Kann ein Server in einer DMZ ein Sicherheitsrisiko für den Rest des Netzwerks darstellen?

1078
Mella

Ich bin viel unterwegs, um zu arbeiten, und ich dachte, ich könnte einen alten Laptop mitnehmen und ein paar VM-Labors einrichten, um damit herumzuspielen, auf die ich zugreifen kann, wenn ich nicht zu Hause bin.

Es wäre nur ein dedizierter Server, der ein paar VMs betreibt, nichts Wichtiges wäre darauf und das einzige, was passieren würde, wenn er gehackt und durcheinander gebracht würde, wäre, dass ich etwas verärgert wäre, wenn ich ihn zurücksetzen musste, wenn ich heimgekommen.

Anstatt also eine Menge Zeit damit zu verbringen, meinen Router und die Firewall zu konfigurieren, um sie zwar zugänglich, aber sicher zu machen, dachte ich, ich könnte sie einfach in die DMZ werfen und damit fertig sein.

Jetzt bin ich mit DMZs oder deren Betrieb nicht sehr vertraut. Ich kann eine IP in der DMZ einstellen, aber das ist ungefähr so ​​weit.

Wenn ich dies tun würde, egal wie anfällig oder schlecht konfiguriert mein kleiner VM-Server ist, stellt dies ein Risiko für das interne Netzwerk dar? Oder ist mein Netzwerk genau so sicher, unabhängig davon, ob ich Maschinen in der DMZ habe oder nicht?

0
Genau dafür wird ein VPN verwendet. Sie stellen einen einzelnen Dienst / Server mit DMZ bereit, erlauben externe Verbindungen, jedoch nur, wenn eine Verbindung zum VPN besteht. Auf diese Weise können Sie eine Verbindung zu den VMs oder einem beliebigen Gerät im Netzwerk, jedoch nur während der Verbindung, zum VPN herstellen. Ramhound vor 8 Jahren 0

2 Antworten auf die Frage

2
Daniel B

DMZ ist in den meisten (wenn nicht allen) Consumer-Routern eine falsche Bezeichnung. Es gibt schließlich keine "Zone". Der korrekte Begriff lautet "Exposed Host". Das klärt die Dinge ein wenig.

Der exponierte Host ist nicht vom Rest des Netzwerks getrennt. Es befindet sich immer noch in derselben Broadcast-Domäne. Bei einer Gefährdung hätte der Angreifer einen ungehinderten Zugang zum lokalen Netzwerk. (Sofern nicht anders getrennt.)

Wenn auf Ihrem exponierten Host „interne“ Dienste ausgeführt werden, sind diese plötzlich über das Internet erreichbar.

Ein besserer Weg wäre, einen VPN-Dienst einzurichten (wie OpenVPN erfordert nur einen einzelnen TCP- oder UDP-Port) und Weiterleitungsports nur für diesen Dienst.

0
Tyson

Kurze Antwort: Ja

Wenn Sie nur bestimmte Ports öffnen und an einen bestimmten Computer weiterleiten, müssen Sie sich nur um die Sicherheit dieser Ports kümmern.

DMZ öffnet alle Ports und leitet sie an einen Rechner weiter. Wenn ein Angreifer mithilfe eines Exploits die Kontrolle über die DMZ-Box erhält, befinden sie sich nun in Ihrem Netzwerk.

Meines Wissens ist DMZ nur für sehr temporäre Bedürfnisse gedacht.

Verwandte Probleme