सुरक्षा के दृष्टिकोण से, अगर आप वहां से कम ट्रैफ़िक (अलोकप्रिय) वेबसाइट चलाने की योजना बनाते हैं, तो घर पर डीएमजेड स्थापित करने का पूरा लाभ क्या होगा?
एक ही विंडोज नेटवर्क पर घर में कई कंप्यूटर हैं, लेकिन सभी HTTP और SSL ट्रैफ़िक को उस नेटवर्क पर एक विशिष्ट मशीन पर पुनर्निर्देशित किया जाता है। क्या अतिरिक्त सुरक्षा के लिए इस मशीन को किसी प्रकार के DMZ में स्थापित करने की आवश्यकता है?
जवाबों:
हाँ। इंटरनेट से आने वाला कोई भी ट्रैफ़िक जो आपके कंप्यूटर में से किसी एक के अनुरोध का जवाब नहीं है, संदेह होना चाहिए। ऐसे कई परिदृश्य हैं जहां आपकी वेबसाइट से समझौता किया जा सकता है और इससे किसी को आंतरिक नेटवर्क तक पहुंच प्राप्त हो सकती है।
अब, दुर्भाग्यपूर्ण वास्तविकता यह है कि अधिकांश वाणिज्यिक घरेलू राउटर में उचित DMZ सेटअप करने की क्षमता नहीं है। वे आपको एक डीएमजेड आईपी सेट करने की अनुमति दे सकते हैं जिसे सभी बाहरी ट्रैफ़िक को रूट किया गया हो। यह उस पृथक्करण के लिए अनुमति नहीं देता है जो एक DMZ प्रदान करना चाहिए। एक कार्यात्मक DMZ होने के लिए, DMZ में कंप्यूटर मुख्य नेटवर्क की तुलना में एक अलग आईपी रेंज या सबनेट पर होना चाहिए और राउटर पर एक अलग पोर्ट पर होना चाहिए जो केवल DMZ आईपी रेंज का समर्थन करता है। ठीक से कॉन्फ़िगर किए गए डीएमजेड का अंतिम परिणाम यह है कि डीएमजेड में सिस्टम सीधे मुख्य नेटवर्क पर आईपी तक नहीं पहुंच सकते हैं।
यह भी सुनिश्चित करें कि प्रशासन के उद्देश्यों के लिए आपका राउटर DMZ को आंतरिक नहीं मानता है। इसलिए इसे DMZ से ट्रैफ़िक पर भरोसा नहीं करना चाहिए क्योंकि यह इंटरनेट से ट्रैफ़िक पर भरोसा करता है, और आपको DMZ पर किसी भी सिस्टम से राउटर के लिए प्रशासन इंटरफ़ेस प्राप्त करने में सक्षम नहीं होना चाहिए। यह अक्सर दूसरों द्वारा प्रस्तावित "दो राउटर" समाधानों के साथ समस्या है। बाहर का राउटर अभी भी DMZ में सिस्टम को आंतरिक और विश्वसनीय मानता है। इस बाहरी राउटर से समझौता किया जा सकता है और सभी आंतरिक ट्रैफ़िक को अभी भी इंटरनेट तक पहुंचने के लिए इसे पार करने की आवश्यकता है।
यदि आप पहले से ही केवल उन विशेष सेवाओं (HTTP और SSL) को अग्रेषित कर रहे हैं जिन्हें आप उपलब्ध कराना चाहते हैं, तो DMZ के लिए एकमात्र उपयोग क्षति को सीमित करने के लिए होगा यदि उस मशीन से समझौता किया जाना था (जैसे, एक खराब लिखित cgi के माध्यम से) )। ऐसा करने के लिए तय करने वाला यह तय करना चाहिए कि कितना नुकसान होगा - अगर नेटवर्क पर वैसे भी कोई अन्य मशीन नहीं है, तो यह कोई बड़ी बात नहीं है, लेकिन अगर आपके सभी व्यक्तिगत वित्तीय रिकॉर्ड के साथ असुरक्षित आंतरिक NAS है, तो आप शायद सुरक्षा की एक अतिरिक्त आंतरिक परत चाहते हैं, हाँ।
मैं अभी भी कर रहा हूँ क्योंकि ऐसा करना अपेक्षाकृत आसान है। यदि आपके पास दो ब्रॉडबैंड राउटर हैं, तो आप उन्हें अलग-अलग निजी आईपी एड्रेस स्पेस (जैसे 192.168.100.1-254 और 192.168.200.1-254) के साथ इन-लाइन सेट कर सकते हैं। वेब सर्वर को पहले एक से लटकाएं, जो सीधे इंटरनेट से जुड़ा है। अपने वेब सर्वर पर निर्देशित करने के लिए पोर्ट अग्रेषण का उपयोग करें। अपने सभी सिस्टम को रखें जो दूसरे ब्रॉडबैंड राउटर के पीछे आपके निजी नेटवर्क में होंगे। इस तरह, अगर वेब सर्वर किसी कारण से समझौता कर लेता है, तो उन्हें आपके अन्य सिस्टम में आने के लिए उस दूसरे ब्रॉडबैंड राउटर से गुजरना होगा।
अधिकांश होम नेटवर्क के पास प्रभावी रूप से DMZ स्थापित करने के लिए पर्याप्त सार्वजनिक IP पता स्थान नहीं है। डीएमजेड का बिंदु हालांकि आमतौर पर वेब सर्वर की तरह वहां प्रेजेंटेशन लेयर लगाने के लिए होता है और फिर डेटाबेस सर्वर को फायरवॉल के पीछे रखने के लिए डीएमजेड में केवल मशीन को निर्दिष्ट पोर्ट और प्रोटोकॉल पर डेटाबेस सर्वर के साथ बात करने की अनुमति देता है। यह सुरक्षा बढ़ाता है लेकिन एक होम सेटअप के लिए जब तक आप एन-टियर एप्लिकेशन की सेवा नहीं लेते हैं जो खुद को एक डीएमजेड के लिए उधार देते हैं, यह बहुत मायने नहीं रखता है।