Τι σημαίνει "DMZ"; DMZ σημαίνει αποστρατικοποιημένη ζώνη, αλλά αυτό σημαίνει διαφορετικά πράγματα σε διαφορετικούς τομείς.
Στον πραγματικό κόσμο, ένα DMZ είναι μια λωρίδα γης που χρησιμεύει ως σημείο οριοθέτησης μεταξύ Βόρειας και Νότιας Κορέας. Όμως, όσον αφορά την τεχνολογία, το DMZ είναι ένα λογικά διαχωρισμένο υποδίκτυο που συνήθως περιέχει υπηρεσίες εξωτερικού που φιλοξενούνται στο Διαδίκτυο. Λοιπόν, τι ακριβώς είναι ο σκοπός του DMZ; Πώς σε προστατεύει; Και μπορείτε να το ρυθμίσετε στον δρομολογητή σας;
Ποιος είναι ο σκοπός ενός DMZ;
Το DMZ λειτουργεί ως ασπίδα μεταξύ του αναξιόπιστου Διαδικτύου και του εσωτερικού σας δικτύου.
Απομόνωση των πιο ευάλωτων υπηρεσιών που αντιμετωπίζουν οι χρήστες, όπως email, web και διακομιστές DNS μέσα στις δικές τους λογικό υποδίκτυο, το υπόλοιπο εσωτερικό δίκτυο ή το τοπικό δίκτυο (LAN) μπορεί να προστατευτεί σε περίπτωση α συμβιβασμός.
Οι κεντρικοί υπολογιστές σε ένα DMZ έχουν περιορισμένη συνδεσιμότητα με το κύριο εσωτερικό δίκτυο, καθώς τοποθετούνται πίσω από ένα τείχος προστασίας που ελέγχει τη ροή της κίνησης μεταξύ των δύο σημείων δικτύου. Ωστόσο, επιτρέπεται κάποια επικοινωνία, ώστε οι οικοδεσπότες DMZ να μπορούν να προσφέρουν υπηρεσίες τόσο στο εσωτερικό όσο και στο εξωτερικό δίκτυο.
Σχετιζομαι με: Ποια είναι η διαφορά μεταξύ LAN και WAN;
Η βασική προϋπόθεση πίσω από ένα DMZ είναι να το διατηρήσετε προσβάσιμο από το Διαδίκτυο, αφήνοντας ανέπαφο το υπόλοιπο εσωτερικό LAN ανέπαφο και απρόσιτο στον εξωτερικό κόσμο. Αυτό το πρόσθετο επίπεδο ασφάλειας εμποδίζει τους παράγοντες της απειλής να διεισδύσουν απευθείας στο δίκτυό σας.
Ποιες υπηρεσίες προστίθενται εντός DMZ;
Ο ευκολότερος τρόπος για να κατανοήσετε μια διαμόρφωση DMZ είναι να σκεφτείτε έναν δρομολογητή. Οι δρομολογητές έχουν γενικά δύο διεπαφές:
- Εσωτερική διεπαφή: Αυτή είναι η διεπαφή που δεν βλέπει στο Διαδίκτυο και διαθέτει τους ιδιωτικούς σας κεντρικούς υπολογιστές.
- Εξωτερική διεπαφή: Αυτή είναι η διεπαφή που βλέπει στο Διαδίκτυο και έχει την ανερχόμενη σύνδεση και την αλληλεπίδρασή σας με τον έξω κόσμο.
Για να εφαρμόσετε ένα δίκτυο DMZ, απλώς προσθέτετε μια τρίτη διεπαφή γνωστή ως DMZ. Τυχόν κεντρικοί υπολογιστές που είναι προσβάσιμοι απευθείας από το Διαδίκτυο ή απαιτούν τακτική επικοινωνία με τον εξωτερικό κόσμο συνδέονται στη συνέχεια μέσω της διεπαφής DMZ
Οι τυπικές υπηρεσίες που μπορούν να τοποθετηθούν σε ένα DMZ περιλαμβάνουν διακομιστές email, διακομιστές FTP, διακομιστές Web και διακομιστές VOIP κ.λπ.
