Según tengo entendido, al usar DMZ, expone todos los puertos de la computadora host a Internet. ¿Para qué sirve eso?
Según tengo entendido, al usar DMZ, expone todos los puertos de la computadora host a Internet. ¿Para qué sirve eso?
Respuestas:
La DMZ es buena si desea ejecutar un servidor doméstico al que se pueda acceder desde fuera de su red doméstica (es decir, servidor web, ssh, vnc u otro protocolo de acceso remoto). Por lo general, desea ejecutar un firewall en la máquina del servidor para asegurarse de que solo los puertos que se desean específicamente tengan acceso desde las computadoras públicas.
Una alternativa al uso de DMZ es configurar el reenvío de puertos. Con el reenvío de puertos, puede permitir solo puertos específicos a través de su enrutador y también puede especificar que algunos puertos vayan a diferentes máquinas si tiene varios servidores ejecutándose detrás de su enrutador.
Por favor tenga cuidado. DMZ en un entorno corporativo / profesional (con firewalls de alta gama) no es lo mismo que para un enrutador inalámbrico doméstico (u otros enrutadores NAT para uso doméstico). Es posible que deba usar un segundo enrutador NAT para obtener la seguridad esperada (consulte el artículo a continuación).
En el episodio 3 del podcast Security Now de Leo Laporte y el gurú de la seguridad Steve Gibson, se habló de este tema. En la transcripción, vea "un tema realmente interesante porque esa es la llamada" DMZ ", la Zona Desmilitarizada, como se llama en los enrutadores".
De Steve Gibson, http://www.grc.com/nat/nat.htm :
"Como se puede imaginar, la máquina" DMZ "de un enrutador, e incluso una máquina" con reenvío de puertos "debe tener una seguridad sustancial o se rastreará con hongos de Internet en poco tiempo. Eso es un GRAN problema desde el punto de vista de la seguridad. ¿Por qué? .. un enrutador NAT tiene un conmutador Ethernet estándar que interconecta TODOS sus puertos del lado LAN. No hay nada "separado" sobre el puerto que aloja la máquina especial "DMZ". ¡Está en la LAN interna! Esto significa que cualquier cosa que pueda entrar a través de un puerto de enrutador reenviado, o debido a que es el host DMZ, tiene acceso a cualquier otra máquina en la LAN privada interna (eso es realmente malo) ".
En el artículo también hay una solución a este problema que implica el uso de un segundo enrutador NAT. Hay algunos diagramas realmente buenos para ilustrar el problema y la solución.
block all traffic from #4 to #1,#2,#3que es imposible con un conmutador L2.
Una DMZ o " zona desmilitarizada " es donde puede configurar servidores u otros dispositivos a los que se debe acceder desde fuera de su red.
Lo que pertenece ahi Servidores web, servidores proxy, servidores de correo, etc.
En una red, los hosts más vulnerables a los ataques son aquellos que brindan servicios a usuarios fuera de la LAN, como correo electrónico, servidores web y DNS. Debido al mayor potencial de estos hosts comprometidos, se colocan en su propia subred para proteger el resto de la red si un intruso tuviera éxito. Los hosts en la DMZ tienen conectividad limitada a hosts específicos en la red interna, aunque se permite la comunicación con otros hosts en la DMZ y a la red externa. Esto permite que los hosts en la DMZ proporcionen servicios tanto a la red interna como a la externa, mientras que un firewall intermedio controla el tráfico entre los servidores DMZ y los clientes de la red interna.
En las redes de computadoras, una DMZ (zona desmilitarizada), también conocida como red perimetral o subred protegida, es una subred física o lógica que separa una red de área local (LAN) interna de otras redes no confiables, generalmente Internet. Los servidores, recursos y servicios externos están ubicados en la DMZ. Por lo tanto, son accesibles desde Internet, pero el resto de la LAN interna permanece inalcanzable. Esto proporciona una capa adicional de seguridad a la LAN, ya que restringe la capacidad de los piratas informáticos para acceder directamente a los servidores internos y a los datos a través de Internet.