Anladığım kadarıyla, DMZ'yi kullanarak tüm ana bilgisayarın portlarını Internet'e maruz bırakıyorsunuz. Bu ne için iyi?
Anladığım kadarıyla, DMZ'yi kullanarak tüm ana bilgisayarın portlarını Internet'e maruz bırakıyorsunuz. Bu ne için iyi?
Yanıtlar:
Ev ağınızın dışından erişilebilen bir ev sunucusu çalıştırmak istiyorsanız (örneğin web sunucusu, ssh, vnc veya diğer uzaktan erişim protokolü) DMZ iyidir. Genellikle, yalnızca özel olarak istenen bağlantı noktalarının ortak bilgisayarlardan erişilmesine izin verildiğinden emin olmak için sunucu makinesinde bir güvenlik duvarı çalıştırmak istersiniz.
DMZ kullanmaya bir alternatif bağlantı noktası iletmeyi ayarlamaktır. Bağlantı noktası yönlendirmeyle, yönlendiriciniz üzerinden yalnızca belirli bağlantı noktalarına izin verebilir ve yönlendiricinizin arkasında çalışan birden fazla sunucunuz varsa, farklı makinelere gitmek için bazı bağlantı noktaları belirleyebilirsiniz.
Lütfen dikkatli ol. Kurumsal / profesyonel bir ortamda (yüksek kaliteli güvenlik duvarlarıyla) DMZ, bir ev kablosuz yönlendiricisi (veya ev kullanımı için diğer NAT yönlendiricileri) ile aynı değildir. Beklenen güvenliği elde etmek için ikinci bir NAT yönlendirici kullanmanız gerekebilir (aşağıdaki makaleye bakın).
In bölüm 3 arasında Güvenlik Şimdi podcast Leo Laporte ve güvenlik gurusu Steve Gibson tarafından bu konu konuşuldu. Transkriptte "gerçekten ilginç meseleye" bakınız, çünkü "DMZ," Demilitarized Zone, yönlendiricilerde olduğu gibi.
Steve Gibson'dan, http://www.grc.com/nat/nat.htm :
"Tahmin edebileceğiniz gibi, bir yönlendiricinin" DMZ "makinesi ve hatta" bağlantı noktası iletilmiş "bir makinenin önemli bir güvenliği olması gerekiyor ya da hiçbir zaman Internet mantarı ile sürünüyor olacak. Bu, güvenlik açısından BÜYÜK bir sorun. Neden? .. NAT yönlendirici, TÜM LAN yan portlarını birbirine bağlayan standart bir Ethernet anahtarına sahiptir.Özel "DMZ" makineyi barındıran port hakkında "ayrı" bir şey yoktur. Dahili LAN üzerindedir. Yönlendirilmiş bir yönlendirici bağlantı noktası aracılığıyla veya DMZ ana bilgisayarı olduğu için, dahili özel LAN üzerindeki diğer tüm makinelere erişebilir. (Bu gerçekten kötü.) "
Makalede ayrıca ikinci bir NAT yönlendirici kullanmayı da içeren bu soruna bir çözüm var. Sorunu ve çözümü göstermek için gerçekten iyi diyagramlar var.
block all traffic from #4 to #1,#2,#3
L2 anahtarıyla mümkün olmayan bir kural oluşturulabilir .
Bir DMZ veya "militarize edilmiş bölge", ağınızın dışından erişilmesi gereken sunucuları veya diğer cihazları kurabileceğiniz yerdir.
Oraya ne ait? Web sunucuları, proxy sunucuları, posta sunucuları vb.
Bir ağda, en çok saldırıya açık olan ana bilgisayarlar, e-posta, web ve DNS sunucuları gibi, LAN dışındaki kullanıcılara hizmet sağlayanlardır. Bu ana bilgisayarların artan potansiyel tehlikesi nedeniyle, bir davetsiz misafir başarılı olursa ağın geri kalanını korumak için kendi alt ağlarına yerleştirilirler. DMZ'deki ana makinelerin iç ağdaki belirli ana bilgisayarlarla sınırlı bir bağlantısı vardır, ancak DMZ'deki diğer ana bilgisayarlarla ve dış ağla iletişime izin verilir. Bu, DMZ'deki ana makinelerin hem iç hem de dış ağa hizmet sunmalarına izin verirken, araya giren bir güvenlik duvarı, DMZ sunucuları ve iç ağ istemcileri arasındaki trafiği kontrol eder.
Bilgisayar ağlarında, bazen çevre ağı ya da ekranlı bir alt ağ olarak da bilinen bir DMZ (silahsızlaştırılmış bölge), bir iç yerel alan ağını (LAN), genellikle interneti güvenmeyen diğer ağlardan ayıran fiziksel ya da mantıksal bir alt ağdır. Dışa bakan sunucular, kaynaklar ve hizmetler DMZ'de bulunur. Böylece, internetten erişilebilir, ancak dahili LAN'ın geri kalanına erişilemiyor. Bu, bilgisayar korsanlarının internet üzerinden dahili sunuculara ve verilere doğrudan erişme yeteneklerini kısıtladığından, LAN için ek bir güvenlik katmanı sağlar.