Risques liés à l'hébergement d'un site Web public directement sur mon réseau?
https://stackoverflow.com/questions/624815
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je souhaite installer IIS sur un ancien ordinateur XP que je possède sur notre réseau local au travail, afin de pouvoir héberger des éléments Silverlight sur lesquels je travaille, afin de les montrer à d'autres personnes sur Internet. J'ai déjà configuré une adresse IP publique qui passe directement à travers mon pare-feu et directement sur cette machine, et j'utilise parfois Remote Desktop pour me connecter à cette machine et effectuer quelques travaux divers lorsque je suis chez moi. Les lettres de lecteur sont mappées sur des dossiers de données sur le serveur, mais aucune donnée ne se trouve directement sur cette machine. Je ne veux pas exposer tout mon réseau à des risques que je ne comprends pas. Sera-t-il prudent si je laisse les gens surfer sur l’adresse IP publique pour frapper cette machine avec leur navigateur Web?
La solution
Alors, sera-t-il prudent si je laisse les gens surfer sur l'adresse IP publique de frapper cette machine avec leur navigateur Web?
Vous augmentez toujours votre niveau de risque en autorisant l'accès à des ressources fiables, donc "sûres". est un terme relatif. Dans ce cas, vous prenez un risque éventuellement dangereux en hébergeant celui-ci au même endroit où vous souhaitez effectuer des transactions sécurisées (par exemple, en vous connectant à votre compte bancaire).
Cela dit, vous pouvez prendre des mesures de protection de grande valeur et à faible coût:
- Puisque vous êtes derrière un routeur, votre routeur peut jouer un double rôle et servir de pare-feu. Assurez-vous que seuls les ports appropriés sont ouverts.
- Assurez-vous que les applications que vous exécutez le font avec un minimum de privilèges. Dans la mesure du possible, exécutez ces applications sur une machine virtuelle et utilisez celui-ci comme serveur Web.
- Sécurisez l'accès aux applications que vous exploitez; autoriser uniquement les utilisateurs de confiance.
- Réduisez au minimum la zone du site accessible au public.
- Conservez l’application dans un fichier racine complètement différent de tout le reste.
Autres conseils
Non. Si cette machine devient compromise, ils ont les clés du royaume, pour ainsi dire. Vous devez configurer une zone démilitarisée entre celle-ci et le reste de votre réseau. Vous devez disposer d’un ordinateur séparé, disponible via un réseau privé virtuel (VPN) pour RDC.
Je ne le ferais pas pour trois raisons:
- Comme l'a dit Jeff, vous pourriez éventuellement remettre les clés du royaume
- Vous ne voulez pas attirer l'attention sur votre réseau, sauf si vous avez la possibilité d'atténuer une attaque de type DoS de taille décente. Vous ne savez jamais quand le contenu que vous hébergez va cocher quelqu'un d'autre, ce qui entraîne ce résultat. Cela signifie que tout votre réseau pourrait (en théorie) être coupé du monde extérieur.
- Même si un compromis est contenu dans la zone démilitarisée, vous courez le risque de voir ce serveur envoyer des spams dans le monde entier. Vous ne voulez PAS la douleur d'obtenir cette adresse IP d'un DNSBL alors que le courrier d'entreprise sortant va dans un trou noir.
C’est trop économique de payer pour l’hébergement ou la colocation d’un petit serveur ailleurs.
MODIFIER :
Ajout de la raison n ° 3
IIS 5.1 est limité à 10 connexions simultanées et la plupart des navigateurs ouvrent deux connexions ou plus pour télécharger des images et d'autres éléments de page.
IIS 5.1 et XP ouvre beaucoup de choses par défaut. Parcourez et désactivez toutes les fonctionnalités inutiles dans IIS et tous les services inutiles et faisant face au réseau dans XP.
Tant que vous gardez à l'esprit que vous donnez à des tiers l'accès à une machine connectée à votre réseau interne et maintenez la machine à jour, vous serez "en sécurité".
Personnellement, je suggérerais de passer de l’hébergement à l’extérieur afin de sécuriser votre propre réseau et de laisser le fournisseur d’hébergement se soucier de la mise à jour du logiciel, de la protection des pirates et de la maintenance du réseau. Cela ne coûte pas cher et soulagera une bonne partie des maux de tête auxquels vous auriez à faire face autrement.
