Риски размещения публичного веб-сайта прямо в моей сети?

Question

Я хочу настроить IIS на старом компьютере с XP, который у меня есть в нашей локальной сети на работе, чтобы я мог размещать на нем некоторые вещи Silverlight, с которыми я работаю, и показывать их другим в Интернете. У меня уже есть общедоступный IP-адрес, который запускается прямо через брандмауэр и прямо на эту машину, и я иногда использую удаленный рабочий стол, чтобы войти на эту машину и выполнить некоторую разную работу, когда я дома. Буквы дисков сопоставлены с папками данных на сервере, но данные на этом компьютере отсутствуют. Я не хочу подвергать всю свою сеть риску, которого я не понимаю. Итак, будет ли безопасно, если я позволю людям переходить на общедоступный IP-адрес и подключаться к этой машине с помощью веб-браузера?

Answer 1

Итак, будет ли безопасно, если я позволю людям выходить на общедоступный IP-адрес и подключаться к этой машине через веб-браузер?

Вы всегда повышаете уровень риска, предоставляя доступ к доверенным ресурсам, поэтому термин «безопасный» является относительным. В этом случае вы берете на себя возможно опасный уровень риска, размещая его в том же месте, где вы хотите проводить безопасные транзакции (например, входя в свой банковский счет).

Тем не менее, вы можете принять некоторые дорогостоящие и недорогие защитные меры:

1. Поскольку вы находитесь за маршрутизатором, ваш маршрутизатор может выполнять двойную функцию и выполнять роль брандмауэра. Убедитесь, что открыты только соответствующие порты.
2. Убедитесь, что приложения, которые вы запускаете, делают это с минимумом привилегий. Если это вообще возможно, запустите эти приложения внутри виртуальной машины и используйте , что в качестве веб-сервера.
3. Безопасный доступ к приложениям, которые вы обслуживаете; разрешить только доверенным пользователям.
4. Сделать публичную область сайта минимальной.
5. Храните приложение в совершенно другом корне файла, чем все остальное.

Answer 2

IIS 5.1 ограничен 10 одновременными подключениями, и большинство браузеров открывают 2 или более подключений для загрузки изображений и других элементов страницы.

IIS 5.1 и XP по умолчанию открывают множество вещей. Просмотрите и отключите все ненужные функции в IIS и все ненужные сетевые службы в XP.

Answer 3

Я бы не стал этого делать по трем причинам:

1. Как сказал Джефф, вы можете раздавать ключи от королевства
2. Вы не хотите привлекать внимание к вашей сети, если у вас нет возможности смягчить DoS-атаку приличного размера. Вы никогда не знаете, когда контент, который вы размещаете, собирается пометить кого-то другого, что приведет к этому. Это означает, что вся ваша сеть (теоретически) может быть отрезана от внешнего мира.
3. Даже если в DMZ содержится компромисс, вы рискуете, что этот сервер рассылает СПАМ по всему миру. Вы НЕ хотите, чтобы этот IP получался из DNSBL, когда исходящая почта компании уходит в черную дыру.

Просто слишком дешево платить за хостинг или совместное размещение небольшого сервера в другом месте.

EDIT

Добавлена ​​причина № 3

Answer 4

Нет. Если эта машина скомпрометирована, у них есть, так сказать, ключи от королевства. Вы должны установить DMZ между ним и остальной частью вашей сети. У вас должна быть отдельная машина, доступная через VPN для RDC.

Answer 5

Если вы помните, что вы предоставляете посторонним доступ к машине, подключенной к вашей внутренней сети, и регулярно обновляете машину, вы будете "в безопасности".

Лично я бы посоветовал выйти за пределы хостинга, тем самым поддерживая безопасность своей сети и позволяя хостинг-провайдеру беспокоиться об обновлении программного обеспечения, защите от злоумышленников и поддержке сети. Это не будет стоить дорого, и избавит вас от головной боли, с которой вам пришлось бы иметь дело в противном случае.