¿Qué riesgos conlleva exponer nuestras computadoras domésticas a través de la Internet pública?

Bueno, la recomendación general probablemente sería algo como:

• Coloque un firewall frente a su servidor web. Solo permita el tráfico que necesita para permitir, y denegar (eliminar o rechazar es en gran medida una cuestión de preferencia) todo lo demás. Ya lo ha hecho, pero hay más que solo ejecutar el software de firewall.

• Repase la configuración del software con un peine de dientes finos. Especialmente considere cualquier cosa relacionada con la carga de archivos, la ejecución de código y cosas por el estilo.

• Mantenga todo lo que está incluso potencialmente expuesto a Internet completamente actualizado. Esto incluye el sistema operativo, el servidor web, todo lo que se sirve a través de él (recuerde que los scripts PHP que le permiten cargar y ver archivos son códigos de computadora ejecutables que pueden tener errores relacionados con la seguridad) y cualquier cosa que esas aplicaciones dependen de (como por ejemplo un servidor de base de datos).

Incluso en el mejor de los casos, su configuración solo será tan segura como la menos parte segura de lo que sea accesible a través de Internet. En el momento en que comienza a aceptar paquetes. Desde Internet, en lugar de bloquear por completo todo, siempre existe el riesgo de que un error en la pila TCP / IP del sistema operativo, el software que maneja los paquetes, o donde los datos que llegan finalmente terminen, puedan hacer que la computadora muestre comportamiento distinto al deseado por usted (también conocido como una violación de seguridad de algún tipo).

Tan pronto como esté disponible una solución para un problema relacionado con la seguridad, muchos ojos comienzan a revisarlo para ver si pueden explotar lo que se ha solucionado con fines ilícitos.

Cualquier host conectado a Internet verá escaneos regulares de varios bots. Algunos son inofensivos; algunos son lo suficientemente estúpidos como para ser esencialmente inofensivos; pero algunos son en realidad potencialmente peligrosos, y HTTP en el puerto 80 es lo suficientemente común como para que pueda esperar mucho de ese tipo de tráfico. Que no tenga un nombre de host que apunte a su dirección IP no cambia ese hecho. Lo que significa que el servidor web y todo lo que se está ejecutando en él tendrán que ser capaces de lidiar con cualquier cosa que cualquiera pueda lanzarle, en función de las vulnerabilidades de seguridad conocidas actualmente en cualquier software y versión del servidor web (ya que el atacante no sabrá exactamente lo que usted sabe). podría estar ejecutando).

Risks:

• Ataques de denegación de servicio en su computadora pública. Posiblemente su red doméstica completa dependiendo de la configuración.
• Si su IP estática tiene un nombre de dominio, la entrada WHOIS tendrá sus detalles personales de contacto visibles globalmente a menos que (para algunos registradores) pague dinero extra por la privacidad.
• Cualquier prohibición o lista negra de IP sobre usted o su servicio será más efectiva ya que su IP no cambia. Puede rastrearse de manera más consistente en el tiempo y los servicios por la misma razón, suponiendo que no haya enrutamiento anónimo.
• Si su computadora como servidor tiene que estar encendido todo el tiempo, aumenta la oportunidad de atacar y mantener un ataque. Si la computadora es su computadora personal con fotos familiares, documentos, archivos de contraseñas, etc., la infracción no tendrá que penetrar en otros cortafuegos.

Sugerencia:

Para obtener el mayor beneficio (y la mayor seguridad) de un servidor doméstico, sugiero que la computadora que realmente tiene la IP estática sea una mini computadora sin cabeza.

Esta computadora sin monitor o teclado puede actuar como el firewall principal y el proxy inverso para su red doméstica. Puede tratarse como la zona desmilitarizada (DMZ) de su red doméstica y proteger todos los activos que se almacenan en computadoras privadas normales. Si alguna parte del resto de su red de computadoras normal se mantiene 24/7 ahora depende de si el servidor web está alojado dentro de la DMZ * o no (o ambos para soluciones web de dos niveles).

La idea es que este servidor público esté reforzado y altamente limitado en cuanto a la información y la autoridad interna que posee; normalmente ejecuta su propio mucho más sistema operativo seguro (Linux, por ejemplo).

El costo de una mini computadora / servidor doméstico sin cabeza depende de la cantidad de rendimiento y espacio que necesite para los servicios desmilitarizados. En el extremo inferior tienes Raspberry Pi de quizás $ 200 hasta cajas de bestias (menos la tarjeta de video) de $ 2000 o más. La gama baja es más adecuada para enrutamiento y amp; control de acceso que los sitios de Drupal ricos en contenido, pero aquí hay un ejemplo de un servidor web de Raspberry .

_{* Técnicamente estoy usando mal el término DMZ de alguna manera; como DMZ es una red lógica encajonada por dos o más enrutadores / cortafuegos; como el patio / matadero de un castillo. El servidor doméstico sería tanto el firewall interno de la DMZ como un activo en la misma DMZ.}

Ofrecer el servicio HTTP significa que cualquier vulnerabilidad en ese servicio se convierte en un punto de entrada para los atacantes. Así que asegúrese de administrar este servicio con toda la diligencia debida: aplique los arreglos de seguridad publicados por el proveedor, tan pronto como sea posible. Esto es tanto para el software del servidor HTTP en sí mismo (por ejemplo, Apache ) y el "código del sitio" (todavía hay un agujero en el código PHP). un agujero). Aparte de eso, este servidor no agregará mucho a su (in) seguridad, en el lado técnico de las cosas .

Sin embargo, un servidor HTTP disponible públicamente implica mayor exposición . La mayoría de las personas evade los problemas no ejecutando un software totalmente parcheado, sino siendo plebeyos . Gente de casa haciendo navegación por la web como gente normal. Schmucks poco interesantes. Hay tantos de esos, tal vez miles de millones, que nadie realmente se motiva a piratear sus máquinas. Claro, hay muchos piratas automáticos en marcha; ¡esas botnets no se alimentarán por sí mismas! Pero no hay una amenaza real de un atacante inteligente y motivado. Al ejecutar un servidor web, se vuelve poco común. Puede atraer el interés. Las personas que ejecutan servidores web en casa pueden tener datos interesantes que proporcionar; al menos hicieron un esfuerzo para proporcionar un servicio a otras personas.

Básicamente, ofrecer un servicio de este tipo tiende a eliminar una capa de protección muy poderosa, es decir, el anonimato (como en: "no aparece en el radar entre las masas"). Evadir los ataques simplemente buscando "normal" es, conceptualmente, una forma muy insatisfactoria de proteger sus activos de información, pero funciona muy bien; y tu servidor HTTP te eliminará de eso.

Una fuente de preocupación adicional es que su red doméstica está "protegida" contra intrusiones por las fuerzas combinadas de su módem de cable / ADSL (proporcionado por su ISP) y, posiblemente, algún tipo de enrutador doméstico (WiFi). Estos dispositivos utilizan software que rara vez se actualiza y, por lo tanto, tiende a tener muchos agujeros de seguridad. Realmente no quieres llamar la atención sobre eso .