Hoe stel je een DMZ in op je thuis- of bedrijfsnetwerk?

Een DMZ correct configureren op uw netwerk kan het verschil maken tussen een probleemloze verbinding en een hoop gedoe met poorten, online games en services die aan het internet zijn blootgesteld. In deze handleiding leest u in detail wat een DMZ is, waarvoor deze wordt gebruikt, wanneer het gepast is om deze te gebruiken en hoe u deze stap voor stap configureert op thuisrouters en in professionele omgevingen, waarbij u altijd rekening houdt met de netwerkbeveiliging en potentiële risico's.

Hoewel de term misschien wat intimiderend klinkt, is het idee vrij eenvoudig: een DMZ creëert een soort bufferzone tussen het internet en uw interne netwerk, waar u de apparaten of servers plaatst die van buitenaf toegankelijk moeten zijn. Vervolgens is het belangrijk om de kenmerken ervan te begrijpen. Praktische toepassingen, hun voor- en nadelen en alternatieven. Je moet ervoor zorgen dat je netwerk niet kwetsbaar is voor aanvallen of inbraken.

Wat is een DMZ en hoe werkt het precies?

In datanetwerken is een DMZ of gedemilitariseerde zone Het is een tussenliggend netwerksegment dat zich bevindt tussen het internet (een onbetrouwbaar netwerk) en het interne netwerk (LAN), en dat is geïsoleerd door een of meer firewalls. Het idee is dat servers of apparaten die toegankelijk zijn voor het publiek (bijvoorbeeld een webserver, FTP-server of DNS-server) zich in deze zone bevinden, zodat een aanvaller, als deze servers of apparaten worden gehackt, niet gemakkelijk toegang kan krijgen tot het lokale netwerk. intern netwerk waar gevoelige gegevens worden opgeslagen.

In bedrijfsomgevingen wordt dit DMZ-netwerk doorgaans beschermd door twee firewalls of ten minste meerdere afzonderlijke beveiligingszonesEén firewall filtert het verkeer tussen het internet en de DMZ, en een andere controleert het verkeer tussen de DMZ en het LAN. Dus zelfs als iemand de eerste firewall doorbreekt en de controle over een server in de DMZ overneemt, moet diegene nog een extra beveiligingslaag overwinnen voordat hij of zij het bedrijfsnetwerk kan bereiken.

Op routers voor thuisgebruik en zelfs op veel routers van internetproviders is de DMZ-functie veel eenvoudiger geïmplementeerd: het is een optie die al het inkomende verkeer dat niet is toegewezen aan andere port forwarding-protocollen doorstuurt naar een DMZ. uniek privé IP-adres van uw lokale netwerk. Dat apparaat wordt in de praktijk een "DMZ-host" of "virtuele server" met alle poorten open naar het internet.

Deze vereenvoudigde aanpak is geen professioneel ontworpen DMZ zoals je die in bedrijfsnetwerkdiagrammen ziet, maar in de praktijk is het handig om een ​​heel team toegang tot het internet te geven wanneer je niet precies weet wat je moet doen. Welke poorten moet je openen om een ​​applicatie te laten werken? (bijvoorbeeld TCP- en UDP-poorten), zoals kan gebeuren met sommige games, IP-camera's of software. databanken.

Veelvoorkomende toepassingen van een DMZ in thuisnetwerken en kleine kantoren

Of het nu thuis is of in een klein bedrijf, de DMZ-functie van router Het wordt doorgaans in zeer specifieke scenario's gebruikt: consoles, beveiligingstests, VPN's, of wanneer je een tweede router hebt om dubbele NAT te voorkomen. Het is de moeite waard om elk geval zorgvuldig te bekijken om te bepalen wanneer het zinvol is om het te gebruiken en wanneer het beter is om voor minder agressieve alternatieven te kiezen.

Online games voor pc en console

Een van de meest voorkomende toepassingen van de DMZ in een thuisrouter is het verbeteren van de online gaming-connectiviteit op consoles zoals PlayStation o Xbox. Wanneer hij NAT-type Als de moeilijkheidsgraad op 'streng' of 'gemiddeld' blijft staan, is het gebruikelijk om problemen te ondervinden bij het deelnemen aan spellen, het aanmaken van kamers, spraakchatten of het vinden van andere spelers.

