Crear una DMZ para un web server y dejar aislados el resto de equipos de la LAN

Iniciado por Skali, 13 Septiembre 2019, 18:29 PM

0 Miembros y 1 Visitante están viendo este tema.

Skali

Muy buenas a todos! Les comento lo que busco. Tengo un apache corriendo sobre una VM de linux, que es accesible por Internet. El server forma parte de mi LAN por el momento, en la que además del server hay PCs de escritorio, celulares, tv, el router. Quiero saber como aislar mi servidor web accesible por Internet del resto de mis dispositivos, para evitar que si un atacante logre tomar el control sobre mi server, no pueda hacerme ataques MITM al resto de equipos de mi red, ni explotar vulns en puertos solo accesibles desde la LAN, etc. Mi ambiente es muy casero, tengo un router TP-Link TL-WR841N. No se si necesitare hacer algo como cambiarle el firmware a mi router para poder crear VLANS, o si neceitare una VM extra con pfSense y alguna config en especial. Recuerden que el server corre sobre una VM en VirtualBox. Muchas gracias desde ya por la ayuda!

MinusFour

No estoy muy seguro, quizás con DD-WRT. Lo importante es separar tus equipos host en su propia subred y vlan y crear reglas de acceso para que no vayan de una subred a otra.

Skali

Estuve revisando las opciones, y una creo que es meter un firewall, pero prefiero ir por el lado de flashar el firmware del router y meterle DD-WRT. Ya vi como se configuran las VLANs ahí y es muy sencillo de lograr lo que busco, aunque hay un inconveniente. Debería separar una VLAN en la que estén todos los dispositivos wireless + impresora conectada por ethernet, y otra VLAN con mi PC Host sobre la que corro la VM con el server. El tema es que las VLANS se puede separar por puertos fisicos + asignar todos los dispositivos wireless a una VLAN en particular. Pero si solamente quiero separar en una VLAN la VM, es decir, el servidor web corriendo como guest en mi PC host, no puedo. Mi PC host también quedaría aislada del resto de los dispositivos de mi LAN, y eso yo no quiero. Entonces tomé la decisión de meterle DD-WRT al router, comprarme una raspy 3 en la que correría el server, conectarla a un puerto ethernet del router, y ahí si, separar el server corriendo en la raspy en una VLAN (DMZ) y del resto de equipos da la LAN en otra VLAN. Y me sorprendió el bajo consumo eléctrico que tiene, 1,8 watts como máximo... El tema es que tal vez me hacen un par de pings y ya me hacen un DoS! xD. Pero no es un servidor en el que espere recibir muchos clientes, asi que voy a experimentar cuantas peticiones aguanta antes de colapsar. Muchas gracias MinusFour por la ayuda! Saludos.

MinusFour

Tambien te puedes comprar una tarjeta ethernet gbit exclusiva para tu vm, pcie o inclusive USB.

Skali

Cita de: MinusFour en 15 Septiembre 2019, 04:24 AM
Tambien te puedes comprar una tarjeta ethernet gbit exclusiva para tu vm, pcie o inclusive USB.

Joder! Eres un crack, en una sola línea me hiciste entrar en conciencia de algo muy grande que estaba ignorando! Incluso podría conectar mi PC host por wifi y dejar el puerto ethernet exclusivamente para la vm. Como siempre estaba acostumbrado a configurar la vm en modo bridge usando la misma tarjeta de red, estaba ignorando por completo la posibilidad de hacer ésto que me decis. Muchas gracias!