D'un point de vue de la sécurité, quels sont les avantages de se lancer dans la mise en place d'une DMZ à la maison si vous prévoyez de gérer un site Web à faible trafic (impopulaire) à partir de là?
Il y a un certain nombre d'ordinateurs à la maison sur le même réseau Windows, mais tout le trafic HTTP et SSL est redirigé vers une machine spécifique sur ce réseau. Est-il nécessaire de configurer cette machine dans une sorte de DMZ pour plus de sécurité?
Réponses:
Oui. Tout trafic entrant provenant d'Internet qui ne répond pas à une demande de l'un de vos ordinateurs doit être suspect. Il existe de nombreux scénarios où votre site Web pourrait être compromis et cela pourrait amener quelqu'un à accéder au réseau interne.
Maintenant, la triste réalité est que la plupart des routeurs domestiques commerciaux n'ont pas la capacité de configurer une DMZ appropriée. Ils peuvent vous permettre de définir une adresse IP DMZ vers laquelle tout le trafic externe est acheminé. Cela ne permet pas la séparation qu'une DMZ devrait fournir. Pour avoir une DMZ fonctionnelle, les ordinateurs de la DMZ doivent être sur une plage IP ou un sous-réseau différent de celui du réseau principal et être sur un port différent du routeur qui ne prend en charge que la plage IP DMZ. Le résultat final d'une DMZ correctement configurée est que les systèmes de la DMZ ne peuvent pas accéder directement aux IP sur le réseau principal.
Assurez-vous également que votre routeur ne traite pas la DMZ comme interne à des fins d'administration. Il ne doit donc pas faire plus confiance au trafic provenant de la DMZ qu'il ne fait confiance au trafic provenant d'Internet, et vous ne devriez pas pouvoir accéder à l'interface d'administration du routeur à partir de n'importe quel système de la DMZ. C'est souvent le problème avec les solutions "deux routeurs" proposées par d'autres. Le routeur extérieur traite toujours les systèmes de la DMZ comme internes et fiables. Ce routeur extérieur pourrait être compromis et tout le trafic interne doit encore le traverser pour accéder à Internet.
Si vous transférez déjà les services particuliers (HTTP et SSL) que vous souhaitez rendre disponibles, la seule utilisation d'une DMZ serait de limiter les dommages si cette machine devait être compromise (par exemple, via un cgi mal écrit) ). La décision de se faner devrait être basée sur les dommages que cela causerait - s'il n'y a pas d'autres machines sur le réseau de toute façon, ce n'est pas grave, mais s'il y a un NAS interne non sécurisé avec tous vos dossiers financiers personnels, vous avez probablement voulez une couche de sécurité interne supplémentaire, oui.
Je le ferais toujours parce que c'est relativement facile à faire. Si vous avez deux routeurs à large bande, vous pouvez les configurer en ligne avec différents espaces d'adresses IP privées (tels que 192.168.100.1-254 et 192.168.200.1-254). Suspendez le serveur Web au premier, qui est directement connecté à Internet. Utilisez la redirection de port pour diriger vers votre serveur Web. Mettez tous vos systèmes qui seront dans votre réseau privé derrière le deuxième routeur haut débit. De cette façon, si le serveur Web est compromis pour une raison quelconque, il devra passer par ce deuxième routeur à large bande pour accéder à vos autres systèmes.
La plupart des réseaux domestiques ne disposent pas d'un espace d'adressage IP public suffisant pour configurer efficacement une DMZ. Cependant, le but de la DMZ est généralement de placer la couche de présentation comme le serveur Web, puis de garder le serveur de base de données derrière le pare-feu, permettant uniquement à la machine de la DMZ de parler avec le serveur de base de données via le port et les protocoles spécifiés. Cela augmente la sécurité, mais pour une configuration domestique, à moins que vous ne serviez des applications de niveau N qui se prêtent à une DMZ, cela n'a pas beaucoup de sens.