Okuyucuların Seçimi
Popüler Makaleler
DMZ veya Askerden Arındırılmış Bölge (DMZ) Harici bir ağdan gelen isteklere yanıt veren sunucuların özel bir ağ segmentinde yer aldığı ve ana ağ segmentlerine erişimin kısıtlandığı bir ağ güvenlik teknolojisidir. güvenlik duvarı (güvenlik duvarı), bölgede bulunan hizmetlerden birinin hacklenmesi sırasında hasarı en aza indirmek için.
Bu şemada DMZ dahili ağ ve harici ağ, ağlar arasındaki bağlantıları kontrol eden yönlendiricinin (güvenlik duvarı görevi gören) farklı bağlantı noktalarına bağlanır. Böyle bir planın uygulanması kolaydır, yalnızca bir ek bağlantı noktası gerektirir. Ancak yönlendiricinin güvenliği ihlal edilirse (veya yanlış yapılandırılırsa), ağ doğrudan harici ağdan etkilenir.
İle yapılandırılmış 2 DMZ güvenlik duvarı biri harici ağdan gelen bağlantıları kısıtlayan iki yönlendiriciye bağlanır. DMZ ve ikincisi bağlantıları izler DMZ içinde Dahili ağ... Böyle bir şema, herhangi bir güvenlik duvarının veya harici ağ ile etkileşime giren sunucuların hacklenmesinin sonuçlarını en aza indirir - dahili güvenlik duvarı saldırıya uğrayana kadar, saldırganın dahili ağa rastgele erişimi olmayacaktır.
nadir var 3 güvenlik duvarı ile yapılandırma... Bu konfigürasyonda, ilki harici ağdan gelen istekleri kabul eder, ikincisi DMZ'nin ağ bağlantılarını kontrol eder ve üçüncüsü dahili ağın bağlantılarını kontrol eder. Bu yapılandırmada genellikle DMZ ve iç ağ arkasında gizlidir NAT (Ağ Adresi Çevirisi).
Biri ana Özellikler DMZ sadece dahili güvenlik duvarındaki trafik filtrelemesi değil, aynı zamanda dahili ağdaki aktif ekipman ile etkileşimde bulunurken güçlü kriptografinin zorunlu olması ve DMZ... Özellikle, sunucudan gelen bir isteğin şu anda işlenmesinin mümkün olduğu durumlar olmamalıdır. DMZ yetkilendirme olmadan. DMZ, çevre içindeki bilgilerin içeriden sızıntıya karşı korunmasını sağlamak için kullanılıyorsa, dahili ağdan gelen kullanıcı isteklerini işlemek için benzer gereksinimler uygulanır.
Bu yazıda size ne olduğunu anlatacağım DMZ ana bilgisayarı veya yönlendiricideki bir sunucu. Ayrıca DMZ işlevini kullanarak bağlantı noktalarının nasıl açılacağı. Bu makaleyi zaten okuduğunuza göre, muhtemelen sanal sunucunun ne olduğunu ve neden yapmanız gerektiğini zaten biliyorsunuzdur. O zaman değilse . Kısacası, bilgisayarınızdan diğer İnternet kullanıcılarıyla dosya alışverişi yaparken yönlendirici üzerinde bir bağlantı noktası açmanız gerekir. Örneğin, bir ev bilgisayarında çalışan bir FTP sunucusunun veya bir torrent istemcisinin veya bir ağ oyununun çalışması için. Bu yazıda, TP-Link, Asus, Zyxel Keenetic ve Tenda yönlendiricileri örneğini kullanarak sözde DMZ ana bilgisayarı kullanarak tüm bağlantı noktalarını bir kerede nasıl açacağımızı öğreneceğiz.
DMZ("Demilitarized zone"), belirli bir cihazdaki tüm bağlantı noktalarını kesinlikle açabileceğiniz bir teknolojidir.
Yukarıda açıklanan yöntemleri kullanarak, ağdaki bir cihaz için yalnızca bir bağlantı noktası açmak için bir yönlendirici kullanıyoruz. Bir DMZ ana bilgisayarı aracılığıyla birden çok bağlantı noktası açılabilir. Ancak, bu yalnızca aşırı durumlarda yapılmalıdır, çünkü bu durumda cihaz İnternet'ten erişime tamamen açıktır. Ancak, bazen, örneğin bir kayıt şirketi aracılığıyla bağlanan CCTV kameralarının görüntülenmesini yapılandırmak veya bir oyun sunucusunu düzenlemek için bunu yapmak gerekir.
Bir örnek vereceğim - genellikle bir video gözetim kaydediciyi bağlarken, varsayılan olarak 80 numaralı bağlantı noktası kullanılır ve ayarlarda bunu değiştirmek imkansızdır. Aynı zamanda yönlendirici üzerinde bu bağlantı noktası da meşgul ve iletmek mümkün olmayacak. Bu durumda, yönlendiricideki DMZ ana bilgisayarı kurtarmaya gelir.
Tenda wifi yönlendiricilerde port açma fonksiyonuna " Sanal sunucu ". Yönetici panelinde "Ek ayarlar - Sanal sunucu" bölümünde bulabilirsiniz.
