Dari sudut pandang keamanan, apa manfaat dari menjalankan seluruh babi pengaturan DMZ di rumah jika Anda berencana menjalankan situs web lalu lintas rendah (tidak populer) dari sana?
Ada sejumlah komputer di rumah di jaringan Windows yang sama, tetapi semua lalu lintas HTTP & SSL dialihkan ke mesin tertentu di jaringan itu. Apakah ada kebutuhan untuk mengatur mesin ini di semacam DMZ untuk keamanan tambahan?
Iya. Setiap lalu lintas masuk dari internet yang bukan merupakan respons terhadap permintaan dari salah satu komputer Anda harus dicurigai. Ada banyak skenario di mana situs web Anda dapat dikompromikan dan itu dapat menyebabkan seseorang memiliki akses ke jaringan internal.
Sekarang, kenyataan yang tidak menguntungkan adalah bahwa sebagian besar router rumah komersial tidak memiliki kapasitas untuk menyiapkan DMZ yang tepat. Mereka memungkinkan Anda untuk mengatur IP DMZ yang mengarahkan semua lalu lintas eksternal. Ini tidak memungkinkan pemisahan yang harus disediakan DMZ. Untuk memiliki DMZ fungsional, komputer dalam DMZ harus berada pada rentang IP atau subnet yang berbeda dari jaringan utama dan berada pada port yang berbeda pada router yang hanya mendukung DMZ IP Range. Hasil akhir dari DMZ yang dikonfigurasi dengan benar adalah bahwa sistem di DMZ tidak dapat mengakses IP pada jaringan utama secara langsung.
Pastikan juga router Anda tidak memperlakukan DMZ sebagai internal untuk keperluan administrasi. Jadi tidak seharusnya mempercayai lalu lintas dari DMZ lebih dari mempercayai lalu lintas dari internet, dan Anda seharusnya tidak bisa mendapatkan antarmuka administrasi untuk router dari sistem apa pun di DMZ. Ini sering merupakan masalah dengan solusi "dua router" yang diusulkan oleh orang lain. Router luar masih memperlakukan sistem di DMZ sebagai internal dan tepercaya. Router luar ini dapat dikompromikan dan semua lalu lintas internal masih perlu melewatinya untuk sampai ke internet.
Jika Anda baru saja meneruskan layanan tertentu (HTTP & SSL) yang ingin Anda sediakan, satu-satunya penggunaan untuk DMZ adalah membatasi kerusakan jika mesin itu dikompromikan (misalnya, melalui cgi yang ditulis dengan buruk). ). Memutuskan untuk melakukan ini harus didasarkan pada berapa banyak kerusakan yang akan menyebabkan - jika tidak ada mesin lain di jaringan, itu bukan masalah besar, tetapi jika ada NAS internal yang tidak aman dengan semua catatan keuangan pribadi Anda di dalamnya, Anda mungkin ingin lapisan keamanan internal tambahan, ya.
Saya masih akan melakukannya karena relatif mudah untuk melakukannya. Jika Anda memiliki dua router broadband, Anda dapat mengaturnya in-line dengan ruang alamat IP pribadi yang berbeda (seperti 192.168.100.1-254 dan 192.168.200.1-254). Matikan server web dari yang pertama, yang terhubung langsung ke Internet. Gunakan port forwarding untuk mengarahkan ke server web Anda. Letakkan semua sistem Anda yang akan berada di jaringan pribadi Anda di belakang router broadband kedua. Dengan begitu, jika server web dikompromikan karena suatu alasan, mereka harus melewati router broadband kedua untuk masuk ke sistem Anda yang lain.
Sebagian besar jaringan rumah tidak memiliki ruang alamat IP publik yang cukup untuk membuat DMZ secara efektif. Inti dari DMZ adalah untuk menempatkan lapisan presentasi di sana seperti server web dan kemudian menyimpan server database di belakang firewall yang memungkinkan hanya mesin di DMZ untuk berbicara dengan server database melalui port dan protokol yang ditentukan. Memang meningkatkan keamanan tetapi untuk pengaturan rumah kecuali jika Anda melayani aplikasi N-tier yang cocok untuk DMZ, itu tidak masuk akal.