Per quanto ho capito, usando DMZ si espongono tutte le porte del computer host a Internet. A cosa serve?
Per quanto ho capito, usando DMZ si espongono tutte le porte del computer host a Internet. A cosa serve?
Risposte:
DMZ è utile se si desidera eseguire un server principale a cui è possibile accedere dall'esterno della rete domestica (ad es. Server Web, ssh, vnc o altri protocolli di accesso remoto). In genere si desidera eseguire un firewall sul computer server per assicurarsi che solo le porte specificamente richieste possano accedere ai computer pubblici.
Un'alternativa all'utilizzo di DMZ è l'impostazione del port forwarding. Con il port forwarding puoi consentire solo porte specifiche attraverso il tuo router e puoi anche specificare alcune porte per andare su macchine diverse se hai più server in esecuzione dietro il router.
Fate attenzione. La DMZ in un ambiente aziendale / professionale (con firewall di fascia alta) non è la stessa di un router wireless domestico (o di altri router NAT per uso domestico). Potrebbe essere necessario utilizzare un secondo router NAT per ottenere la sicurezza prevista (vedere l'articolo di seguito).
In puntata 3 del podcast di Security Now da Leo Laporte e sicurezza guru Steve Gibson questo argomento è parlato. Nella trascrizione vedi quasi "questione davvero interessante perché quella è la cosiddetta" DMZ ", la zona smilitarizzata, come viene chiamata sui router".
Da Steve Gibson, http://www.grc.com/nat/nat.htm :
"Come puoi immaginare, la macchina" DMZ "di un router, e persino una macchina" port forwarded ", deve avere una sicurezza sostanziale o sarà piena di fungo di Internet in pochissimo tempo. Questo è un GRANDE problema dal punto di vista della sicurezza. Perché? .. un router NAT ha uno switch Ethernet standard che collega TUTTE le sue porte lato LAN. Non c'è niente di "separato" sulla porta che ospita la speciale macchina "DMZ". È sulla LAN interna! Ciò significa che tutto ciò che potrebbe strisciare in essa attraverso una porta router inoltrata, o perché è l'host DMZ, ha accesso a tutte le altre macchine sulla LAN privata interna. (È davvero un male.) "
Nell'articolo c'è anche una soluzione a questo problema che prevede l'utilizzo di un secondo router NAT. Ci sono alcuni diagrammi davvero buoni per illustrare il problema e la soluzione.
block all traffic from #4 to #1,#2,#3
impossibile con uno switch L2.
Una DMZ o "zona de-militarizzata" è dove è possibile configurare server o altri dispositivi a cui è necessario accedere dall'esterno della rete.
Cosa appartiene lì? Server Web, server proxy, server di posta ecc.
In una rete, gli host più vulnerabili agli attacchi sono quelli che forniscono servizi agli utenti esterni alla LAN, come server di posta elettronica, web e DNS. A causa dell'aumentato potenziale di questi host compromessi, vengono collocati nella propria sottorete per proteggere il resto della rete se un intruso dovesse riuscire. Gli host nella DMZ hanno una connettività limitata a host specifici nella rete interna, sebbene sia consentita la comunicazione con altri host nella DMZ e con la rete esterna. Ciò consente agli host nella DMZ di fornire servizi sia alla rete interna che a quella esterna, mentre un firewall intermedio controlla il traffico tra i server DMZ e i client della rete interna.
Nelle reti di computer, una DMZ (zona demilitarizzata), talvolta nota anche come rete perimetrale o sottorete schermata, è una sottorete fisica o logica che separa una rete locale locale (LAN) da altre reti non attendibili, generalmente Internet. Server, risorse e servizi rivolti verso l'esterno si trovano nella DMZ. Pertanto, sono accessibili da Internet, ma il resto della LAN interna rimane irraggiungibile. Ciò fornisce un ulteriore livello di sicurezza alla LAN in quanto limita la capacità degli hacker di accedere direttamente a server e dati interni via Internet.