Kaj je DMZ in kako ga konfigurirate v svojem omrežju?

Kaj pomeni "DMZ"? DMZ pomeni Demilitarizirana cona, vendar to dejansko pomeni različne stvari na različnih področjih.

V resničnem svetu je DMZ pas zemlje, ki služi kot razmejitvena točka med Severno in Južno Korejo. Toda kar zadeva tehnologijo, je DMZ logično ločeno podomrežje, ki običajno vsebuje omrežne zunanje gostovane internetne storitve. Torej, kaj točno je namen DMZ? Kako vas ščiti? In ga lahko nastavite na svojem usmerjevalniku?

Kaj je namen DMZ?

DMZ deluje kot ščit med nezanesljivim internetom in vašim notranjim omrežjem.

Z izolacijo najbolj ranljivih uporabniških storitev, kot so e-pošta, splet in strežniki DNS, znotraj svojih logično podomrežje, preostalo notranje omrežje ali lokalno omrežje (LAN) je mogoče zaščititi v primeru kompromis.

Gostitelji znotraj DMZ imajo omejeno povezljivost z glavnim notranjim omrežjem, saj so nameščeni za vmesnim požarnim zidom, ki nadzoruje pretok prometa med obema omrežnima točkama. Nekatere komunikacije pa so dovoljene, tako da lahko gostitelji DMZ ponujajo storitve tako notranjemu kot zunanjemu omrežju.

Sorodno: Kakšna je razlika med LAN in WAN?

Glavna predpostavka DMZ je, da je ta dostopen z interneta, preostali notranji LAN pa ostane nedotaknjen in nedostopen zunanjemu svetu. Ta dodana plast varnosti preprečuje, da bi akterji groženj neposredno vdrli v vaše omrežje.

Katere storitve so dodane znotraj DMZ?

Konfiguracijo DMZ je najlažje razumeti tako, da si omislite usmerjevalnik. Usmerjevalniki imajo običajno dva vmesnika:

1. Notranji vmesnik: To je vaš vmesnik, ki ni usmerjen v internet in ima vaše zasebne gostitelje.
2. Zunanji vmesnik: To je vmesnik, usmerjen v internet, ki ima vaše povezave navzgor in interakcijo z zunanjim svetom.

Za izvedbo omrežja DMZ preprosto dodate tretji vmesnik, znan kot DMZ. Vsi gostitelji, ki so dostopni neposredno z interneta ali potrebujejo redno komunikacijo z zunanjim svetom, so nato povezani prek vmesnika DMZ.

Standardne storitve, ki jih je mogoče namestiti v DMZ, vključujejo e-poštne strežnike, FTP strežnike, spletne strežnike in strežnike VOIP itd.

Pred selitvijo storitev v DMZ je treba skrbno pretehtati splošno politiko računalniške varnosti vaše organizacije in opraviti analizo virov.

Ali je DMZ mogoče implementirati v domačem ali brezžičnem omrežju?

Morda ste opazili, da večina domačih usmerjevalnikov omenja gostitelja DMZ. V pravem pomenu besede to ni pravi DMZ. Razlog je v tem, da je DMZ v domačem omrežju preprosto gostitelj v notranjem omrežju, ki ima vsa vrata izpostavljena poleg tistih, ki niso posredovana.

Večina strokovnjakov za omrežje odsvetuje nastavitev gostitelja DMZ za domače omrežje. To je zato, ker je gostitelj DMZ tista točka med notranjim in zunanjim omrežjem, ki nima enakih pravic požarnega zidu, kot jih uživajo druge naprave v notranjem omrežju.

Prav tako domači DMZ gostitelj še vedno ohranja sposobnost povezovanja z vsemi gostitelji v notranjem omrežju, ki ne velja za komercialne konfiguracije DMZ, kjer se te povezave izvedejo z ločevanjem požarni zidovi.

Gostitelj DMZ v notranjem omrežju lahko zagotavlja lažen občutek varnosti, ko se v resnici uporablja le kot metoda neposrednega posredovanja vrat na drug požarni zid ali NAT.

Konfiguriranje DMZ za domače omrežje je potrebno le, če nekatere aplikacije zahtevajo stalen dostop do interneta. Čeprav je to mogoče doseči s posredovanjem vrat ali ustvarjanjem navideznih strežnikov, je včasih zaradi velike količine številk vrat to nepraktično. V takih primerih je nastavitev gostitelja DMZ logična rešitev.

Model enojnega in dvojnega požarnega zidu DMZ

Nastavitve DMZ lahko naredite na različne načine. Dve najpogosteje uporabljeni metodi sta znani kot omrežje s tremi nogami (enojni požarni zid) in omrežje z dvojnimi požarnimi zidovi.

