Revisão das opções de organização do acesso aos serviços de rede corporativa pela Internet. Quatro melhores práticas para estabelecer uma DMZ (zona desmilitarizada)

DMZ ou Zona Desmilitarizada (DMZ)é uma tecnologia de segurança de rede na qual os servidores que respondem a solicitações de uma rede externa estão localizados em um segmento de rede especial e têm acesso limitado aos principais segmentos de rede usando firewall (firewall), a fim de minimizar os danos durante o hackeamento de um dos serviços localizados na zona.

Configuração de firewall único

Esquema com um firewall

Neste esquema DMZ a rede interna e a rede externa estão conectadas a diferentes portas do roteador (agindo como firewall), que controla as conexões entre redes. Este esquema é fácil de implementar e requer apenas uma porta adicional. No entanto, se o roteador for hackeado (ou apresentar um erro de configuração), a rede se tornará vulnerável diretamente da rede externa.

Configuração de firewall duplo

Em configuração com 2 firewalls DMZ se conecta a dois roteadores, um dos quais limita as conexões da rede externa para DMZ, e o segundo controla as conexões de DMZ em Rede interna. Este esquema permite minimizar as consequências de hackear qualquer um dos firewalls ou servidores que interagem com a rede externa - até que o firewall interno seja hackeado, o invasor não terá acesso arbitrário à rede interna.

Três configurações de firewall

Há um raro configuração com 3 firewalls. Nesta configuração, o primeiro assume as solicitações da rede externa, o segundo controla as conexões da rede DMZ e o terceiro controla as conexões da rede interna. Em tal configuração geralmente é DMZ e a rede interna estão escondidas atrás NAT (tradução de endereços de rede).

Um de características principais DMZ não é apenas a filtragem do tráfego no firewall interno, mas também a exigência de criptografia forte obrigatória na interação entre equipamentos ativos da rede interna e DMZ. Em particular, não deverá existir nenhuma situação em que seja possível processar um pedido do servidor em DMZ sem autorização. Se a DMZ for usada para garantir a proteção de informações dentro do perímetro contra vazamentos internos, requisitos semelhantes serão impostos para o processamento de solicitações de usuários da rede interna.

Neste artigo vou te contar o que é Anfitrião DMZ ou um servidor no roteador. E também como abrir portas usando a função DMZ. Como você já está lendo este artigo, provavelmente já sabe o que é um servidor virtual e por que precisa fazê-lo. Se não então . Resumindo, você precisa abrir uma porta no roteador ao trocar arquivos do seu computador com outros usuários da Internet. Por exemplo, para operar um servidor FTP rodando em um PC doméstico, ou um cliente torrent, ou jogo em rede. Neste artigo aprenderemos como abrir todas as portas de uma vez usando o chamado host DMZ usando o exemplo dos roteadores TP-Link, Asus, Zyxel Keenetic e Tenda

DMZ(“zona desmilitarizada”) é uma tecnologia com a qual você pode abrir absolutamente todas as portas em um dispositivo específico

Como usar um servidor DMZ em um roteador?

Usando o método descrito acima, usamos o roteador para abrir apenas uma porta para um dispositivo na rede. Através de um host DMZ, você pode abrir várias portas ao mesmo tempo. Porém, isso só deve ser feito em casos extremos, pois neste caso o dispositivo está totalmente aberto ao acesso pela Internet. Porém, às vezes isso é necessário, por exemplo, para configurar a visualização de câmeras CCTV conectadas via DVR, ou para organizar um servidor de jogo.

Deixe-me dar um exemplo: muitas vezes, ao conectar um gravador de videovigilância, a porta 80 é usada por padrão e é simplesmente impossível alterá-la nas configurações. Ao mesmo tempo, esta porta também está ocupada no roteador e não será possível redirecioná-la. Nesse caso, o host DMZ no roteador vem em socorro.

