it-swarm-es.tech

¿Para qué se utiliza DMZ en un enrutador inalámbrico doméstico?

Según tengo entendido, al usar DMZ expones todos los puertos de la computadora Host a Internet. ¿Para qué sirve eso?

22
guillermooo

El DMZ es bueno si desea ejecutar un servidor doméstico al que se pueda acceder desde fuera de su red doméstica (es decir, el servidor web, ssh, vnc u otro protocolo de acceso remoto). Por lo general, desearía ejecutar un firewall en la máquina del servidor para asegurarse de que solo los puertos que se buscan específicamente tengan acceso desde computadoras públicas.

Una alternativa al uso del DMZ es configurar el reenvío de puertos. Con el reenvío de puertos puede permitir solo puertos específicos a través de su enrutador y también puede especificar algunos puertos para que vayan a diferentes máquinas si tiene varios servidores ejecutándose detrás de su enrutador.

22
heavyd

Por favor tenga cuidado. DMZ en un entorno corporativo/profesional (con firewalls de gama alta) no es lo mismo que para un enrutador inalámbrico doméstico (u otros NAT enrutadores para uso doméstico). Es posible que tenga que usar un segundo NAT enrutador para obtener la seguridad esperada (consulte el artículo a continuación).

En episodio 3 del podcast de Security Now por Leo Laporte y el gurú de la seguridad Steve Gibson se habló de este tema. En la transcripción, vea el "tema realmente interesante porque es el llamado" DMZ ", la Zona Desmilitarizada, como se llama en los enrutadores".

De Steve Gibson, http://www.grc.com/nat/nat.htm :

"Como puede imaginar, la máquina" DMZ "de un enrutador, e incluso una máquina" con puerto reenviado "debe tener una seguridad sustancial o estará rastreando los hongos de Internet en poco tiempo. Eso es un GRAN problema desde el punto de vista de seguridad. ¿Por qué? .. un NAT enrutador tiene un conmutador Ethernet estándar que interconecta TODOS sus puertos del lado LAN. No hay nada "separado" sobre el puerto que aloja la máquina especial "DMZ". Está en el LAN interno. Esto significa que cualquier cosa que pueda introducirse en él a través de un puerto de enrutador reenviado, o debido a que es el DMZ Host, tiene acceso a todas las otras máquinas en la LAN privada interna. (Eso es realmente malo).

En el artículo también hay una solución a este problema que implica el uso de un segundo enrutador NAT. Hay algunos diagramas realmente buenos para ilustrar el problema y la solución.

17
Peter Mortensen

A DMZ o "zona desmilitarizada" es donde puede configurar servidores u otros dispositivos que necesitan acceso desde fuera de su red.

¿Qué pertenece allí? Servidores web, servidores proxy, servidores de correo, etc.

En una red, los hosts más vulnerables a los ataques son aquellos que brindan servicios a usuarios fuera de la LAN, como el correo electrónico, la web y los servidores DNS. Debido a la mayor posibilidad de que estos hosts se vean comprometidos, se colocan en su propia subred para proteger al resto de la red si un intruso tenía éxito. Los hosts en DMZ tienen una conectividad limitada con hosts específicos en la red interna, aunque se permite la comunicación con otros hosts en DMZ y con la red externa. Esto permite que los hosts en DMZ brinden servicios tanto a la red interna como a la externa, mientras que un firewall intermedio controla el tráfico entre los servidores DMZ y los clientes de la red interna.

10
Bruce McLeod

En las redes de computadoras, una DMZ (zona desmilitarizada), también conocida como red perimetral o subred filtrada, es una subred física o lógica que separa una red de área local (LAN) interna de otras redes no confiables. por lo general el internet. Los servidores, recursos y servicios externos se encuentran en la DMZ. Por lo tanto, se puede acceder a ellos desde Internet, pero el resto de la LAN interna permanece inalcanzable. Esto proporciona una capa adicional de seguridad a la LAN, ya que restringe la capacidad de los piratas informáticos para acceder directamente a los servidores internos y los datos a través de Internet.

0
user927671