Wofür wird DMZ in einem drahtlosen Heimrouter verwendet?

Soweit ich weiß, stellen Sie mit DMZ alle Ports des Host-Computers für das Internet zur Verfügung. Wofür ist das gut?

Die DMZ ist gut geeignet, wenn Sie einen Heimserver ausführen möchten, auf den von außerhalb Ihres Heimnetzwerks zugegriffen werden kann (z. B. Webserver, ssh, vnc oder ein anderes RAS-Protokoll). In der Regel möchten Sie eine Firewall auf dem Servercomputer ausführen, um sicherzustellen, dass nur die speziell gewünschten Ports von öffentlichen Computern aus zugänglich sind.

Eine Alternative zur Verwendung der DMZ besteht darin, die Portweiterleitung einzurichten. Mit der Portweiterleitung können Sie nur bestimmte Ports über Ihren Router zulassen und einige Ports angeben, die an verschiedene Computer gesendet werden sollen, wenn hinter Ihrem Router mehrere Server ausgeführt werden.

Seien Sie bitte vorsichtig. DMZ in einer Unternehmens- / professionellen Umgebung (mit High-End-Firewalls) ist nicht dasselbe wie für einen Heim-WLAN-Router (oder andere NAT-Router für den Heimgebrauch). Möglicherweise müssen Sie einen zweiten NAT-Router verwenden, um die erwartete Sicherheit zu erreichen (siehe Artikel unten).

In Episode 3 des Security Now-Podcasts von Leo Laporte und Sicherheitsguru Steve Gibson wurde über dieses Thema gesprochen. In der Abschrift sehen Sie in der Nähe "wirklich interessante Angelegenheit, denn das ist die sogenannte" DMZ ", die Demilitarisierte Zone, wie sie auf Routern genannt wird."

Von Steve Gibson, http://www.grc.com/nat/nat.htm :

"Wie Sie sich vorstellen können, müssen die" DMZ "-Maschinen eines Routers und sogar die" Port Forwarded "-Maschinen über eine erhebliche Sicherheit verfügen, da sie sonst in kürzester Zeit mit Internetpilzen infiziert sind. Vom Standpunkt der Sicherheit aus ein GROSSES Problem. Warum? .. ein NAT-Router verfügt über einen Standard-Ethernet-Switch, der ALLE LAN-seitigen Ports miteinander verbindet. Der Port, an dem sich der spezielle DMZ-Computer befindet, ist nicht "getrennt". Dies bedeutet, dass alles, was in ihn hineinkriechen könnte Über einen weitergeleiteten Router-Port oder weil er der DMZ-Host ist, hat er Zugriff auf alle anderen Computer im internen privaten LAN. (Das ist wirklich schlecht.)

In dem Artikel wird auch eine Lösung für dieses Problem beschrieben, bei der ein zweiter NAT-Router verwendet wird. Es gibt einige wirklich gute Diagramme, die das Problem und die Lösung veranschaulichen.

In einer DMZ oder "entmilitarisierten Zone" können Sie Server oder andere Geräte einrichten, auf die von außerhalb Ihres Netzwerks zugegriffen werden muss.

Was gehört da hin? Webserver, Proxyserver, Mailserver etc.

In einem Netzwerk sind Hosts am anfälligsten für Angriffe, die Dienste für Benutzer außerhalb des LAN bereitstellen, z. B. E-Mail-, Web- und DNS-Server. Aufgrund des erhöhten Risikopotenzials dieser Hosts werden sie in ein eigenes Subnetz eingebunden, um den Rest des Netzwerks zu schützen, falls ein Eindringling erfolgreich sein sollte. Hosts in der DMZ haben eine eingeschränkte Konnektivität zu bestimmten Hosts im internen Netzwerk, obwohl die Kommunikation mit anderen Hosts in der DMZ und zum externen Netzwerk zulässig ist. Auf diese Weise können Hosts in der DMZ Dienste sowohl für das interne als auch für das externe Netzwerk bereitstellen, während eine dazwischenliegende Firewall den Datenverkehr zwischen den DMZ-Servern und den internen Netzwerkclients steuert.

In Computernetzwerken ist eine DMZ (demilitarisierte Zone), manchmal auch als Umkreisnetzwerk oder abgeschirmtes Teilnetzwerk bekannt, ein physisches oder logisches Teilnetzwerk, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken, normalerweise dem Internet, trennt. Externe Server, Ressourcen und Dienste befinden sich in der DMZ. Sie sind also über das Internet erreichbar, der Rest des internen LAN bleibt jedoch unerreichbar. Dies bietet eine zusätzliche Sicherheitsebene für das LAN, da Hacker nur eingeschränkt über das Internet direkt auf interne Server und Daten zugreifen können.