Servidor DMZ virtual no roteador Tenda

Nos roteadores wifi Tenda, a função de abertura de portas é chamada de “ Servidor virtual ". No painel de administração ele pode ser encontrado na seção “Configurações avançadas - Servidor virtual”

Mas primeiro você precisa atribuir um endereço IP estático ao computador para o qual deseja encaminhar as portas, caso contrário, na próxima vez que você ligá-lo via DHCP, o roteador poderá atribuir um endereço diferente e todas as nossas configurações serão perdidas. Leia como fazer isso.

Quando um endereço específico for reservado para um computador, insira-o na seção “Servidor Virtual” na célula “Endereço IP Interno”.

• Porta de rede local - selecione a mais adequada às nossas necessidades na lista suspensa - ftp, http, pop3, SMTP e assim por diante...
• Porta WAN - indique a mesma do caso anterior
• Protocolo - definir TCP e UDP

E clique no botão “Adicionar”

Após salvar as configurações, a porta através do roteador Tenda será aberta e poderemos facilmente fornecer acesso da Internet a determinados recursos do computador.

A ativação do host DMZ no roteador wifi Tenda está em “ Configurações adicionais" Tudo é simples aqui - mova a chave seletora para a posição ligada e insira o endereço IP do computador ou outro dispositivo no qual queremos abrir todas as portas

Configurando DMZ em um roteador TP-Link

Função DMZ em um roteador TP-Link nova versão interface web está localizada em “Configurações avançadas” no “ Encaminhamento NAT - DMZ". Tudo é simples aqui - marque-o e indique o endereço IP do computador no qual todas as portas serão abertas.

Host DMZ no roteador Asus

No roteador Configuração Asus O host DMZ é idêntico e está localizado na seção principal do menu “ Internet»

Configurando DMZ Zyxel Keenetic

O roteador Zyxel Keenetic também possui uma função semelhante, mas não se chama DMZ, mas está oculto no “ Segurança - Firewall«.

Primeiro, selecione aqui o tipo de rede à qual queremos permitir o acesso - esta é a Rede Doméstica ( rede doméstica)
E então clique no botão “Adicionar Regra”

A seguir, deixamos tudo como padrão, exceto um item - “Endereço IP de destino”. Aqui você precisa selecionar “Um” e no campo de texto escrever o endereço IP do computador no qual deseja abrir todas as portas. Observe que na coluna “Protocolo” agora selecionamos TCP.

Fazemos tudo como na foto abaixo:

Na linha Keenetic DMZ atualizada, também está configurado no “ Firewall". Clique aqui “Adicionar Regra”

Ligamos com uma marca e escrevemos tudo igual a versão antiga Zixel

Para ampliar seus horizontes, aconselho também a leitura das instruções da empresa Seixel.

Vídeo sobre como configurar o DMZ Host em um roteador

A abreviatura DMZ significa Zona DesMilitarizada, ou seja, “Zona Desmilitarizada”. É inesperado e não está claro o que isso tem a ver com o roteador. No entanto, na verdade, isso é muito útil em alguns casos. Isso será discutido neste artigo.

Finalidade e uso da DMZ

Uma DMZ é um segmento de rede criado para serviços e programas que requerem acesso direto à Internet. O acesso direto é necessário para torrents, mensagens instantâneas, jogos online e alguns outros programas. E você não pode ficar sem ele se quiser instalar uma câmera de videovigilância e ter acesso a ela via Internet.

Se o computador no qual o programa está sendo executado se conectar diretamente à Internet, ignorando o roteador, não será necessário usar DMZ. Mas se a conexão for feita através de um roteador, então não será possível “alcançar” o programa pela Internet, pois todas as solicitações serão recebidas pelo roteador e não encaminhadas dentro da rede local.

Para resolver esse problema, o encaminhamento de porta geralmente é usado no roteador. Há informações sobre isso em nosso site. No entanto, isto nem sempre é conveniente e algumas pessoas preferem configurar uma DMZ. Se você configurar uma DMZ em seu roteador e adicionar o nó de rede desejado a ele, por exemplo, um PC executando um servidor de jogos ou um DVR ao qual uma câmera IP está conectada, esse nó ficará visível na rede externa como se fosse estavam diretamente conectados à Internet. Nada mudará para o restante dos dispositivos da sua rede - eles funcionarão da mesma forma que antes.