Glede na vaše zahteve se lahko odločite za katero koli od teh arhitektur.

Metoda s tremi nogami ali enojnim požarnim zidom

Ta model ima tri vmesnike. Prvi vmesnik je zunanje omrežje od ponudnika internetnih storitev do požarnega zidu, drugi je vaše notranje omrežje in nenazadnje, tretji vmesnik je omrežje DMZ, ki vsebuje različne strežnike.

Pomanjkljivost te nastavitve je, da je uporaba enega in edinega požarnega zidu edina točka okvare celotnega omrežja. Če se požarni zid ogrozi, se bo zrušil tudi celoten DMZ. Požarni zid mora biti sposoben obvladovati ves dohodni in odhodni promet tako za DMZ kot za notranje omrežje.

Metoda dvojnega požarnega zidu

Kot že ime pove, se za oblikovanje te nastavitve uporabljata dva požarna zidu, zaradi česar je ta način bolj varen. Konfiguriran je čelni požarni zid, ki omogoča promet samo do DMZ in od njega. Drugi ali vmesni požarni zid je konfiguriran tako, da nato prenaša promet iz DMZ v notranje omrežje.

Z dodatnim požarnim zidom se zmanjša možnost, da bo v primeru kompromisa prizadeta celotna mreža.

To ima seveda višjo ceno, vendar zagotavlja odvečnost v primeru odpovedi aktivnega požarnega zidu. Nekatere organizacije tudi zagotavljajo, da oba požarna zidu izdelujejo različni ponudniki, da bi ustvarili več ovir za napadalce, ki želijo vdreti v mrežo.

Kako nastaviti DMZ na domačem usmerjevalniku

Najlažji in najhitrejši način vzpostavitve domačega omrežja DMZ je uporaba trikrakega modela. Vsak vmesnik bo dodeljen kot notranje omrežje, omrežje DMZ in zunanje omrežje. Nazadnje bo to nastavitev dokončala še štirivratna Ethernet kartica v požarnem zidu.

Naslednji koraki bodo opisali, kako nastaviti DMZ na domačem usmerjevalniku. Upoštevajte, da bodo ti koraki podobni večini glavnih usmerjevalnikov, kot so Linksys, Netgear, Belkin in D-Link:

1. Računalnik povežite z usmerjevalnikom prek Ethernet kabla.
2. Pojdite v spletni brskalnik računalnika in v naslovno orodno vrstico vnesite naslov IP usmerjevalnika. Običajno je naslov usmerjevalnika 192.168.1.1. Pritisnite tipko "Enter" ali tipko za vrnitev.
3. Videli boste zahtevo za vnos skrbniškega gesla. Vnesite geslo, ki ste ga ustvarili ob nastavitvi usmerjevalnika. Privzeto geslo za številne usmerjevalnike je "admin".
4. Izberite zavihek "Varnost" v zgornjem zgornjem kotu spletnega vmesnika usmerjevalnika.
5. Pomaknite se na dno in izberite spustno polje z oznako "DMZ". Zdaj izberite omogoči možnost menija.
6. Vnesite naslov IP za ciljni gostitelj računalnika. To je lahko kar koli kot oddaljeni namizni računalnik, spletni strežnik ali katera koli naprava, ki potrebuje dostop do interneta. Opomba: naslov IP, kamor posredujete omrežni promet, mora biti statičen, saj se bo dinamično dodeljeni naslov IP spremenil ob vsakem ponovnem zagonu računalnika.
7. Izberite Shrani nastavitve in zaprite konzolo usmerjevalnika.

Sorodno: Kako najti naslov IP vašega usmerjevalnika

Zaščitite svoje podatke in konfigurirajte DMZ

Pametni potrošniki pred dostopom do zunanjih omrežij vedno zaščitijo svoje usmerjevalnike in omrežja pred vsiljivci. DMZ lahko prinese dodatno stopnjo varnosti med vašimi dragocenimi podatki in potencialnimi hekerji.

Z uporabo DMZ in uporabo preprostih nasvetov za zaščito usmerjevalnikov lahko akterji groženj zelo težko prodrejo v vaše omrežje. In težje kot napadalci pridejo do vaših podatkov, bolje je za vas!

7 preprostih nasvetov za zaščito usmerjevalnika in omrežja Wi-Fi v nekaj minutah

Upoštevajte te nasvete, da zaščitite domači usmerjevalnik in preprečite vdor ljudi v vaše omrežje.

O avtorju