Я хочу настроить IIS на старый XP-пакет, который у меня есть на нашей локальной сети, поэтому я могу размещать на нем некоторые материалы Silverlight, которые я использую, поэтому я показываю их другим в Интернете. У меня уже установлен публичный IP-адрес, который запускается прямо через мой брандмауэр и прямо на эту машину, и иногда я использую Remote Desktop для входа на эту машину и выполняю некоторые разные работы, когда я дома. У него есть буквы дисков, сопоставленные с папками данных на сервере, но данные не находятся непосредственно на этом компьютере. Я не хочу подвергать всю свою сеть рискам, которые я не понимаю. Итак, будет ли безопасно, если я позволю людям прибегать к общедоступному IP-адресу, чтобы поразить эту машину своим веб-браузером?Риски размещения общедоступного веб-сайта прямо в моей сети?
ответ
Итак, будет ли это безопасно, если я позволю людям путешествовать по общедоступному IP-адресу, чтобы поразить эту машину своим веб-браузером?
Вы всегда увеличиваете свой уровень риска, предоставляя доступ к доверенным ресурсам, поэтому «безопасный» - относительный термин. В этом случае вы рискуете опасным уровнем риска, разместив его в том же месте, где вы хотели бы провести безопасные транзакции (например, войти в свою банковскую учетную запись).
Тем не менее, вы можете принять некоторые дорогостоящие, недорогие защитные меры:
- Поскольку вы находитесь за маршрутизатором, маршрутизатор может выполнять двойную работу и действовать в качестве межсетевого экрана. Убедитесь, что открыты только соответствующие порты.
- Убедитесь, что выполняемые вами приложения выполняют с минимальными привилегиями. Если это вообще возможно, запустите эти приложения внутри виртуальной машины и используйте , что как веб-сервер.
- Безопасный доступ к приложениям, которые вы обслуживаете; разрешить только доверенным пользователям.
- Сделайте минимальную площадь для публичного пользования сайта.
- Храните приложение в совершенно другом корне файла, чем все остальное.
Нет. Если эта машина становится скомпрометированной, у них есть ключи от королевства, так сказать. Вы должны настроить DMZ между ним и остальной частью вашей сети. У вас должен быть отдельный компьютер, доступный через VPN для RDC.
Я бы не сделать это по трем причинам:
- Как сказал Джефф, ваши возможности раздавать ключи от царства
- Вы не хотите, внимание обращается к сети, если у вас нет умение смягчать приличную атаку DoS. Вы никогда не знаете, когда контент, который вы размещаете, будет отмечать кого-то другого, что приведет к этому. Это означает, что вся ваша сеть может (теоретически) быть отрезана от внешнего мира.
- Даже если компромисс содержится в DMZ, вы рискуете, что этот сервер отправит СПАМ во всем мире. Вы НЕ хотите, чтобы боль от получения этого IP из DNSBL, в то время как исходящая почта компании попадает в черную дыру.
Его слишком дешево платить за хостинг или совместное размещение небольшого сервера в другом месте.
EDIT:
Добавлена причина # 3
Пока вы имейте в виду, что вы даете аутсайдеры доступ к аппарату, который подключен к внутренней сети, и держать машину до вы будете «безопасны».
Лично я предлагаю пройти внешний хостинг, тем самым сохраняя свою собственную сеть более безопасно и позволяя хостинг-провайдеру беспокоиться об обновлении программного обеспечения, хранении нападавших и поддержании сети. Это не очень дорого и избавит большую часть головной боли, с которой вам придется иметь дело.
IIS 5.1 ограничен 10 одновременными подключениями, и большинство браузеров открывают 2 или более подключения для загрузки изображений и других элементов страницы.
IIS 5.1 и XP по умолчанию раскрывают множество материалов. Пройдите и отключите все ненужные функции в IIS и все ненужные, связанные с сетью сервисы в XP.
s/plying/play / –