집에서 DMZ를 설정 하시겠습니까?

보안 관점에서 트래픽이 적은 (인기없는) 웹 사이트를 운영하려는 경우 집에서 DMZ를 설치하는 데 도움이되는 이점은 무엇입니까?

가정에는 동일한 Windows 네트워크에 여러 컴퓨터가 있지만 모든 HTTP 및 SSL 트래픽은 해당 네트워크의 특정 컴퓨터로 리디렉션됩니다. 보안 강화를 위해이 머신을 DMZ에 설치해야합니까?

예. 컴퓨터 중 하나의 요청에 대한 응답이 아닌 인터넷에서 들어오는 트래픽은 모두 의심됩니다. 웹 사이트가 손상되어 내부 네트워크에 액세스 할 수있는 많은 시나리오가 있습니다.

불행히도 현실은 대부분의 상업용 가정용 라우터가 적절한 DMZ를 설정할 수있는 능력이 없다는 것입니다. 모든 외부 트래픽이 라우팅되는 DMZ IP를 설정할 수 있습니다. 이것은 DMZ가 제공해야하는 분리를 허용하지 않습니다. DMZ가 작동하려면 DMZ의 컴퓨터가 기본 네트워크와 다른 IP 범위 또는 서브넷에 있어야하며 DMZ IP 범위 만 지원하는 라우터의 다른 포트에 있어야합니다. DMZ가 올바르게 구성되면 DMZ의 시스템이 기본 네트워크의 IP에 직접 액세스 할 수 없습니다.

또한 라우터가 관리 목적으로 DMZ를 내부로 취급하지 않아야합니다. 따라서 인터넷 트래픽을 신뢰하는 것 이상으로 DMZ의 트래픽을 신뢰해서는 안되며 DMZ의 모든 시스템에서 라우터의 관리 인터페이스에 액세스 할 수 없습니다. 이것은 종종 다른 사람들이 제안한 "두 라우터"솔루션의 문제입니다. 외부 라우터는 여전히 DMZ의 시스템을 내부 및 신뢰할 수있는 것으로 취급합니다. 이 외부 라우터는 손상 될 수 있으며 모든 내부 트래픽은 여전히 ​​인터넷을 통과하기 위해 통과해야합니다.

사용하려는 특정 서비스 (HTTP 및 SSL)를 이미 전달하는 경우 DMZ의 유일한 용도는 해당 시스템이 손상된 경우 (예 : 잘못 작성된 cgi를 통해) 손상을 제한하는 것입니다. ). 시들게 결정하는 것은 얼마나 많은 피해를 입을 지에 달려 있어야합니다-어쨌든 네트워크에 다른 기계가 없다면 큰 문제는 아니지만 모든 개인 재무 기록이있는 보안되지 않은 내부 NAS가 있다면 아마도 추가적인 내부 보안 계층을 원합니다.

비교적 쉬운 일이기 때문에 여전히 그렇습니다. 광대역 라우터가 두 개인 경우 다른 개인 IP 주소 공간 (예 : 192.168.100.1-254 및 192.168.200.1-254)으로 인라인으로 설정할 수 있습니다. 인터넷에 직접 연결된 첫 번째 서버를 웹 서버에서 끊습니다. 포트 포워딩을 사용하여 웹 서버로 연결하십시오. 개인 네트워크에있는 모든 시스템을 두 번째 광대역 라우터 뒤에 배치하십시오. 이렇게하면 어떤 이유로 웹 서버가 손상되면 다른 시스템으로 들어가기 위해 두 번째 광대역 라우터를 통과해야합니다.

대부분의 홈 네트워크에는 DMZ를 효과적으로 설정하기에 충분한 공용 IP 주소 공간이 없습니다. 그러나 DMZ의 요점은 일반적으로 프리젠 테이션 계층을 웹 서버처럼 배치 한 다음 데이터베이스 서버를 방화벽 뒤에 두어 DMZ의 시스템 만 지정된 포트 및 프로토콜을 통해 데이터베이스 서버와 통신 할 수 있도록하는 것입니다. DMZ에 적합한 N 계층 응용 프로그램을 제공하지 않는 한 보안은 향상되지만 홈 설정에는 적합하지 않습니다.