Güvenlik açısından, düşük trafikli (popüler olmayan) bir web sitesi çalıştırmayı planlıyorsanız, evde bir DMZ kurmanın tüm domuzunu kullanmanın faydaları nelerdir?
Evde aynı Windows ağında birkaç bilgisayar var, ancak tüm HTTP ve SSL trafiği bu ağdaki belirli bir makineye yönlendiriliyor. Daha fazla güvenlik için bu makineyi bir tür DMZ'de ayarlamaya ihtiyaç var mı?
Yanıtlar:
Evet. Bilgisayarlarınızdan birinden gelen bir isteğe yanıt vermeyen, İnternet'ten gelen tüm trafik şüpheli olmalıdır. Web sitenizin güvenliğinin ihlal edilebileceği ve dahili ağa erişmesine neden olabilecek birçok senaryo vardır.
Şimdi, talihsiz gerçeklik, çoğu ticari ev yönlendiricisinin uygun bir DMZ kurma kapasitesine sahip olmamasıdır. Tüm harici trafiğin yönlendirildiği bir DMZ IP'si ayarlamanıza izin verebilirler. Bu, bir DMZ'nin sağlaması gereken ayrılmaya izin vermez. İşlevsel bir DMZ'ye sahip olmak için, DMZ'deki bilgisayarların ana ağdan farklı bir IP aralığında veya alt ağda olması ve yönlendiricide yalnızca DMZ IP Aralığı'nı destekleyen farklı bir bağlantı noktasında olması gerekir. Düzgün yapılandırılmış bir DMZ'nin sonucu, DMZ'deki sistemlerin ana ağdaki IP'lere doğrudan erişememesidir.
Ayrıca, yönlendiricinizin DMZ'yi yönetim amacıyla dahili olarak işlemediğinden emin olun. Bu nedenle, DMZ'den gelen trafiğe, İnternet'ten gelen trafiğe güvenmekten daha fazla güvenmemeli ve DMZ'deki herhangi bir sistemden yönlendiricinin yönetim arayüzüne erişememelisiniz. Bu genellikle başkaları tarafından önerilen "iki yönlendirici" çözümüyle ilgili bir sorundur. Dış yönlendirici hala DMZ'deki sistemlere dahili ve güvenilir gibi davranır. Bu dış yönlendirici tehlikeye girebilir ve tüm dahili trafiğin yine de internete erişmek için içinden geçmesi gerekir.
Zaten sadece sunmak istediğiniz belirli hizmetleri (HTTP ve SSL) yönlendiriyorsanız, DMZ'nin tek kullanımı, makinenin güvenliği ihlal edilecekse (örneğin, kötü yazılmış bir cgi aracılığıyla) hasarı sınırlamak olacaktır. ). Bunu yapmaya kalmamak, ne kadar hasar vereceğine bağlı olmalıdır - yine de ağda başka makine yoksa, önemli değil, ancak üzerinde tüm kişisel finansal kayıtlarınız olan güvenli olmayan bir dahili NAS varsa, muhtemelen ek bir iç güvenlik katmanı istiyorum, evet.
Hâlâ yaparım çünkü bunu yapmak nispeten kolaydır. İki geniş bant yönlendiriciniz varsa, bunları farklı özel IP adres alanlarıyla (192.168.100.1-254 ve 192.168.200.1-254 gibi) aynı hizada ayarlayabilirsiniz. Web sunucusunu doğrudan İnternet'e bağlı olan ilk sunucudan asın. Web sunucunuza yönlendirmek için bağlantı noktası yönlendirmeyi kullanın. Özel ağınızdaki tüm sistemlerinizi ikinci geniş bant yönlendiricinin arkasına koyun. Bu şekilde, web sunucusunun bir nedenle güvenliği ihlal edilirse, diğer sistemlerinize erişmek için bu ikinci geniş bant yönlendiriciden geçmeleri gerekir.
Çoğu ev ağında, bir DMZ'yi etkili bir şekilde kurmak için yeterli genel IP adresi alanı yoktur. Bununla birlikte, DMZ'nin amacı genellikle sunum katmanını web sunucusu gibi oraya koymak ve daha sonra veritabanı sunucusunu güvenlik duvarının arkasında tutmaktır, ancak DMZ'deki makinenin belirtilen port ve protokoller üzerinden veritabanı sunucusuyla konuşmasına izin verir. Güvenliği artırır, ancak kendilerini bir DMZ'ye bağlayan N katmanlı uygulamalara hizmet etmediğiniz sürece bir ev kurulumu için çok mantıklı değildir.