Você deve ter cuidado com todas essas configurações. Uma vez que tanto o encaminhamento de porta quanto o DMZ são uma falha de segurança em potencial. Para melhorar a segurança em grandes empresas muitas vezes criam uma rede separada para a DMZ. Para bloquear o acesso da rede DMZ a outros computadores, é utilizado um roteador adicional.

Configurando DMZ no roteador

Os roteadores permitem que apenas um dispositivo seja adicionado à DMZ. O roteador deve receber um endereço IP “branco”. Somente neste caso será possível acessá-lo desde rede global . Informações sobre isso podem ser obtidas com seu provedor de Internet. Alguns provedores fornecem um endereço IP externo gratuitamente, mas esse serviço geralmente exige uma taxa adicional.

Configurando um endereço IP estático

Somente um computador com endereço IP estático pode ser adicionado à DMZ. Portanto, a primeira coisa que fazemos é mudar isso. Para fazer isso, abra as propriedades conexão de rede e nas configurações TCP/IP registramos um endereço IP estático na faixa de endereços da sua rede. Por exemplo, se o seu roteador tiver IP 192.168.0.1, você poderá especificar 192.168.0.10 para o seu computador. A máscara de sub-rede padrão é 255.255.255.0. E no campo “Gateway” você precisa indicar o endereço do seu roteador.

Observe que o endereço IP atribuído ao computador não deve estar na faixa de endereços distribuídos.

Neste ponto, a configuração do computador está concluída e você pode prosseguir para as configurações do roteador.

Configurando o roteador

O primeiro passo é habilitar o DMZ no roteador, pois ele está sempre desabilitado por padrão.

Encontre o item de menu correspondente na interface web do dispositivo:

• Sobre Roteadores Asus a guia necessária é chamada DMZ.
• Sobre Roteadores TP-Link abra o item “Encaminhamento” e haverá um subitem DMZ.
• Na D-Link procure pelo item “Firewall”.

Em qualquer caso, na aba de configurações você precisa marcar a caixa “Ativar”. E ao lado dele, encontre um campo chamado “DMZ Host Address” ou “Visible Station Address” (dependendo do modelo do roteador, pode haver outras opções). Neste campo inserimos o endereço estático do computador ou outro dispositivo que precisa ser adicionado à DMZ. No nosso caso é 192.168.0.10.

Salve as configurações e reinicie o roteador. Isso é tudo: todas as portas do PC selecionado estão abertas. Qualquer programa que utilize conexões de entrada pensará que está acessando a rede diretamente. Todos os outros programas funcionarão normalmente.

Abaixo está um exemplo de configuração de um roteador com interface em inglês.

Criando uma DMZ forma conveniente simplifique seu trabalho programas necessários, no entanto, deve-se ter em mente que acesso livre a um PC aumenta o risco de ataques à rede e infecções por vírus.

Portanto, é necessário instalar um firewall e um programa antivírus no dispositivo utilizado como host DMZ.

DMZ no roteador - Esta é uma função que permite abrir todas as portas externas para um IP específico da rede local do roteador. Normalmente usado para implementar acesso remoto Para dispositivo específico localizado atrás do roteador. DMZ é especialmente usado para acesso de qualquer pontos Conexão com a Internet para câmeras IP ou DVRs, aqueles. para videovigilância.

Muitos roteadores Wi-Fi têm a função de fornecer acesso de uma rede externa a dispositivos em sua rede local (modo host DMZ, também conhecido como host exposto). Neste modo, o dispositivo (computador, DVR, câmera IP, etc.) tem todas as portas abertas na rede local. Isto não corresponde exatamente à definição canônica de DMZ, uma vez que um dispositivo com portas abertas não está separado da rede interna. Ou seja, o host DMZ pode conectar-se livremente aos recursos da rede interna, enquanto as conexões à rede interna do DMZ canônico são bloqueadas pelo firewall que os separa, ou seja, Do ponto de vista da segurança, a solução não é a melhor. Deve-se lembrar que esta é apenas uma forma de organizar o acesso a um dispositivo em outra rede local. O encaminhamento de porta simples também é popular. Também é compatível com quase todos os roteadores modernos e não tão modernos. Mas há uma diferença significativa. Qualquer aluno pode configurar uma DMZ, mas o encaminhamento de porta não é tão fácil para quem está fazendo isso pela primeira vez.

