Wofür wird DMZ in einem drahtlosen Heimrouter verwendet?

22

Soweit ich weiß, stellen Sie mit DMZ alle Ports des Host-Computers für das Internet zur Verfügung. Wofür ist das gut?

router wireless-networking dmz

— guillermooo
quelle

22

Die DMZ ist gut geeignet, wenn Sie einen Heimserver ausführen möchten, auf den von außerhalb Ihres Heimnetzwerks zugegriffen werden kann (z. B. Webserver, ssh, vnc oder ein anderes RAS-Protokoll). In der Regel möchten Sie eine Firewall auf dem Servercomputer ausführen, um sicherzustellen, dass nur die speziell gewünschten Ports von öffentlichen Computern aus zugänglich sind.

Eine Alternative zur Verwendung der DMZ besteht darin, die Portweiterleitung einzurichten. Mit der Portweiterleitung können Sie nur bestimmte Ports über Ihren Router zulassen und einige Ports angeben, die an verschiedene Computer gesendet werden sollen, wenn hinter Ihrem Router mehrere Server ausgeführt werden.

— heavyyd
quelle

1

Ist es möglich, den Router zu überspringen und eine direkte Verbindung herzustellen? Was ist, wenn der Anschluss wie ein Telefonkabel oder ein Koaxialkabel ist?

— CMCDragonkai

18

Seien Sie bitte vorsichtig. DMZ in einer Unternehmens- / professionellen Umgebung (mit High-End-Firewalls) ist nicht dasselbe wie für einen Heim-WLAN-Router (oder andere NAT-Router für den Heimgebrauch). Möglicherweise müssen Sie einen zweiten NAT-Router verwenden, um die erwartete Sicherheit zu erreichen (siehe Artikel unten).

In Episode 3 des Security Now-Podcasts von Leo Laporte und Sicherheitsguru Steve Gibson wurde über dieses Thema gesprochen. In der Abschrift sehen Sie in der Nähe "wirklich interessante Angelegenheit, denn das ist die sogenannte" DMZ ", die Demilitarisierte Zone, wie sie auf Routern genannt wird."

Von Steve Gibson, http://www.grc.com/nat/nat.htm :

"Wie Sie sich vorstellen können, müssen die" DMZ "-Maschinen eines Routers und sogar die" Port Forwarded "-Maschinen über eine erhebliche Sicherheit verfügen, da sie sonst in kürzester Zeit mit Internetpilzen infiziert sind. Vom Standpunkt der Sicherheit aus ein GROSSES Problem. Warum? .. ein NAT-Router verfügt über einen Standard-Ethernet-Switch, der ALLE LAN-seitigen Ports miteinander verbindet. Der Port, an dem sich der spezielle DMZ-Computer befindet, ist nicht "getrennt". Dies bedeutet, dass alles, was in ihn hineinkriechen könnte Über einen weitergeleiteten Router-Port oder weil er der DMZ-Host ist, hat er Zugriff auf alle anderen Computer im internen privaten LAN. (Das ist wirklich schlecht.)

In dem Artikel wird auch eine Lösung für dieses Problem beschrieben, bei der ein zweiter NAT-Router verwendet wird. Es gibt einige wirklich gute Diagramme, die das Problem und die Lösung veranschaulichen.

— Peter Mortensen
quelle

3

+1. Der Zweck von DMZ besteht darin, einen potenziell gefährdeten Computer vom Rest des internen Netzwerks zu trennen. Auch DD-WRT kann Ihnen hier nicht helfen. Von der DMZ ausgehende B / C-Angriffe durchlaufen nicht den Regelsatz des Routers, sondern drücken einfach den Schalter. DMZ ist eine Illusion, es sei denn, es handelt sich um eine separate physische Verbindung.

— Hyperslug

2

@hyperslug: Mit DD-WRT können Sie die DMZ in einem völlig separaten Subnetz und VLAN konfigurieren. Isolieren Sie es vollständig vom Rest des Netzwerks, oder konfigurieren Sie es so, dass der Zugriff auf das DMZ-VLAN vom Rest des internen Netzwerks aus durch eine Firewall oder durch NAT-Datenverkehr vom WAN erfolgt. Dies führt zu einer komplizierten Konfiguration, ist jedoch mit DD-WRT / OpenWRT möglich.

— Quack Quijote

@quack, der Switch ist nicht portspezifisch, sondern ein normaler Switch. Mein kompromittierter Computer kann also alle anderen Computer auf dem Switch angreifen, ohne dass dies durch eine Router-Regel herausgefiltert wird. In Bezug auf das VLAN glaube ich, dass ich die IP (oder MAC) auf meinem kompromittierten Computer in etwas im internen Netzwerk ändern und abhacken könnte. Die 4 Ports auf der Rückseite einiger High-End-Router verhalten sich wie 4 NICs und sind keine 4-Port-Switches. Daher kann eine Regel festgelegt werden, block all traffic from #4 to #1,#2,#3die mit einem L2-Switch unmöglich ist.

— Hyperslug

10

In einer DMZ oder "entmilitarisierten Zone" können Sie Server oder andere Geräte einrichten, auf die von außerhalb Ihres Netzwerks zugegriffen werden muss.

Was gehört da hin? Webserver, Proxyserver, Mailserver etc.

In einem Netzwerk sind Hosts am anfälligsten für Angriffe, die Dienste für Benutzer außerhalb des LAN bereitstellen, z. B. E-Mail-, Web- und DNS-Server. Aufgrund des erhöhten Risikopotenzials dieser Hosts werden sie in ein eigenes Subnetz eingebunden, um den Rest des Netzwerks zu schützen, falls ein Eindringling erfolgreich sein sollte. Hosts in der DMZ haben eine eingeschränkte Konnektivität zu bestimmten Hosts im internen Netzwerk, obwohl die Kommunikation mit anderen Hosts in der DMZ und zum externen Netzwerk zulässig ist. Auf diese Weise können Hosts in der DMZ Dienste sowohl für das interne als auch für das externe Netzwerk bereitstellen, während eine dazwischenliegende Firewall den Datenverkehr zwischen den DMZ-Servern und den internen Netzwerkclients steuert.

— Bruce McLeod
quelle

0

In Computernetzwerken ist eine DMZ (demilitarisierte Zone), manchmal auch als Umkreisnetzwerk oder abgeschirmtes Teilnetzwerk bekannt, ein physisches oder logisches Teilnetzwerk, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken, normalerweise dem Internet, trennt. Externe Server, Ressourcen und Dienste befinden sich in der DMZ. Sie sind also über das Internet erreichbar, der Rest des internen LAN bleibt jedoch unerreichbar. Dies bietet eine zusätzliche Sicherheitsebene für das LAN, da Hacker nur eingeschränkt über das Internet direkt auf interne Server und Daten zugreifen können.

— user927671
quelle