Quale topologia di rete dovrebbe essere utilizzata in un ambiente SOHO con un server web pubblicamente disponibile?

2

Al momento la configurazione del mio ufficio interno dispone di un router wireless con DD-WRT NXT collegato a un modem via cavo. Collegati a questo router ci sono un certo numero di workstation che non ho a che fare, presumo che siano tutte infettate da virus, malware e rootkit, una workstation che faccio del mio meglio per mantenere al sicuro e un NAS che faccio anche al mio meglio tenere al sicuro.

In questo momento, credo che le principali minacce derivino dalle schifezze delle workstation di altre persone e da qualcuno all'esterno che attacca il router. Non sono preoccupato per gli attacchi di utenti malintenzionati dall'interno della intranet.

Vorrei aggiungere un server Web alla rete, ma non so come ottimizzare il layout della rete per ridurre al minimo i rischi aggiuntivi. Mentre il piano ora è quello di ospitare solo pagine web statiche, sto scommettendo che sarà in esecuzione wordpress in futuro se dimostrerò che posso mantenere un server web in esecuzione. Mentre sarebbe bello ospitare i file per il server web sul NAS, sono disposto ad ospitarli direttamente sul server se questo migliora la sicurezza.

Stavo pensando di aggiungere semplicemente il server web alla rete e di inoltrare le porte appropriate dal router. Mettere il server web su una sottorete separata fornisce ulteriore sicurezza? Che dire dell'aggiunta di un secondo router tra il server Web e la rete principale (ad esempio, il modem via cavo è collegato al router A che è connesso al server Web e al router B che è collegato al NAS e alle workstation).

    
posta StrongBad 17.08.2016 - 17:27
fonte

1 risposta

1

Ci sono due aspetti da considerare:

  • Il server web sarà accessibile da internet. Questa è una superficie di attacco piuttosto grande rispetto a tutti gli altri host interni.
  • La tua rete interna potrebbe essere pericolosa come Internet, il web server dovrebbe considerarla altrettanto ostile.

Puoi affrontare entrambi gli aspetti con una semplice impostazione come questa:

                   .--.               
               _ -(    )- _           
          .--,(            ),--.      
      _.-(                       )-._ 
     (           INTERNET            )
      '-._(                     )_.-' 
        |  '__,(            ),__'     
        |       - ._(__)_. -          
                     \           \
        |             \            
                       \           \
        |               \
        |           _____\____       \
  Only port 80     [_.Router.°]        
        |           /        \         \
        |          /          \        No incoming traffic
                  /            \         \
        |        /              \          
        |       /                \         \
        v      /                  \         v
     .Public network----.         .Private network.
     |  ________        |         |  ____   __    |
     | |==|=====|       |         | |    | |==|   |
     | |  |     |       |         | |____| |  |   |
     | |  |     |       |         | /::::/ |__|   |
     | |  |     |       |         |               |
     | |  |     |       |<- - - - |               |
     | |  |====°|       |         '---------------'
     | |__|_____|       |  Pt 80 only
     '------------------'

Le linee tratteggiate rappresentano connessioni logiche e le linee complete sono connessioni fisiche.

Devi solo configurare una sottorete separata per il server web e permetterne l'accesso solo sulla porta 80 (e forse 443).

È necessario essere consapevoli che ciò rende il router un singolo punto di errore. In un ambiente SOHO questo di solito è il caso, ma non necessariamente.

Una volta che questo va oltre la fase "solo per vedere come va", potresti prendere in considerazione l'idea di ospitarla su AWS o altri fornitori di servizi cloud. Ottieni lo stesso livello di controllo, ridondanza molto migliore, incredibile scalabilità e grande sicurezza per pochi centesimi.

    
risposta data 09.09.2016 - 01:57
fonte

Leggi altre domande sui tag