Als je niet voor elk spel handmatig poorten wilt openen, kiezen veel gebruikers ervoor om hun console in de DMZ van de router te plaatsen. Op die manier... Alle poorten zullen openstaan ​​voor het IP-adres van de console. (met uitzondering van apparaten die al specifiek aan andere apparaten zijn gekoppeld met port forwarding-regels), waardoor de verbinding met gameservers en andere spelers veel directer wordt.

De reden waarom het gebruik van een DMZ voor een console over het algemeen als relatief veilig wordt beschouwd, is dat deze apparaten werken met besturingssystemen gesloten, zeer beperkt in functionaliteit en met Aanvalsoppervlakken veel kleiner dan een pcVeel beveiligingslekken die computers treffen, gelden niet in dezelfde mate voor een PlayStation of een Xbox, waardoor de risico's in de meeste thuissituaties acceptabel zijn.

Als je echter op een pc speelt, verandert het verhaal. Een computer met een algemeen besturingssysteem, talloze services, diverse software en soms nog openstaande patches, wordt een aantrekkelijker doelwit. Het plaatsen van een complete pc in de DMZ zonder een De firewall is correct geconfigureerd en de software is bijgewerkt. Dat is geen goed idee; het is veel verstandiger om alleen de poorten te openen die voor elk spel nodig zijn.

Er zijn gedocumenteerde gevallen waarin sommige games met lagproblemen of fouten bij het aanmaken van matches aanzienlijk verbeteren wanneer de DMZ voor de console is ingeschakeld. Dit gebeurt meestal in games met intense spelersinteractie (kleine maps, races met veel auto's, enz.), en de problemen worden verminderd wanneer de console DMZ heeft ingeschakeld. directe en onbelemmerde toegang tot de haven.

Firewall- en VPN-verbindingstests op specifieke apparaten

Een ander klassiek scenario waarin een DMZ nuttig is, is wanneer je iets wilt doen beveiligingstests of firewall-audits van een pc of server van internet. Als je wilt controleren welke poorten daadwerkelijk openstaan, kun je snel al het inkomende verkeer naar die computer omleiden door deze als DMZ-host te activeren.

Onder normale omstandigheden, wanneer de router net uit de doos komt, zijn alle inkomende poorten meestal gesloten, tenzij ze handmatig in het menu zijn geopend. Port forwarding of havendoorsturingTijdens een audit kan het echter nuttig zijn om alles te laten draaien om te controleren of de firewall, antivirussoftware of interne services van de computer naar behoren functioneren.

Er bestaan ​​ook VPN-protocollen, zoals IPsecDeze methoden vereisen het openen van meerdere poorten en kunnen problemen veroorzaken wanneer er tussenliggende routers en NAT bij betrokken zijn. In dergelijke gevallen is een veelgebruikte techniek het tijdelijk inschakelen van de DMZ naar het IP-adres van de VPN-server om poortproblemen uit te sluiten, te controleren of de VPN correct werkt en, zodra dit is bevestigd, de DMZ weer te sluiten. Open alleen de poorten die strikt noodzakelijk zijn. Voor Veiligheid.

Verkeersmonitoring en gedetailleerde analyse

In iets geavanceerdere netwerken kan de DMZ ook een ideaal punt zijn om dit te doen. verkeersmonitoring en -analyseHet is een plek waar veel inkomende internetverbindingen geconcentreerd zijn, waardoor het perfect is voor het plaatsen van apparatuur met pakketcapturetools.

Met behulp van protocolanalysatoren of netwerksniffers (Wireshark, tcpdump en vergelijkbare tools) is het mogelijk om alles vast te leggen wat de DMZ passeert en elementen zoals de volgende te ontleden: Bron- en bestemmings-IP-adressen, poorten, protocoltype en basisinhoud van elk pakket. Dit maakt het mogelijk om ongebruikelijke patronen, scanpogingen, verdachte verbindingen of zelfs kwaadaardig verkeer gericht op blootgestelde services te detecteren.

Bovendien slaan veel monitoringoplossingen verkeerspakketten of samenvattingen op in logsOp deze manier bent u niet verplicht het systeem in realtime te monitoren. U kunt later terugkijken op wat er op een specifiek moment is gebeurd, fouten onderzoeken en de processen verbeteren. firewallregels of beveiligingsbeleid om te voorkomen dat ze opnieuw gebeuren.

Moderne verkeersanalysetools bevatten steeds vaker algoritmen en functies van inteligencia kunstmatige in staat om onderscheid te maken tussen normale gebruikspatronen en afwijkend gedrag. Al deze informatie wordt gepresenteerd in intuïtieve grafische panelen waardoor het gemakkelijker wordt om pieken, verkeerstypen en potentiële bedreigingen te interpreteren zonder dat elk pakket handmatig hoeft te worden geanalyseerd.

