2 votos

Alojar un sitio web en la red doméstica; seguridad

Estoy teniendo un tiempo difícil encontrar la información en línea.

Si yo fuera el anfitrión de un sitio web en mi red de casa, me estoy abriendo a mí mismo para un hacker tener acceso a mi red, incluso si yo uso una máquina diferente para alojar el sitio web.

Formas he visto vagamente tratan de conseguir alrededor de esto:

  1. Configurar una VLAN
  2. Configurar una subred
  3. Configurar una cuenta de invitado en el router
  4. El uso de OpenVPN, o similar, servicio de VPN

Ahora, con los...

  1. No creo que mi router es capaz de agregar una VLAN.
  2. No estoy 100% seguro de cómo configurar una subred...
  3. He intentado configurar un invitado red wifi con contraseña, pero no importa lo que yo hago, que me dice que no se encuentra activa.
  4. ¿OpenVPN realmente lograr algo similar, para romper algo fuera de mi red principal?

¿Hay algo más que yo pueda hacer para asegurarse de que una máquina específica, en este caso el hosting de un servidor web, no es capaz de comunicarse con los otros dispositivos en la red?

0voto

Keltari Puntos 29984

Sí, es posible que un hacker puede utilizar un exploit en el servidor web para acceder a su red. Sin embargo, si usted mantener su software actualizado con los parches de seguridad, el riesgo es extremadamente bajo.

Dicho esto, la mayoría de los modernos router/cortafuegos deben tener la capacidad de limitar el acceso a través de listas de control de acceso. Usted puede solicitar a su proveedor sobre cómo hacer esto. Si, por alguna razón, el router es incapaz de esto, se puede reemplazar con diferentes router/firewall, o simplemente hacer una nueva entre el Isp y el servidor web.

Además, debe ser capaz de configurar el cortafuegos del software en el servidor web y el de otras máquinas para bloquear el acceso.

0voto

Ljm Dullaart Puntos 136

Muchos routers no soportan Vpn. Usted necesitará routers/switches de un segmento más alto para que.

La forma más sencilla de agregar seguridad de la red en su hogar es el uso de una DMZ entre dos routers y un pequeño equipo (por ejemplo, mi favorito, el Pi) como servidor web.

Una instalación de estas tendría este aspecto:

   ______
 _(      )_      a +---------------+ b        c +----------------+ d     +--+
(_Internet_)-------|router provider|------------|internal router |-------|pc|
  (______)         +---------------+   lan1     +----------------+  lan2 +--+
                                 | e
                           +------------+
                           | web server |
                           +------------+

una es la de la interfaz WAN del router que se conecta a su proveedor. Esto ya debería de estar conectado. b y e son las interfaces LAN de su proveedor del router.

En su proveedor del router, usted probablemente tendrá que habilitar el DHCP de la LAN, o de lo contrario tendrá que asignar direcciones IP estáticas. Para el servidor web, puede utilizar una dirección IP estática (no en el rango del DHCP de los proveedores de router, pero en la misma subred) también podrá habilitar el reenvío de puertos el puerto 80 y 443 a tu servidor web.

c es la interfaz WAN del router interno. Asegúrese de que la interfaz WAn de este router utiliza DHCP si se ha habilitado en el enrutador de proveedor, o asignar una IP estática a la interfaz WAN en la subred de la lan1 (la lan del lado del proveedor del router).

En el router Interno en labn2, usted probablemente tendrá que habilitar DHCP. Asegúrese de que la subred que se utiliza aquí es diferente de la lan1.

Un ejemplo de lo que esto podría significar para las subredes y direcciones IP:

Provider router
         WAN:        83.163.211.192 (as the provider gave me)
         LAN:        192.168.178.1, mask 255.255.255.0
         portforward: 80 and 443 to 192.168.178.10

Web server
         IP address: 192.168.178.10
         netmask:    255.255.255.0
         def. gw:    192.168.178.1

Internal router:
         WAN IP:     192.168.178.254
         WAN mask:   255.255.255.0
         WAN GW:     192.168.178.1

         LAN iIP:    192.168.1.1
         LAN mask    255.255.255.0
                     dhcp-enabled  

Debe tener en cuenta sin embargo, que la creación de una zona desmilitarizada para su servidor web debe mantener (security0) actualizaciones en el servidor de la web, y mantener una estricta seguridad de la actitud de cada cosa que haces en la parte expuesta del servidor. Aunque este sistema protege a los internos de la casa de la red, no completamente protegerse de los ataques y la desfiguración de los intentos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: