2009-03-09 2 views
3

Я хочу настроить IIS на старый XP-пакет, который у меня есть на нашей локальной сети, поэтому я могу размещать на нем некоторые материалы Silverlight, которые я использую, поэтому я показываю их другим в Интернете. У меня уже установлен публичный IP-адрес, который запускается прямо через мой брандмауэр и прямо на эту машину, и иногда я использую Remote Desktop для входа на эту машину и выполняю некоторые разные работы, когда я дома. У него есть буквы дисков, сопоставленные с папками данных на сервере, но данные не находятся непосредственно на этом компьютере. Я не хочу подвергать всю свою сеть рискам, которые я не понимаю. Итак, будет ли безопасно, если я позволю людям прибегать к общедоступному IP-адресу, чтобы поразить эту машину своим веб-браузером?Риски размещения общедоступного веб-сайта прямо в моей сети?

+0

s/plying/play / –

ответ

5

Итак, будет ли это безопасно, если я позволю людям путешествовать по общедоступному IP-адресу, чтобы поразить эту машину своим веб-браузером?

Вы всегда увеличиваете свой уровень риска, предоставляя доступ к доверенным ресурсам, поэтому «безопасный» - относительный термин. В этом случае вы рискуете опасным уровнем риска, разместив его в том же месте, где вы хотели бы провести безопасные транзакции (например, войти в свою банковскую учетную запись).

Тем не менее, вы можете принять некоторые дорогостоящие, недорогие защитные меры:

  1. Поскольку вы находитесь за маршрутизатором, маршрутизатор может выполнять двойную работу и действовать в качестве межсетевого экрана. Убедитесь, что открыты только соответствующие порты.
  2. Убедитесь, что выполняемые вами приложения выполняют с минимальными привилегиями. Если это вообще возможно, запустите эти приложения внутри виртуальной машины и используйте , что как веб-сервер.
  3. Безопасный доступ к приложениям, которые вы обслуживаете; разрешить только доверенным пользователям.
  4. Сделайте минимальную площадь для публичного пользования сайта.
  5. Храните приложение в совершенно другом корне файла, чем все остальное.
1

Нет. Если эта машина становится скомпрометированной, у них есть ключи от королевства, так сказать. Вы должны настроить DMZ между ним и остальной частью вашей сети. У вас должен быть отдельный компьютер, доступный через VPN для RDC.

1

Я бы не сделать это по трем причинам:

  1. Как сказал Джефф, ваши возможности раздавать ключи от царства
  2. Вы не хотите, внимание обращается к сети, если у вас нет умение смягчать приличную атаку DoS. Вы никогда не знаете, когда контент, который вы размещаете, будет отмечать кого-то другого, что приведет к этому. Это означает, что вся ваша сеть может (теоретически) быть отрезана от внешнего мира.
  3. Даже если компромисс содержится в DMZ, вы рискуете, что этот сервер отправит СПАМ во всем мире. Вы НЕ хотите, чтобы боль от получения этого IP из DNSBL, в то время как исходящая почта компании попадает в черную дыру.

Его слишком дешево платить за хостинг или совместное размещение небольшого сервера в другом месте.

EDIT:

Добавлена ​​причина # 3

0

Пока вы имейте в виду, что вы даете аутсайдеры доступ к аппарату, который подключен к внутренней сети, и держать машину до вы будете «безопасны».

Лично я предлагаю пройти внешний хостинг, тем самым сохраняя свою собственную сеть более безопасно и позволяя хостинг-провайдеру беспокоиться об обновлении программного обеспечения, хранении нападавших и поддержании сети. Это не очень дорого и избавит большую часть головной боли, с которой вам придется иметь дело.

1

IIS 5.1 ограничен 10 одновременными подключениями, и большинство браузеров открывают 2 или более подключения для загрузки изображений и других элементов страницы.

IIS 5.1 и XP по умолчанию раскрывают множество материалов. Пройдите и отключите все ненужные функции в IIS и все ненужные, связанные с сетью сервисы в XP.