Aangezien de DMZ vaak het favoriete doelwit is van geautomatiseerde aanvallen of poortscans, is het ten zeerste aan te raden deze analyse te combineren met systemen voor inbraakdetectie en -preventie (IDS/IPS), goed doordachte firewallregels en segmentatiebeleid die de omvang van een mogelijke inbreuk zoveel mogelijk beperken.

Het gebruik van DMZ in zakelijke omgevingen

In het bedrijfsleven is de DMZ niet langer slechts een routeroptie; het is een integraal onderdeel geworden van de bedrijfsvoering. essentieel onderdeel van het ontwerp van netwerkarchitectuurWanneer een bedrijf publieke diensten via internet beschikbaar moet stellen (bedrijfswebsite, e-mail, DNS, VoIP, FTP, proxies, enz.), plaatst het deze in een geïsoleerd perimeternetwerk.

Wanneer een klant de website van het bedrijf bezoekt, komt het verkeer dus terecht op servers in de DMZ en niet direct op de server van het bedrijf zelf. LAN waar de computers van medewerkers en interne databases zich bevindenDe firewall die de DMZ van het interne netwerk scheidt, regelt strikt welke communicatie is toegestaan ​​(bijvoorbeeld dat de webserver via een specifieke poort verbinding maakt met de database en via geen andere).

Deze scheiding biedt een extra verdedigingslaag tegen phishingaanvallen, pogingen om webkwetsbaarheden te misbruiken of datalekken. Zelfs als een openbare server wordt gecompromitteerd, zal de aanvaller een andere server tegenkomen. nieuwe controles en beperkingen voordat ze zich lateraal in het interne netwerk kunnen bewegen.

Veel organisaties die aan strenge regelgeving moeten voldoen (zoals wetgeving inzake gegevensbescherming in de gezondheidszorg of de financiële sector) gebruiken de DMZ in combinatie met proxyservers, gecentraliseerde logsystemen en webcontentfiltering. Dit maakt het mogelijk om... om alle activiteiten te monitoren en vast te leggen. die verbinding maakt met en afgaat van het internet, en ervoor zorgt dat de toegang altijd via gecontroleerde componenten verloopt.

Vermijd dubbele NAT wanneer u uw eigen router gebruikt.

Een ander veelvoorkomend gebruik van de DMZ-functie van de router van de internetprovider is wanneer je wilt Stel uw eigen neutrale router in. Omdat de router die je van je internetprovider hebt gekregen tekortschiet op het gebied van wifi-dekking, vermogen of geavanceerde functies. Het probleem ontstaat wanneer de provider geen ONT-specificaties, een bridge-modusoptie of een eenvoudige manier biedt voor je router om het publieke IP-adres direct te beheren.

In deze situatie is de gebruikelijke aanpak om uw neutrale router aan te sluiten op de router van de internetprovider alsof het een gewoon apparaat is, er een statisch privé-IP-adres aan toe te wijzen en de DMZ van de router van de internetprovider zo te configureren dat deze naar dat IP-adres verwijst. Op deze manier wordt al het verkeer dat binnenkomt op het publieke IP-adres omgeleid naar uw router, die vervolgens NAT uitvoert voor uw verbinding. intern lokaal netwerk met eigen regels en functies.

Zonder een DMZ zou je te maken hebben met dubbele NAT: een eerste router die publieke IP-adressen vertaalt naar privé-IP-adressen, en een tweede router die opnieuw NAT uitvoert voor je interne netwerk. Als je ook poorten wilt openen voor een pc of server, moet je de poort openen op de router van de internetprovider en dit proces vervolgens herhalen op je eigen router. Met een DMZ die is geconfigureerd om naar de neutrale router te verwijzen, hoef je alleen nog maar de... Poortforwarding op je eigen computerwat de administratie aanzienlijk vereenvoudigt.

Stapsgewijze handleiding voor het openen van de DMZ op een thuisrouter

De specifieke manier om de DMZ te configureren verschilt per model, maar vrijwel alle modellen volgen dezelfde logica: zoek het menu met geavanceerde instellingen, activeer de optie en wijs de DMZ toe. het privé-IP-adres van het apparaat dat we willen blootleggenHet is belangrijk om dit voorzichtig te doen, zodat je niet meer opent dan nodig is.

