Rischi di hosting di siti Web pubblici direttamente sulla mia rete?
https://stackoverflow.com/questions/624815
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Voglio configurare IIS su una vecchia scatola di XP che ho sulla nostra LAN al lavoro in modo da poter ospitare alcune cose Silverlight su cui sto lavorando in modo da mostrarle ad altri su Internet. Ho già impostato un IP pubblico che spara direttamente attraverso il mio firewall e direttamente su quella macchina, e a volte uso Remote Desktop per accedere a quella macchina e fare qualche lavoro sbagliato quando sono a casa. Ha lettere di unità associate a cartelle di dati sul server, ma nessun dato è direttamente su quella macchina. Non voglio esporre tutta la mia rete a rischi che non capisco. Quindi, sarà sicuro se permetterò alle persone di navigare verso l'indirizzo IP pubblico per colpire quella macchina con il loro browser web?
Soluzione
Quindi, sarà sicuro se permetto alle persone di navigare verso l'indirizzo IP pubblico per colpire quella macchina con il loro browser web?
Aumenta sempre il tuo livello di rischio consentendo l'accesso a risorse affidabili, quindi "sicuro" è un termine relativo. In questo caso, stai assumendo un livello potenzialmente pericoloso ospitando questo nella stessa posizione in cui desideri effettuare transazioni sicure (ad esempio accedendo al tuo conto bancario).
Detto questo, puoi prendere alcune misure di protezione di alto valore e basso costo:
- Dato che sei dietro un router, il tuo router può fare il doppio dovere e fungere da firewall. Assicurarsi che siano aperte solo le porte appropriate.
- Assicurati che le applicazioni che esegui lo facciano con un minimo di privilegi. Se possibile, esegui queste applicazioni all'interno di una macchina virtuale e usa quello come server web.
- Accesso sicuro alle applicazioni che servi; consentire solo utenti fidati.
- Rendi minima l'area pubblica del sito.
- Mantieni l'applicazione in un file radice completamente diverso da tutto il resto.
Altri suggerimenti
No. Se quella macchina viene compromessa, hanno le chiavi del regno, per così dire. È necessario impostare una DMZ tra essa e il resto della rete. È necessario disporre di un computer separato disponibile tramite VPN per RDC.
Non lo farei per tre motivi:
- Come ha detto Jeff, probabilmente stai distribuendo le chiavi del regno
- Non vuoi attirare l'attenzione sulla tua rete a meno che tu non abbia la capacità di mitigare un attacco DoS di dimensioni decenti. Non si sa mai quando il contenuto ospitato spunterà qualcun altro risultante in questo. Ciò significa che l'intera rete potrebbe (in teoria) essere tagliata fuori dal mondo esterno.
- Anche se un compromesso è contenuto nella DMZ, si corre il rischio che quel server invii SPAM in tutto il mondo. NON vuoi il dolore di far uscire quell'IP da un DNSBL mentre la posta aziendale in uscita va in un buco nero.
È semplicemente troppo economico per pagare l'hosting o la co-locazione di un piccolo server da qualche altra parte.
Modifica :
Aggiunto motivo n. 3
IIS 5.1 è limitato a 10 connessioni simultanee e la maggior parte dei browser apre 2 o più connessioni per scaricare immagini e altri elementi di pagina.
IIS 5.1 e XP aprono molte cose per impostazione predefinita. Esamina e disattiva tutte le funzionalità non necessarie in IIS e tutti i servizi non necessari sulla rete in XP.
Fintanto che tieni a mente che stai concedendo agli estranei l'accesso a una macchina connessa alla tua rete interna e tieni aggiornata la macchina sarai "quotato sicuro".
Personalmente suggerirei di uscire dall'hosting in modo da mantenere la tua rete più sicura e lasciare che il provider di hosting si preoccupi di aggiornare il software, tenere fuori gli aggressori e mantenere la rete. Non costa molto e allevia gran parte del mal di testa che altrimenti dovresti affrontare.
