自宅のコンピューターからサーバーをホストしたい。安全?
現在取り組んでいるウェブサイトを公開する予定です。 (私の非常に限られた経験では)外部ホストなどに追加のお金を支払う必要なくこれを行うことができる唯一の方法は、自宅のコンピューターからサーバーをホストすることです。
もちろん、私はこれを行うのが非常に怖いです。私のサイトの設計では、知っているすべてのセキュリティガイドラインに従っていますが、攻撃者がローカルネットワーク上の他のデバイスにアクセスしたり、自分のパーソナルコンピュータ(ホストする予定のコンピュータ)にアクセスしたりすることはまだ怖いですサーバ。)
私のIPは既にインターネットに公開されていることに気づきました。ブラウザーでパブリックIPアドレスにアクセスすると、ホームルーターのページがポップアップします。これも心配です– 編集:実際はこれだけですローカルネットワークに既に接続されているデバイスで発生します。リモートデバイスがこの方法でルーターの構成ページにアクセスできないようです。
攻撃者が最初に実行するステップの1つになると想像して、サーバーを実行せずに、パブリックIPでnmapを実行しました。
Nmap scan report for ***********************
Host is up (0.0023s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
443/tcp open https
5000/tcp open upnp
8080/tcp open http-proxy
Nmap done: 1 IP address (1 Host up) scanned in 40.89 seconds
これらのサービスのいずれかは脆弱ですか?それらはすべて私のルーターによって管理されており、私はそれらを設定していません。
外部ソースからのnmap結果は次のとおりです。
Starting Nmap 6.00 ( http://nmap.org ) at 2016-08-26 15:44 EEST
NSE: Loaded 17 scripts for scanning.
Initiating Ping Scan at 15:44
Scanning **************** [4 ports]
Completed Ping Scan at 15:44, 0.06s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 15:44
Scanning **************** [100 ports]
Completed SYN Stealth Scan at 15:44, 4.25s elapsed (100 total ports)
Initiating Service scan at 15:44
Initiating OS detection (try #1) against ****************
Retrying OS detection (try #2) against ****************
Initiating Traceroute at 15:44
Completed Traceroute at 15:44, 0.04s elapsed
NSE: Script scanning ****************.
[+] Nmap scan report for ****************
Host is up (0.033s latency).
All 100 scanned ports on **************** are filtered
Too many fingerprints match this Host to give specific OS details
Network Distance: 9 Hops
基本的に、攻撃者が自分のパーソナルネットワークやホームネットワーク上の他のデバイスにアクセスする可能性を減らすためにどのような手順を実行すればよいかを知りたいと思います。これが本当にひどい考えである場合、私はポインタが大好きですより良い方向。
もちろん、私はこれを行うのが非常に怖いです。私のサイトの設計では、知っているすべてのセキュリティガイドラインに従っていますが、攻撃者がローカルネットワーク上の他のデバイスにアクセスしたり、自分のパーソナルコンピュータ(ホストする予定のコンピュータ)にアクセスしたりすることはまだ怖いですサーバ。)
上手...
私のサイトのデザインでは、私が知っているすべてのセキュリティガイドラインに従っていますが、
これらのガイドラインでは、懸念しているリソースと同じネットワークセグメントに公開アセットがないことについて何も触れていません。あなたが店主だったら、あなたが顧客にサービスを提供している同じカウンターの山に座っているだけであなたのお金を残しますか?
個人的には、私はあなたの家の接続からWebサービスをホストしないことを強く支持しています。いくつかの理由:
- 99%の確率で、ISPとの契約条件に違反しています。
- 危険にさらされ、コンピュータがスパムの処理に使用されている場合、ISPはインターネットアクセスを完全に遮断する可能性があります。
- あなたが危険にさらされ、あなたのコンピュータがVery Bad Thingsにサービスを提供するために使用されている場合、あなたはFBIエージェントがあなたの家に捜査令状を提供し、あなたのすべての個人的な道具を没収するでしょう。
- 悪用可能な一般公開エントリポイントを開くことにより、ホームLANのセキュリティとプライバシーがほとんど侵害されません。
これらすべては、月額5/10ドルのWebホストで回避できます。
- WebサイトをホストするためのEULA違反はありません(それがあなたの代償です!)。
- 最悪の場合、ホストから怒りの手紙が送られ、サイトのホスティングが停止します。
- FBIは、ホストの機器を没収します。
- あなたは家でより安心を得る。
DigitalOceanは私が5ドルで見た中で最も安いです。固定契約でAWSを1か月6ドルから7ドルに減らすか、他のほとんどのホストが10ドルを請求できます。現金の塊をかき集め、必要に応じて使い捨てクレジットカードを購入します。
安っぽくないことの結果として、あなたは問題の世界を避けるでしょう。
有効な結果を得るには、ネットワークの外側からスキャンを実行する必要があります。ルーターは、ネットワークの外側からではなく、ネットワークの内側からの要求に対してポートを開いていることが多いためです。
ご自身でWebサイトのホスティングを決定する前に、ISPが許可しているかどうか、および静的IPアドレスを持っているかどうかも確認する必要があります。
すべてを正しく設定し、スタック全体を常に最新の状態に保つ場合は、比較的安全である必要がありますが、このすべての会社を実行している場合でも、公開サーバーをDMZに配置して、内部から分離しますネットワークを自分でホストするかどうかは、自分がどれほど大きなターゲットであるか、そしてどれだけの保護が必要かによって異なります。
私はいくつかの学校のプロジェクトのためにそれをどこにも公開することなく数日間サーバーを実行していて、毎日たくさんのハッキングの試みをしました。私もいくつかのサーバーを自分でホストすることを検討しましたが、結局DigitalOceanを使用することに決め、自分でホストする代わりの方法も探すことをお勧めします。
...そして、これが本当にひどい考えであるなら、私はより良い方向へのポインタが大好きです。
特に10年前に同じことについて疑問に思ったように、それは絶対にひどい考えだと確信しています。特に、そのようなホスティングにあまり詳しくない場合は(そうしたとしても、おそらく悪い考えです)。
代替ソリューションはシンプルです。安価なVPSを入手してください。ええ、おそらくあなたは支払わなければならないでしょうが、何千もの同時ユーザーが欲しくないとしたら、月額5ドルで問題なく済むでしょう(自宅からそれを行うと、とにかくアップロード帯域幅の問題が発生するでしょう)。 VPS(SSH +証明書でのみアクセス可能)を取得したら、「VPSの強化」ガイドに従って強化し、プライベートネットワーク全体を危険にさらすリスクよりもはるかに安全です。
また、多くのすばらしいオタクなUnixトリックを学びます!
または、共有サーバーを使用することもできますが、サーバーを安全にしたい場合はお勧めしません(共有サーバーの方が安価または無料で、パフォーマンスが低下しますが、セキュリティリスクが高くなります)。