Hva er en DMZ og hvordan konfigurerer du en i nettverket ditt?

Hva står "DMZ" for? DMZ betyr Demilitarized Zone, men det betyr faktisk forskjellige ting i forskjellige riker.

I den virkelige verden er en DMZ en stripe land som fungerer som et avgrensningspunkt mellom Nord- og Sør-Korea. Men når det gjelder teknologi, er DMZ et logisk skilt delnettverk som vanligvis inneholder et nettverks eksternt vert, internettvendte tjenester. Så hva er egentlig en DMZs formål? Hvordan beskytter det deg? Og kan du sette opp en på ruteren din?

Hva er formålet med en DMZ?

DMZ fungerer som et skjold mellom det upålitelige internett og det interne nettverket ditt.

Ved å isolere de mest sårbare, brukervendte tjenestene som e-post, web og DNS-servere i sine egne logisk subnettverk, kan resten av det interne nettverket eller Local Area Network (LAN) beskyttes i tilfelle et kompromiss.

Verter inne i en DMZ har begrenset tilkobling til det viktigste interne nettverket ettersom de er plassert bak en mellomliggende brannmur som styrer trafikkflyten mellom de to nettverkspunktene. Imidlertid er noe kommunikasjon tillatt slik at DMZ-vertene kan tilby tjenester til både det interne og eksterne nettverket.

I slekt: Hva er forskjellen mellom LAN og WAN?

Hovedforutsetningen bak en DMZ er å holde den tilgjengelig fra internett mens du lar resten av det interne LANet være intakt og utilgjengelig for omverdenen. Dette ekstra sikkerhetslaget forhindrer trusselsaktører i å infiltrere nettverket ditt direkte.

Hvilke tjenester legges til i en DMZ?

Den enkleste måten å forstå en DMZ-konfigurasjon er å tenke på en ruter. Rutere har generelt to grensesnitt:

1. Internt grensesnitt: Dette er det ikke-internettvendte grensesnittet som har dine private verter.
2. Eksternt grensesnitt: Dette er det grensesnittet som vender mot internett som har din opplink og samhandling med omverdenen.

For å implementere et DMZ-nettverk, legger du ganske enkelt til et tredje grensesnitt kjent som DMZ. Eventuelle verter som er tilgjengelige direkte fra internett eller krever regelmessig kommunikasjon til omverdenen, kobles deretter til via DMZ-grensesnittet.

Standardtjenestene som kan plasseres i en DMZ inkluderer e-postservere, FTP-servere, webservere og VOIP-servere, etc.

Det bør tas nøye hensyn til organisasjonens generelle datasikkerhetspolicy, og en ressursanalyse bør utføres før tjenester overføres til en DMZ.

Kan DMZ implementeres på et hjemmenettverk eller trådløst nettverk?

Du har kanskje lagt merke til at de fleste hjemmerutere nevner DMZ Host. I ordets rette forstand er dette ikke en ekte DMZ. Årsaken er at en DMZ på et hjemmenettverk rett og slett er en vert på det interne nettverket som har alle porter eksponert ved siden av de som ikke blir videresendt.

De fleste nettverkseksperter advarer mot å konfigurere en DMZ-vert for et hjemmenettverk. Dette er fordi DMZ-verten er det punktet mellom det interne og eksterne nettverket som ikke får de samme brannmurrettighetene som andre enheter i det interne nettverket har.

Dessuten opprettholder en hjemmebasert DMZ-vert fortsatt muligheten til å koble til alle verter på det interne nettverket som er ikke tilfelle for kommersielle DMZ-konfigurasjoner der disse tilkoblingene gjøres gjennom separering brannmurer.

En DMZ-vert på et internt nettverk kan gi en falsk følelse av sikkerhet når den i realiteten bare brukes som en metode for å videresende porter til en annen brannmur eller NAT-enhet.

Å konfigurere en DMZ for et hjemmenettverk er bare nødvendig hvis visse applikasjoner krever vedvarende tilgang til internett. Selv om dette kan oppnås ved videresending av port eller ved å opprette virtuelle servere, er det noen ganger vanskelig å takle det store antallet portnumre. I slike tilfeller er det en logisk løsning å sette opp en DMZ-vert.

