Hvad er en DMZ, og hvordan konfigurerer du en på dit netværk?

Hvad står "DMZ" for? DMZ betyder Demilitarized Zone, men det betyder faktisk forskellige ting i forskellige verdener.

I den virkelige verden er en DMZ en stribe jord, der tjener som et afgrænsningspunkt mellem Nord- og Sydkorea. Men når det kommer til teknologi, er DMZ et logisk adskilt undernet, der typisk indeholder et netværks eksternt hostede, internetvendte tjenester. Så hvad er egentlig en DMZ's formål? Hvordan beskytter det dig? Og kan du konfigurere en på din router?

Hvad er formålet med en DMZ?

DMZ fungerer som et skjold mellem det upålidelige internet og dit interne netværk.

Ved at isolere de mest sårbare, brugervendte tjenester som e-mail-, web- og DNS-servere i deres egne logisk subnetværk, kan resten af ​​det interne netværk eller Local Area Network (LAN) beskyttes i tilfælde af en kompromis.

Værter inde i en DMZ har begrænset forbindelse til det primære interne netværk, da de er placeret bag en mellemliggende firewall, der styrer trafikstrømmen mellem de to netværkspunkter. Imidlertid er en vis kommunikation tilladt, så DMZ-værterne kan tilbyde tjenester til både det interne og eksterne netværk.

Relaterede: Hvad er forskellen mellem LAN og WAN?

Hovedforudsætningen bag en DMZ er at holde den tilgængelig fra internettet, mens resten af ​​det interne LAN er intakt og utilgængelig for omverdenen. Dette ekstra sikkerhedslag forhindrer trusselsaktører i at infiltrere direkte i dit netværk.

Hvilke tjenester tilføjes i en DMZ?

Den nemmeste måde at forstå en DMZ-konfiguration er at tænke på en router. Routere har generelt to grænseflader:

1. Intern grænseflade: Dette er din ikke-internet-interface, der har dine private værter.
2. Eksternt interface: Dette er den internetvendte grænseflade, der har din uplink og interaktion med omverdenen.

For at implementere et DMZ-netværk skal du blot tilføje en tredje grænseflade kendt som DMZ. Alle værter, der er tilgængelige direkte fra internettet eller kræver regelmæssig kommunikation til omverdenen, forbindes derefter via DMZ-grænsefladen.

Standardservices, der kan placeres inde i en DMZ, inkluderer e-mail-servere, FTP-servere, webservere og VOIP-servere osv.

Der skal tages nøje hensyn til din organisations generelle computersikkerhedspolitik, og der skal foretages en ressourceanalyse inden migrering af tjenester til en DMZ.

Kan DMZ implementeres på et hjemme- eller trådløst netværk?

Du har måske bemærket, at de fleste hjemmereuter nævner DMZ-værten. I ordets sande forstand er dette ikke en rigtig DMZ. Årsagen er, at en DMZ på et hjemmenetværk simpelthen er en vært på det interne netværk, der har alle porte eksponeret ud for dem, der ikke videresendes.

De fleste netværkseksperter advarer mod at konfigurere en DMZ-vært til et hjemmenetværk. Dette skyldes, at DMZ-værten er det punkt mellem det interne og eksterne netværk, som ikke får de samme firewall-privilegier, som andre enheder på det interne netværk har.

Desuden opretholder en hjemmebaseret DMZ-vært stadig muligheden for at oprette forbindelse til alle værter på det interne netværk, som er ikke tilfældet for kommercielle DMZ-konfigurationer, hvor disse forbindelser foretages gennem adskillelse firewalls.

En DMZ-vært på et internt netværk kan give en falsk følelse af sikkerhed, når den i virkeligheden bare bruges som en metode til at videresende porte til en anden firewall eller NAT-enhed.

Det er kun nødvendigt at konfigurere en DMZ til et hjemmenetværk, hvis visse applikationer kræver vedvarende adgang til internettet. Selvom dette kan opnås gennem portvideresendelse eller oprettelse af virtuelle servere, gør det undertiden at tackle den store mængde portnumre det upraktisk. I sådanne tilfælde er opsætning af en DMZ-vært en logisk løsning.

