Риски размещения общедоступного веб-сайта прямо в моей сети?

Question

Я хочу настроить IIS на старой коробке XP, которая у меня есть в нашей локальной сети на работе, чтобы я мог разместить на ней некоторые материалы Silverlight, с которыми я работаю, и показывать их другим пользователям в Интернете.У меня уже настроен общедоступный IP-адрес, который проходит прямо через мой брандмауэр и попадает прямо на этот компьютер, и я иногда использую удаленный рабочий стол для входа на этот компьютер и выполнения некоторых других работ, когда нахожусь дома.У него есть буквы дисков, сопоставленные папкам данных на сервере, но никаких данных непосредственно на этом компьютере нет.Я не хочу подвергать всю свою сеть рискам, которых я не понимаю.Итак, будет ли безопасно, если я позволю людям заходить на общедоступный IP-адрес, чтобы попасть на этот компьютер с помощью своего веб-браузера?

Answer 1

  

Итак, будет ли безопасно, если я позволю людям выходить на общедоступный IP-адрес и подключаться к этой машине через веб-браузер?

Вы всегда повышаете уровень риска, предоставляя доступ к доверенным ресурсам, поэтому " безопасно " это относительный термин. В этом случае вы принимаете возможно опасный уровень риска, размещая его в том же месте, где вы хотите проводить безопасные транзакции (например, входя в свой банковский счет).

Тем не менее, вы можете принять некоторые дорогостоящие и недорогие защитные меры:

<Ол>

Поскольку вы находитесь за маршрутизатором, ваш маршрутизатор может выполнять двойную функцию и выполнять роль брандмауэра. Убедитесь, что открыты только соответствующие порты.

Убедитесь, что приложения, которые вы запускаете, делают это с минимумом привилегий. Если возможно, запустите эти приложения внутри виртуальной машины и используйте that в качестве веб-сервера.

безопасный доступ к приложениям, которые вы обслуживаете; разрешать только доверенным пользователям.

Сделайте публичную область сайта минимальной.

Храните приложение в совершенно другом корне файла, чем все остальное.

Answer 2

Нет.Если эта машина будет скомпрометирована, у них, так сказать, будут ключи от королевства.Вы должны установить DMZ между ним и остальной частью вашей сети.У вас должен быть отдельный компьютер, доступный через VPN для RDC.

Answer 3

Я бы не стал этого делать по трем причинам:

1. Как сказал Джефф, вы, возможно, раздаете ключи от королевства
2. Вы не хотите, чтобы к вашей сети привлекалось внимание, если у вас нет возможности предотвратить DoS-атаку приличного размера.Вы никогда не знаете, когда контент, который вы размещаете, заинтересует кого-то другого, что приведет к такому результату.Это означает, что вся ваша сеть может (теоретически) быть отрезана от внешнего мира.
3. Даже если в DMZ обнаружен компромат, вы рискуете, что этот сервер будет рассылать СПАМ по всему миру.Вы ЖЕ НЕ хотите испытывать трудности с получением этого IP-адреса из DNSBL, в то время как исходящая корпоративная почта отправляется в черную дыру.

Это просто слишком дешево, чтобы платить за хостинг или совместное размещение небольшого сервера в другом месте.

Редактировать:

Добавлена причина №3

Answer 4

IIS 5.1 ограничен 10 одновременными подключениями, и большинство браузеров открывают 2 или более подключений для загрузки изображений и других элементов страницы.

IIS 5.1 и XP по умолчанию открывают множество вещей. Просмотрите и отключите все ненужные функции в IIS и все ненужные сетевые службы в XP.

Answer 5

Если вы помните, что вы предоставляете посторонним доступ к машине, подключенной к вашей внутренней сети, и регулярно обновляете машину, вы будете "в безопасности".

Лично я бы посоветовал выйти за пределы хостинга, тем самым поддерживая безопасность своей сети и позволяя хостинг-провайдеру беспокоиться об обновлении программного обеспечения, оберегая злоумышленников и поддерживая сеть. Это не будет стоить дорого, и избавит вас от головной боли, с которой вам пришлось бы иметь дело в противном случае.