De eerste stap is het identificeren van uw routermodel en inloggegevens. Meestal zit er een sticker op de onderkant van het apparaat met het IP-adres van de beheerder (bijvoorbeeld 192.168.0.1 of 192.168.1.1), de gebruikersnaam en het wachtwoord (soms admin/admin of specifieke inloggegevens van uw internetprovider). Als u deze gegevens niet hebt, kunt u zoeken naar de standaard gateway Probeer vanaf je pc de gebruikelijke standaard inloggegevens te gebruiken of raadpleeg de handleidingen die specifiek voor jouw model zijn.

Nadat u bent ingelogd op de webinterface van uw router, moet u het gedeelte met betrekking tot de DMZ vinden. Afhankelijk van de fabrikant kan dit zich in secties zoals ... bevinden. Firewall, virtuele server, beveiliging, applicaties en gaming of zelfs binnen de geavanceerde poort- of NAT-instellingen.

Bij sommige gangbare routers, zoals bepaalde TP-Link-modellen, is de procedure vergelijkbaar met deze: zorg er eerst voor dat de router in de "draadloze router"-modus staat (niet in de AP-modus) en open vervolgens het menu van Doorsturen > DMZVink het vakje 'Inschakelen' aan en voer het interne IP-adres van het apparaat dat u wilt blootstellen aan de DMZ in het veld 'Host DMZ' in. Sla vervolgens de configuratie op.

Een cruciaal detail is dat het IP-adres van het apparaat dat u in de DMZ wilt plaatsen, correct moet zijn. statisch of gereserveerd via DHCPAls je de DHCP-server van de router dynamisch IP-adressen laat toewijzen, kan het gebeuren dat al het verkeer naar een ander apparaat wordt doorgestuurd als de adressen opnieuw worden toegewezen.

Om dit probleem te voorkomen, hebt u twee belangrijke opties: een handmatig en statisch IP-adres op het apparaat configureren (buiten het DHCP-bereik van de router om conflicten te voorkomen), of de optie gebruiken om Statische DHCP of DHCP-reservering van de router, waar u het adres aan koppelt MAC-adres van het apparaat naar een specifiek IP-adres binnen het bereik, zodat het altijd hetzelfde adres ontvangt.

Zodra je hebt bevestigd dat het IP-adres niet verandert, kun je het invoeren in het DMZ-veld van de router, de wijzigingen toepassen en de basisconfiguratie voltooien. Vanaf dat moment worden alle poorten die niet opnieuw zijn toegewezen aan andere port forwarding-regels doorgestuurd naar dat apparaat, dat vervolgens aan de DMZ wordt toegewezen. volledig blootgesteld aan het internet.

Voordelen en nadelen van het openen van poorten via een DMZ

Het gebruik van een DMZ kan tijd besparen wanneer een applicatie zijn poorten niet correct documenteert of wanneer er verbindingsproblemen zijn die moeilijk te diagnosticeren zijn, maar het vergroot ook het aanvalsoppervlak. Het is de moeite waard om te bekijken wat de voordelen en nadelen voor uw netwerk zijn wanneer u deze functie gebruikt.

Voordelen van het gebruik van DMZ om poorten te openen

Een van de belangrijkste voordelen is de eenvoudige configuratie Als je niet zeker weet welke poorten een applicatie nodig heeft, kun je in plaats van ze één voor één te openen en te testen, DMZ inschakelen voor het IP-adres van het apparaat en ervoor zorgen dat er geen poorten op de router geblokkeerd zijn voor dat apparaat.

In goed ontworpen omgevingen is het onderhouden en updaten van servers in de DMZ ook eenvoudiger, omdat ze zich in een segment duidelijk gescheiden van het interne netwerkAls u services opnieuw moet opstarten, patches moet toepassen of wijzigingen moet aanbrengen, kunt u dit doen zonder de kantoorcomputers aan te raken of de continuïteit van het werk van gebruikers in gevaar te brengen.

Aan de andere kant verklein je het directe aanvalsoppervlak op het LAN door de blootgestelde servers in een geïsoleerde zone te plaatsen. Als een aanvaller een kwetsbaarheid in een van die servers misbruikt, zal de schade doorgaans beperkt blijven tot de DMZ. verkleint de kans dat het incident zich verspreidt naar andere interne teams.

