Da un punto di vista della sicurezza, quali sono i vantaggi di andare a fondo della creazione di una DMZ a casa se si prevede di gestire un sito Web a basso traffico (impopolare) da lì?
Esistono diversi computer in casa sulla stessa rete Windows, ma tutto il traffico HTTP e SSL viene reindirizzato a un computer specifico su quella rete. È necessario impostare questa macchina in una sorta di DMZ per una maggiore sicurezza?
Risposte:
Sì. Qualsiasi traffico in entrata da Internet che non risponde a una richiesta di uno dei tuoi computer dovrebbe essere sospetto. Esistono molti scenari in cui il tuo sito Web potrebbe essere compromesso e ciò potrebbe indurre qualcuno ad avere accesso alla rete interna.
Ora, la sfortunata realtà è che la maggior parte dei router domestici commerciali non ha la capacità di impostare una DMZ adeguata. Possono consentire all'utente di impostare un indirizzo IP DMZ al quale viene instradato tutto il traffico esterno. Ciò non consente la separazione che dovrebbe fornire una DMZ. Per disporre di una DMZ funzionale, i computer nella DMZ devono trovarsi su un intervallo IP o su una sottorete IP diversi dalla rete principale e su una porta diversa sul router che supporti solo il campo IP DMZ. Il risultato finale di una DMZ correttamente configurata è che i sistemi nella DMZ non possono accedere direttamente agli IP sulla rete principale.
Assicurati inoltre che il tuo router non tratti la DMZ come interna ai fini dell'amministrazione. Quindi non dovrebbe fidarsi del traffico proveniente dalla DMZ non più di quanto si fidi del traffico proveniente da Internet e non dovresti essere in grado di accedere all'interfaccia di amministrazione del router da alcun sistema sulla DMZ. Questo è spesso il problema con le soluzioni "a due router" proposte da altri. Il router esterno considera ancora i sistemi nella DMZ come interni e affidabili. Questo router esterno potrebbe essere compromesso e tutto il traffico interno deve ancora passare attraverso di esso per raggiungere Internet.
Se stai già solo inoltrando i servizi particolari (HTTP e SSL) che vuoi rendere disponibili, l'unico uso per una DMZ sarebbe limitare il danno se quella macchina dovesse essere compromessa (diciamo, tramite un cgi scritto male ). Decidere wither di fare questo dovrebbe essere basato sulla quantità di danno che potrebbe causare - se non ci sono altre macchine sulla rete comunque, non è un grosso problema, ma se c'è un NAS interno non garantito con tutti i tuoi record finanziari personali su di esso, probabilmente vuoi un ulteriore livello interno di sicurezza, sì.
Lo farei ancora perché è relativamente facile farlo. Se si dispone di due router a banda larga, è possibile configurarli in linea con diversi spazi di indirizzi IP privati (come 192.168.100.1-254 e 192.168.200.1-254). Chiudi il web server dal primo, che è collegato direttamente a Internet. Utilizza il port forwarding per indirizzare al tuo server web. Metti tutti i tuoi sistemi che saranno nella tua rete privata dietro il secondo router a banda larga. In questo modo, se il server Web viene compromesso per qualche motivo, dovranno passare attraverso quel secondo router a banda larga per accedere agli altri sistemi.
La maggior parte delle reti domestiche non ha abbastanza spazio di indirizzi IP pubblico per configurare una DMZ in modo efficace. Il punto della DMZ è in genere quello di posizionare lì il livello di presentazione come il server Web e quindi mantenere il server di database dietro il firewall consentendo solo alla macchina nella DMZ di comunicare con il server di database tramite la porta e i protocolli specificati. Aumenta la sicurezza, ma per una configurazione domestica a meno che non si stiano servendo applicazioni di livello N che si prestano a una DMZ non ha molto senso.