O ile rozumiem, korzystając z DMZ, udostępniasz wszystkie porty komputera hosta w Internecie. Po co to jest dobre?
O ile rozumiem, korzystając z DMZ, udostępniasz wszystkie porty komputera hosta w Internecie. Po co to jest dobre?
Odpowiedzi:
Strefa DMZ jest dobra, jeśli chcesz uruchomić serwer domowy, do którego można uzyskać dostęp spoza sieci domowej (np. Serwer WWW, ssh, vnc lub inny protokół zdalnego dostępu). Zazwyczaj chcesz uruchomić zaporę na serwerze, aby mieć pewność, że tylko te porty, które są szczególnie potrzebne, mają dostęp z komputerów publicznych.
Alternatywą dla korzystania z DMZ jest skonfigurowanie przekierowania portów. Dzięki przekierowaniu portów możesz zezwolić tylko określonym portom przez router, a także możesz określić niektóre porty, aby przejść do różnych komputerów, jeśli za routerem działa wiele serwerów.
Proszę bądź ostrożny. DMZ w środowisku korporacyjnym / profesjonalnym (z wysokiej klasy zaporami ogniowymi) nie jest tym samym, co w przypadku domowego routera bezprzewodowego (lub innych routerów NAT do użytku domowego). Może być konieczne użycie drugiego routera NAT, aby uzyskać oczekiwane bezpieczeństwo (patrz artykuł poniżej).
W odcinku 3 w podcaście Bezpieczeństwo Teraz Leo Laporte i guru bezpieczeństwa Steve Gibson ten temat mówiono. W transkrypcji zobacz blisko „naprawdę interesujący problem, ponieważ jest to tak zwana„ DMZ ”, Strefa Zdemilitaryzowana, jak to się nazywa na routerach.”
Od Steve'a Gibsona, http://www.grc.com/nat/nat.htm :
„Jak można sobie wyobrazić, maszyna„ DMZ ”routera, a nawet maszyna z„ portowym portem ”musi mieć znaczące zabezpieczenia, bo w przeciwnym razie będzie się czołgać z grzybem internetowym. To jest DUŻY problem z punktu widzenia bezpieczeństwa. Dlaczego? .. router NAT ma standardowy przełącznik Ethernet łączący WSZYSTKIE porty LAN. Nie ma nic „oddzielnego” w porcie obsługującym specjalną maszynę „DMZ”. Jest on w wewnętrznej sieci LAN! Oznacza to, że wszystko, co może się do niego wczytać. przez przekierowany port routera lub ze względu na to, że jest hostem DMZ, ma dostęp do każdej innej maszyny w wewnętrznej prywatnej sieci LAN. (To naprawdę źle.) ”
W artykule jest również rozwiązanie tego problemu, który wymaga użycia drugiego routera NAT. Istnieje kilka naprawdę dobrych diagramów ilustrujących problem i rozwiązanie.
block all traffic from #4 to #1,#2,#3
która jest niemożliwa z przełącznikiem L2.
DMZ lub „de-militarized strefa”, gdzie można skonfigurować serwerów lub innych urządzeń, które muszą być dostępne z zewnątrz sieci.
Co tam należy? Serwery WWW, serwery proxy, serwery poczty itp.
W sieci najbardziej narażonymi na atak hostami są te, które zapewniają usługi użytkownikom spoza sieci LAN, takie jak poczta, serwery WWW i DNS. Ze względu na zwiększony potencjał naruszenia bezpieczeństwa tych hostów, są one umieszczane we własnej podsieci w celu ochrony reszty sieci, jeśli intruz ma odnieść sukces. Hosty w strefie DMZ mają ograniczoną łączność z określonymi hostami w sieci wewnętrznej, chociaż komunikacja z innymi hostami w strefie DMZ i siecią zewnętrzną jest dozwolona. Dzięki temu hosty w strefie DMZ mogą świadczyć usługi zarówno dla sieci wewnętrznej, jak i zewnętrznej, a zapora pośrednicząca kontroluje ruch między serwerami DMZ a klientami sieci wewnętrznej.
W sieciach komputerowych DMZ (strefa zdemilitaryzowana), czasami znana również jako sieć obwodowa lub ekranowana podsieć, jest fizyczną lub logiczną podsiecią, która oddziela wewnętrzną sieć lokalną (LAN) od innych niezaufanych sieci, zwykle Internetu. Zewnętrzne serwery, zasoby i usługi znajdują się w strefie DMZ. Są więc dostępne z Internetu, ale reszta wewnętrznej sieci LAN pozostaje nieosiągalna. Zapewnia to dodatkową warstwę bezpieczeństwa w sieci LAN, ponieważ ogranicza zdolność hakerów do bezpośredniego dostępu do wewnętrznych serwerów i danych przez Internet.