Nadelen en risico's van het openen van havens via een DMZ

De keerzijde is dat het opzetten van een goede DMZ voor de eerste keer behoorlijk complex kan zijn als je niet gewend bent aan netwerksegmentatie en firewalls. Een configuratiefout of het over het hoofd zien van een regel kan je netwerk in gevaar brengen. Het netwerk is kwetsbaarder dan je dacht. of toegang toestaan ​​die er niet zou mogen zijn.

In bedrijfsnetwerken brengt het opzetten van een "goede" DMZ doorgaans investeringen met zich mee in... hardware Aanvullende vereisten: beheerde switches, een of meer dedicated firewalls, eventueel load balancers, enz. Dit vertaalt zich naar economische en administratieve kosten Dat kunnen niet alle kleine organisaties zich veroorloven.

Bij een vereenvoudigde DMZ op een thuisrouter is het grootste probleem dat het apparaat dat door de DMZ wordt beschermd, in feite een blootgestelde host op het internet wordt. Als dat apparaat bekende kwetsbaarheden heeft, onnodige services draait of Het wordt niet regelmatig bijgewerkt.Het is slechts een kwestie van tijd voordat het doelwit wordt van allerlei soorten aanvallen.

Het verstandigst is om eerst normale port forwarding in de NAT van de router te gebruiken, waarbij alleen de essentiële poorten worden geopend, en de DMZ ongewijzigd te laten. laatste redmiddel of tijdelijk hulpmiddel voor specifieke tests of zeer specifieke gevallen van incompatibiliteit.

Wanneer is het géén goed idee om een ​​DMZ te gebruiken?

Hoewel het routermenu wellicht suggereert om DMZ in te schakelen om "problemen op te lossen", zijn er diverse situaties waarin het verstandig is om hier nog eens goed over na te denken. Niet elk apparaat is ontworpen om 24/7 met alle poorten open aan het internet blootgesteld te zijn.

Apparaten met kwetsbaarheden of slecht onderhouden onderdelen.

Als de apparatuur die u in de DMZ wilt plaatsen een verouderd besturingssysteem, niet-ondersteunde software of services met bekende beveiligingslekkenHet apparaat onbeschermd aan het internet blootstellen is een uitnodiging tot inbreuken. In dergelijke gevallen is het verstandiger om updates uit te voeren, onnodige services te sluiten en alleen specifieke poorten te openen.

Zelfs als je je niet bewust bent van kwetsbaarheden, is er nog steeds een risico als het een apparaat is dat je zelden bijwerkt. Dat "er tot nu toe niets is gebeurd" betekent niet dat het veilig is. veilig om het permanent blootgesteld te latenvooral als het waardevolle gegevens bevat.

Gebrek aan filtering en verkeerscontrole

Het gebruik van de DMZ van de thuisrouter houdt in principe in dat... Al het inkomende verkeer komt uiteindelijk op hetzelfde apparaat terecht.Zonder een tussenliggende firewall voor fijne filtering, wordt de connectiviteit weliswaar vergemakkelijkt, maar kunnen ook allerlei poortscans, brute-force-aanvallen en geautomatiseerde aanvallen het apparaat rechtstreeks bereiken.

Zonder een extra filterlaag absorbeert het apparaat in de DMZ al dat schadelijke verkeer, waardoor de kans groter wordt dat een onbekende kwetsbaarheid wordt misbruikt. Daarom is het zo belangrijk dat het systeem beschikt over een filterlaag. eigen firewall en actuele patches als hij in die positie wil blijven.

Beperkte lokale netwerksegmentatie

Als uw interne netwerk niet is gesegmenteerd en alle apparaten hetzelfde IP-segment delen, kan een gecompromitteerd apparaat in de DMZ interne routes gebruiken om toegang te krijgen tot de rest van het netwerk, vooral als de router dit toestaat. laterale communicatie zonder al te veel beperkingen tussen apparaten.

In situaties waar gevoelige gegevens worden verwerkt, is het ideaal dat de apparatuur in de DMZ geen directe verbinding heeft met de apparatuur waarop de kritieke informatie is opgeslagen, of dat de toegang op zijn minst beperkt is met zeer specifieke regels. Als dat niet gegarandeerd kan worden, kan het activeren van een DMZ uiteindelijk ineffectief blijken. Het openen van een indirecte toegangspoort tot het gehele LAN-netwerk.

