Может ли сервер в демилитаризованной зоне представлять угрозу безопасности для остальной части сети?

986
Mella

Я нахожусь в дороге для работы, поэтому я подумал, что могу взять старый ноутбук и настроить несколько виртуальных лабораторий, чтобы поиграть с ним, чтобы я мог получить к ним доступ, когда нахожусь вне дома.

Это был бы просто выделенный сервер, на котором работала пара виртуальных машин, ничего важного не было бы на нем, и единственное, что могло бы случиться, если бы его взломали и испортили, было бы то, что я был бы немного раздражен тем, что мне пришлось сбросить его, когда я вернулся домой.

Поэтому вместо того, чтобы тратить кучу времени на настройку своего маршрутизатора и брандмауэра и тому подобного, чтобы сделать его доступным, но безопасным, я подумал, что я мог бы просто сбросить его в DMZ и покончить с этим.

Теперь я не очень знаком с DMZ или их работой. Я могу установить IP в DMZ, но это примерно так.

Если бы я сделал это, независимо от того, насколько уязвим или плохо сконфигурирован мой маленький виртуальный сервер, будет ли он представлять какой-либо риск для внутренней сети? Или моя сеть настолько безопасна, независимо от того, есть ли у меня машины в DMZ?

0
Это именно то, для чего используется VPN. Вы предоставляете один сервис / сервер с DMZ, разрешаете внешние соединения, но только при подключении к VPN. Это позволяет подключаться к виртуальным машинам или любому устройству в сети, но только при подключении к VPN. Ramhound 8 лет назад 0

2 ответа на вопрос

2
Daniel B

DMZ is a misnomer in most (if not all) consumer routers. There is no “zone”, after all. The correct term is “Exposed Host”. This clarifies things a little.

The Exposed Host is not separated from the rest of the network. It still resides on the same broadcast domain. If it were to be compromised, the attacker would have unfettered access to the local network. (Unless it is otherwise separated.)

Also, if any “internal” services are running on your Exposed Host, they would suddenly be Internet-accessible.

A better way would be to set up a VPN service (like OpenVPN, requires only a single TCP or UDP port) and forward ports for this service only.

0
Tyson

Short answer:yes

if only opening and forwarding certain ports to a specific machine, you only need to worry about security on those ports.

DMZ opens all ports and routes them to one machine. If an attacker gets control of the DMZ box using an exploit, yes they are now inside your network.

My understanding is DMZ should only be used for very temporary needs.

Похожие вопросы