Čo je DMZ a ako si ho nakonfigurujete vo svojej sieti?

Čo znamená „DMZ“? DMZ znamená demilitarizovaná zóna, ale to v skutočnosti znamená rôzne veci v rôznych sférach.

V skutočnom svete je DMZ pás krajiny, ktorý slúži ako hraničný bod medzi Severnou a Južnou Kóreou. Pokiaľ však ide o technológiu, DMZ je logicky oddelená podsieť, ktorá zvyčajne obsahuje externe hostované sieťové služby orientované na internet. Aký je teda účel DMZ? Ako ťa chráni? A môžete si nejaký nastaviť na svojom routeri?

Aký je účel DMZ?

DMZ funguje ako štít medzi nespoľahlivým internetom a vašou internou sieťou.

Izolovaním najzraniteľnejších služieb zameraných na používateľov, ako sú e-mailové, webové servery a servery DNS, vo svojich vlastných logická podsieť, zvyšok internej siete alebo lokálnej siete (LAN) možno chrániť v prípade a kompromis.

Hostitelia vo vnútri DMZ majú obmedzené pripojenie k hlavnej internej sieti, pretože sú umiestnení za zasahujúcim firewallom, ktorý riadi tok premávky medzi dvoma sieťovými bodmi. Určitá komunikácia je však povolená, takže hostitelia DMZ môžu ponúkať služby do internej aj externej siete.

Súvisiace: Aký je rozdiel medzi LAN a WAN?

Hlavným predpokladom DMZ je zabezpečiť, aby bol prístupný z internetu a zvyšná časť internej siete LAN bola nedotknutá a pre vonkajší svet neprístupná. Táto pridaná vrstva zabezpečenia zabraňuje aktérom hrozieb priamo preniknúť do vašej siete.

Aké služby sú pridané do DMZ?

Najjednoduchší spôsob, ako pochopiť konfiguráciu DMZ, je myslieť na smerovač. Smerovače majú zvyčajne dve rozhrania:

1. Interné rozhranie: Toto je vaše rozhranie, ktoré nie je orientované na internet, a ktoré má vašich súkromných hostiteľov.
2. Externé rozhranie: Toto je internetové rozhranie, ktoré umožňuje vaše uplink a interakciu s vonkajším svetom.

Ak chcete implementovať sieť DMZ, jednoducho pridáte tretie rozhranie známe ako DMZ. Všetci hostitelia, ktorí sú prístupní priamo z internetu alebo vyžadujú pravidelnú komunikáciu s vonkajším svetom, sú potom pripojení prostredníctvom rozhrania DMZ.

Štandardné služby, ktoré je možné umiestniť do DMZ, zahŕňajú e-mailové servery, servery FTP, webové servery a servery VOIP atď.

Pred migráciou služieb na DMZ je potrebné starostlivo zvážiť všeobecnú politiku zabezpečenia počítača vo vašej organizácii a vykonať analýzu zdrojov.

Je možné DMZ implementovať v domácej alebo bezdrôtovej sieti?

Možno ste si všimli, že väčšina domácich smerovačov uvádza hostiteľa DMZ. V pravom slova zmysle nejde o skutočný DMZ. Dôvodom je, že DMZ v domácej sieti je jednoducho hostiteľom v internej sieti, ktorý má vystavené všetky porty okrem tých, ktoré nie sú ďalej preposielané.

Väčšina sieťových odborníkov varuje pred konfiguráciou hostiteľa DMZ pre domácu sieť. Je to preto, lebo hostiteľ DMZ je tým bodom medzi internou a externou sieťou, ktorému nie sú udelené rovnaké privilégiá brány firewall, aké majú iné zariadenia v internej sieti.

Domáci hostiteľ DMZ si tiež stále udržuje možnosť pripojenia k všetkým hostiteľom v internej sieti, ktorá to neplatí pre komerčné konfigurácie DMZ, kde sú tieto spojenia vytvárané oddelením firewally.

Hostiteľ DMZ v internej sieti môže poskytnúť falošný pocit bezpečia, keď sa v skutočnosti používa iba ako metóda priameho prenosu portov na iný firewall alebo zariadenie NAT.

Konfigurácia DMZ pre domácu sieť je nevyhnutná, iba ak určité aplikácie vyžadujú trvalý prístup na internet. Aj keď sa to dá dosiahnuť presmerovaním portov alebo vytvorením virtuálnych serverov, niekedy je riešenie veľkého množstva portov nepraktické. V takýchto prípadoch je nastavenie hostiteľa DMZ logickým riešením.

