Os endereços IP do servidor e do site devem ser os mesmos?

2

Estamos executando o Windows Server 2008 R2 em um ambiente virtual voltado para o público. O servidor foi provisionado com um endereço IP, que eu, o desenvolvedor, usei como endereço IP padrão para um site do IIS.

Esta é a melhor prática? O IP do servidor e o IP do site devem ser diferentes?

É minha intenção usar apenas um endereço IP no IIS e nos cabeçalhos de host do usuário para rotear o tráfego de entrada.

    
por mmcglynn 20.07.2012 / 19:07

2 respostas

3

Depende de quais portas estão abertas e do que está desativado e não do firewall.

Tenho certeza de que há muitas configurações de máquinas assim, mas você perguntou sobre as melhores práticas e, certamente, acho que a maioria dos administradores de sistemas ficaria muito mais feliz em ver dois IPs na NIC, um para tráfego externo e outro para interno tráfego de gerenciamento - ou duas NICs físicas ou virtuais diferentes. Isso não elimina qualquer risco de segurança inerente ao uso de um único IP, mas ajuda a diminuir o risco e essa seria minha recomendação para você.

    
por 20.07.2012 / 19:13
2

É muito comum que um servidor da Web tenha apenas 1 endereço IP. Endereços IPv4 estão ficando escassos e as pessoas não querem usar mais do que precisam.

Do ponto de vista da segurança, fica um pouco mais fácil para um invasor encontrar outros serviços nessa máquina, mas faz pouca diferença. Uma placa de rede separada em uma rede diferente para gerenciamento pode ser uma medida de segurança, mas apenas um segundo endereço IP na mesma rede e interface não é.

Em qualquer caso, você quer ter certeza de ter configurado corretamente o seu firewall, bem como serviços protegidos, como área de trabalho remota - se a área de trabalho remota for aberta à Internet em geral, sofrerá ataques, e alguns poderão eventualmente ter sucesso.

Um motivo pelo qual você pode querer ter vários endereços IP é se você estiver executando vários sites HTTPS, já que é muito mais fácil de configurar e melhor suportado se eles estiverem usando endereços IP separados e não baseados em nome.

    
por 20.07.2012 / 19:25