Un server in una DMZ può rappresentare un rischio per la sicurezza del resto della rete?


1

Sono molto in viaggio per lavoro, quindi pensavo che avrei potuto prendere un vecchio laptop e creare alcuni laboratori di macchine virtuali per giocarci su cui posso accedere quando sono lontano da casa.

Sarebbe solo un server dedicato che esegue un paio di VM, non ci sarebbe nulla di importante su di esso e l'unica cosa che succederebbe se venisse hackerato e incasinato sarebbe che sarei un po 'seccato di doverlo resettare quando tornato a casa.

Quindi, piuttosto che spendere un sacco di tempo a configurare il mio router e il firewall e simili per renderlo accessibile ma sicuro, ho pensato di poterlo semplicemente inserire nella DMZ e finire.

Ora, non ho molta familiarità con le DMZ o il loro funzionamento. Posso impostare un IP per essere nella DMZ, ma questo è circa la sua estensione.

Se dovessi farlo, non importa quanto sia vulnerabile o mal configurato il mio piccolo server VM, rappresenterebbe un rischio per la rete interna? O la mia rete è esattamente sicura indipendentemente dal fatto che io abbia o meno macchine nella DMZ?


Questo è esattamente il motivo per cui viene utilizzata una VPN. Esponi un singolo servizio / server con DMZ, consenti connessioni esterne, ma solo mentre sei connesso alla VPN. Ciò consente di connettersi alle macchine virtuali o a qualsiasi dispositivo sulla rete, ma solo durante la connessione, alla VPN.
Ramhound,

Risposte:


3

DMZ è un termine improprio nella maggior parte (se non in tutti) i router consumer. Dopotutto non esiste una "zona". Il termine corretto è "Host esposto". Questo chiarisce un po 'le cose.

L'host esposto non è separato dal resto della rete. Risiede ancora sullo stesso dominio di trasmissione. Se dovesse essere compromesso, l'attaccante avrebbe libero accesso alla rete locale. (A meno che non sia diversamente separato.)

Inoltre, se un servizio "interno" è in esecuzione sul tuo host esposto, sarebbe improvvisamente accessibile a Internet.

Un modo migliore sarebbe quello di impostare un servizio VPN (come OpenVPN, richiede solo una singola porta TCP o UDP) e inoltrare le porte solo per questo servizio.


0

Risposta breve: si

se solo si aprono e si inoltrano determinate porte a una macchina specifica, è sufficiente preoccuparsi della sicurezza su tali porte.

DMZ apre tutte le porte e le instrada verso una macchina. Se un attaccante ottiene il controllo del box DMZ usando un exploit, sì, ora si trovano all'interno della tua rete.

La mia comprensione è che DMZ dovrebbe essere usato solo per esigenze molto temporanee.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.