Θα πρέπει να δοθεί ιδιαίτερη προσοχή στη γενική πολιτική ασφάλειας υπολογιστών του οργανισμού σας και θα πρέπει να γίνει ανάλυση πόρων πριν από τη μετεγκατάσταση υπηρεσιών σε DMZ.
Μπορεί το DMZ να εφαρμοστεί σε οικιακό ή ασύρματο δίκτυο;
Ίσως έχετε παρατηρήσει ότι οι περισσότεροι οικιακοί δρομολογητές αναφέρουν τον κεντρικό υπολογιστή DMZ. Με την αληθινή έννοια της λέξης, αυτό δεν είναι πραγματικό DMZ. Ο λόγος είναι ότι ένα DMZ σε οικιακό δίκτυο είναι απλά ένας κεντρικός υπολογιστής στο εσωτερικό δίκτυο που έχει όλες τις θύρες εκτεθειμένες εκτός από αυτές που δεν προωθούνται.
Οι περισσότεροι ειδικοί δικτύου προειδοποιούν να μην ρυθμίσουν έναν κεντρικό υπολογιστή DMZ για οικιακό δίκτυο. Αυτό συμβαίνει επειδή ο κεντρικός υπολογιστής DMZ είναι αυτό το σημείο μεταξύ των εσωτερικών και εξωτερικών δικτύων που δεν έχουν τα ίδια δικαιώματα τείχους προστασίας που απολαμβάνουν άλλες συσκευές στο εσωτερικό δίκτυο.
Επίσης, ένας οικιακός κεντρικός υπολογιστής DMZ διατηρεί τη δυνατότητα σύνδεσης με όλους τους κεντρικούς υπολογιστές στο εσωτερικό δίκτυο που δεν ισχύει για εμπορικές διαμορφώσεις DMZ όπου αυτές οι συνδέσεις πραγματοποιούνται μέσω διαχωρισμού τείχη προστασίας.
Ένας κεντρικός υπολογιστής DMZ σε ένα εσωτερικό δίκτυο μπορεί να παρέχει μια ψευδή αίσθηση ασφάλειας, όταν στην πραγματικότητα χρησιμοποιείται ως μέθοδος των θυρών ευθείας προώθησης σε άλλη συσκευή τείχους προστασίας ή NAT.
Η διαμόρφωση DMZ για οικιακό δίκτυο είναι απαραίτητη μόνο εάν ορισμένες εφαρμογές απαιτούν συνεχή πρόσβαση στο Διαδίκτυο. Αν και αυτό μπορεί να επιτευχθεί μέσω προώθησης θύρας ή δημιουργίας εικονικών διακομιστών, μερικές φορές η αντιμετώπιση του μεγάλου αριθμού αριθμών θύρας το καθιστά μη πρακτικό. Σε τέτοιες περιπτώσεις, η δημιουργία ενός κεντρικού υπολογιστή DMZ είναι μια λογική λύση.
Το Μονό και Διπλό Τείχος προστασίας ενός DMZ
Οι ρυθμίσεις DMZ μπορούν να γίνουν με διαφορετικούς τρόπους. Οι δύο πιο συχνά χρησιμοποιούμενες μέθοδοι είναι γνωστές ως το δίκτυο τριών ποδιών (ένα τείχος προστασίας) και ένα δίκτυο με διπλά τείχη προστασίας.
Ανάλογα με τις απαιτήσεις σας, μπορείτε να επιλέξετε οποιαδήποτε από αυτές τις αρχιτεκτονικές.
Μέθοδος τριών ποδιών ή μεμονωμένου τείχους προστασίας
Αυτό το μοντέλο φέρει τρεις διεπαφές. Η πρώτη διεπαφή είναι το εξωτερικό δίκτυο από τον ISP στο τείχος προστασίας, το δεύτερο είναι το εσωτερικό σας δίκτυο και τέλος, η τρίτη διεπαφή είναι το δίκτυο DMZ που περιέχει διάφορους διακομιστές.
