Hejhej!
Jag har en liten webbserver som jag kör Lucid Lynx på. Den står bakom en router, D-Link DI-524 och har dynamisk DNS via Loopia.
Nu är jag osäker på inställningarna i routern. Vilket är bäst och säkrast:
a) att skapa en DMZ direkt mot servern
eller
b) att selektivt forwarda de portar jag behöver (för Apache och SSH) mot servern?
Som jag har begripit det öppnar DMZ urskillningslöst alla portar rakt in i servern, vilket ur säkerhetssynpunkt är onödigt eftersom jag inte behöver det. Däremot kan man inte komma åt de andra datorerna i nätverket via servern, alltså en styrka.
Om jag å andra sidan selektivt öppnar portar mot servern, har det sagts mig att alla andra datorer på bakom routern står vidöppna för angrepp via ubuntuservern. Stämmer det?
En nackdel med DMZ som jag upptäckt är att jag inte kan komma åt den internt från datorn här hemma utan måste gå via dess externa IP-nummer. Tidigare administrerade jag servern med hjälp av vsftpd internt från min vanliga dator. Då borde servern varit skyddad för angrepp utifrån eftersom port 21 inte var öppnad i brandväggen, väl?
Nå, vad säger den kollektiva visdomen här? Demilitariserad zon eller väl utvalda portar?
/Anders
DMZ eller öppna portar? Vad är bäst?
-
ringner
- Inlägg: 4
- Blev medlem: 23 aug 2010, 18:14
- OS: Ubuntu
- Utgåva: 22.04 Jammy Jellyfish LTS
- Ort: Umeå
DMZ eller öppna portar? Vad är bäst?
Senast redigerad av 1 ringner, redigerad totalt 11 gånger.
-
joni8135
- Inlägg: 142
- Blev medlem: 21 jan 2007, 01:51
- OS: Ubuntu
- Utgåva: 22.04 Jammy Jellyfish LTS
- Ort: Uppsala
- Kontakt:
Re: DMZ eller öppna portar? Vad är bäst?
Vet eg inte vilket som är bäst, men tror portforward/export service eller vad det nu kallas i dín router/NAT är säkrare. Med portforward så öppnar man en port på EN maskin (t ex 192.168.0.3, som du anger i routern. Så öppnar du t ex port 22, så anger du ju även på vilken maskin de gäller och portforward SKA enbart gå till den maskinen. Vill du sedan nå flera ssd-servrar inom ditt nätverk får du ange en annan port, på tex 192.168.0.5 på port 2022 eller något. Kan vara ökad säkerhet att ange en annan port än 22.
PS. På vissa routrar kan router ändra portnummer (t ex Freesco) så om du utifrån kontaktar IP#:2022, så går det att få den att gå till 192.168.0.3:22 sen kan IP#:4022 gå till 192.168.0.3:22, men på billigare/bredbandsdelare, så kan inte port# ändras, utan du måste ändra på vilken port serverna lyssnar till på varje maskin.
IP#=Det ipnummer du får ifrån ISPen, eller dynDNS-adressen
PS. På vissa routrar kan router ändra portnummer (t ex Freesco) så om du utifrån kontaktar IP#:2022, så går det att få den att gå till 192.168.0.3:22 sen kan IP#:4022 gå till 192.168.0.3:22, men på billigare/bredbandsdelare, så kan inte port# ändras, utan du måste ändra på vilken port serverna lyssnar till på varje maskin.
IP#=Det ipnummer du får ifrån ISPen, eller dynDNS-adressen