Voglio ospitare un server dal mio computer di casa; sicuro?

2

Ho intenzione di rendere pubblico un sito web su cui ho lavorato; mi sembra che (nella mia esperienza molto limitata) l'unico modo in cui posso farlo senza dover pagare soldi extra a host esterni, ecc. è l'hosting del server dal mio computer a casa.

Naturalmente, ho molta paura di farlo; nel design del mio sito ho seguito tutte le linee guida sulla sicurezza che conosco, ma ho paura che gli hacker saranno ancora in grado di accedere ad altri dispositivi sulla mia rete locale o accedere al mio personal computer (dal quale intendo ospitare il server).

Ho notato che il mio IP è già esposto a Internet: se visito il mio indirizzo IP pubblico nel browser, viene visualizzata la pagina del mio router di casa, che mi preoccupa anche - EDIT: in realtà ciò accade solo per dispositivi già collegati alla mia rete locale, un dispositivo remoto sembra non essere in grado di accedere alla pagina di configurazione del mio router in questo modo.

Ho eseguito nmap sul mio IP pubblico, senza che il mio server sia in esecuzione, come immagino sarebbe uno dei primi passi che un utente malintenzionato potrebbe intraprendere:

Nmap scan report for ***********************
Host is up (0.0023s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
5000/tcp open  upnp
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 40.89 seconds

Alcuni di questi servizi sono vulnerabili? Sono tutti gestiti dal mio router e non li ho impostati.

Ecco i nmap risultati da una fonte esterna:

Starting Nmap 6.00 ( http://nmap.org ) at 2016-08-26 15:44 EEST
NSE: Loaded 17 scripts for scanning.
Initiating Ping Scan at 15:44
Scanning **************** [4 ports]
Completed Ping Scan at 15:44, 0.06s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 15:44
Scanning **************** [100 ports]
Completed SYN Stealth Scan at 15:44, 4.25s elapsed (100 total ports)
Initiating Service scan at 15:44
Initiating OS detection (try #1) against ****************
Retrying OS detection (try #2) against ****************
Initiating Traceroute at 15:44
Completed Traceroute at 15:44, 0.04s elapsed
NSE: Script scanning ****************.

[+] Nmap scan report for ****************
Host is up (0.033s latency).
All 100 scanned ports on **************** are filtered

Too many fingerprints match this host to give specific OS details
Network Distance: 9 hops

In sostanza, mi piacerebbe sapere quali misure dovrei adottare per ridurre al minimo le possibilità che un utente malintenzionato acceda al mio personal computer o ad altri dispositivi sulla mia rete domestica, e se questa è davvero un'idea assolutamente terribile vorrei ami i puntatori in una direzione migliore.

    
posta theonlygusti 26.08.2016 - 14:31
fonte

3 risposte

2

Of course, I am extremely scared of doing this; in the design on my site I have followed every security guideline I know of, but I'm scared attackers will still be able to get at other devices on my local network or access to my own personal computer (from which I intend to host the server.)

Beh ...

in the design on my site I have followed every security guideline I know of,

Queste linee guida non menzionano nulla sul fatto di non avere risorse pubbliche sullo stesso segmento di rete delle risorse di cui sei preoccupato? Se tu fossi un negoziante, lasceresti i tuoi soldi seduti su una pila sullo stesso banco da cui servi i clienti?

Personalmente sono un strong sostenitore di non ospitare i servizi Web dalla tua connessione domestica. Diversi motivi:

  • 99% di possibilità che tu stia violando i termini del tuo accordo con il tuo ISP.
  • Se vieni compromesso e il tuo computer è utilizzato per servire lo spam, il tuo ISP potrebbe interrompere completamente l'accesso a Internet.
  • Se vieni compromesso e il tuo computer è usato per servire cose molto brutte, avrai degli agenti dell'FBI che prestano mandati di ricerca a casa tua e confisceranno tutto il tuo equipaggiamento personale.
  • Violi la poca sicurezza e privacy che hai sulla tua LAN domestica aprendo un punto di accesso pubblico sfruttabile.

Tutte queste cose potrebbero essere evitate con un webhost $ 5/10-a-month.

  • Nessuna violazione dell'EULA per l'hosting di un sito Web (è quello che stai pagando!).
  • Nel peggiore dei casi il tuo host ti invia una lettera arrabbiata e smette di ospitare il tuo sito.
  • L'FBI confisca l'equipaggiamento del tuo ospite invece del tuo.
  • Ottieni più tranquillità a casa.

DigitalOcean è il più economico che ho visto a $ 5, puoi ottenere AWS a $ 6-7 al mese con un contratto fisso, o la maggior parte degli altri ospiti addebita $ 10. Raccogli una mazzetta di denaro e compra una carta di credito usa e getta se necessario.

Come risultato di non essere un cheapskate eviterai un mondo di problemi.

    
risposta data 26.08.2016 - 15:50
fonte
1

È necessario eseguire la scansione dall'esterno della rete per ottenere un risultato valido, poiché i router spesso dispongono di porte aperte per le richieste dall'interno della rete ma non dall'esterno.

Prima di decidere se ospitare il sito web da soli, dovresti controllare anche se il tuo ISP lo consente e che hai un indirizzo IP statico.

Se si configura tutto correttamente e si mantiene tutto lo stack aggiornato per tutto il tempo, si dovrebbe essere relativamente sicuri, ma anche facendo tutte queste aziende si mettono i propri server pubblici in una DMZ per separarli dall'interno della rete. Quindi decidere di ospitarlo tu stesso dipende da quanto è grande l'obiettivo che ti vedi e quanto devi proteggere.

Ho fatto per alcuni progetti scolastici che un server è in esecuzione da alcuni giorni senza pubblicarlo in alcun luogo e ha avuto molti tentativi di hacking ogni giorno. Ho anche pensato di ospitare alcuni server, ma alla fine ho deciso di utilizzare DigitalOcean e ti consiglierei anche di cercare alternative per l'hosting.

    
risposta data 26.08.2016 - 14:51
fonte
1

...and if this is indeed an absolutely terrible idea I'd love pointers in a better direction.

Sono sicuro che sia un'idea assolutamente terribile (come mi sono chiesto la stessa cosa 10 anni fa), specialmente se non hai molta familiarità con questo tipo di hosting (anche se lo fossi, probabilmente sarebbe ancora un brutto idea).

La tua soluzione alternativa è semplice: ottieni un VPS economico. Sì, probabilmente dovrai pagare, ma puoi farcela con 5 $ / mese senza problemi, supponendo che tu non voglia migliaia di utenti concorrenti (farlo da casa probabilmente creerebbe comunque un problema di larghezza di banda in upload). Una volta ottenuto il tuo VPS (che è accessibile solo tramite certificati SSH +), indurisci seguendo le guide "hardening my VPS" e sei miglia più sicuro che rischiare di compromettere l'intera rete privata.

Inoltre, imparerai molti trucchi nerd di nerdy!

In alternativa potresti usare un server condiviso ma non lo consiglierei se vuoi che il tuo server sia sicuro (i server condivisi sono più economici o gratuiti e mostrano meno prestazioni ma aumentano i rischi per la sicurezza)

    
risposta data 26.08.2016 - 15:15
fonte

Leggi altre domande sui tag