Το μειονέκτημα αυτής της εγκατάστασης είναι ότι η χρήση ενός και μοναδικού τείχους προστασίας είναι το μοναδικό σημείο αποτυχίας για ολόκληρο το δίκτυο. Εάν το τείχος προστασίας παραβιαστεί, ολόκληρο το DMZ θα πέσει επίσης. Επίσης, το τείχος προστασίας θα πρέπει να μπορεί να χειρίζεται όλη την εισερχόμενη και εξερχόμενη κίνηση τόσο για το DMZ όσο και για το εσωτερικό δίκτυο.
Διπλή μέθοδος τείχους προστασίας
Όπως υποδηλώνει το όνομα, χρησιμοποιούνται δύο τείχη προστασίας για τη δημιουργία αυτής της ρύθμισης, καθιστώντας την πιο ασφαλή από τις δύο μεθόδους. Έχει διαμορφωθεί ένα τείχος προστασίας front-end που επιτρέπει την κυκλοφορία μόνο από και προς το DMZ. Το δεύτερο ή το οπίσθιο τείχος προστασίας έχει ρυθμιστεί έτσι ώστε να μεταφέρει την κυκλοφορία από το DMZ στο εσωτερικό δίκτυο.
Το να έχετε ένα επιπλέον τείχος προστασίας μειώνει τις πιθανότητες να επηρεαστεί ολόκληρο το δίκτυο σε περίπτωση συμβιβασμού.
Αυτό έρχεται φυσικά με υψηλότερη τιμή αλλά παρέχει πλεονασμό σε περίπτωση αποτυχίας του ενεργού τείχους προστασίας. Ορισμένοι οργανισμοί διασφαλίζουν επίσης ότι και τα δύο τείχη προστασίας δημιουργούνται από διαφορετικούς προμηθευτές για να δημιουργήσουν περισσότερα εμπόδια για τους εισβολείς που θέλουν να χαράξουν ένα δίκτυο.
Πώς να ρυθμίσετε ένα DMZ στον οικιακό δρομολογητή σας
Ο ευκολότερος και γρηγορότερος τρόπος δημιουργίας ενός οικιακού δικτύου DMZ είναι χρησιμοποιώντας το μοντέλο με τρία πόδια. Κάθε διεπαφή θα εκχωρηθεί ως εσωτερικό δίκτυο, δίκτυο DMZ και εξωτερικό δίκτυο. Τέλος, μια κάρτα Ethernet τεσσάρων θυρών στο τείχος προστασίας θα ολοκληρώσει αυτήν τη ρύθμιση.
Τα παρακάτω βήματα περιγράφουν τον τρόπο ρύθμισης ενός DMZ σε οικιακό δρομολογητή. Σημειώστε ότι αυτά τα βήματα θα είναι παρόμοια για τους περισσότερους μεγάλους δρομολογητές, όπως Linksys, Netgear, Belkin και D-Link:
- Συνδέστε τον υπολογιστή σας στο δρομολογητή μέσω του καλωδίου Ethernet.
- Μεταβείτε στο πρόγραμμα περιήγησης ιστού του υπολογιστή σας και πληκτρολογήστε τη διεύθυνση IP του δρομολογητή σας στη γραμμή εργαλείων διευθύνσεων. Συνήθως, η διεύθυνση του δρομολογητή είναι 192.168.1.1. Πατήστε το πλήκτρο "Enter" ή επιστροφής.
- Θα δείτε ένα αίτημα εισαγωγής του κωδικού πρόσβασης διαχειριστή. Εισαγάγετε τον κωδικό πρόσβασής σας που δημιουργήσατε κατά τη ρύθμιση του δρομολογητή. Ο προεπιλεγμένος κωδικός πρόσβασης σε πολλούς δρομολογητές είναι "διαχειριστής".
