Наиболее безопасный: переадресация портов против DMZ для сценария SOHO

2646
tarilabs

В сценарии с небольшим офисом / домашним офисом (SOHO) я хотел бы настроить маршрутизатор ADSL для установки небольшого http-сервера - фактически эксперимент с Raspberry Pi, работающим в качестве http-сервера. Я немного обеспокоен последствиями безопасности компьютеров в локальной сети, в случае, если этот http-сервер будет взломан.

Для того, чтобы маленький сервер был доступен из внешнего Интернета, я считаю, что есть две опции, которые я могу использовать для настройки маршрутизатора ADSL:

  • Перенаправление порта
  • ДМЗ

В случае переадресации портов мне нужно будет только перенаправить порты 80,443 из Интернета / WAN на те же порты на http-сервере, которые в этом случае останутся внутри локальной сети LAN.

В случае DMZ становится чрезвычайно важно защитить / укрепить коробку http-сервера, например: изменить порт ssh и т. Д., Но по крайней мере http-сервер больше не находится в локальной сети LAN; но все же как-то в связи с роутером ADSL напрямую.

Какой из этих двух вариантов обеспечит наибольшее количество гарантий безопасности в случае взлома http-сервера, пожалуйста?

Я полагаю, что в случае сценария переадресации портов атака может быть осуществлена ​​только через http-порт, но если коробка скомпрометирована, она находится в локальной сети. Хотя в случае сценария DMZ блок теоретически отсутствует в локальной сети, но мне интересно, подвергает ли маршрутизатор более легким атакам, а также не совсем уверен, как проверить, является ли это подходящая DMZ для «сетевого раздела» или "подстановочный порт вперед". В любом случае я проверил, что для маршрутизатора установлено « отключено удаленное управление (из Интернета / WAN)», это Netgear DGND3300v2.

Я хотел бы провести этот эксперимент с http-сервером, не ставя под угрозу безопасность компьютеров домашнего офиса.

0

1 ответ на вопрос

3
LPChip

DMZ is a very bad idea to use in any case.

Basically what DMZ does, is completely disables the router protocol for any ip address and forward all ports from outside to the internal.

And the server can still be within your network and thus be accessible. So any port is open to your server and any unwanted attacks are possible.

Port Forwarding is ALWAYS the way to go. DMZ is usually used for when your router does not support the kind of traffic, or there's a second router behind and your router doesn't bridge or for when you quickly need to test if the router is causing any problems.

But remember, you can always place your server outside of the other network if you setup your network correctly using VLAN's (if your router supports such).

Ваш совет, хотя он полностью подходит для подавляющего большинства случаев, кажется несколько преувеличенным, поскольку существуют веские причины и средства для безопасной DMZ-услуги или услуг. Я также хотел бы отметить, что DMZ не обходит маршрутизацию (или брандмауэр в большинстве корпоративных систем), она обходит NAT, отправляя на хост незапрошенный трафик, предназначенный для сопоставленных портов, отличных от NAT. Это может быть очень полезно для обнаружения служб, расширенных методов балансировки нагрузки и предоставления нескольких экземпляров служб. но вы правы, если вам нужно спросить, DMZ не для вас. Frank Thomas 8 лет назад 1

Похожие вопросы