DMZ é uma solução completa e requer algumas etapas simples para usá-la. Ao implementar, por exemplo, o acesso da Internet a um DVR, é necessário o seguinte:

1. Insira o IP DVR nas configurações DMZ do roteador
2. O roteador deve receber um IP permanente do provedor ou deve usar DDNS

Por que o DMZ exige um endereço IP permanente e por que ele pode ser substituído pelo DDNS?

Tudo é simples aqui. Se o seu roteador receber endereços IP diferentes do seu provedor, você poderá descobrir qual IP o seu roteador possui atualmente usando o serviço DDNS. E você precisa saber esse mesmo endereço IP para se conectar remotamente ao seu dispositivo. DDNS - permite que os usuários obtenham um subdomínio que será vinculado ao dispositivo do usuário. Conhecendo este subdomínio, você não precisará se preocupar; você irá utilizá-lo em vez do IP. Porém, um IP permanente do provedor é mais simples e seguro, mas mais caro :)

Veja como é simples. Esta é a conveniência do DMZ. Outra vantagem é a capacidade de configurar um roteador sem saber qual porta será selecionada para, digamos, um DVR. E como consequência, mais uma mudança na porta de acesso, independente das configurações do roteador.

Encaminhando portas através de um roteador

Literalmente duas palavras sobre encaminhamento de porta em geral. O encaminhamento de porta poderia ser chamado de caso especial de DMZ se não fosse pelo fato de que DMZ, na forma em que é implementado em roteadores domésticos, não teria aparecido depois do termo encaminhamento de porta. Muitos usuários não entendem o significado da palavra porta. Você pode, se quiser, considerar a porta como uma marca digital (na forma de um número) nos pacotes, ajudando a classificar os pacotes de informações de acordo com seu destino. Uma espécie de ferramenta de roteamento adicional. Via de regra, as configurações do roteador possuem uma opção de encaminhamento de porta. Para fazer isso, você deve especificar o IP do dispositivo na rede do roteador, a porta (ou seja, a própria etiqueta) através da qual este dispositivo está acessível para gerenciamento, a porta externa é a porta que será vinculada à porta especificada e o IP do dispositivo.

Conclusão:
DMZ é essencialmente o encaminhamento de porta para um IP específico na rede local de um roteador de uma rede externa. A diferença do encaminhamento de porta é que no caso do DMZ, todas as portas possíveis são abertas simultaneamente para o IP especificado. Isso não é eficaz do ponto de vista da segurança, mas simplifica bastante a configuração do acesso remoto a qualquer dispositivo atrás do roteador. Normalmente, esse recurso é usado em vigilância por vídeo.

Na época computação em nuvem DMZ (Zona Desmilitarizada, zona desmilitarizada, DMZ - um segmento de rede físico ou lógico que contém e fornece serviços públicos a uma organização, e também os separa de outras seções da rede local, o que permite que o espaço interno de informações seja fornecido com proteção adicional de ataques externos) tornou-se muito mais importante - e ao mesmo tempo mais vulnerável do que os seus arquitectos originais alguma vez poderiam imaginar.

Há dez ou vinte anos, quando a maioria dos endpoints ainda estavam na rede interna de uma empresa, uma DMZ era apenas uma extensão da rede. Os utilizadores localizados fora da rede local muito raramente solicitavam acesso a serviços internos e, inversamente, a necessidade de os utilizadores locais acederem a serviços públicos também raramente surgia, pelo que, nessa altura, a DMZ fez pouco para fornecer segurança da informação. O que aconteceu com o papel dela agora?

Hoje você é uma empresa de software ou trabalha com um grande número de provedores de serviços SaaS (software como serviço, Programas como serviço). De uma forma ou de outra, você precisa constantemente fornecer acesso a usuários localizados fora da sua LAN ou solicitar acesso a serviços localizados na nuvem. Como resultado, sua DMZ fica lotada com diversas aplicações. E embora a DMZ tenha sido originalmente concebida para servir como uma espécie de ponto de controle para o seu perímetro, hoje em dia ela funciona cada vez mais como um sinal de publicidade externa para cibercriminosos.

