Executando um servidor web atrás de um firewall, é seguro?

Navegue suas respostas
7

Atualmente, temos um firewall baseado em Linux que ativa o endereço IP público para fornecer acesso à Internet aos PCs de nossa equipe e um Windows Server 2003 para compartilhamento de arquivos interno.

Eu quero hospedar o Redmine / SVN (um bugtracker) internamente por trás deste firewall usando um servidor Linux. Este servidor web será acessado pelos nossos clientes externamente para que eles possam postar relatórios de bugs. Isso significa que eu tenho que abrir a porta 80 & 22 no firewall para dar acesso ao servidor e eu para SSH a partir de casa.

No entanto, digamos que eu esteja usando o SSH baseado em senha para o servidor da Web e alguém o decifrou. Isso significa que o cracker poderia fazer ping e acessar outros servidores e PCs na rede?

    
por i.am.noob 19.02.2011 / 15:32

3 respostas

12

Sim. DMZ resolve o problema. Você pode criar DMZ no Linux (rede separada) usar mais uma NIC ou criar VLAN.

In computer security, a DMZ, or demilitarized zone is a physical or logical subnetwork that contains and exposes an organization's external services to a larger untrusted network, usually the Internet. The term is normally referred to as a DMZ by information technology professionals. It is sometimes referred to as a perimeter network. The purpose of a DMZ is to add an additional layer of security to an organization's local area network (LAN); an external attacker only has access to equipment in the DMZ, rather than any other part of the network.

    
por 19.02.2011 / 15:37
5

@ooshro deu uma boa resposta sobre as DMZs, mas quero acrescentar que há etapas adicionais para proteger seu acesso externo a fim de limitar a possibilidade de comprometimento do host.

Primeiro, certifique-se de configurar regras de firewall adequadas no servidor do bugtracker do Linux. Como ele será acessível publicamente, você deve controlar o acesso dentro e fora da máquina com firmeza. A maioria das configurações de firewall concentra-se em bloquear conexões de entrada do mundo externo. Esse é um bom primeiro passo, mas você também deve bloquear as conexões de saída. Por exemplo, se este servidor não precisar de ssh para o mundo externo, deve haver uma regra de firewall bloqueando isso.

Instale um conjunto mínimo de pacotes de software no servidor. Você realmente precisa de utilitários de rede como o tcpdump ou o traceroute? Provavelmente não, mas podem ser inestimáveis para alguém que invadir sua máquina.

Tome medidas adicionais para proteger o ssh de entrada no servidor linux. Você deve executar algo como denyhosts para bloquear tentativas de login automatizadas. Se apenas usuários administradores como você acessarem a caixa via ssh, execute seu servidor ssh em uma porta diferente para reduzir novamente as tentativas de login automático do ssh.

Não permita logins de ssh somente de senha na caixa, em vez disso, use o uso de chaves de chaves públicas / privadas pré-criadas. Verifique a autenticação de dois fatores do Google , para que haja uma camada adicional de segurança quando você faz o login.

    
por 19.02.2011 / 20:43
0

Além da resposta do @oshoshro. Ter tudo em uma DMZ também é uma preocupação, como se qualquer um desses serviços fosse comprometido, o invasor teria um trabalho muito mais fácil de comprometer toda a DMZ, o que dá uma plataforma maior para tentar passar pelo firewall.

    
por 23.02.2011 / 00:17

Tags

MegaRAID JBOD substitute Como posso usar o netsh para encontrar uma regra usando um padrão