Was sind aus Sicherheitsgründen die Vorteile, wenn Sie eine DMZ zu Hause einrichten, wenn Sie von dort aus eine (unbeliebte) Website mit geringem Datenverkehr betreiben möchten?
Es gibt eine Reihe von Computern zu Hause im selben Windows-Netzwerk, aber der gesamte HTTP- und SSL-Verkehr wird auf einen bestimmten Computer in diesem Netzwerk umgeleitet. Muss dieser Computer für zusätzliche Sicherheit in einer Art DMZ eingerichtet werden?
Antworten:
Ja. Jeder eingehende Datenverkehr aus dem Internet, der keine Antwort auf eine Anfrage von einem Ihrer Computer ist, sollte verdächtig sein. Es gibt viele Szenarien, in denen Ihre Website kompromittiert werden könnte und dies dazu führen könnte, dass jemand Zugriff auf das interne Netzwerk hat.
Die unglückliche Realität ist nun, dass die meisten kommerziellen Heimrouter nicht in der Lage sind, eine ordnungsgemäße DMZ einzurichten. Sie können möglicherweise eine DMZ-IP festlegen, an die der gesamte externe Datenverkehr weitergeleitet wird. Dies ermöglicht nicht die Trennung, die eine DMZ bereitstellen sollte. Um eine funktionierende DMZ zu haben, müssen sich die Computer in der DMZ in einem anderen IP-Bereich oder Subnetz als das Hauptnetzwerk befinden und sich an einem anderen Port des Routers befinden, der nur den DMZ-IP-Bereich unterstützt. Das Endergebnis einer ordnungsgemäß konfigurierten DMZ ist, dass Systeme in der DMZ nicht direkt auf die IPs im Hauptnetzwerk zugreifen können.
Stellen Sie außerdem sicher, dass Ihr Router die DMZ für Verwaltungszwecke nicht als intern behandelt. Daher sollte es dem Datenverkehr aus der DMZ nicht mehr vertrauen als dem Datenverkehr aus dem Internet, und Sie sollten nicht in der Lage sein, von Systemen in der DMZ aus auf die Verwaltungsschnittstelle für den Router zuzugreifen. Dies ist häufig das Problem bei von anderen vorgeschlagenen "Zwei-Router" -Lösungen. Der externe Router behandelt die Systeme in der DMZ weiterhin als intern und vertrauenswürdig. Dieser externe Router könnte kompromittiert werden und der gesamte interne Datenverkehr muss noch durch ihn geleitet werden, um ins Internet zu gelangen.
Wenn Sie bereits nur die bestimmten Dienste (HTTP & SSL) weiterleiten, die Sie zur Verfügung stellen möchten, besteht die einzige Verwendung für eine DMZ darin, den Schaden zu begrenzen, wenn dieser Computer kompromittiert wird (z. B. über eine schlecht geschriebene CGI) ). Die Entscheidung, dies zu tun, sollte davon abhängen, wie viel Schaden dies verursachen würde. Wenn sich ohnehin keine anderen Computer im Netzwerk befinden, ist dies keine große Sache. Wenn jedoch ein ungesicherter interner NAS mit all Ihren persönlichen Finanzdaten vorhanden ist, sind Sie wahrscheinlich Ich möchte eine zusätzliche interne Sicherheitsebene, ja.
Ich würde es immer noch tun, weil es relativ einfach ist, dies zu tun. Wenn Sie über zwei Breitbandrouter verfügen, können Sie diese in Reihe mit verschiedenen privaten IP-Adressräumen einrichten (z. B. 192.168.100.1-254 und 192.168.200.1-254). Hängen Sie den Webserver an den ersten, der direkt mit dem Internet verbunden ist. Verwenden Sie die Portweiterleitung, um zu Ihrem Webserver zu gelangen. Stellen Sie alle Ihre Systeme, die sich in Ihrem privaten Netzwerk befinden, hinter den zweiten Breitbandrouter. Auf diese Weise müssen die Webserver, wenn sie aus irgendeinem Grund kompromittiert sind, über diesen zweiten Breitband-Router auf Ihre anderen Systeme zugreifen.
Die meisten Heimnetzwerke verfügen nicht über genügend öffentlichen IP-Adressraum, um eine DMZ effektiv einzurichten. Der Zweck der DMZ besteht jedoch normalerweise darin, die Präsentationsschicht wie den Webserver dort zu platzieren und dann den Datenbankserver hinter der Firewall zu belassen, sodass nur der Computer in der DMZ über den angegebenen Port und die angegebenen Protokolle mit dem Datenbankserver kommunizieren kann. Es erhöht zwar die Sicherheit, aber für ein Heim-Setup ist es nicht sehr sinnvoll, wenn Sie keine N-Tier-Anwendungen bereitstellen, die sich für eine DMZ eignen.