Ev kablosuz yönlendiricisinde DMZ ne için kullanılır?


22

Anladığım kadarıyla, DMZ'yi kullanarak tüm ana bilgisayarın portlarını Internet'e maruz bırakıyorsunuz. Bu ne için iyi?

Yanıtlar:


22

Ev ağınızın dışından erişilebilen bir ev sunucusu çalıştırmak istiyorsanız (örneğin web sunucusu, ssh, vnc veya diğer uzaktan erişim protokolü) DMZ iyidir. Genellikle, yalnızca özel olarak istenen bağlantı noktalarının ortak bilgisayarlardan erişilmesine izin verildiğinden emin olmak için sunucu makinesinde bir güvenlik duvarı çalıştırmak istersiniz.

DMZ kullanmaya bir alternatif bağlantı noktası iletmeyi ayarlamaktır. Bağlantı noktası yönlendirmeyle, yönlendiriciniz üzerinden yalnızca belirli bağlantı noktalarına izin verebilir ve yönlendiricinizin arkasında çalışan birden fazla sunucunuz varsa, farklı makinelere gitmek için bazı bağlantı noktaları belirleyebilirsiniz.


1
Yönelticiyi atlayıp doğrudan bağlanmak mümkün mü? Bağlantı noktası telefon kablosu veya koaksiyel bir kablo ise ne olur?
CMCDragonkai

18

Lütfen dikkatli ol. Kurumsal / profesyonel bir ortamda (yüksek kaliteli güvenlik duvarlarıyla) DMZ, bir ev kablosuz yönlendiricisi (veya ev kullanımı için diğer NAT yönlendiricileri) ile aynı değildir. Beklenen güvenliği elde etmek için ikinci bir NAT yönlendirici kullanmanız gerekebilir (aşağıdaki makaleye bakın).

In bölüm 3 arasında Güvenlik Şimdi podcast Leo Laporte ve güvenlik gurusu Steve Gibson tarafından bu konu konuşuldu. Transkriptte "gerçekten ilginç meseleye" bakınız, çünkü "DMZ," Demilitarized Zone, yönlendiricilerde olduğu gibi.

Steve Gibson'dan, http://www.grc.com/nat/nat.htm :

"Tahmin edebileceğiniz gibi, bir yönlendiricinin" DMZ "makinesi ve hatta" bağlantı noktası iletilmiş "bir makinenin önemli bir güvenliği olması gerekiyor ya da hiçbir zaman Internet mantarı ile sürünüyor olacak. Bu, güvenlik açısından BÜYÜK bir sorun. Neden? .. NAT yönlendirici, TÜM LAN yan portlarını birbirine bağlayan standart bir Ethernet anahtarına sahiptir.Özel "DMZ" makineyi barındıran port hakkında "ayrı" bir şey yoktur. Dahili LAN üzerindedir. Yönlendirilmiş bir yönlendirici bağlantı noktası aracılığıyla veya DMZ ana bilgisayarı olduğu için, dahili özel LAN üzerindeki diğer tüm makinelere erişebilir. (Bu gerçekten kötü.) "

Makalede ayrıca ikinci bir NAT yönlendirici kullanmayı da içeren bu soruna bir çözüm var. Sorunu ve çözümü göstermek için gerçekten iyi diyagramlar var.


3
+1. DMZ'nin amacı, potansiyel olarak tehlikeye atılmış bir makineyi iç ağın geri kalanından ayırmaktır. DD-WRT bile burada size yardımcı olamıyor, DMZ'den gelen s / b saldırıları yönlendiricinin kurallarını geçmiyor, sadece anahtara çarpıyorlar. DMZ, ayrı bir fiziksel bağlantı olmadıkça bir yanılsamadır.
hiperslug

2
@hyperslug: aslında DD-WRT ile DMZ'yi tamamen ayrı bir alt ağda ve VLAN'da yapılandırabilirsiniz. İç ağın geri kalanından DMZ VLAN erişim izolatı tamamen ağın geri kalanından veya yapılandırmak onu bu kadar olan WAN gelen trafik gibi / NAT'd güvenlik duvarlı. Bu karmaşık bir konfigürasyona giriyor, ancak DD-WRT / OpenWRT ile mümkün.
quack quixote

@quack, anahtar bağlantı noktasına özel değil, normal bir anahtar. Böylece, tehlikeye atılan makinem, bir yönlendirici kuralına göre filtrelenmiş olan anahtar üzerindeki diğer makinelere saldırabilir. VLAN ile ilgili olarak, tehlikeye attığım makinedeki IP'yi (veya MAC) iç ağdaki bir şeyle değiştirebileceğime ve kesebileceğime inanıyorum. Bazı üst uç yönlendiricilerin arkasındaki 4 bağlantı noktası, 4 bağlantı noktası olmayan bir anahtar olarak 4 NIC olarak işlev görür, bu nedenle block all traffic from #4 to #1,#2,#3L2 anahtarıyla mümkün olmayan bir kural oluşturulabilir .
hyperslug

10

Bir DMZ veya "militarize edilmiş bölge", ağınızın dışından erişilmesi gereken sunucuları veya diğer cihazları kurabileceğiniz yerdir.

Oraya ne ait? Web sunucuları, proxy sunucuları, posta sunucuları vb.

Bir ağda, en çok saldırıya açık olan ana bilgisayarlar, e-posta, web ve DNS sunucuları gibi, LAN dışındaki kullanıcılara hizmet sağlayanlardır. Bu ana bilgisayarların artan potansiyel tehlikesi nedeniyle, bir davetsiz misafir başarılı olursa ağın geri kalanını korumak için kendi alt ağlarına yerleştirilirler. DMZ'deki ana makinelerin iç ağdaki belirli ana bilgisayarlarla sınırlı bir bağlantısı vardır, ancak DMZ'deki diğer ana bilgisayarlarla ve dış ağla iletişime izin verilir. Bu, DMZ'deki ana makinelerin hem iç hem de dış ağa hizmet sunmalarına izin verirken, araya giren bir güvenlik duvarı, DMZ sunucuları ve iç ağ istemcileri arasındaki trafiği kontrol eder.


0

Bilgisayar ağlarında, bazen çevre ağı ya da ekranlı bir alt ağ olarak da bilinen bir DMZ (silahsızlaştırılmış bölge), bir iç yerel alan ağını (LAN), genellikle interneti güvenmeyen diğer ağlardan ayıran fiziksel ya da mantıksal bir alt ağdır. Dışa bakan sunucular, kaynaklar ve hizmetler DMZ'de bulunur. Böylece, internetten erişilebilir, ancak dahili LAN'ın geri kalanına erişilemiyor. Bu, bilgisayar korsanlarının internet üzerinden dahili sunuculara ve verilere doğrudan erişme yeteneklerini kısıtladığından, LAN için ek bir güvenlik katmanı sağlar.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.