Cada serviço que você executa na DMZ é outro mensagem informativa a possíveis hackers sobre quantos usuários você tem, onde armazena suas informações comerciais críticas e se esses dados contêm algo que um invasor possa querer roubar. Abaixo estão quatro práticas recomendadas que permitirão ativar e configurar o DMZ para acabar com essa bagunça.

1. Faça da DMZ um segmento de rede verdadeiramente separado

A ideia básica por trás de uma DMZ é que ela seja verdadeiramente separada do resto da LAN. Portanto, você precisa habilitar diferentes políticas de segurança e roteamento IP para a DMZ e o restante da sua rede interna. Isso tornará a vida muito mais difícil para os cibercriminosos que atacam você, porque mesmo que entendam sua DMZ, não serão capazes de usar esse conhecimento para atacar sua LAN.

2. Configure serviços dentro e fora da zona DMZ

Idealmente, todos os serviços que estão fora da sua DMZ devem estabelecer apenas uma conexão direta com a própria DMZ. Os serviços localizados dentro da DMZ devem se conectar a para o mundo exterior somente através de servidores proxy. Os serviços localizados dentro da DMZ são mais seguros do que aqueles localizados fora dela. Os serviços mais protegidos devem assumir o papel do cliente ao fazer solicitações de áreas menos seguras.

3. Use dois firewalls para acessar a DMZ

Embora seja possível ativar o DMZ usando apenas um firewall com três ou mais interfaces de rede, uma configuração que usa dois firewalls fornecerá um meio mais robusto de dissuadir os cibercriminosos. O primeiro firewall é utilizado no perímetro externo e serve apenas para direcionar o tráfego exclusivamente para a DMZ. O segundo, o firewall interno, trata do tráfego da DMZ para a rede interna. Essa abordagem é considerada mais segura porque cria dois obstáculos separados e independentes no caminho de um hacker que decide atacar sua rede.

4. Implementar tecnologia de acesso reverso

A tecnologia de acesso reverso do Safe-T tornará a DMZ ainda mais segura. Esta tecnologia de servidor duplo elimina a necessidade de abrir quaisquer portas no firewall, ao mesmo tempo que fornece acesso seguro a aplicações através de redes (através de um firewall). A solução inclui:

• Servidor externo - instalado no segmento de rede DMZ/externo/desprotegido.
• Servidor interno - instalado no segmento de rede interna/protegida.

A função do servidor front-end, localizado na DMZ da organização (on-premises ou na nuvem), é manter a interface de usuário do lado do cliente (front-end) para os diversos serviços e aplicações localizados em Rede mundial de computadores. Opera sem a necessidade de abrir nenhuma porta no firewall interno e garante que rede local Somente dados de sessão legítimos podem ser acessados. Um servidor externo executa o descarregamento de TCP, permitindo oferecer suporte a qualquer aplicativo baseado em TCP sem precisar descriptografar dados de tráfego de Secure Sockets Layer (SSL).

Papel servidor internoé enviar dados da sessão para a rede interna a partir de um nó SDA (acesso definido por software) externo e, se a sessão for legítima, executar a funcionalidade de proxy da camada 7 (descarregamento de SSL, reescrita de URL, DPI (Deep Packet Inspection, análise detalhada de pacotes) ), etc.) e passá-lo para o servidor de aplicativos endereçado.

A tecnologia Reverse Access permite autenticar a permissão de acesso dos usuários antes que eles possam acessar seus aplicativos de missão crítica. Um invasor que obtiver acesso aos seus aplicativos por meio de uma sessão não autorizada poderá sondar sua rede, tentar ataques de injeção de código ou até mesmo movimentar-se pela rede. Mas sem a capacidade de posicionar sua sessão como legítima, o invasor que ataca você perde a maior parte de suas ferramentas, tornando-se significativamente mais limitado em recursos.

Eterno paranóico, Anton Kochukov.