Jeden a dvojitý firewallový model DMZ

Nastavenia DMZ je možné vykonať rôznymi spôsobmi. Dve najbežnejšie používané metódy sú známe ako sieť s tromi nohami (jeden firewall) a sieť s dvoma bránami firewall.

V závislosti na vašich požiadavkách sa môžete rozhodnúť pre ktorúkoľvek z týchto architektúr.

Metóda troch nôh alebo jedna brána firewall

Tento model nesie tri rozhrania. Prvé rozhranie je externá sieť od ISP do brány firewall, druhé je vaša interná sieť a tretie rozhranie je sieť DMZ, ktorá obsahuje rôzne servery.

Nevýhodou tohto nastavenia je, že použitie jediného brány firewall je jediným bodom zlyhania celej siete. Ak dôjde k narušeniu brány firewall, dôjde tiež k poklesu celej DMZ. Firewall by mal byť schopný zvládnuť všetku prichádzajúcu a odchádzajúcu komunikáciu pre DMZ aj pre internú sieť.

Metóda duálneho firewallu

Ako už z názvu vyplýva, na zostavenie tohto nastavenia sa používajú dva firewally, čo z nich robí bezpečnejšiu metódu. Je nakonfigurovaný front-end firewall, ktorý umožňuje prenos údajov iba do az DMZ. Druhý alebo back-endový firewall je nakonfigurovaný tak, aby potom prenášal prenos z DMZ do internej siete.

Mať ďalší firewall obmedzuje šance na ovplyvnenie celej siete v prípade kompromisu.

To prirodzene prichádza s vyššou cenou, ale poskytuje redundanciu v prípade zlyhania aktívneho firewallu. Niektoré organizácie tiež zabezpečujú, aby obidve brány firewall vyrábali rôzni dodávatelia, aby vytvorili viac prekážok pre útočníkov, ktorí chcú hacknúť sieť.

Ako nastaviť DMZ na domácom smerovači

Najjednoduchší a najrýchlejší spôsob nastavenia domácej siete DMZ je použitie trojnohého modelu. Každé rozhranie bude priradené ako interná sieť, sieť DMZ a externá sieť. Nakoniec toto nastavenie dokončí štvorportová ethernetová karta v bráne firewall.

Nasledujúce kroky naznačia, ako nastaviť DMZ na domácom smerovači. Tieto kroky budú podobné pre väčšinu hlavných smerovačov, ako sú Linksys, Netgear, Belkin a D-Link:

1. Pripojte počítač k smerovaču pomocou ethernetového kábla.
2. Prejdite do webového prehliadača počítača a na paneli s nástrojmi adresy zadajte adresu IP smerovača. Adresa smerovača je zvyčajne 192.168.1.1. Stlačte kláves „Enter“ alebo návrat.
3. Uvidíte žiadosť o zadanie hesla správcu. Zadajte svoje heslo, ktoré ste vytvorili v čase nastavenia smerovača. Predvolené heslo pre mnoho smerovačov je „admin“.
4. Vyberte kartu Zabezpečenie v hornom hornom rohu webového rozhrania smerovača.
5. Posuňte sa nadol a vyberte rozbaľovacie pole s označením „DMZ“. Teraz zvoľte povoliť možnosť ponuky.
6. Zadajte adresu IP hostiteľa cieľového počítača. Môže to byť napríklad počítač so vzdialenou obrazovkou, webový server alebo akékoľvek zariadenie, ktoré potrebuje prístup na internet. Poznámka: Adresa IP, na ktorú presmerujete sieťový prenos, by mala byť statická, pretože dynamicky pridelená adresa IP sa zmení pri každom reštartovaní počítača.
7. Vyberte Uložiť nastavenia a zatvorte konzolu smerovača.

Súvisiace: Ako zistíte adresu IP smerovača

Chráňte svoje údaje a nakonfigurujte DMZ

Inteligentní zákazníci vždy zabezpečia svoje smerovače a siete pred votrelcami pred prístupom do externých sietí. DMZ môže priniesť ďalšiu vrstvu zabezpečenia medzi vašimi vzácnymi dátami a potenciálnymi hackermi.

Prinajmenšom použitie DMZ a využitie jednoduchých tipov na zabezpečenie vašich smerovačov môže veľmi ťažko preniknúť aktérom hrozieb do vašej siete. A čím je pre útočníkov ťažšie dostať sa k vašim údajom, tým lepšie pre vás!

Sedem jednoduchých tipov na zabezpečenie vášho smerovača a siete Wi-Fi za pár minút

Postupujte podľa týchto tipov, aby ste zabezpečili svoj domáci router a zabránili ľuďom v prenikaní do vašej siete.

O autorovi