Mikä on DMZ ja miten määrität sellaisen verkossa?

Mitä "DMZ" tarkoittaa? DMZ tarkoittaa demilitarisoitua vyöhykettä, mutta se tarkoittaa itse asiassa eri asioita eri ulottuvuuksissa.

Todellisessa maailmassa DMZ on maakaistale, joka toimii rajapisteenä Pohjois- ja Etelä-Korean välillä. Mutta mitä tulee tekniikkaan, DMZ on loogisesti erotettu aliverkko, joka sisältää tyypillisesti verkon ulkoisesti isännöimät, Internetiin päin olevat palvelut. Joten mikä on DMZ: n tarkoitus? Kuinka se suojaa sinua? Ja voitko määrittää sen reitittimellesi?

Mikä on DMZ: n tarkoitus?

DMZ toimii suojana epäluotettavan Internetin ja sisäisen verkon välillä.

Eristämällä heikoimmassa asemassa olevat, käyttäjille suunnatut palvelut, kuten sähköposti-, verkko- ja DNS-palvelimet omiensa sisällä looginen aliverkko, loput sisäisestä verkosta tai lähiverkosta (LAN) voidaan suojata a vaarantaa.

DMZ: n sisäisillä isännöillä on rajoitettu yhteys sisäiseen pääverkkoon, koska ne sijoitetaan välissä olevan palomuurin taakse, joka ohjaa liikennevirtaa kahden verkkopisteen välillä. Osa viestinnästä on kuitenkin sallittua, joten DMZ-isännät voivat tarjota palveluja sekä sisäiseen että ulkoiseen verkkoon.

Liittyvät: Mikä on ero LAN: n ja WAN: n välillä?

DMZ: n tärkein lähtökohta on pitää se saatavilla Internetistä ja jättää loput sisäisestä lähiverkosta ehjänä ja ulkomaailman ulottumattomiin. Tämä lisätty suojaustaso estää uhan toimijoita pääsemästä suoraan verkkoosi.

Mitä palveluja lisätään DMZ: n sisälle?

Helpoin tapa ymmärtää DMZ-kokoonpano on ajatella reititintä. Reitittimillä on yleensä kaksi liitäntää:

1. Sisäinen liitäntä: Tämä on käyttöliittymä, joka ei ole Internetiin päin ja jolla on yksityiset isännät.
2. Ulkoinen liitäntä: Tämä on Internet-käyttöliittymä, jolla on uplink-linkki ja vuorovaikutus ulkomaailman kanssa.

DMZ-verkon toteuttamiseksi sinun tarvitsee vain lisätä kolmas käyttöliittymä, joka tunnetaan nimellä DMZ. Kaikki isännät, joihin pääsee suoraan Internetistä tai jotka tarvitsevat säännöllistä viestintää ulkomaailmaan, kytketään sitten DMZ-käyttöliittymän kautta.

Vakiopalvelut, jotka voidaan sijoittaa DMZ: n sisälle, ovat sähköpostipalvelimet, FTP-palvelimet, Web-palvelimet ja VOIP-palvelimet jne.

Organisaatiosi yleistä tietoturvakäytäntöä on tarkasteltava huolellisesti ja resurssianalyysi on tehtävä ennen palvelujen siirtämistä DMZ: ään.

Voiko DMZ: n toteuttaa kotona tai langattomassa verkossa?

Olet ehkä huomannut, että useimmat kotireitittimet mainitsevat DMZ-isännän. Sanan todellisessa mielessä tämä ei ole todellinen DMZ. Syynä on se, että kotiverkon DMZ on yksinkertaisesti sisäisen verkon isäntä, jossa kaikki portit ovat alttiina edelleenlähetettyjen porttien lisäksi.

Useimmat verkkoasiantuntijat varoittavat asettamasta DMZ-isäntää kotiverkkoon. Tämä johtuu siitä, että DMZ-isäntä on sisäisten ja ulkoisten verkkojen välinen piste, jolle ei myönnetä samoja palomuurioikeuksia kuin muille sisäisen verkon laitteille.

Myös kotipohjainen DMZ-isäntä ylläpitää edelleen kykyä muodostaa yhteys kaikkiin sisäisen verkon isäntiin, jotka ei koske kaupallisia DMZ-kokoonpanoja, joissa nämä kytkennät tehdään erottamalla palomuurit.

Sisäisen verkon DMZ-isäntä voi tarjota väärän turvallisuuden tunteen, vaikka todellisuudessa sitä käytetään vain menetelmänä siirtää portit suoraan toiseen palomuuri- tai NAT-laitteeseen.

DMZ: n määrittäminen kotiverkolle on tarpeen vain, jos tietyt sovellukset edellyttävät jatkuvaa Internet-yhteyttä. Vaikka tämä voidaan saavuttaa portin edelleenlähetyksellä tai luomalla virtuaalisia palvelimia, joskus suurten porttinumeroiden käsitteleminen tekee siitä epäkäytännöllisen. Tällaisissa tapauksissa DMZ-isännän asettaminen on looginen ratkaisu.

