Wofür wird DMZ in einem drahtlosen Heimrouter verwendet?

143080
guillermooo

Soweit ich es verstehe, machen Sie durch die Verwendung von DMZ alle Anschlüsse des Host-Computers für das Internet verfügbar. Wofür ist das gut?

20

4 Antworten auf die Frage

21
heavyd

Die DMZ eignet sich gut, wenn Sie einen Heimserver betreiben möchten, auf den Sie von außerhalb Ihres Heimnetzwerks zugreifen können (z. B. Webserver, SSH, VNC oder ein anderes Protokoll für den Fernzugriff). Normalerweise möchten Sie eine Firewall auf dem Server-Computer ausführen, um sicherzustellen, dass nur die speziell gewünschten Ports von öffentlichen Computern aus zugänglich sind.

Eine Alternative zur Verwendung der DMZ ist die Einrichtung der Portweiterleitung. Mit der Portweiterleitung können Sie nur bestimmte Ports über Ihren Router zulassen. Sie können auch festlegen, dass einige Ports für verschiedene Computer verwendet werden, wenn mehrere Server hinter Ihrem Router ausgeführt werden.

Ist es möglich, den Router zu überspringen und eine direkte Verbindung herzustellen? Was ist, wenn der Anschluss wie ein Telefonkabel oder ein Koaxialkabel ist? CMCDragonkai vor 9 Jahren 0
17
Peter Mortensen

Seien Sie bitte vorsichtig. DMZ in einer Unternehmens- / professionellen Umgebung (mit High-End-Firewalls) ist nicht dasselbe wie für einen drahtlosen Heimrouter (oder andere NAT-Router für den Heimgebrauch). Möglicherweise müssen Sie einen zweiten NAT-Router verwenden, um die erwartete Sicherheit zu erhalten (siehe Artikel unten).

In Episode 3 des Security Now-Podcasts von Leo Laporte und Sicherheitsguru Steve Gibson wurde über dieses Thema gesprochen. In der Abschrift finden Sie in der Nähe "eine wirklich interessante Ausgabe, da dies die sogenannte" DMZ "ist, die demilitarisierte Zone, wie sie auf Routern genannt wird."

Von Steve Gibson http://www.grc.com/nat/nat.htm :

"Wie Sie sich vorstellen können, müssen die" DMZ "-Maschine eines Routers und sogar eine" Portweiterleitungs "-Maschine über erhebliche Sicherheit verfügen, da sie in kürzester Zeit vor Internet-Pilz kriechen wird. Dies ist aus Sicherheitsgründen ein großes Problem. Warum? Ein NAT-Router verfügt über einen Standard-Ethernet-Switch, der ALLE seiner LAN-seitigen Ports miteinander verbindet. Der Port, auf dem sich die spezielle "DMZ" -Maschine befindet, ist "getrennt". Sie befindet sich im internen LAN. Dies bedeutet, dass alles, was in den Router hineinkriechen könnte Über einen weitergeleiteten Router-Port oder weil er der DMZ-Host ist, hat er Zugriff auf alle anderen Computer im internen privaten LAN. (Das ist wirklich schlecht.) "

In diesem Artikel gibt es auch eine Lösung für dieses Problem, bei der ein zweiter NAT-Router verwendet wird. Es gibt einige wirklich gute Diagramme, um das Problem und die Lösung zu veranschaulichen.

+1. In der DMZ geht es darum, eine möglicherweise gefährdete Maschine vom restlichen internen Netzwerk zu trennen. Selbst DD-WRT kann Ihnen hier nicht helfen, b / c-Angriffe, die von der DMZ ausgehen, durchlaufen nicht den Regelsatz des Routers, sie treffen einfach den Schalter. DMZ ist eine Illusion, wenn es sich nicht um eine separate physische Verbindung handelt. hyperslug vor 15 Jahren 2
@hyperslug: eigentlich konnte man mit DD-WRT die DMZ auf einem völlig separaten Subnetz und VLAN konfigurieren. isolieren Sie es vollständig vom Rest des Netzwerks oder konfigurieren Sie es so, dass der Zugriff auf das DMZ-VLAN vom Rest des internen Netzwerks * durch * Firewall * / NAT-Datenverkehr aus dem WAN möglich ist. das ist in eine komplizierte Konfiguration geraten, aber es ist mit DD-WRT / OpenWRT möglich. quack quixote vor 14 Jahren 1
@quack, der Switch ist nicht portspezifisch, er ist ein regulärer Switch. Mein angegriffener Rechner kann also alle anderen Rechner am Switch angreifen, die nicht durch eine Routerregel gefiltert werden. In Bezug auf das VLAN glaube ich, dass ich die IP (oder MAC) auf meinem angegriffenen Computer in etwas im internen Netzwerk ändern und hacken könnte. Die 4 Ports auf der Rückseite einiger High-End-Router verhalten sich wie 4 NICs und nicht als 4-Port-Switch. Daher kann eine Regel wie "Blockieren des gesamten Datenverkehrs von # 4 auf # 1, # 2, # 3" eingerichtet werden unmöglich mit einem L2-Schalter. hyperslug vor 14 Jahren 0
10
Bruce McLeod

In einer DMZ oder "entmilitarisierten Zone" können Sie Server oder andere Geräte einrichten, auf die von außerhalb Ihres Netzwerks zugegriffen werden muss.

Was gehört da hin? Webserver, Proxy-Server, Mail-Server usw.

In einem Netzwerk sind die Hosts, die am anfälligsten für Angriffe sind, Hosts, die Dienste für Benutzer außerhalb des LAN bereitstellen, z. B. E-Mail-, Web- und DNS-Server. Aufgrund des erhöhten Potenzials dieser Hosts, die gefährdet sind, werden sie in ihr eigenes Subnetzwerk aufgenommen, um den Rest des Netzwerks zu schützen, falls ein Eindringling erfolgreich sein sollte. Hosts in der DMZ verfügen nur über eingeschränkte Konnektivität zu bestimmten Hosts im internen Netzwerk. Die Kommunikation mit anderen Hosts in der DMZ und zum externen Netzwerk ist jedoch zulässig. Auf diese Weise können Hosts in der DMZ Dienste für das interne und externe Netzwerk bereitstellen, während eine dazwischenliegende Firewall den Datenverkehr zwischen den DMZ-Servern und den internen Netzwerkclients steuert.

0
user927671

In Computernetzwerken ist eine DMZ (demilitarisierte Zone), die manchmal auch als Umkreisnetzwerk oder abgeschirmtes Subnetzwerk bezeichnet wird, ein physisches oder logisches Subnetz, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken, normalerweise dem Internet, trennt. Server, Ressourcen und Dienste für externe Server befinden sich in der DMZ. Sie sind also über das Internet erreichbar, der Rest des internen LANs bleibt jedoch nicht erreichbar. Dies bietet eine zusätzliche Sicherheitsebene für das LAN, da Hacker den direkten Zugriff auf interne Server und Daten über das Internet einschränken.

Verwandte Probleme