Desde el punto de vista de la seguridad, ¿cuáles son los beneficios de hacer todo el trabajo de configurar una DMZ en casa si planea ejecutar un sitio web de bajo tráfico (impopular) desde allí?
Hay varias computadoras en el hogar en la misma red de Windows, pero todo el tráfico HTTP y SSL se redirige a una máquina específica en esa red. ¿Es necesario configurar esta máquina en algún tipo de DMZ para mayor seguridad?
Respuestas:
Si. Cualquier tráfico entrante de Internet que no sea una respuesta a una solicitud de una de sus computadoras debe ser sospechoso. Hay muchos escenarios en los que su sitio web podría verse comprometido y eso podría llevar a que alguien tenga acceso a la red interna.
Ahora, la desafortunada realidad es que la mayoría de los enrutadores domésticos comerciales no tienen la capacidad de configurar una DMZ adecuada. Pueden permitirle establecer una IP DMZ a la que se enruta todo el tráfico externo. Esto no permite la separación que debe proporcionar una DMZ. Para tener una DMZ funcional, las computadoras en la DMZ deben estar en un rango de IP o subred diferente que la red principal y estar en un puerto diferente en el enrutador que solo sea compatible con el rango de IP de DMZ. El resultado final de una DMZ configurada correctamente es que los sistemas en la DMZ no pueden acceder a las IP en la red principal directamente.
También asegúrese de que su enrutador no trate la DMZ como interna para fines de administración. Por lo tanto, no debe confiar en el tráfico de la DMZ más de lo que confía en el tráfico de Internet, y no debe poder acceder a la interfaz de administración para el enrutador desde ningún sistema en la DMZ. Este suele ser el problema con las soluciones de "dos enrutadores" propuestas por otros. El enrutador externo todavía trata los sistemas en la DMZ como internos y confiables. Este enrutador externo podría verse comprometido y todo el tráfico interno aún debe pasar a través de él para llegar a Internet.
Si ya está reenviando los servicios particulares (HTTP y SSL) que desea poner a disposición, el único uso para una DMZ sería limitar el daño si esa máquina se viera comprometida (por ejemplo, a través de un cgi mal escrito ) Decidir si hacer esto debería basarse en la cantidad de daño que causaría: si de todos modos no hay otras máquinas en la red, no es gran cosa, pero si hay un NAS interno no seguro con todos sus registros financieros personales, probablemente quiere una capa interna adicional de seguridad, sí.
Todavía lo haría porque es relativamente fácil hacerlo. Si tiene dos enrutadores de banda ancha, puede configurarlos en línea con diferentes espacios de direcciones IP privadas (como 192.168.100.1-254 y 192.168.200.1-254). Cuelgue el servidor web del primero, que está conectado directamente a Internet. Utilice el reenvío de puertos para dirigir a su servidor web. Coloque todos sus sistemas que estarán en su red privada detrás del segundo enrutador de banda ancha. De esa manera, si el servidor web se ve comprometido por alguna razón, tendrán que pasar por ese segundo enrutador de banda ancha para acceder a sus otros sistemas.
La mayoría de las redes domésticas no tienen suficiente espacio público de direcciones IP para configurar una DMZ de manera efectiva. Sin embargo, el objetivo de la DMZ suele ser colocar la capa de presentación allí como el servidor web y luego mantener el servidor de la base de datos detrás del firewall permitiendo que solo la máquina en la DMZ se comunique con el servidor de la base de datos a través del puerto y los protocolos especificados. Aumenta la seguridad, pero para una configuración doméstica, a menos que esté sirviendo aplicaciones de nivel N que se prestan a una DMZ, no tiene mucho sentido.