ネットワーク上に公開Webサイトをホストするリスクはありますか?
-
05-07-2019 - |
質問
LANにある古いXPボックスにIISを設定して、Silverlightの一部をホストして、インターネットで他の人に見せたいと思います。ファイアウォールを通過してそのマシンに直接送信するパブリックIPが既に設定されており、リモートデスクトップを使用してそのマシンにログインし、家にいるときにその他の作業を行うことがあります。サーバー上のデータフォルダーにマップされたドライブ文字がありますが、そのマシンに直接データはありません。理解できないリスクにネットワーク全体をさらしたくない。だから、人々がパブリックIPアドレスにネットサーフィンしてそのマシンにWebブラウザでアクセスできるようにしたら、安全でしょうか?
解決
だから、人々がパブリックIPアドレスにネットサーフィンして、そのマシンにWebブラウザでアクセスできるようにしたら安全でしょうか?
信頼できるリソースへのアクセスを許可することで、常にリスクレベルを高めるため、「安全」に相対的な用語です。この場合、セキュリティで保護されたトランザクションを実行するのと同じ場所でこれをホストすることにより、おそらく危険なレベルを取っています(銀行口座へのログインなど)。
とはいえ、いくつかの高価値で低コストの保護対策を講じることができます:
- ルーターの背後にいるため、ルーターは二重の役割を果たし、ファイアウォールとして機能します。適切なポートのみが開いていることを確認してください。
- 実行するアプリケーションが最小限の権限で実行していることを確認してください。可能な限り、これらのアプリケーションを仮想マシン内で実行し、 that をWebサーバーとして使用します。
- 提供するアプリケーションへの安全なアクセス。信頼できるユーザーのみを許可します。
- サイトの公開エリアを最小限にします。
- アプリケーションを他のすべてとは完全に異なるファイルルートに保持します。
他のヒント
いいえ。そのマシンが危険にさらされた場合、いわば王国の鍵を持っています。ネットワークと他のネットワークの間にDMZをセットアップする必要があります。 RDC用のVPNを介して利用できる別のマシンが必要です。
次の3つの理由でこれを行いません。
- ジェフが言ったように、あなたは王国に鍵を渡すかもしれません
- まともなサイズのDoS攻撃を軽減する能力がない限り、ネットワークに注意を向けたくないでしょう。あなたがホストするコンテンツがこれをもたらす他の誰かをチェックする時がいつになるか、あなたは決して知りません。つまり、ネットワーク全体が(理論的には)外界から遮断される可能性があります。
- DMZが侵害されたとしても、そのサーバーが世界中にスパムを送信するリスクがあります。会社の送信メールがブラックホールに送られている間、そのIPをDNSBLから取得する苦痛を望まない。
どこか他の場所にある小さなサーバーのホスティングまたはコロケーションに支払うにはあまりにも安いです。
編集:
理由#3を追加
IIS 5.1は10の同時接続に制限されており、ほとんどのブラウザーは2つ以上の接続を開いて画像やその他のページ要素をダウンロードします。
IIS 5.1およびXPは、デフォルトで多くのものを開きます。 IISのすべての不必要な機能と、XPのすべての不必要なネットワーク向けサービスをすべて確認してオフにします。
外部ネットワークに内部ネットワークに接続されているマシンへのアクセスを許可していることを念頭に置いて、マシンを最新の状態に保つ限り、「安全」になります。
個人的には、ホスティングの外に出てネットワークをより安全に保ち、ホスティングプロバイダーにソフトウェアの更新、攻撃者の侵入の防止、ネットワークの維持を心配させることをお勧めします。それほど費用はかからず、そうでなければ対処しなければならない頭痛の多くを軽減します。