Для чего используется DMZ в домашнем беспроводном маршрутизаторе?

22

Насколько я понимаю, используя DMZ, вы выставляете все порты хост-компьютера в Интернет. Для чего это хорошо?

guillermooo
источник

Ответы:

22

DMZ хорош, если вы хотите запустить домашний сервер, к которому можно получить доступ извне вашей домашней сети (например, веб-сервер, ssh, vnc или другой протокол удаленного доступа). Как правило, вы захотите запустить брандмауэр на компьютере сервера, чтобы убедиться, что только порты, которым конкретно требуется, разрешен доступ с общедоступных компьютеров.

Альтернативой использованию DMZ является настройка переадресации портов. С переадресацией портов вы можете разрешить только определенные порты через ваш маршрутизатор, а также можете указать некоторые порты для перехода на разные машины, если за вашим маршрутизатором работает несколько серверов.

heavyd
источник
1
Можно ли пропустить роутер и подключиться напрямую? Что делать, если порт похож на телефонный кабель или коаксиальный кабель?
CMCDragonkai
18

Пожалуйста, будь осторожен. DMZ в корпоративной / профессиональной среде (с высокопроизводительными межсетевыми экранами) отличается от домашнего беспроводного маршрутизатора (или других маршрутизаторов NAT для домашнего использования). Возможно, вам придется использовать второй маршрутизатор NAT для получения ожидаемой безопасности (см. Статью ниже).

В 3 -й серии подкаста « Безопасность сейчас » Лео Лапорта и гуру безопасности Стива Гибсона эта тема обсуждалась. В расшифровке вы увидите «действительно интересную проблему, потому что это так называемая« демилитаризованная зона », демилитаризованная зона, как ее называют на маршрутизаторах».

Стив Гибсон, http://www.grc.com/nat/nat.htm :

«Как вы можете себе представить, машина« DMZ »маршрутизатора и даже машина« переадресации порта »должны иметь существенную безопасность, иначе она будет мгновенно переполнена интернет-грибком. Это БОЛЬШАЯ проблема с точки зрения безопасности. Почему? .. NAT-маршрутизатор имеет стандартный Ethernet-коммутатор, соединяющий ВСЕ его порты на стороне локальной сети. Нет ничего «отдельного» в том, что касается порта, на котором размещена специальная машина «DMZ». Он находится во внутренней локальной сети! Это означает, что все, что может заползти в него через перенаправленный порт маршрутизатора или из-за того, что он является узлом DMZ, имеет доступ ко всем остальным машинам во внутренней частной локальной сети. (Это действительно плохо.) "

В статье также есть решение этой проблемы, которое включает использование второго маршрутизатора NAT. Есть несколько действительно хороших диаграмм, чтобы проиллюстрировать проблему и решение.

Питер Мортенсен
источник
3
+1. Смысл DMZ состоит в том, чтобы отделить потенциально скомпрометированный компьютер от остальной части внутренней сети. Даже DD-WRT не может вам здесь помочь, б / с-атаки, исходящие из DMZ, не проходят через набор правил маршрутизатора, они просто попадают в коммутатор. DMZ - иллюзия, если она не находится на отдельной физической связи.
HyperSlug
2
@hyperslug: на самом деле, с DD-WRT вы можете настроить DMZ в совершенно отдельной подсети и VLAN. полностью изолировать его от остальной части сети или настроить так, чтобы доступ к DMZ VLAN из остальной части внутренней сети был защищен брандмауэром / NAT-подобный трафик из глобальной сети. это входит в сложную конфигурацию, но это возможно с DD-WRT / OpenWRT.
Квик-кихот
@ Quack, коммутатор не зависит от порта, это обычный коммутатор. Таким образом, моя взломанная машина может атаковать любые другие машины на коммутаторе без фильтрации через правило маршрутизатора. Что касается VLAN, я считаю, что я мог бы изменить IP (или MAC) на моей скомпрометированной машине на что-то во внутренней сети и взломать. 4 порта на задней панели некоторых высокопроизводительных маршрутизаторов ведут себя как 4 NIC, а не 4-портовый коммутатор, поэтому можно установить правило, подобное block all traffic from #4 to #1,#2,#3которому невозможно с коммутатором L2.
Гиперслуг
10

DMZ или «демилитаризованная зона», где вы можете настроить сервера или другие устройства , которые должны быть доступны из вне вашей сети.

Что там принадлежит? Веб-серверы, прокси-серверы, почтовые серверы и т. Д.

В сети наиболее уязвимыми для атаки узлами являются те, которые предоставляют услуги пользователям за пределами локальной сети, таким как электронная почта, веб-серверы и DNS-серверы. Из-за повышенного потенциала этих хостов, находящихся под угрозой, они помещаются в свою собственную подсеть, чтобы защитить остальную часть сети в случае успеха злоумышленника. Хосты в демилитаризованной зоне имеют ограниченное подключение к определенным хостам во внутренней сети, хотя связь с другими хостами в демилитаризованной зоне и с внешней сетью разрешена. Это позволяет узлам в DMZ предоставлять услуги как внутренней, так и внешней сети, а промежуточный межсетевой экран контролирует трафик между серверами DMZ и клиентами внутренней сети.

Брюс Маклеод
источник
0

В компьютерных сетях DMZ (демилитаризованная зона), также известная также как сеть периметра или экранированная подсеть, представляет собой физическую или логическую подсеть, которая отделяет внутреннюю локальную сеть (LAN) от других ненадежных сетей, обычно Интернета. Внешние серверы, ресурсы и сервисы расположены в демилитаризованной зоне. Таким образом, они доступны из Интернета, но остальная часть внутренней локальной сети остается недоступной. Это обеспечивает дополнительный уровень безопасности для локальной сети, поскольку ограничивает возможность хакеров получать прямой доступ к внутренним серверам и данным через Интернет.

user927671
источник