¿Para qué se utiliza DMZ en un enrutador inalámbrico doméstico?

22

Según tengo entendido, al usar DMZ, expone todos los puertos de la computadora host a Internet. ¿Para qué sirve eso?

guillermooo
fuente

Respuestas:

22

La DMZ es buena si desea ejecutar un servidor doméstico al que se pueda acceder desde fuera de su red doméstica (es decir, servidor web, ssh, vnc u otro protocolo de acceso remoto). Por lo general, desea ejecutar un firewall en la máquina del servidor para asegurarse de que solo los puertos que se desean específicamente tengan acceso desde las computadoras públicas.

Una alternativa al uso de DMZ es configurar el reenvío de puertos. Con el reenvío de puertos, puede permitir solo puertos específicos a través de su enrutador y también puede especificar que algunos puertos vayan a diferentes máquinas si tiene varios servidores ejecutándose detrás de su enrutador.

pesado
fuente
1
¿Es posible omitir el enrutador y conectarse directamente? ¿Qué pasa si el puerto es como un cable de teléfono o un cable coaxial?
CMCDragonkai
18

Por favor tenga cuidado. DMZ en un entorno corporativo / profesional (con firewalls de alta gama) no es lo mismo que para un enrutador inalámbrico doméstico (u otros enrutadores NAT para uso doméstico). Es posible que deba usar un segundo enrutador NAT para obtener la seguridad esperada (consulte el artículo a continuación).

En el episodio 3 del podcast Security Now de Leo Laporte y el gurú de la seguridad Steve Gibson, se habló de este tema. En la transcripción, vea "un tema realmente interesante porque esa es la llamada" DMZ ", la Zona Desmilitarizada, como se llama en los enrutadores".

De Steve Gibson, http://www.grc.com/nat/nat.htm :

"Como se puede imaginar, la máquina" DMZ "de un enrutador, e incluso una máquina" con reenvío de puertos "debe tener una seguridad sustancial o se rastreará con hongos de Internet en poco tiempo. Eso es un GRAN problema desde el punto de vista de la seguridad. ¿Por qué? .. un enrutador NAT tiene un conmutador Ethernet estándar que interconecta TODOS sus puertos del lado LAN. No hay nada "separado" sobre el puerto que aloja la máquina especial "DMZ". ¡Está en la LAN interna! Esto significa que cualquier cosa que pueda entrar a través de un puerto de enrutador reenviado, o debido a que es el host DMZ, tiene acceso a cualquier otra máquina en la LAN privada interna (eso es realmente malo) ".

En el artículo también hay una solución a este problema que implica el uso de un segundo enrutador NAT. Hay algunos diagramas realmente buenos para ilustrar el problema y la solución.

Peter Mortensen
fuente
3
+1. El objetivo de DMZ es separar una máquina potencialmente comprometida del resto de la red interna. Incluso DD-WRT no puede ayudarlo aquí, los ataques b / c que se originan en la DMZ no pasan a través del conjunto de reglas del enrutador, solo presionan el interruptor. DMZ es una ilusión a menos que esté en una conexión física separada.
hyperslug
2
@hyperslug: en realidad, con DD-WRT puede configurar la DMZ en una subred y una VLAN completamente separadas. aislarlo completamente del resto de la red, o configurarlo para que el acceso a la VLAN DMZ desde el resto de la red interna esté protegido por firewall / NAT como el tráfico de la WAN. eso está entrando en una configuración complicada, pero es posible con DD-WRT / OpenWRT.
quack quijote
@quack, el conmutador no es específico del puerto, es un conmutador normal. Por lo tanto, mi máquina comprometida puede atacar a cualquier otra máquina en el conmutador sin que se filtre a través de una regla de enrutador. Con respecto a la VLAN, creo que podría cambiar la IP (o MAC) en mi máquina comprometida a algo en la red interna y piratear. Los 4 puertos en la parte posterior de algunos enrutadores de gama alta se comportan como 4 NIC no como un conmutador de 4 puertos, por lo que se puede configurar una regla como la block all traffic from #4 to #1,#2,#3que es imposible con un conmutador L2.
hyperslug
10

Una DMZ o " zona desmilitarizada " es donde puede configurar servidores u otros dispositivos a los que se debe acceder desde fuera de su red.

Lo que pertenece ahi Servidores web, servidores proxy, servidores de correo, etc.

En una red, los hosts más vulnerables a los ataques son aquellos que brindan servicios a usuarios fuera de la LAN, como correo electrónico, servidores web y DNS. Debido al mayor potencial de estos hosts comprometidos, se colocan en su propia subred para proteger el resto de la red si un intruso tuviera éxito. Los hosts en la DMZ tienen conectividad limitada a hosts específicos en la red interna, aunque se permite la comunicación con otros hosts en la DMZ y a la red externa. Esto permite que los hosts en la DMZ proporcionen servicios tanto a la red interna como a la externa, mientras que un firewall intermedio controla el tráfico entre los servidores DMZ y los clientes de la red interna.

Bruce McLeod
fuente
0

En las redes de computadoras, una DMZ (zona desmilitarizada), también conocida como red perimetral o subred protegida, es una subred física o lógica que separa una red de área local (LAN) interna de otras redes no confiables, generalmente Internet. Los servidores, recursos y servicios externos están ubicados en la DMZ. Por lo tanto, son accesibles desde Internet, pero el resto de la LAN interna permanece inalcanzable. Esto proporciona una capa adicional de seguridad a la LAN, ya que restringe la capacidad de los piratas informáticos para acceder directamente a los servidores internos y a los datos a través de Internet.

usuario927671
fuente