it-swarm-eu.dev

Cosa c'è DMZ interessato in un router wireless domestico?

Per quanto ho capito, usando DMZ esponi tutte le porte del computer Host a Internet. A cosa serve?

22
guillermooo

Il DMZ è utile se si desidera eseguire un server domestico a cui è possibile accedere dall'esterno della rete domestica (ad es. Server Web, ssh, vnc o altro protocollo di accesso remoto). In genere si vorrebbe eseguire un firewall sulla macchina server per assicurarsi che solo le porte che sono specificamente ricercate possano accedere ai computer pubblici.

Un'alternativa all'utilizzo di DMZ è di configurare il port forwarding. Con il port forwarding puoi consentire solo porte specifiche attraverso il tuo router e puoi anche specificare alcune porte per andare su macchine diverse se hai più server in esecuzione dietro il tuo router.

22
heavyd

Fate attenzione. DMZ in un ambiente aziendale/professionale (con firewall high-end) non è la stessa di un router wireless domestico (o di altri router NAT per uso domestico). Potrebbe essere necessario utilizzare un secondo NAT router per ottenere la sicurezza prevista (vedere l'articolo di seguito).

In episodio 3 del podcast Security Now di Leo Laporte e guru della sicurezza Steve Gibson ha parlato di questo argomento. Nella trascrizione vedi vicino "questione davvero interessante perché è la cosiddetta" DMZ ", la Zona Demilitarizzata, come viene chiamata sui router.".

Da Steve Gibson, http://www.grc.com/nat/nat.htm :

"Come si può immaginare, la macchina" DMZ "di un router e persino una macchina" port forwarded "devono avere una sostanziale sicurezza o si scontreranno con i funghi Internet in pochissimo tempo.Questo è un GRANDE problema dal punto di vista della sicurezza. .. a NAT router ha uno switch Ethernet standard che collega TUTTE le sue porte lato LAN.Non c'è nulla di "separato" sulla porta che ospita la speciale macchina "DMZ" .Si trova sulla LAN interna! Ciò significa che tutto ciò che può strisciare dentro attraverso una porta del router inoltrata, o perché è l'host DMZ, ha accesso a tutti gli altri computer sulla LAN privata interna. (È molto brutto). "

Nell'articolo esiste anche una soluzione a questo problema che implica l'utilizzo di un secondo router NAT. Ci sono alcuni diagrammi davvero buoni per illustrare il problema e la soluzione.

17
Peter Mortensen

A DMZ o "zona de-militarizzata" è dove è possibile configurare server o altri dispositivi a cui è necessario accedere dall'esterno della rete.

Cosa c'è lì? Server Web, server proxy, server di posta, ecc.

In una rete, gli host più vulnerabili agli attacchi sono quelli che forniscono servizi agli utenti esterni alla LAN, come server di posta elettronica, web e DNS. A causa dell'aumento del potenziale di questi host che vengono compromessi, vengono inseriti nella loro sottorete per proteggere il resto della rete se un intruso dovesse avere successo. Gli host nel DMZ hanno una connettività limitata a specifici host nella rete interna, sebbene sia consentita la comunicazione con altri host nel DMZ e nella rete esterna. Ciò consente agli host nel DMZ di fornire servizi sia alla rete interna che esterna, mentre un firewall intermedio controlla il traffico tra i server DMZ ei client di rete interni.

10
Bruce McLeod

Nelle reti di computer, una DMZ (zona demilitarizzata), anche a volte nota come rete perimetrale o sottorete schermata, è una subnet fisica o logica che separa una LAN (Local Area Network) interna da altre reti non attendibili, di solito in internet. Server, risorse e servizi rivolti all'esterno si trovano nella DMZ. Quindi, sono accessibili da internet, ma il resto della LAN interna rimane irraggiungibile. Ciò fornisce un ulteriore livello di sicurezza alla LAN poiché limita la capacità degli hacker di accedere direttamente ai server e ai dati interni via Internet.

0
user927671