Do ponto de vista da segurança, quais são os benefícios de se tornar uma DMZ em casa se você planeja executar um site com pouco tráfego (impopular) a partir daí?
Há vários computadores domésticos na mesma rede do Windows, mas todo o tráfego HTTP e SSL é redirecionado para uma máquina específica nessa rede. É necessário configurar esta máquina em algum tipo de DMZ para aumentar a segurança?
Respostas:
Sim. Qualquer tráfego de entrada da Internet que não seja uma resposta a uma solicitação de um de seus computadores deve ser suspeito. Existem muitos cenários em que seu site pode ser comprometido e isso pode levar alguém a ter acesso à rede interna.
Agora, a infeliz realidade é que a maioria dos roteadores domésticos comerciais não tem capacidade para configurar uma DMZ adequada. Eles podem permitir que você defina um IP DMZ para o qual todo o tráfego externo é roteado. Isso não permite a separação que uma DMZ deve fornecer. Para ter uma DMZ funcional, os computadores na DMZ precisam estar em um intervalo ou sub-rede IP diferente da rede principal e em uma porta diferente no roteador que suporta apenas o intervalo IP da DMZ. O resultado final de uma DMZ configurada corretamente é que os sistemas na DMZ não podem acessar os IPs na rede principal diretamente.
Verifique também se o seu roteador não trata a DMZ como interna para fins de administração. Portanto, ele não deve confiar no tráfego da DMZ, assim como não confia no tráfego da Internet, e você não deve conseguir acessar a interface de administração do roteador de nenhum sistema na DMZ. Geralmente, esse é o problema das soluções de "dois roteadores" propostas por outras pessoas. O roteador externo ainda trata os sistemas na DMZ como internos e confiáveis. Esse roteador externo pode estar comprometido e todo o tráfego interno ainda precisa passar por ele para acessar a Internet.
Se você já está encaminhando os serviços específicos (HTTP e SSL) que deseja disponibilizar, o único uso para uma DMZ seria limitar o dano se a máquina fosse comprometida (por exemplo, por meio de um cgi mal escrito) ) A decisão de murchar deve fazer com base em quanto dano isso causaria - se não houver outras máquinas na rede, não é grande coisa, mas se houver um NAS interno não seguro com todos os seus registros financeiros pessoais, você provavelmente quer uma camada interna adicional de segurança, sim.
Eu ainda o faria porque é relativamente fácil fazê-lo. Se você tiver dois roteadores de banda larga, poderá configurá-los alinhados com diferentes espaços de endereços IP privados (como 192.168.100.1-254 e 192.168.200.1-254). Desligue o servidor da Web do primeiro, conectado diretamente à Internet. Use o encaminhamento de porta para direcionar ao seu servidor web. Coloque todos os seus sistemas que estarão na sua rede privada atrás do segundo roteador de banda larga. Dessa forma, se o servidor da Web estiver comprometido por algum motivo, eles terão que passar pelo segundo roteador de banda larga para entrar nos outros sistemas.
A maioria das redes domésticas não possui espaço de endereço IP público suficiente para configurar uma DMZ efetivamente. O objetivo da DMZ, porém, é tipicamente colocar a camada de apresentação como o servidor da Web e, em seguida, manter o servidor de banco de dados atrás do firewall, permitindo que apenas a máquina na DMZ fale com o servidor de banco de dados sobre a porta e os protocolos especificados. Isso aumenta a segurança, mas para uma configuração doméstica, a menos que você esteja servindo aplicativos de camada N que se prestam a uma DMZ, não faz muito sentido.