Den enkle og doble brannmurmodellen til en DMZ

DMZ-oppsett kan gjøres på forskjellige måter. De to mest brukte metodene er kjent som det trebente (single firewall) nettverket, og et nettverk med dual firewalls.

Avhengig av dine behov, kan du velge en av disse arkitekturene.

Trebenet eller enkelt brannmurmetode

Denne modellen har tre grensesnitt. Det første grensesnittet er det eksterne nettverket fra Internett-leverandøren til brannmuren, det andre er det interne nettverket, og til slutt er det tredje grensesnittet DMZ-nettverket som inneholder forskjellige servere.

Ulempen med dette oppsettet er at bruk av en og bare brannmur er det eneste feilpunktet for hele nettverket. Hvis brannmuren blir kompromittert, vil hele DMZ også gå ned. Brannmuren skal også kunne håndtere all innkommende og utgående trafikk for både DMZ og det interne nettverket.

Dual Firewall Method

Som navnet antyder, brukes to brannmurer til å arkitektere dette oppsettet, noe som gjør det sikrere av de to metodene. En front-end brannmur er konfigurert som bare tillater trafikk å passere til og fra DMZ. Den andre eller bakre brannmur er konfigurert for å deretter sende trafikk fra DMZ til det interne nettverket.

Å ha en ekstra brannmur reduserer sjansene for at hele nettverket blir berørt i tilfelle et kompromiss.

Dette kommer naturlig med en høyere prislapp, men gir redundans i tilfelle den aktive brannmuren mislykkes. Noen organisasjoner sørger også for at begge brannmurer er laget av forskjellige leverandører for å skape flere hindringer for angripere som ønsker å hacke et nettverk.

Slik setter du opp en DMZ på din hjemme-router

Den enkleste og raskeste måten å sette opp et hjemmebasert DMZ-nettverk er å bruke den trebente modellen. Hvert grensesnitt vil bli tildelt som et internt nettverk, DMZ-nettverk og eksternt nettverk. Til slutt vil et fireports Ethernet-kort i brannmuren fullføre dette oppsettet.

Følgende trinn vil skissere hvordan du setter opp en DMZ på en hjemmerouter. Merk at disse trinnene vil være like for de fleste store rutere som Linksys, Netgear, Belkin og D-Link:

1. Koble datamaskinen til ruteren via Ethernet-kabelen.
2. Gå til datamaskinens nettleser og skriv inn IP-adressen til ruteren din i adresseverktøylinjen. Vanligvis er en ruters adresse 192.168.1.1. Trykk på "Enter" eller returtasten.
3. Du vil se en forespørsel om å angi administratorpassordet. Skriv inn passordet ditt som du opprettet da du innstiller ruteren. Standardpassordet på mange rutere er "admin".
4. Velg "Sikkerhet" -fanen øverst i øvre hjørne av ruterenes nettgrensesnitt.
5. Bla til bunnen og velg rullegardinboksen som er merket "DMZ". Velg nå muliggjøre menyvalg.
6. Angi IP-adressen til vertsdatamaskinen. Dette kan være alt som en ekstern stasjonær datamaskin, webserver eller hvilken som helst enhet som trenger tilgang til internett. Merk: IP-adressen der du videresender nettverkstrafikken, bør være statisk, da en dynamisk tildelt IP-adresse endres hver gang datamaskinen startes på nytt.
7. Å velge Lagre innstillinger og lukk ruterkonsollen.

I slekt: Hvordan finne routerens IP-adresse

Beskytt dataene dine og konfigurer en DMZ

Smarte forbrukere sikrer alltid rutere og nettverk fra inntrengere før de får tilgang til eksterne nettverk. En DMZ kan gi et ekstra sikkerhetslag mellom dine dyrebare data og potensielle hackere.

I det minste kan bruk av en DMZ og bruk av enkle tips for å sikre rutere gjøre det veldig vanskelig for trusselaktører å trenge inn i nettverket ditt. Og jo vanskeligere det er for angripere å nå dataene dine, jo bedre er det for deg!

7 enkle tips for å sikre ruteren og Wi-Fi-nettverket ditt på få minutter

Følg disse tipsene for å sikre hjemme-ruteren din og forhindre at folk trenger seg inn i nettverket ditt.

Om forfatteren