Onjuiste configuratie of gebrek aan eerdere ervaring

De DMZ is een van die functies waarbij een onschuldige fout (bijvoorbeeld het opgeven van een verkeerd IP-adres of het gebruiken van een slecht gefilterd poortbereik) aanzienlijke gevolgen voor de beveiliging kan hebben. Als u zich niet prettig voelt bij het aanpassen van deze opties of niet volledig begrijpt wat u daarmee blootstelt, is de meest verantwoorde aanpak om... Activeer de DMZ pas als je zeker bent..

Bij twijfel is het verstandig om wat meer tijd te besteden aan het documenteren van de benodigde poorten en deze afzonderlijk te openen, of om oplossingen zoals VPN's te gebruiken waarmee u op een versleutelde en gecontroleerde manier toegang krijgt tot uw netwerkdiensten, zonder dat deze voor de hele wereld zichtbaar zijn.

Veiligere alternatieven: VPN en beperkte port forwarding.

Een veel robuustere oplossing voor toegang op afstand is het opzetten van een VPN waarmee uw externe apparaat verbinding maakt met het lokale netwerk.Op deze manier kunt u van buitenaf browsen alsof u zich in uw huis of kantoor bevindt, met als groot voordeel dat de communicatie versleuteld en geverifieerd is, en u niet zoveel diensten direct hoeft bloot te stellen.

Een ander alternatief is het gebruik van selectieve port forwarding, waarbij alleen de poorten worden geopend die elke applicatie of service nodig heeft, en de firewall van de router wordt versterkt. Beperk de toegang tot specifieke IP-adressen of IP-bereiken.Indien mogelijk. Het vergt iets meer werk, maar het verkleint het aanvalsoppervlak voor geautomatiseerde aanvallen aanzienlijk.

Opent de DMZ echt alle routerpoorten?

Een belangrijk technisch detail is dat op de meeste thuisrouters de port forwarding-regels die u handmatig hebt aangemaakt, niet werken. Ze hebben voorrang boven de DMZ.Met andere woorden: als je poort 80 hebt geopend voor een specifieke server, blijft die poort naar dat apparaat gaan, zelfs als je ook een DMZ-IP-adres hebt geconfigureerd.

Intern zijn veel routers gebaseerd op systemen zoals Linux die iptables gebruiken om NAT en firewalls te beheren. Specifieke port forwarding-regels worden meestal vóór de algemene DMZ-regel in de filterketen geplaatst, zodat verkeer naar die poorten gaat waar die regels aangeven, en de rest gaat naar de DMZ-regel. IP-adres geconfigureerd als DMZ-host.

Fabrikanten hebben de interfaces sterk vereenvoudigd om het activeren van een DMZ relatief eenvoudig te maken, maar dat betekent niet dat we deze functie niet zouden moeten gebruiken. met de nodige voorzichtigheid en een volledig begrip van de implicaties ervan.Het simpelweg openen ervan kan het netwerk veel kwetsbaarder maken dan op het eerste gezicht lijkt.

Voordat u de DMZ activeert, is het raadzaam de specifieke documentatie voor uw routermodel of de handleidingen van uw internetprovider te raadplegen, aangezien elke omgeving zijn eigen unieke vereisten heeft. In elk geval is het van cruciaal belang dat de DMZ correct is geconfigureerd voor gebruik met een pc, server of console. De firewall van het apparaat is correct geconfigureerd. Om inkomende verbindingen te filteren en ervoor te zorgen dat de software altijd zo actueel mogelijk is om kwetsbaarheden te minimaliseren.

Architectonische alternatieven voor een klassieke DMZ

In professionele of geavanceerde gebruikersomgevingen zijn er verschillende manieren om effecten te bereiken die vergelijkbaar zijn met een DMZ, soms met meer beveiliging en detailniveau, hoewel dit ten koste gaat van een grotere complexiteit en hogere kosten. Je hoeft niet altijd het label "DMZ" op je router te hebben om een ​​DMZ te hebben. blootgesteld servicegebied met extra bescherming.

Een optie is om de server zelf te versterken met een correct geconfigureerde lokale firewall Dat bepaalt welk verkeer er van die server naar het interne netwerk kan stromen. Als je maar één server hebt die aan het netwerk is blootgesteld (bijvoorbeeld een website) en een correct geconfigureerde firewall op die machine, kun je de communicatie met de rest van het netwerk sterk beperken, waardoor het fungeert als een soort mini-DMZ.

Een andere mogelijkheid is om te implementeren wat bekend staat als driepotige firewallIn deze configuratie heeft één beveiligingsapparaat drie netwerkinterfaces: één naar het internet, één naar de DMZ en één naar het LAN. Elke interface is gekoppeld aan een zone met specifieke beleidsregels, waardoor zeer gedetailleerde controle over het verkeer tussen de interfaces mogelijk is.

