Am sichersten: Port Forwarding Vs DMZ für SOHO-Szenario

2760
tarilabs

In einem Small Office / Home Office (SOHO) -Szenario möchte ich den ADSL-Router für eine kleine http-Serverinstallation konfigurieren - eigentlich ein Experiment mit einem Raspberry Pi, der als http-Server arbeitet. Ich bin etwas besorgt über die Sicherheitsauswirkungen der Computer im LAN, falls dieser http-Server gefährdet ist.

Damit der kleine Server über das Internet von außen erreichbar ist, gibt es meines Erachtens zwei Möglichkeiten, den ADSL-Router zu konfigurieren:

  • Port-Weiterleitung
  • DMZ

Im Falle von Port Forwarding, müsste ich nur die Ports 80443 weiterleiten aus dem Internet / auf dem HTTP - Server auf die gleiche WAN, die in diesem Fall innerhalb des lokalen Netzwerks LAN bleiben würde.

Im Fall von DMZ ist es äußerst wichtig, die HTTP-Server-Box zu sichern / zu härten, z. aber irgendwie immer noch in verbindung mit dem ADSL-router direkt.

Welche der beiden Optionen bietet die meisten Sicherheitsgarantien für den Fall, dass der http-Server gefährdet wird?

Ich glaube, im Falle eines Portweiterleitungsszenarios könnte ein Angriff nur über den http-Port erfolgen. Wenn jedoch die Box beeinträchtigt wird, befindet sich die Box im LAN. Im Fall des DMZ-Szenarios befindet sich die Box theoretisch nicht im LAN, aber ich frage mich, ob dies den Router für leichtere Angriffe aussetzt, und auch nicht wirklich sicher ist, wie man prüft, ob es sich um eine richtige DMZ für "Netzwerkpartition" oder eine msgstr "Wildcard - Port vorwärts". In jedem Fall überprüfte ich der Router mit „Remote - Management (von Internet / WAN)“ eingestellt ist deaktiviert, ist es ein Netgear DGND3300v2.

Ich möchte dieses http-Server-Experiment ausführen, ohne die Sicherheit der Heimcomputer zu beeinträchtigen.

0

1 Antwort auf die Frage

3
LPChip

DMZ ist auf jeden Fall eine sehr schlechte Idee.

Grundsätzlich deaktiviert DMZ das Router-Protokoll für jede IP-Adresse vollständig und leitet alle Ports von außen an die interne weiter.

Und der Server kann sich noch in Ihrem Netzwerk befinden und somit erreichbar sein. Somit ist jeder Port für Ihren Server offen und unerwünschte Angriffe sind möglich.

Die Portweiterleitung ist IMMER der richtige Weg. DMZ wird normalerweise verwendet, wenn Ihr Router die Art des Datenverkehrs nicht unterstützt oder ein zweiter Router dahinter ist und Ihr Router nicht überbrückt, oder wenn Sie schnell testen müssen, ob der Router Probleme verursacht.

Denken Sie jedoch daran, dass Sie Ihren Server immer außerhalb des anderen Netzwerks platzieren können, wenn Sie Ihr Netzwerk mithilfe von VLANs richtig einrichten (sofern Ihr Router dies unterstützt).

Ihr Rat ist zwar für die allermeisten Fälle völlig angemessen, erscheint jedoch etwas übertrieben, da es gute Gründe und Mittel gibt, um einen Dienst oder Dienstleistungen sicher zu DMZ zu sichern. Ich möchte auch darauf hinweisen, dass DMZ das Routing (oder die Firewall auf den meisten Unternehmenssystemen) nicht umgeht, sondern NAT umgeht, indem unerwünschter Datenverkehr für nicht mit NAT bezeichnete Ports an den Host gesendet wird. Dies kann für die Erkennung von Diensten, für fortgeschrittene Lastausgleichstechniken und für die Bereitstellung mehrerer Dienstinstanzen sehr nützlich sein. aber Sie haben recht, wenn Sie fragen, DMZ ist nicht für Sie. Frank Thomas vor 8 Jahren 1

Verwandte Probleme