Do czego służy DMZ w domowym routerze bezprzewodowym?


Odpowiedzi:


22

Strefa DMZ jest dobra, jeśli chcesz uruchomić serwer domowy, do którego można uzyskać dostęp spoza sieci domowej (np. Serwer WWW, ssh, vnc lub inny protokół zdalnego dostępu). Zazwyczaj chcesz uruchomić zaporę na serwerze, aby mieć pewność, że tylko te porty, które są szczególnie potrzebne, mają dostęp z komputerów publicznych.

Alternatywą dla korzystania z DMZ jest skonfigurowanie przekierowania portów. Dzięki przekierowaniu portów możesz zezwolić tylko określonym portom przez router, a także możesz określić niektóre porty, aby przejść do różnych komputerów, jeśli za routerem działa wiele serwerów.


1
Czy można pominąć router i połączyć się bezpośrednio? Co jeśli port jest jak kabel telefoniczny lub kabel koncentryczny?
CMCDragonkai

18

Proszę bądź ostrożny. DMZ w środowisku korporacyjnym / profesjonalnym (z wysokiej klasy zaporami ogniowymi) nie jest tym samym, co w przypadku domowego routera bezprzewodowego (lub innych routerów NAT do użytku domowego). Może być konieczne użycie drugiego routera NAT, aby uzyskać oczekiwane bezpieczeństwo (patrz artykuł poniżej).

W odcinku 3 w podcaście Bezpieczeństwo Teraz Leo Laporte i guru bezpieczeństwa Steve Gibson ten temat mówiono. W transkrypcji zobacz blisko „naprawdę interesujący problem, ponieważ jest to tak zwana„ DMZ ”, Strefa Zdemilitaryzowana, jak to się nazywa na routerach.”

Od Steve'a Gibsona, http://www.grc.com/nat/nat.htm :

„Jak można sobie wyobrazić, maszyna„ DMZ ”routera, a nawet maszyna z„ portowym portem ”musi mieć znaczące zabezpieczenia, bo w przeciwnym razie będzie się czołgać z grzybem internetowym. To jest DUŻY problem z punktu widzenia bezpieczeństwa. Dlaczego? .. router NAT ma standardowy przełącznik Ethernet łączący WSZYSTKIE porty LAN. Nie ma nic „oddzielnego” w porcie obsługującym specjalną maszynę „DMZ”. Jest on w wewnętrznej sieci LAN! Oznacza to, że wszystko, co może się do niego wczytać. przez przekierowany port routera lub ze względu na to, że jest hostem DMZ, ma dostęp do każdej innej maszyny w wewnętrznej prywatnej sieci LAN. (To naprawdę źle.) ”

W artykule jest również rozwiązanie tego problemu, który wymaga użycia drugiego routera NAT. Istnieje kilka naprawdę dobrych diagramów ilustrujących problem i rozwiązanie.


3
+1. Celem DMZ jest oddzielenie potencjalnie zagrożonej maszyny od reszty sieci wewnętrznej. Nawet DD-WRT nie może ci tutaj pomóc, ataki typu b / c pochodzące z DMZ nie przechodzą przez zestaw reguł routera, po prostu uderzają w przełącznik. DMZ jest iluzją, chyba że ma osobne fizyczne połączenie.
hyperslug

2
@hyperslug: w rzeczywistości za pomocą DD-WRT można skonfigurować DMZ w całkowicie oddzielnej podsieci i sieci VLAN. odizoluj go całkowicie od reszty sieci lub skonfiguruj, aby dostęp do DMZ VLAN od reszty sieci wewnętrznej był zaporowy / NAT chciałby ruchu z sieci WAN. wchodzi w skomplikowaną konfigurację, ale jest to możliwe dzięki DD-WRT / OpenWRT.
quack quixote

@ quack, przełącznik nie jest specyficzny dla portu, jest to zwykły przełącznik. Tak więc moja zainfekowana maszyna może atakować dowolne inne maszyny na przełączniku bez filtrowania przez regułę routera. Jeśli chodzi o sieć VLAN, wierzę, że mógłbym zmienić adres IP (lub MAC) na zaatakowanym komputerze na coś w sieci wewnętrznej i zhakować. 4 porty z tyłu niektórych routerów z wyższej półki zachowują się jak 4 karty sieciowe, a nie 4-portowy przełącznik, więc można ustawić regułę, block all traffic from #4 to #1,#2,#3która jest niemożliwa z przełącznikiem L2.
hyperslug

10

DMZ lub „de-militarized strefa”, gdzie można skonfigurować serwerów lub innych urządzeń, które muszą być dostępne z zewnątrz sieci.

Co tam należy? Serwery WWW, serwery proxy, serwery poczty itp.

W sieci najbardziej narażonymi na atak hostami są te, które zapewniają usługi użytkownikom spoza sieci LAN, takie jak poczta, serwery WWW i DNS. Ze względu na zwiększony potencjał naruszenia bezpieczeństwa tych hostów, są one umieszczane we własnej podsieci w celu ochrony reszty sieci, jeśli intruz ma odnieść sukces. Hosty w strefie DMZ mają ograniczoną łączność z określonymi hostami w sieci wewnętrznej, chociaż komunikacja z innymi hostami w strefie DMZ i siecią zewnętrzną jest dozwolona. Dzięki temu hosty w strefie DMZ mogą świadczyć usługi zarówno dla sieci wewnętrznej, jak i zewnętrznej, a zapora pośrednicząca kontroluje ruch między serwerami DMZ a klientami sieci wewnętrznej.


0

W sieciach komputerowych DMZ (strefa zdemilitaryzowana), czasami znana również jako sieć obwodowa lub ekranowana podsieć, jest fizyczną lub logiczną podsiecią, która oddziela wewnętrzną sieć lokalną (LAN) od innych niezaufanych sieci, zwykle Internetu. Zewnętrzne serwery, zasoby i usługi znajdują się w strefie DMZ. Są więc dostępne z Internetu, ale reszta wewnętrznej sieci LAN pozostaje nieosiągalna. Zapewnia to dodatkową warstwę bezpieczeństwa w sieci LAN, ponieważ ogranicza zdolność hakerów do bezpośredniego dostępu do wewnętrznych serwerów i danych przez Internet.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.