Voor organisaties die zeer hoge beveiligingseisen stellen, kan implementatie een optie zijn. meerdere fysieke firewallsEén beveiliging isoleert het privénetwerk en een aparte beveiliging beschermt de DMZ. Op deze manier zou een aanvaller minstens twee beveiligingsapparaten van verschillende fabrikanten of met verschillende configuraties moeten omzeilen om het interne netwerk te bereiken, wat de drempel aanzienlijk verhoogt.

Het is ook gebruikelijk om één geavanceerde firewall te gebruiken die de... IP-zones van elk netwerksegmentDeze aanpak maakt het mogelijk om meerdere "mini-DMZ's" of tussenliggende zones te creëren met verschillende niveaus van blootstelling en bescherming, zonder dat uitgebreide hardwareduplicatie nodig is. Specifieke regels worden toegepast op basis van de herkomst en bestemming van de verbindingen.

DMZ en IPv6-protocol: belangrijke verschillen ten opzichte van IPv4

In de IPv6-wereld verandert het concept van DMZ aanzienlijk, omdat NAT niet langer wordt gebruikt zoals we dat kennen uit IPv4. Elk apparaat ontvangt een uniek wereldwijd IPv6-adresHet netwerk is rechtstreeks bereikbaar vanaf het internet en de beveiliging is sterk afhankelijk van firewallregels en subnetsegmentatie.

Om een ​​DMZ in IPv6 te creëren, moet uw internetprovider u een voldoende groot blok toewijzen, bijvoorbeeld een /56 of /48, zodat u dit kunt onderverdelen in meerdere /64-subnetten: één voor het interne LAN, één voor de DMZ en eventuele andere die u wilt reserveren. Elke zone moet beschikken over zijn eigen voorvoegsel /64 in plaats van hetzelfde te delen.

In plaats van adressen te vertalen, regelt de firewall welk verkeer is toegestaan ​​tussen verschillende zones en naar het internet. U kunt bijvoorbeeld specificeren dat verkeer vanaf het internet alleen bepaalde poorten op de servers in de DMZ mag bereiken (HTTP, HTTPS, enz.) en dat de DMZ zeer beperkte toegang heeft tot het LAN, waardoor het risico in geval van een aanval wordt verkleind. toewijzing van een van de servers.

Net als bij IPv4 vormen firewallregels de kern van de beveiliging: u bepaalt welke poorten en protocollen van buitenaf naar de DMZ zijn toegestaan ​​en welke rechten servers in die zone hebben om met het interne netwerk te communiceren. Door deze regels zorgvuldig te ontwerpen, kunt u optimaal profiteren van IPv6 zonder verlies van beveiliging. isolatie- en controlecapaciteit.

Praktisch voorbeeld van een DMZ met Linux en iptables

Als u een geavanceerdere DMZ wilt opzetten met een Linux-machine, kunt u dat doen met een machine die beschikt over drie netwerkkaarten en fungeert als firewall/router tussen het internet, de DMZ en het interne netwerk. Deze oplossing wordt vaak gebruikt wanneer investeren in een geavanceerde firewall onwenselijk of niet haalbaar is.

Stel je een configuratie voor waarbij de eth0-interface is verbonden met de router of het internet (bijvoorbeeld 192.168.1.2), eth1 met het DMZ-netwerk (192.168.2.1) en eth2 met het interne netwerk (192.168.3.1). Het doel is om verkeer van het internet naar bepaalde poorten op eth0 om te leiden naar servers in de DMZ, waarbij reacties wel worden teruggestuurd, maar verkeer vanuit de DMZ niet terugkomt. Initiëren van verkeer naar het LAN behalve in reactie op verzoeken die van binnenuit komen.

Met iptables kun je een script dat: inkomend verkeer van eth0 naar eth1 toestaat op de gewenste poorten (bijvoorbeeld 80 voor web en 53 voor DNS), uitgaande antwoorden toestaat, verkeer tussen het LAN en de DMZ toestaat wanneer dit door het LAN wordt geïnitieerd, en alle andere verbindingen blokkeert die vanuit de DMZ naar het interne netwerk proberen te gaan zonder voorafgaande aanvraag. Met een paar goed gedefinieerde regels fungeert die Linux-machine als gecentraliseerde firewall- en DMZ-maker.

