Se installo un PC Windows 10 con un firewall software ( TinyWall , che è un front-end per Windows Firewall) e bloccato tutto il traffico ad eccezione di alcune applicazioni e porte che utilizzerei (server Minecraft e server Plex), sarebbe sicuro mettere la mia macchina nella DMZ del mio router? Il PC, i suoi dati o la mia rete domestica potrebbero essere vulnerabili agli attacchi esterni?
Se il router offre una vera DMZ allora il resto della rete sarebbe al sicuro anche se Windows Il PC è compromesso. Una vera DMZ è una rete separata che non ha accesso o solo molto limitato alla rete interna.
Tuttavia, ciò che la maggior parte dei router SoHo chiama DMZ è in realtà un host esposto , ovvero traffico dall'esterno viene inoltrato a un singolo host all'interno della rete interna e non in una rete separata. Poiché questo host esposto si trova all'interno della rete interna e ha accesso completo alla rete, questa configurazione non può essere considerata sicura poiché il compromesso del sistema esposto potrebbe anche influire sulla sicurezza degli altri sistemi (non esposti) all'interno della stessa rete interna.
Una vera DMZ richiede che il router stesso fornisca una rete aggiuntiva per tali dispositivi esposti che non ha accesso alla rete interna. Questa rete dovrebbe anche essere fisicamente o logicamente separata dalla rete interna, cioè di solito diversa con una porta ethernet fisica diversa ma forse solo con VLAN. Se il router offre solo l'inoltro di tutto a un singolo dispositivo all'interno della rete interna (ad esempio l'host esposto), si potrebbe provare a sfruttarlo al meglio con un router aggiuntivo strettamente configurato come host esposto che tenta quindi di offrire la vera rete DMZ. Ma dal momento che il router è posizionato all'interno della rete interna devi essere molto attento con la configurazione in modo che i dispositivi DMZ non possano accedere alla rete interna.
Per quanto riguarda la sicurezza del sistema esposto stesso: anche se solo il server Minecraft e Plex fosse raggiungibile dall'esterno non crederei in sicurezza poiché in passato c'erano exploit per server Minecraft e exploit per Plex .
A parte il fatto che la maggior parte degli attacchi contro sistemi normali come il tuo non sono causati da attacchi diretti contro il sistema dall'esterno ma dall'utente che inavvertitamente inserisce malware nel sistema navigando (drive-by-download) o leggendo mail e aprendo link o allegati (cioè da mail di phishing). E il semplice firewall di Windows non proteggerà in alcun modo questo. Antivirus e simili aiuteranno meglio contro questo malware ma non potranno raggiungere una copertura completa.