DMZ: n yhden ja kahden palomuurin malli

DMZ-asetukset voidaan tehdä eri tavoin. Kaksi yleisimmin käytettyä menetelmää tunnetaan nimellä kolmijalkainen (yksi palomuuri) verkko ja verkko, jossa on kaksi palomuuria.

Vaatimuksistasi riippuen voit valita jommankumman näistä arkkitehtuureista.

Kolmijalkainen tai yksi palomuuri

Tässä mallissa on kolme liitäntää. Ensimmäinen käyttöliittymä on ulkoinen verkko Internet-palveluntarjoajalta palomuurille, toinen on sisäinen verkko, ja viimeiseksi kolmas käyttöliittymä on DMZ-verkko, joka sisältää useita palvelimia.

Tämän asennuksen haittana on, että yhden ja ainoan palomuurin käyttö on ainoa vikapiste koko verkossa. Jos palomuuri vaarantuu, myös koko DMZ laskee. Palomuurin tulisi myös pystyä käsittelemään kaikki saapuva ja lähtevä liikenne sekä DMZ: ssä että sisäisessä verkossa.

Kaksoispalomuuri menetelmä

Kuten nimestä käy ilmi, tämän asennuksen suunnittelussa käytetään kahta palomuuria, mikä tekee siitä turvallisemman kahdesta menetelmästä. Etupään palomuuri on määritetty, joka sallii liikenteen siirtymisen vain DMZ: ään ja sieltä pois. Toinen tai taustapalo on määritetty siirtämään sitten liikenne DMZ: ltä sisäiseen verkkoon.

Ylimääräisen palomuurin saaminen vähentää koko verkon mahdollisuutta vaikuttaa kompromissitilanteessa.

Tämän mukana tulee luonnollisesti korkeampi hintalappu, mutta se tarjoaa redundanssin, jos aktiivinen palomuuri epäonnistuu. Jotkut organisaatiot varmistavat myös, että molemmat palomuurit ovat eri toimittajien tekemiä, jotta verkosta hakkeroiville hyökkääjille voidaan luoda lisää esteitä.

DMZ: n asettaminen kotireitittimeen

Helpoin ja nopein tapa perustaa kotipohjainen DMZ-verkko on käyttämällä kolmijalkaista mallia. Jokainen liitäntä määritetään sisäiseksi verkoksi, DMZ-verkoksi ja ulkoiseksi verkoksi. Lopuksi palomuurin neljän portin Ethernet-kortti viimeistelee tämän asennuksen.

Seuraavissa vaiheissa kuvataan, kuinka DMZ asetetaan kotireitittimeen. Huomaa, että nämä vaiheet ovat samanlaisia ​​useimmille tärkeimmille reitittimille, kuten Linksys, Netgear, Belkin ja D-Link:

1. Liitä tietokone reitittimeen Ethernet-kaapelilla.
2. Siirry tietokoneesi verkkoselaimeen ja kirjoita reitittimen IP-osoite osoitetyökaluriville. Reitittimen osoite on tyypillisesti 192.168.1.1. Napsauta Enter- tai Return-näppäintä.
3. Näet pyynnön järjestelmänvalvojan salasanan syöttämisestä. Kirjoita salasanasi, jonka loit reitittimen asetuksen yhteydessä. Useiden reitittimien oletussalasana on "admin".
4. Valitse "Turvallisuus" -välilehti, joka sijaitsee reitittimen verkkokäyttöliittymän yläkulmassa.
5. Vieritä alareunaan ja valitse avattava valintaruutu, jonka otsikko on "DMZ". Valitse nyt ota käyttöön valikkovaihtoehto.
6. Syötä kohdetietokoneen IP-osoite. Tämä voi olla mikä tahansa etätyöpöytätietokone, verkkopalvelin tai mikä tahansa laite, jonka on käytettävä Internetiä. Huomaa: IP-osoitteen, johon välität verkkoliikennettä, tulee olla staattinen, koska dynaamisesti määritetty IP-osoite muuttuu aina, kun tietokone käynnistetään uudelleen.
7. Valitse Tallenna asetukset ja sulje reitittimen konsoli.

Liittyvät: Kuinka löytää reitittimen IP-osoite

Suojaa tietosi ja määritä DMZ

Älykkäät kuluttajat suojaavat reitittimet ja verkot aina tunkeilijoilta ennen pääsyä ulkoisiin verkkoihin. DMZ voi tuoda lisäsuojaustason arvokkaiden tietojen ja potentiaalisten hakkereiden välille.

Ainakin DMZ: n käyttäminen ja yksinkertaisten vinkkien käyttäminen reitittimien suojaamiseen voi tehdä uhka-toimijoiden tunkeutumisesta verkkoosi erittäin vaikeaa. Ja mitä vaikeampaa hyökkääjillä on tavoittaa tietojasi, sitä parempi se on sinulle!

7 yksinkertaista vinkkiä reitittimen ja Wi-Fi-verkon suojaamiseen minuutissa

Noudata näitä vinkkejä varmistaaksesi kotireitittimesi ja estääksesi ihmisiä tunkeutumasta verkkoosi.

Kirjailijasta