Deze aanpak laat zien dat je niet altijd een duur apparaat nodig hebt voor een goede segmentatie: met kennis van iptables en wat geduld kun je een prima DMZ opzetten, zolang je maar... Zorg dat het systeem up-to-date blijft en documenteer de regels goed. zodat je de dag niet mist waarop het tijd is om iets te veranderen.

DMZ in carrierrouters en de bijzonderheden van sommige poorten

Op sommige routers van internetproviders, zoals bepaalde HGU-modellen, kan het voorkomen dat de DMZ goed werkt voor de meeste poorten (SQL, RDP, FTP, enz.), maar dat... specifieke poorten zoals 443 (HTTPS) Ze lijken niet correct te worden doorgestuurd naar de firewall of interne server.

In deze gevallen komt het vaak voor dat de router zelf of een andere dienst van de internetprovider die poort intern gebruikt voor beheer, een captive portal of andere functies, waardoor verzoeken de DMZ nooit bereiken. Een gebruikelijke oplossing is het gebruik van een alternatieve externe poort (bijvoorbeeld 4443) en laat de interne firewall dit vertalen naar poort 443 van de webserver, om conflicten met het interne gebruik van de standaardpoort te voorkomen.

Als je merkt dat een bepaalde poort je firewall niet bereikt, ondanks dat de DMZ correct is geconfigureerd, is het raadzaam om de documentatie van je router, de forums van je internetprovider of het betreffende gedeelte te raadplegen. speciale regels, gereserveerde diensten of interne omleidingen om te controleren of die poort wordt onderschept vóór de DMZ.

DMZ voor speciale toepassingen: IP-camera's en online pc-gaming.

Wanneer een applicatie meerdere poorten vereist of gebruikmaakt van complexe protocollen (zoals bepaalde IP-camera's, databasesoftware of sommige pc-games), kan het lastig zijn om uit te zoeken hoe je deze moet gebruiken. welke poorten precies geopend moeten worden op de router. In dergelijke situaties grijpen veel mensen naar de DMZ als een soort snelkoppeling.

Als u besluit deze optie te gebruiken, kunt u deze het beste als een tijdelijke oplossing beschouwen: activeer deze tijdens het testen of gebruiken van de game/applicatie en deactiveer deze wanneer u deze niet meer nodig hebt. Op deze manier beperkt u het gebruik. de tijd gedurende welke de De DMZ-host is volledig blootgesteld. naar het internet, waardoor de periode waarin misbruik mogelijk is, wordt verkort.

Een typisch voorbeeld is een pc die problemen ondervindt met het starten van online games vanwege poortbeperkingen. Je configureert een statisch IP-adres voor die pc binnen het netwerk, wijst deze aan als DMZ-host op de router en herhaalt de gametests. Als alles werkt, heb je bevestigd dat het probleem inderdaad met poorten te maken had; vanaf daar kun je verder. het aanpassen van meer specifieke regels om te voorkomen dat de DMZ permanent ingeschakeld blijft.

Bij consoles wordt vaker gebruikgemaakt van DMZ's, omdat, zoals we al hebben aangegeven, hun besturingssysteem meer gesloten is en het aantal services dat gecompromitteerd kan worden kleiner is. Desondanks is het altijd verstandig om de DMZ's te onderhouden. De firmware van de console is bijgewerkt. En controleer of de routerfabrikant betere oplossingen biedt (gecontroleerde UPnP, gameprofielen, enz.).

Wat betreft apparaten IoT Apparaten zoals camera's, slimme stekkers of slimme lampen mogen niet rechtstreeks in de DMZ worden geplaatst. Veel van deze producten hebben slecht onderhouden firmware en meerdere kwetsbaarhedenVooral bij zeer goedkope modellen is het verstandig om alleen de strikt noodzakelijke poorten beschikbaar te stellen via port forwarding en deze, indien mogelijk, op een apart netwerk of VLAN te plaatsen.

De DMZ is een krachtig en zeer nuttig hulpmiddel als je het goed begrijpt, maar om er veilig gebruik van te maken, is het belangrijk om verder te gaan dan alleen "activeren". Door te plannen welke apparaten verkeer zullen ontvangen, ervoor te zorgen dat ze een goede firewall en updates hebben en de tijd dat ze blootgesteld zijn te minimaliseren, kun je optimaal profiteren van de voordelen. online games, toegang op afstand of gepubliceerde diensten zonder uw netwerk in een zeef te veranderen.