24
24
Do czego służy DMZ w domowym routerze bezprzewodowym?
Z tego co rozumiem, używając DMZ wystawiasz wszystkie porty komputera hosta na działanie Internetu. Do czego to się przydaje?
Z tego co rozumiem, używając DMZ wystawiasz wszystkie porty komputera hosta na działanie Internetu. Do czego to się przydaje?
DMZ jest dobre, jeśli chcesz uruchomić serwer domowy, który może być dostępny z zewnątrz sieci domowej (np. serwer WWW, ssh, vnc lub inny protokół zdalnego dostępu). Zazwyczaj chciałbyś uruchomić zaporę sieciową na serwerze, aby upewnić się, że tylko porty, które są specjalnie pożądane, mają dostęp z komputerów publicznych.
Alternatywą dla używania DMZ jest ustawienie przekierowania portów. Z przekierowaniem portów możesz zezwolić tylko na określone porty przez router i możesz również określić niektóre porty, aby przejść do różnych maszyn, jeśli masz wiele serwerów działających za routerem.
Proszę być ostrożnym. DMZ w środowisku korporacyjnym/profesjonalnym (z wysokiej klasy firewallami) to nie to samo, co w przypadku domowego routera bezprzewodowego (lub innych routerów NAT do użytku domowego). Być może będziesz musiał użyć drugiego routera NAT, aby uzyskać oczekiwane bezpieczeństwo (patrz artykuł poniżej).
W odcinku 3 podcastu Security Now Leo Laporte i guru bezpieczeństwa Steve Gibson ten temat został poruszony. W transkrypcji można zobaczyć w pobliżu “naprawdę interesującą kwestię, ponieważ jest to tak zwany "DMZ”, Strefa Zdemilitaryzowana, jak to się nazywa na routerach.“.
Od Steve'a Gibsona, http://www.grc.com/nat/nat.htm :
"Jak można sobie wyobrazić, maszyna "DMZ” routera, a nawet maszyna “przekierowująca porty” musi mieć znaczące zabezpieczenia, albo w krótkim czasie będzie roić się od internetowych grzybów. Jest to poważny problem z punktu widzenia bezpieczeństwa. Dlaczego? … router NAT ma standardowy przełącznik Ethernet łączący WSZYSTKIE jego porty po stronie LAN. Nie ma nic “oddzielnego” w porcie, na którym znajduje się specjalna maszyna “DMZ”. Jest on w wewnętrznej sieci LAN! Oznacza to, że wszystko, co może wpełznąć do niego przez przekierowany port routera, lub z powodu bycia hostem DMZ, ma dostęp do każdej innej maszyny w wewnętrznej prywatnej sieci LAN. (To jest naprawdę złe.)“
W artykule znajduje się również rozwiązanie tego problemu, które wymaga użycia drugiego routera NAT. Jest tam kilka naprawdę dobrych diagramów ilustrujących problem i rozwiązanie.
DMZ ](http://en.wikipedia.org/wiki/DMZ_(computing)) lub “strefa zdemilitaryzowana” to miejsce, w którym można ustawić serwery lub inne urządzenia, do których dostęp musi być możliwy spoza sieci.
Co powinno się tam znaleźć? Serwery WWW, serwery proxy, serwery pocztowe itd.
W sieci najbardziej narażone na atak są te hosty, które świadczą usługi dla użytkowników spoza sieci LAN, takie jak serwery poczty elektronicznej, WWW i DNS. Ze względu na zwiększony potencjał kompromitacji tych hostów, są one umieszczane w swojej własnej podsieci w celu ochrony reszty sieci, gdyby intruzowi udało się odnieść sukces. Hosty w DMZ mają ograniczoną łączność z określonymi hostami w sieci wewnętrznej, ale komunikacja z innymi hostami w DMZ i z siecią zewnętrzną jest dozwolona. Dzięki temu hosty w strefie DMZ mogą świadczyć usługi zarówno dla sieci wewnętrznej, jak i zewnętrznej, a zapora sieciowa kontroluje ruch między serwerami DMZ a klientami sieci wewnętrznej.
W sieciach komputerowych, DMZ (strefa zdemilitaryzowana), czasami znana również jako sieć obwodowa lub ekranowana podsieć, jest fizyczną lub logiczną podsiecią, która oddziela wewnętrzną sieć lokalną (LAN) od innych niezaufanych sieci, zazwyczaj Internetu. Serwery, zasoby i usługi wychodzące na zewnątrz znajdują się w DMZ. Są więc dostępne z Internetu, ale reszta wewnętrznej sieci LAN pozostaje nieosiągalna. Zapewnia to dodatkową warstwę bezpieczeństwa sieci LAN, ponieważ ogranicza zdolność hakerów do bezpośredniego dostępu do wewnętrznych serwerów i danych przez Internet.