Quali rischi sono implicati nell'esporre i nostri computer domestici tramite Internet pubblica?

Bene, la raccomandazione generale sarebbe probabilmente qualcosa del tipo:

• Metti un firewall davanti al tuo server web. Consenti solo al traffico di cui hai bisogno per consentire e negare (eliminare o rifiutare è in gran parte una questione di preferenze) tutto il resto. L'hai già fatto, ma c'è molto di più rispetto all'utilizzo del software firewall.

• Passa sopra la configurazione del software con un pettine a denti fini. Prendi in considerazione in particolare tutto ciò che riguarda il caricamento di file, l'esecuzione di codice e cose del genere.

• Mantieni tutto ciò che è potenzialmente potenzialmente esposto a Internet completamente aggiornato. Ciò include il sistema operativo, il server web, qualsiasi cosa servita attraverso di esso (ricorda che quegli script PHP che ti permettono di caricare e visualizzare i file sono codice di computer eseguibile che può avere bug relativi alla sicurezza) e qualsiasi cosa che quelle applicazioni si affidano a (come ad esempio un server di database).

Anche nel migliore dei casi, la tua configurazione sarà sempre sicura quanto la parte minima di tutto ciò che è accessibile su Internet. Nel momento in cui inizi ad accettare i pacchetti da Internet invece di bloccare tutto, c'è sempre il rischio che un bug nello stack TCP / IP del sistema operativo, il software che gestisce i pacchetti o il posto in cui finiscono i dati, possa causare l'esposizione del computer comportamento diverso da quello desiderato da te (AKA una violazione della sicurezza di qualche tipo).

Non appena è disponibile una correzione per un problema relativo alla sicurezza, molti occhi iniziano a esaminarlo per vedere se potrebbero essere in grado di sfruttare ciò che è stato riparato per scopi illeciti.

Qualsiasi host connesso a Internet vedrà vedere scansioni regolari da vari bot. Alcuni sono innocui; alcuni sono abbastanza stupidi da essere essenzialmente innocui; ma alcuni sono potenzialmente pericolosi, e HTTP sulla porta 80 è abbastanza comune da aspettarsi un sacco di tale traffico. Che tu non abbia un nome host che punta al tuo indirizzo IP non cambia questo fatto. Il che significa che il server web e qualsiasi cosa sia in esecuzione su di esso dovrà essere in grado di gestire qualsiasi cosa chiunque può lanciarlo in base alle vulnerabilità di sicurezza attualmente conosciute in qualsiasi software e versione del server Web (poiché l'utente malintenzionato non saprà esattamente cosa potrebbe essere in esecuzione).

Rischi:

• Attacchi denial of service sul tuo computer pubblico. Forse la tua intera rete domestica a seconda della configurazione.
• Se il tuo IP statico ha un nome di dominio, la voce WHOIS vedrà i tuoi dettagli di contatto a livello globale a meno che (per alcuni registrar) tu paghi un extra per la privacy.
• Qualsiasi divieto IP o lista nera su di te o sul tuo servizio sarà più efficace poiché il tuo IP non cambia. Puoi essere rintracciato in modo più coerente nel tempo e nei servizi per lo stesso motivo, supponendo che non ci sia un instradamento anonimo.
• Se il tuo computer come server deve essere sempre attivo, aumenta l'opportunità di attaccare e mantenere un attacco. Se il computer è il tuo personal computer con foto di famiglia, documenti, file password, ecc. Allora la violazione non ha bisogno di penetrare altri firewall.

Suggerimento:

Per ottenere il massimo vantaggio (e la massima sicurezza) da un server domestico, suggerisco che il computer che ha effettivamente l'IP statico è un mini computer senza testa.

Questo computer senza monitor o tastiera può fungere da firewall primario e proxy inverso per la rete domestica. Può essere trattato come zona demilitarizzata (DMZ) della rete domestica e proteggere tutte le risorse archiviate su normali computer privati. Se una qualsiasi parte del resto della normale rete di computer è mantenuta attiva 24 ore su 24, 7 giorni su 7, dipende dal fatto che il server Web sia ospitato all'interno della DMZ * o meno (o entrambi per le soluzioni Web a due livelli).

L'idea è che questo server pubblico è indurito e molto limitato in ciò che possiede l'informazione e l'autorità interna; in genere esegue il proprio molto più sistema operativo sicuro (ad esempio Linux).

Il costo di un mini computer senza testa / server di casa dipende da quante prestazioni e spazio è necessario per i servizi smilitarizzati. Sulla fascia bassa hai Raspberry Pi di forse $ 200 fino a scatole di animali (meno la scheda video) di $ 2000 o più. Il low-end è più adatto per routing e amp; controllo degli accessi rispetto ai siti Drupal ricchi di contenuti, ma ecco un esempio di Raspberry webserver .

_{* Tecnicamente uso in modo improprio il termine DMZ; come DMZ è una rete logica inscatolata da due o più router / firewall; come il bailey / terreno di uccisione di un castello. Il server principale sarebbe sia il firewall interno della DMZ che una risorsa nella stessa DMZ.}

Offrire il servizio HTTP significa che qualsiasi vulnerabilità in quel servizio diventa un punto di ingresso per gli aggressori. Quindi, assicurati di gestire questo servizio con tutta la dovuta diligenza: applica le correzioni di sicurezza pubblicate dal fornitore, nel più breve tempo possibile. Questo vale sia per il software server HTTP stesso (ad esempio, Apache ) che per il "codice sito" (un buco nel codice PHP è ancora un buco). A parte questo, questo server non aggiungerà molto alla tua (in) sicurezza, sul lato tecnico delle cose .

Tuttavia, un server HTTP pubblicamente disponibile implica maggiore esposizione . La maggior parte delle persone elude i problemi non eseguendo software con patch complete, ma essendo commoners . Le persone da casa fanno il web surfing come persone normali. Schmucks non interessanti. Ce ne sono così tanti, forse miliardi, che nessuno è davvero motivato a hackerare nelle proprie macchine. Certo, c'è un sacco di hacking automatico in corso; quelle botnet non si nutriranno da sole! Ma nessuna vera minaccia da parte di un aggressore motivato e intelligente. Eseguendo un server Web, si diventa rari. Puoi attrarre interesse Le persone che gestiscono server Web a casa possono avere dati interessanti da fornire; almeno hanno fatto uno sforzo per fornire un servizio per altre persone.

Fondamentalmente, offrire un tale servizio tende a rimuovere un livello di protezione molto potente, ad esempio l'anonimato (come in: "non compare sul radar tra le masse"). Evadere gli attacchi semplicemente guardando "normali" è, concettualmente, un modo molto insoddisfacente per proteggere le risorse informative, ma funziona molto bene; e il tuo server HTTP ti spoglierà da quello.

Una fonte in più di preoccupazione è che la rete domestica è "protetta" contro le intrusioni dalle forze combinate del modem via cavo / ADSL (fornite dal proprio ISP) e, possibilmente, da una sorta di router domestico (WiFi). Questi dispositivi utilizzano software che viene raramente aggiornato e quindi tende ad avere molti problemi di sicurezza. Non vuoi davvero attirare l'attenzione su questo .