Si je comprends bien, en utilisant DMZ, vous exposez tous les ports de l'ordinateur hôte à Internet. À quoi ça sert?
Si je comprends bien, en utilisant DMZ, vous exposez tous les ports de l'ordinateur hôte à Internet. À quoi ça sert?
Réponses:
La DMZ est bonne si vous souhaitez exécuter un serveur domestique auquel vous pouvez accéder depuis l'extérieur de votre réseau domestique (c'est-à-dire serveur Web, ssh, vnc ou tout autre protocole d'accès à distance). En règle générale, vous souhaiterez exécuter un pare-feu sur la machine serveur pour vous assurer que seuls les ports spécifiquement recherchés sont autorisés à accéder aux ordinateurs publics.
Une alternative à l'utilisation de la DMZ est de configurer la redirection de port. Avec la redirection de port, vous ne pouvez autoriser que des ports spécifiques via votre routeur et vous pouvez également spécifier certains ports pour aller vers différentes machines si vous avez plusieurs serveurs exécutés derrière votre routeur.
S'il te plait fais attention. La DMZ dans un environnement d'entreprise / professionnel (avec des pare-feu haut de gamme) n'est pas la même que pour un routeur sans fil domestique (ou d'autres routeurs NAT pour un usage domestique). Vous devrez peut-être utiliser un deuxième routeur NAT pour obtenir la sécurité attendue (voir l'article ci-dessous).
Dans l' épisode 3 du podcast Security Now de Leo Laporte et du gourou de la sécurité Steve Gibson, ce sujet a été abordé. Dans la transcription, voyez «un problème vraiment intéressant, car c'est ce qu'on appelle la« DMZ », la zone démilitarisée, comme on l'appelle sur les routeurs.
De Steve Gibson, http://www.grc.com/nat/nat.htm :
"Comme vous pouvez l'imaginer, la machine" DMZ "d'un routeur, et même une machine" redirigée par port "doit avoir une sécurité substantielle, sinon elle explorera les champignons Internet en un rien de temps. C'est un GRAND problème du point de vue de la sécurité. Pourquoi?. .. un routeur NAT a un commutateur Ethernet standard interconnectant TOUS ses ports côté LAN. Il n'y a rien de "séparé" sur le port hébergeant la machine "DMZ" spéciale. Il est sur le LAN interne! Cela signifie que tout ce qui pourrait y pénétrer via un port de routeur transféré, ou en raison de son hôte DMZ, a accès à toutes les autres machines sur le LAN privé interne. (C'est vraiment mauvais.) "
Dans l'article, il existe également une solution à ce problème qui implique l'utilisation d'un deuxième routeur NAT. Il existe de très bons diagrammes pour illustrer le problème et la solution.
block all traffic from #4 to #1,#2,#3
ce qui est impossible avec un commutateur L2.
Une DMZ ou «zone démilitarisée» est l'endroit où vous pouvez configurer des serveurs ou d'autres appareils auxquels vous devez accéder depuis l'extérieur de votre réseau.
Qu'est-ce qui y appartient? Serveurs Web, serveurs proxy, serveurs de messagerie, etc.
Dans un réseau, les hôtes les plus vulnérables aux attaques sont ceux qui fournissent des services aux utilisateurs en dehors du LAN, tels que les serveurs de messagerie, Web et DNS. En raison du potentiel accru de ces hôtes compromis, ils sont placés dans leur propre sous-réseau afin de protéger le reste du réseau si un intrus devait réussir. Les hôtes de la DMZ ont une connectivité limitée à des hôtes spécifiques du réseau interne, bien que la communication avec d'autres hôtes de la DMZ et avec le réseau externe soit autorisée. Cela permet aux hôtes de la DMZ de fournir des services au réseau interne et externe, tandis qu'un pare-feu intermédiaire contrôle le trafic entre les serveurs DMZ et les clients du réseau interne.
Dans les réseaux informatiques, une DMZ (zone démilitarisée), également connue sous le nom de réseau de périmètre ou de sous-réseau filtré, est un sous-réseau physique ou logique qui sépare un réseau local (LAN) interne d'autres réseaux non approuvés, généralement Internet. Les serveurs, ressources et services externes sont situés dans la zone démilitarisée. Ainsi, ils sont accessibles depuis Internet, mais le reste du LAN interne reste inaccessible. Cela fournit une couche de sécurité supplémentaire au LAN car elle limite la capacité des pirates à accéder directement aux serveurs internes et aux données via Internet.