- Επιλέξτε την καρτέλα "Ασφάλεια" που βρίσκεται στην επάνω επάνω γωνία της διεπαφής ιστού του δρομολογητή σας.
- Μεταβείτε στο κάτω μέρος και επιλέξτε το αναπτυσσόμενο πλαίσιο με την ένδειξη "DMZ". Τώρα επιλέξτε το επιτρέπω επιλογή μενού.
- Εισαγάγετε τη διεύθυνση IP για τον κεντρικό υπολογιστή υπολογιστή προορισμού. Αυτό μπορεί να είναι οτιδήποτε όπως ένας απομακρυσμένος επιτραπέζιος υπολογιστής, διακομιστής ιστού ή οποιαδήποτε συσκευή χρειάζεται πρόσβαση στο Διαδίκτυο. Σημείωση: η διεύθυνση IP όπου προωθείτε την κίνηση του δικτύου θα πρέπει να είναι στατική, καθώς μια δυναμική διεύθυνση IP θα αλλάζει κάθε φορά που θα γίνεται επανεκκίνηση του υπολογιστή σας.
- Επιλέγω Αποθηκεύσετε τις ρυθμίσεις και κλείστε την κονσόλα του δρομολογητή.
Σχετιζομαι με: Πώς να βρείτε τη διεύθυνση IP του δρομολογητή σας
Προστατεύστε τα δεδομένα σας και διαμορφώστε ένα DMZ
Οι έξυπνοι καταναλωτές ασφαλίζουν πάντα τους δρομολογητές και τα δίκτυά τους από εισβολείς πριν αποκτήσουν πρόσβαση σε εξωτερικά δίκτυα. Ένα DMZ μπορεί να προσφέρει ένα πρόσθετο επίπεδο ασφάλειας μεταξύ των πολύτιμων δεδομένων σας και των πιθανών χάκερ.
Τουλάχιστον, χρησιμοποιώντας ένα DMZ και χρησιμοποιώντας απλές συμβουλές για να ασφαλίσετε τους δρομολογητές σας, μπορεί να είναι πολύ δύσκολο για τους απειλητικούς παράγοντες να διεισδύσουν στο δίκτυό σας. Και όσο πιο δύσκολο είναι για τους επιτιθέμενους να φτάσουν τα δεδομένα σας, τόσο καλύτερο είναι για εσάς!
Ακολουθήστε αυτές τις συμβουλές για να ασφαλίσετε τον οικιακό δρομολογητή σας και να αποτρέψετε την εισβολή ατόμων στο δίκτυό σας.
- Η τεχνολογία εξηγείται
- Ασφάλεια
- Δρομολογητής
- Διαδικτυακή ασφάλεια
Η Kinza είναι λάτρης της τεχνολογίας, τεχνικός συγγραφέας και αυτοαποκαλούμενος geek που διαμένει στη Βόρεια Βιρτζίνια με τον σύζυγό της και δύο παιδιά. Με πτυχίο στη Δικτύωση Υπολογιστών και πολλές πιστοποιήσεις πληροφορικής κάτω από τη ζώνη της, εργάστηκε στον κλάδο των Τηλεπικοινωνιών πριν ξεκινήσει την τεχνική γραφή. Με μια θέση σε θέματα ασφάλειας στον κυβερνοχώρο και cloud-based θέματα, απολαμβάνει να βοηθά τους πελάτες να ανταποκρίνονται στις διαφορετικές τεχνικές απαιτήσεις γραφής σε όλο τον κόσμο. Στον ελεύθερο χρόνο της, της αρέσει να διαβάζει μυθοπλασία, τεχνολογικά ιστολόγια, να δημιουργεί πνευματώδεις παιδικές ιστορίες και να μαγειρεύει για την οικογένειά της.
Εγγραφείτε στο Newsletter μας
Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές
Ένα ακόμη βήμα…!
Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.