À quoi sert la DMZ dans un routeur sans fil domestique?

22

Si je comprends bien, en utilisant DMZ, vous exposez tous les ports de l'ordinateur hôte à Internet. À quoi ça sert?

guillermooo
la source

Réponses:

22

La DMZ est bonne si vous souhaitez exécuter un serveur domestique auquel vous pouvez accéder depuis l'extérieur de votre réseau domestique (c'est-à-dire serveur Web, ssh, vnc ou tout autre protocole d'accès à distance). En règle générale, vous souhaiterez exécuter un pare-feu sur la machine serveur pour vous assurer que seuls les ports spécifiquement recherchés sont autorisés à accéder aux ordinateurs publics.

Une alternative à l'utilisation de la DMZ est de configurer la redirection de port. Avec la redirection de port, vous ne pouvez autoriser que des ports spécifiques via votre routeur et vous pouvez également spécifier certains ports pour aller vers différentes machines si vous avez plusieurs serveurs exécutés derrière votre routeur.

lourd
la source
1
Est-il possible de sauter le routeur et de se connecter directement? Que faire si le port ressemble à un câble téléphonique ou à un câble coaxial?
CMCDragonkai
18

S'il te plait fais attention. La DMZ dans un environnement d'entreprise / professionnel (avec des pare-feu haut de gamme) n'est pas la même que pour un routeur sans fil domestique (ou d'autres routeurs NAT pour un usage domestique). Vous devrez peut-être utiliser un deuxième routeur NAT pour obtenir la sécurité attendue (voir l'article ci-dessous).

Dans l' épisode 3 du podcast Security Now de Leo Laporte et du gourou de la sécurité Steve Gibson, ce sujet a été abordé. Dans la transcription, voyez «un problème vraiment intéressant, car c'est ce qu'on appelle la« DMZ », la zone démilitarisée, comme on l'appelle sur les routeurs.

De Steve Gibson, http://www.grc.com/nat/nat.htm :

"Comme vous pouvez l'imaginer, la machine" DMZ "d'un routeur, et même une machine" redirigée par port "doit avoir une sécurité substantielle, sinon elle explorera les champignons Internet en un rien de temps. C'est un GRAND problème du point de vue de la sécurité. Pourquoi?. .. un routeur NAT a un commutateur Ethernet standard interconnectant TOUS ses ports côté LAN. Il n'y a rien de "séparé" sur le port hébergeant la machine "DMZ" spéciale. Il est sur le LAN interne! Cela signifie que tout ce qui pourrait y pénétrer via un port de routeur transféré, ou en raison de son hôte DMZ, a accès à toutes les autres machines sur le LAN privé interne. (C'est vraiment mauvais.) "

Dans l'article, il existe également une solution à ce problème qui implique l'utilisation d'un deuxième routeur NAT. Il existe de très bons diagrammes pour illustrer le problème et la solution.

Peter Mortensen
la source
3
+1. Le but de DMZ est de séparer une machine potentiellement compromise du reste du réseau interne. Même DD-WRT ne peut pas vous aider ici, les attaques b / c provenant de la DMZ ne passent pas par le jeu de règles du routeur, elles frappent simplement le commutateur. La DMZ est une illusion à moins qu'elle ne soit sur une connexion physique distincte.
hyperslug
2
@hyperslug: en fait, avec DD-WRT, vous pouvez configurer la DMZ sur un sous-réseau et un VLAN complètement séparés. isolez-le entièrement du reste du réseau ou configurez-le de sorte que l'accès au DMZ VLAN depuis le reste du réseau interne soit protégé par un pare-feu / NAT comme le trafic provenant du WAN. c'est entrer dans une configuration compliquée, mais c'est possible avec DD-WRT / OpenWRT.
Quack Quichotte
@quack, le commutateur n'est pas spécifique au port, c'est un commutateur normal. Ainsi, ma machine compromise peut attaquer toute autre machine sur le commutateur sans être filtrée via une règle de routeur. En ce qui concerne le VLAN, je pense que je pourrais changer l'IP (ou MAC) sur ma machine compromise en quelque chose sur le réseau interne et pirater. Les 4 ports à l'arrière de certains routeurs haut de gamme se comportent comme 4 NIC et non comme un commutateur à 4 ports, donc une règle peut être établie comme block all traffic from #4 to #1,#2,#3ce qui est impossible avec un commutateur L2.
hyperslug
10

Une DMZ ou «zone démilitarisée» est l'endroit où vous pouvez configurer des serveurs ou d'autres appareils auxquels vous devez accéder depuis l'extérieur de votre réseau.

Qu'est-ce qui y appartient? Serveurs Web, serveurs proxy, serveurs de messagerie, etc.

Dans un réseau, les hôtes les plus vulnérables aux attaques sont ceux qui fournissent des services aux utilisateurs en dehors du LAN, tels que les serveurs de messagerie, Web et DNS. En raison du potentiel accru de ces hôtes compromis, ils sont placés dans leur propre sous-réseau afin de protéger le reste du réseau si un intrus devait réussir. Les hôtes de la DMZ ont une connectivité limitée à des hôtes spécifiques du réseau interne, bien que la communication avec d'autres hôtes de la DMZ et avec le réseau externe soit autorisée. Cela permet aux hôtes de la DMZ de fournir des services au réseau interne et externe, tandis qu'un pare-feu intermédiaire contrôle le trafic entre les serveurs DMZ et les clients du réseau interne.

Bruce McLeod
la source
0

Dans les réseaux informatiques, une DMZ (zone démilitarisée), également connue sous le nom de réseau de périmètre ou de sous-réseau filtré, est un sous-réseau physique ou logique qui sépare un réseau local (LAN) interne d'autres réseaux non approuvés, généralement Internet. Les serveurs, ressources et services externes sont situés dans la zone démilitarisée. Ainsi, ils sont accessibles depuis Internet, mais le reste du LAN interne reste inaccessible. Cela fournit une couche de sécurité supplémentaire au LAN car elle limite la capacité des pirates à accéder directement aux serveurs internes et aux données via Internet.

user927671
la source