Для чего используется DMZ в домашнем беспроводном маршрутизаторе?
Насколько я понимаю, используя DMZ, вы подвергаете все порты компьютера-хоста Интернету. Для чего это хорошо?
Насколько я понимаю, используя DMZ, вы подвергаете все порты компьютера-хоста Интернету. Для чего это хорошо?
DMZ хороша, если вы хотите запустить домашний сервер, доступ к которому можно получить из-за пределов вашей домашней сети (т.е. веб-сервер, ssh, vnc или другой протокол удаленного доступа). Обычно вы хотите запустить брандмауэр на машине сервера, чтобы убедиться, что только те порты, которые вам нужны, имеют доступ с публичных компьютеров.
Альтернативой использованию DMZ является установка переадресации портов. С помощью переадресации портов вы можете разрешить только определенные порты через ваш маршрутизатор, а также вы можете указать некоторые порты для перехода на разные машины, если у вас за маршрутизатором работает несколько серверов.
Пожалуйста, будьте осторожны. DMZ в корпоративной/профессиональной среде (с высококлассными брандмауэрами) не является тем же самым, что и для домашнего беспроводного маршрутизатора (или других NAT-маршрутизаторов для домашнего использования). Возможно, вам придется использовать второй NAT роутер, чтобы получить ожидаемую безопасность (см. статью ниже).
В эпизод 3 из подкаст Security Now podcast Лео Лапорта (Leo Laporte) и гуру безопасности Стива Гибсона (Steve Gibson) эта тема обсуждалась. В расшифровке см. почти “действительно интересный вопрос, потому что это так называемая "DMZ”, Демилитаризованная Зона, как ее называют на маршрутизаторах".
От Стива Гибсона, http://www.grc.com/nat/nat.htm :
“Как вы можете себе представить, машина "DMZ” маршрутизатора, и даже машина “port forwarded” должна иметь существенную безопасность, иначе она мгновенно заползет Интернет-грибком. Это большая проблема с точки зрения безопасности. Почему? … NAT-маршрутизатор имеет стандартный Ethernet-коммутатор, соединяющий ВСЕ его LAN-порты. Нет ничего “отдельного” в порту, где находится специальная “DMZ” машина. Он во внутренней локальной сети! Это означает, что все, что может пролезть в него через порт переадресованного маршрутизатора, или из-за того, что он является хостом DMZ, имеет доступ ко всем остальным машинам во внутренней локальной сети. (Это действительно плохо.)“
В статье также есть решение этой проблемы, которое включает использование второго NAT маршрутизатора. Есть несколько действительно хороших диаграмм для иллюстрации проблемы и ее решения.
Зона DMZ или “демилитаризованная зона” - это место, где вы можете установить серверы или другие устройства, доступ к которым необходимо получить из-за пределов вашей сети.
Что там принадлежит? Веб-серверы, прокси-серверы, почтовые серверы и т.д.
В сети наиболее уязвимыми для атак являются хосты, предоставляющие услуги пользователям вне локальной сети, такие как электронная почта, веб-серверы и DNS-серверы. Из-за повышенного потенциала этих хостов, они помещаются в свою подсеть, чтобы защитить остальную часть сети, если злоумышленник добьется успеха. Хосты в DMZ имеют ограниченную связь с определенными хостами во внутренней сети, хотя связь с другими хостами в DMZ и с внешней сетью разрешена. Это позволяет хостам в демилитаризованной зоне предоставлять услуги как внутренней, так и внешней сети, в то время как промежуточный брандмауэр контролирует трафик между серверами демилитаризованной зоны и клиентами внутренней сети.
В компьютерных сетях DMZ (демилитаризованная зона), также иногда известная как сеть периметра или экранированная подсеть, является физической или логической подсетью, которая отделяет внутреннюю локальную сеть (LAN) от других ненадежных сетей, обычно Интернет. Серверы, ресурсы и службы, обращенные к внешнему интерфейсу, расположены в DMZ. Поэтому они доступны из Интернета, но остальная часть внутренней локальной сети остается недоступной. Это обеспечивает дополнительный уровень безопасности локальной сети, так как ограничивает возможности хакеров получать прямой доступ к внутренним серверам и данным через Интернет.