы попасть в Интернет.
Если вы уже просто перенаправляете определенные службы (HTTP и SSL), которые хотите сделать доступными, единственное использование для DMZ будет ограничивать ущерб, если эта машина будет скомпрометирована (скажем, через плохо написанный cgi ). Решение о том, чтобы сделать это, должно быть основано на том, какой ущерб это может причинить - если в любом случае в сети нет других машин, это не составляет особого труда, но если есть незащищенный внутренний NAS со всеми вашими личными финансовыми записями, вы, вероятно, хочу дополнительный внутренний уровень безопасности, да.
Я бы так и сделал, потому что это относительно легко сделать. Если у вас есть два широкополосных маршрутизатора, вы можете настроить их в линию с различными частными пространствами IP-адресов (например, 192.168.100.1-254 и 192.168.200.1-254). Повесьте веб-сервер на первый, который подключен напрямую к Интернету. Используйте переадресацию портов для направления на ваш веб-сервер. Поместите все ваши системы, которые будут в вашей частной сети, за вторым широкополосным маршрутизатором. Таким образом, если по какой-либо причине веб-сервер будет скомпрометирован, им придется пройти через этот второй широкополосный маршрутизатор, чтобы войти в другие ваши системы.
В большинстве домашних сетей недостаточно общедоступного пространства IP-адресов для эффективной настройки DMZ. Смысл DMZ, как правило, состоит в том, чтобы разместить уровень представления там, как веб-сервер, а затем оставить сервер базы данных за брандмауэром, позволяя только машине в DMZ общаться с сервером базы данных через указанный порт и протоколы. Это повышает безопасность, но для домашней установки, если вы не обслуживаете N-уровневые приложения, которые поддаются DMZ, это не имеет особого смысла.