DMZ eller öppna portar? Vad är bäst?
Postat: 20 feb 2011, 13:58
Hejhej!
Jag har en liten webbserver som jag kör Lucid Lynx på. Den står bakom en router, D-Link DI-524 och har dynamisk DNS via Loopia.
Nu är jag osäker på inställningarna i routern. Vilket är bäst och säkrast:
a) att skapa en DMZ direkt mot servern
eller
b) att selektivt forwarda de portar jag behöver (för Apache och SSH) mot servern?
Som jag har begripit det öppnar DMZ urskillningslöst alla portar rakt in i servern, vilket ur säkerhetssynpunkt är onödigt eftersom jag inte behöver det. Däremot kan man inte komma åt de andra datorerna i nätverket via servern, alltså en styrka.
Om jag å andra sidan selektivt öppnar portar mot servern, har det sagts mig att alla andra datorer på bakom routern står vidöppna för angrepp via ubuntuservern. Stämmer det?
En nackdel med DMZ som jag upptäckt är att jag inte kan komma åt den internt från datorn här hemma utan måste gå via dess externa IP-nummer. Tidigare administrerade jag servern med hjälp av vsftpd internt från min vanliga dator. Då borde servern varit skyddad för angrepp utifrån eftersom port 21 inte var öppnad i brandväggen, väl?
Nå, vad säger den kollektiva visdomen här? Demilitariserad zon eller väl utvalda portar?
/Anders
Jag har en liten webbserver som jag kör Lucid Lynx på. Den står bakom en router, D-Link DI-524 och har dynamisk DNS via Loopia.
Nu är jag osäker på inställningarna i routern. Vilket är bäst och säkrast:
a) att skapa en DMZ direkt mot servern
eller
b) att selektivt forwarda de portar jag behöver (för Apache och SSH) mot servern?
Som jag har begripit det öppnar DMZ urskillningslöst alla portar rakt in i servern, vilket ur säkerhetssynpunkt är onödigt eftersom jag inte behöver det. Däremot kan man inte komma åt de andra datorerna i nätverket via servern, alltså en styrka.
Om jag å andra sidan selektivt öppnar portar mot servern, har det sagts mig att alla andra datorer på bakom routern står vidöppna för angrepp via ubuntuservern. Stämmer det?
En nackdel med DMZ som jag upptäckt är att jag inte kan komma åt den internt från datorn här hemma utan måste gå via dess externa IP-nummer. Tidigare administrerade jag servern med hjälp av vsftpd internt från min vanliga dator. Då borde servern varit skyddad för angrepp utifrån eftersom port 21 inte var öppnad i brandväggen, väl?
Nå, vad säger den kollektiva visdomen här? Demilitariserad zon eller väl utvalda portar?
/Anders