A cosa serve DMZ in un router wireless domestico?


Risposte:


22

DMZ è utile se si desidera eseguire un server principale a cui è possibile accedere dall'esterno della rete domestica (ad es. Server Web, ssh, vnc o altri protocolli di accesso remoto). In genere si desidera eseguire un firewall sul computer server per assicurarsi che solo le porte specificamente richieste possano accedere ai computer pubblici.

Un'alternativa all'utilizzo di DMZ è l'impostazione del port forwarding. Con il port forwarding puoi consentire solo porte specifiche attraverso il tuo router e puoi anche specificare alcune porte per andare su macchine diverse se hai più server in esecuzione dietro il router.


1
È possibile saltare il router e connettersi direttamente? Cosa succede se la porta è come un cavo telefonico o un cavo coassiale?
CMCDragonkai,

18

Fate attenzione. La DMZ in un ambiente aziendale / professionale (con firewall di fascia alta) non è la stessa di un router wireless domestico (o di altri router NAT per uso domestico). Potrebbe essere necessario utilizzare un secondo router NAT per ottenere la sicurezza prevista (vedere l'articolo di seguito).

In puntata 3 del podcast di Security Now da Leo Laporte e sicurezza guru Steve Gibson questo argomento è parlato. Nella trascrizione vedi quasi "questione davvero interessante perché quella è la cosiddetta" DMZ ", la zona smilitarizzata, come viene chiamata sui router".

Da Steve Gibson, http://www.grc.com/nat/nat.htm :

"Come puoi immaginare, la macchina" DMZ "di un router, e persino una macchina" port forwarded ", deve avere una sicurezza sostanziale o sarà piena di fungo di Internet in pochissimo tempo. Questo è un GRANDE problema dal punto di vista della sicurezza. Perché? .. un router NAT ha uno switch Ethernet standard che collega TUTTE le sue porte lato LAN. Non c'è niente di "separato" sulla porta che ospita la speciale macchina "DMZ". È sulla LAN interna! Ciò significa che tutto ciò che potrebbe strisciare in essa attraverso una porta router inoltrata, o perché è l'host DMZ, ha accesso a tutte le altre macchine sulla LAN privata interna. (È davvero un male.) "

Nell'articolo c'è anche una soluzione a questo problema che prevede l'utilizzo di un secondo router NAT. Ci sono alcuni diagrammi davvero buoni per illustrare il problema e la soluzione.


3
+1. Il punto di DMZ è quello di separare una macchina potenzialmente compromessa dal resto della rete interna. Anche DD-WRT non può aiutarti qui, gli attacchi b / c provenienti dalla DMZ non passano attraverso il set di regole del router, ma semplicemente premono l'interruttore. DMZ è un'illusione a meno che non sia su una connessione fisica separata.
hyperslug,

2
@hyperslug: in realtà, con DD-WRT è possibile configurare il DMZ su una sottorete e VLAN completamente separate. isolarlo interamente dal resto della rete o configurarlo in modo tale che l'accesso alla VLAN DMZ dal resto della rete interna sia protetto da firewall / NAT vorrebbe il traffico proveniente dalla WAN. sta entrando in una configurazione complicata, ma è possibile con DD-WRT / OpenWRT.
Quack Quixote,

@quack, lo switch non è specifico della porta, è uno switch normale. Quindi la mia macchina compromessa può attaccare qualsiasi altra macchina sullo switch senza essere filtrata attraverso una regola del router. Per quanto riguarda la VLAN, credo di poter cambiare l'IP (o MAC) sulla mia macchina compromessa in qualcosa sulla rete interna e hackerare. Le 4 porte sul retro di alcuni router di fascia alta si comportano come 4 schede di rete non uno switch a 4 porte, quindi è possibile impostare una regola come quella block all traffic from #4 to #1,#2,#3impossibile con uno switch L2.
hyperslug

10

Una DMZ o "zona de-militarizzata" è dove è possibile configurare server o altri dispositivi a cui è necessario accedere dall'esterno della rete.

Cosa appartiene lì? Server Web, server proxy, server di posta ecc.

In una rete, gli host più vulnerabili agli attacchi sono quelli che forniscono servizi agli utenti esterni alla LAN, come server di posta elettronica, web e DNS. A causa dell'aumentato potenziale di questi host compromessi, vengono collocati nella propria sottorete per proteggere il resto della rete se un intruso dovesse riuscire. Gli host nella DMZ hanno una connettività limitata a host specifici nella rete interna, sebbene sia consentita la comunicazione con altri host nella DMZ e con la rete esterna. Ciò consente agli host nella DMZ di fornire servizi sia alla rete interna che a quella esterna, mentre un firewall intermedio controlla il traffico tra i server DMZ e i client della rete interna.


0

Nelle reti di computer, una DMZ (zona demilitarizzata), talvolta nota anche come rete perimetrale o sottorete schermata, è una sottorete fisica o logica che separa una rete locale locale (LAN) da altre reti non attendibili, generalmente Internet. Server, risorse e servizi rivolti verso l'esterno si trovano nella DMZ. Pertanto, sono accessibili da Internet, ma il resto della LAN interna rimane irraggiungibile. Ciò fornisce un ulteriore livello di sicurezza alla LAN in quanto limita la capacità degli hacker di accedere direttamente a server e dati interni via Internet.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.