Mais seguro: Port Forwarding Vs DMZ para cenário SOHO

Navegue suas respostas
0

Em um cenário de pequeno escritório / home office (SOHO), gostaria de configurar o roteador ADSL para uma pequena instalação de servidor http - na verdade, um experimento com um Raspberry Pi, funcionando como um servidor http. Estou um pouco preocupado com as implicações de segurança dos computadores na LAN, no caso de este servidor http ficar comprometido.

Para que o pequeno servidor possa ser acessado pela Internet externa, acredito que haja duas opções que eu possa usar para configurar o roteador ADSL:

  • Port Forwarding
  • DMZ

No caso de Port Forwarding , eu só precisaria encaminhar as portas 80.443 da Internet / WAN para o mesmo no servidor http, que nesse caso permaneceria dentro da LAN da rede local.

No caso de DMZ , torna-se extremamente importante proteger / proteger a caixa http server, por exemplo: change ssh port, etc., mas pelo menos o servidor http não está mais na rede local LAN; mas ainda de alguma forma em conexão com o roteador ADSL diretamente.

Qual das duas opções forneceria a maior parte das garantias de segurança no caso de o servidor http ser comprometido, por favor?

Eu acredito que no caso do cenário de encaminhamento de porta, um ataque poderia vir apenas por meio da porta http, mas se a caixa for comprometida, a caixa estará na LAN. Enquanto no caso do cenário DMZ a caixa teoricamente não está na LAN, mas eu me pergunto se isso expõe o roteador a ataques mais fáceis, e também não tenho certeza de como verificar se é um DMZ adequado para "partição de rede" ou um "porta do caractere curinga". De qualquer forma, verifiquei que o roteador está configurado com "gerenciamento remoto (da Internet / WAN)" para desativado , é um Netgear DGND3300v2.

Eu gostaria de executar este experimento de servidor http, sem comprometer a segurança dos computadores do escritório doméstico.

    
por tarilabs 04.12.2015 / 23:22

1 resposta

3

O DMZ é uma péssima ideia para usar em qualquer caso.

Basicamente, o que a DMZ faz é desabilitar completamente o protocolo do roteador para qualquer endereço IP e encaminhar todas as portas de fora para o interno.

E o servidor ainda pode estar em sua rede e, portanto, estar acessível. Portanto, qualquer porta é aberta ao seu servidor e ataques indesejados são possíveis.

Port Forwarding é SEMPRE o caminho a percorrer. A DMZ é normalmente usada quando o seu roteador não suporta o tipo de tráfego, ou há um segundo roteador atrás e o roteador não faz a ponte ou quando você precisa testar rapidamente se o roteador está causando algum problema.

Mas lembre-se, você sempre pode colocar seu servidor fora da outra rede se você configurar sua rede corretamente usando VLANs (se o seu roteador suportar isso).

    
por 04.12.2015 / 23:30

Tags

Como faço para impedir que o windows me assedie sobre thumbs.db ao mover arquivos? Autenticação para o processo raiz que não mostra todos os usuários