Single- og Dual Firewall-modellen til en DMZ

DMZ-opsætninger kan foretages på forskellige måder. De to mest anvendte metoder er kendt som det trebenede (enkelt firewall) netværk og et netværk med dobbelt firewalls.

Afhængigt af dine krav kan du vælge en af ​​disse arkitekturer.

Trebenet eller enkelt firewall-metode

Denne model har tre grænseflader. Den første grænseflade er det eksterne netværk fra internetudbyderen til firewallen, den anden er dit interne netværk, og endelig er den tredje grænseflade DMZ-netværket, der indeholder forskellige servere.

Ulempen ved denne opsætning er, at brug af en og kun firewall er det eneste fejlpunkt for hele netværket. Hvis firewallen bliver kompromitteret, vil hele DMZ også gå ned. Desuden skal firewallen være i stand til at håndtere al indgående og udgående trafik til både DMZ og det interne netværk.

Dual Firewall-metode

Som navnet antyder, bruges to firewalls til at arkitektere denne opsætning, hvilket gør den mere sikker af de to metoder. En front-end firewall er konfigureret, der kun tillader trafik at passere til og fra DMZ. Den anden eller backend-firewall er konfigureret til derefter at føre trafik fra DMZ til det interne netværk.

At have en ekstra firewall mindsker chancerne for, at hele netværket bliver påvirket i tilfælde af et kompromis.

Dette kommer naturligvis med en højere pris, men giver redundans, hvis den aktive firewall mislykkes. Nogle organisationer sørger også for, at begge firewalls er lavet af forskellige leverandører for at skabe flere forhindringer for angribere, der ønsker at hacke et netværk.

Sådan oprettes en DMZ på din Home Router

Den nemmeste og hurtigste måde at oprette et hjemmebaseret DMZ-netværk på er at bruge den trebenede model. Hver grænseflade tildeles som et internt netværk, DMZ-netværk og eksternt netværk. Endelig vil et fireports Ethernet-kort i firewallen fuldføre denne opsætning.

Følgende trin beskriver, hvordan du opretter en DMZ på en hjemmerouter. Bemærk, at disse trin vil være ens for de fleste større routere som Linksys, Netgear, Belkin og D-Link:

1. Slut din computer til routeren via Ethernet-kablet.
2. Gå til din computers webbrowser, og skriv din routers IP-adresse i adresseværktøjslinjen. Typisk er en routers adresse 192.168.1.1. Tryk på "Enter" eller returtasten.
3. Du vil se en anmodning om at indtaste administratoradgangskoden. Indtast din adgangskode, som du oprettede på tidspunktet for indstilling af routeren. Standardadgangskoden på mange routere er "admin".
4. Vælg fanen "Sikkerhed" øverst i øverste hjørne af din routers webgrænseflade.
5. Rul ned til bunden, og vælg rullemenuen, der er mærket "DMZ". Vælg nu aktivere menupunkt.
6. Indtast IP-adressen til destinationscomputerværten. Dette kan være alt som en ekstern stationær computer, webserver eller en hvilken som helst enhed, der har brug for adgang til internettet. Bemærk: IP-adressen, hvor du videresender netværkstrafikken, skal være statisk, da en dynamisk tildelt IP-adresse ændres, hver gang din computer genstartes.
7. Vælg Gem indstillinger og luk routerkonsollen.

Relaterede: Sådan finder du din routers IP-adresse

Beskyt dine data og konfigurer en DMZ

Smarte forbrugere sikrer altid deres routere og netværk fra ubudne gæster, inden de får adgang til eksterne netværk. En DMZ kan give et ekstra lag af sikkerhed mellem dine dyrebare data og potentielle hackere.

I det mindste kan brug af en DMZ og brug af enkle tip til at sikre dine routere gøre det meget svært for trusselsaktører at trænge ind i dit netværk. Og jo sværere det er for angribere at nå dine data, jo bedre er det for dig!

7 enkle tip til at sikre din router og Wi-Fi-netværk på få minutter

Følg disse tip for at sikre din hjemme router og forhindre folk i at trænge ind på dit netværk.

Om forfatteren