Untuk apa DMZ digunakan pada router nirkabel di rumah?

22

Sejauh yang saya mengerti, dengan menggunakan DMZ Anda mengekspos semua port komputer host ke Internet. Apa gunanya itu?

guillermooo
sumber

Jawaban:

22

DMZ baik jika Anda ingin menjalankan server rumah yang dapat diakses dari luar jaringan rumah Anda (mis. Server web, ssh, vnc atau protokol akses jarak jauh lainnya). Biasanya Anda ingin menjalankan firewall pada mesin server untuk memastikan hanya port yang diinginkan secara khusus yang diizinkan mengakses dari komputer publik.

Alternatif untuk menggunakan DMZ adalah mengatur port forwarding. Dengan penerusan port, Anda hanya dapat mengizinkan port tertentu melalui router Anda dan Anda juga dapat menentukan beberapa port untuk pergi ke mesin yang berbeda jika Anda memiliki beberapa server yang berjalan di belakang router Anda.

astaga
sumber
1
Apakah mungkin untuk melewati router dan terhubung secara langsung? Bagaimana jika port itu seperti kabel telepon atau kabel koaksial?
CMCDragonkai
18

Tolong hati-hati. DMZ di lingkungan perusahaan / profesional (dengan firewall kelas atas) tidak sama dengan router nirkabel di rumah (atau router NAT lainnya untuk digunakan di rumah). Anda mungkin harus menggunakan router NAT kedua untuk mendapatkan keamanan yang diharapkan (lihat artikel di bawah).

Dalam episode 3 dari Keamanan Sekarang podcast oleh Leo Laporte dan guru keamanan Steve Gibson subjek ini berbicara tentang. Dalam transkrip lihat di dekat "masalah yang sangat menarik karena itulah yang disebut" DMZ, "Zona Demiliterisasi, seperti yang disebut pada router.".

Dari Steve Gibson, http://www.grc.com/nat/nat.htm :

"Seperti yang Anda bayangkan, mesin" DMZ "router, dan bahkan mesin" port forwarded "perlu memiliki keamanan yang substansial atau akan merayap dengan jamur internet dalam waktu singkat. Itu masalah besar dari sudut pandang keamanan. Mengapa? .. router NAT memiliki switch Ethernet standar yang menghubungkan SEMUA port sisi LAN-nya. Tidak ada yang "terpisah" tentang port yang menampung mesin "DMZ" khusus. Ini ada di LAN internal! Ini berarti bahwa apa pun yang mungkin merangkak ke dalamnya melalui port router yang diteruskan, atau karena itu adalah host DMZ, memiliki akses ke setiap mesin lain di LAN pribadi internal. (Itu benar-benar buruk.) "

Dalam artikel tersebut ada juga solusi untuk masalah ini yang melibatkan menggunakan router NAT kedua. Ada beberapa diagram yang sangat bagus untuk menggambarkan masalah dan solusinya.

Peter Mortensen
sumber
3
+1. Maksud DMZ adalah untuk memisahkan mesin yang berpotensi dikompromikan dari sisa jaringan internal. Bahkan DD-WRT tidak dapat membantu Anda di sini, serangan b / c yang berasal dari DMZ tidak melewati aturan router, mereka hanya menekan sakelar. DMZ adalah ilusi kecuali jika itu pada koneksi fisik yang terpisah.
hyperslug
2
@ hyperslug: sebenarnya, dengan DD-WRT Anda dapat mengkonfigurasi DMZ pada subnet dan VLAN yang benar-benar terpisah. mengisolasi sepenuhnya dari sisa jaringan, atau mengkonfigurasinya sehingga akses ke DMZ VLAN dari sisa jaringan internal adalah firewall / NAT ingin lalu lintas dari WAN. itu masuk ke konfigurasi yang rumit, tetapi dimungkinkan dengan DD-WRT / OpenWRT.
quack quixote
@ quack, sakelar tidak spesifik port, sakelar biasa. Jadi mesin saya yang dikompromikan dapat menyerang mesin lain pada saklar tanpa disaring melalui aturan router. Mengenai VLAN, saya percaya saya bisa mengubah IP (atau MAC) pada mesin saya yang dikompromikan menjadi sesuatu di jaringan internal dan meretas. 4 port di belakang beberapa router high-end berperilaku sebagai 4 NIC bukan switch 4-port, sehingga aturan dapat diatur seperti block all traffic from #4 to #1,#2,#3yang tidak mungkin dengan switch L2.
hyperslug
10

Sebuah DMZ atau "de-militer zona" adalah di mana Anda dapat mengatur server atau perangkat lain yang perlu diakses dari luar jaringan Anda.

Apa yang ada di sana? Server web, server proxy, server email, dll.

Dalam sebuah jaringan, host yang paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar LAN, seperti email, web, dan server DNS. Karena meningkatnya potensi host ini dikompromikan, mereka ditempatkan ke dalam subnetwork mereka sendiri untuk melindungi seluruh jaringan jika penyusup ingin berhasil. Host di DMZ memiliki konektivitas terbatas ke host tertentu di jaringan internal, meskipun komunikasi dengan host lain di DMZ dan ke jaringan eksternal diperbolehkan. Ini memungkinkan penghuni di DMZ untuk menyediakan layanan ke jaringan internal dan eksternal, sementara firewall yang mengintervensi mengontrol lalu lintas antara server DMZ dan klien jaringan internal.

Bruce McLeod
sumber
0

Dalam jaringan komputer, DMZ (zona demiliterisasi), juga kadang-kadang dikenal sebagai jaringan perimeter atau subnetwork yang disaring, adalah subnet fisik atau logis yang memisahkan jaringan area lokal internal (LAN) dari jaringan tidak dipercaya lainnya, biasanya internet. Server, sumber daya, dan layanan yang menghadap eksternal terletak di DMZ. Jadi, mereka dapat diakses dari internet, tetapi sisa LAN internal tetap tidak terjangkau. Ini memberikan lapisan keamanan tambahan ke LAN karena membatasi kemampuan peretas untuk secara langsung mengakses server dan data internal melalui internet.

pengguna927671
sumber