Ancak öncelikle port yönlendirme yapmak istediğiniz bilgisayara statik bir IP adresi atamanız gerekir, aksi takdirde DHCP üzerinden bir sonraki açışınızda yönlendirici ona farklı bir adres atayabilir ve tüm ayarlarımız kaybolacaktır. Bunu nasıl yapacağınızı okuyun.
Bilgisayar için belirli bir adres ayrıldığında, "Dahili IP adresi" hücresindeki "Sanal sunucu" bölümüne girin.
Ve "Ekle" düğmesini tıklayın
Ayarları kaydettikten sonra Tenda router üzerinden port açılacak ve bilgisayardaki belirli kaynaklara internetten kolaylıkla erişim sağlayabileceğiz.
Tenda wifi yönlendiricideki DMZ ana bilgisayarının etkinleştirilmesi “ Ek ayarlar". Burada her şey basit - geçiş anahtarını açık konuma getiriyoruz ve tüm bağlantı noktalarını açmak istediğimiz bilgisayarın veya diğer aygıtın IP adresini giriyoruz
TP-Link yönlendiricide DMZ işlevi Yeni sürüm web arayüzü, " bölümündeki "Gelişmiş ayarlar" bölümünde bulunur. NAT yönlendirme - DMZ". Burada her şey basit - bir onay işaretiyle açın ve tüm bağlantı noktalarının açılacağı bilgisayarın IP adresini belirtin.
yönlendiricide Asus özelleştirmesi Ana bilgisayar DMZ aynıdır, ancak menünün ana bölümünde bulunur " internet»
Zyxel Keenetic yönlendirici de benzer bir işleve sahiptir, ancak buna DMZ adı verilmez, ancak "bölümünde gizlidir" Güvenlik - Güvenlik Duvarı«.
İlk olarak, burada erişime izin vermek istediğimiz ağ türünü seçiyoruz - bu Ev Ağı ( ev ağı)
Ve sonra "Kural Ekle" düğmesine tıklayın
Ardından, bir öğe - "hedef IP adresi" dışında her şeyi varsayılan olarak bırakırız. Burada "Bir" seçeneğini seçmeniz ve metin alanına tüm bağlantı noktalarını açmak istediğiniz bilgisayarın IP adresini yazmanız gerekir. Lütfen "Protokol" sütununda artık TCP'yi seçtiğimizi unutmayın.
Her şeyi aşağıdaki resimdeki gibi yapıyoruz:
Güncellenen Keenetic hattında DMZ ayrıca “ güvenlik duvarı". Buraya tıklayın "Kural Ekle"
Bir kene ile açın ve her şeyi olduğu gibi yazın eski versiyon Zyxel
Ufkunuzu genişletmek için Seixel firmasının talimatlarını da okumanızı tavsiye ederim.
DMZ kısaltması, Askerden Arındırılmış Bölge, yani "Demilitarized Zone" anlamına gelir. Aniden ve bunun yönlendirici ile ne ilgisi olduğu net değil. Ancak, aslında, bu bazı durumlarda çok yararlı bir şeydir. Bu makalede tartışılacak olan budur.
DMZ, İnternet'e doğrudan erişim gerektiren hizmetler ve programlar için oluşturulmuş bir ağ kesimidir. Torrentler, anlık mesajlaşma programları, çevrimiçi oyunlar ve diğer bazı programlar için doğrudan erişim gereklidir. Ayrıca, bir video gözetim kamerası kurmak ve buna İnternet üzerinden erişmek istiyorsanız, onsuz yapamazsınız.
Programı çalıştıran bilgisayar yönlendiriciyi atlayarak doğrudan İnternet'e bağlanırsa, DMZ'yi kullanmaya gerek yoktur. Ancak bağlantı bir yönlendirici aracılığıyla yapılırsa, programa İnternet'ten "ulaşmak" mümkün olmayacaktır, çünkü tüm istekler yönlendirici tarafından alınacak ve yerel ağ içinde iletilmeyecektir.
Bu sorunu çözmek için genellikle yönlendiricideki bağlantı noktası iletme kullanılır. Bu web sitemizde. Ancak, bu her zaman uygun değildir ve bazı insanlar DMZ'yi yapılandırmayı tercih eder. Yönlendiricinizde DMZ'yi yapılandırırsanız ve örneğin bir oyun sunucusu çalıştıran bir PC veya bir IP kameranın bağlı olduğu bir video kaydedici gibi istediğiniz ağ düğümünü eklerseniz, bu düğüm harici ağdan sanki bir doğrudan internete bağlı... Ağınızdaki diğer cihazlar için hiçbir şey değişmeyecek - eskisi gibi çalışacaklar..
Tüm bu ayarlara dikkat etmelisiniz. Hem port yönlendirme hem de DMZ potansiyel bir güvenlik açığı olduğundan. Güvenliği artırmak için, büyük şirketler genellikle DMZ için ayrı bir ağ oluşturur. DMZ ağından diğer bilgisayarlara erişimi engellemek için ek bir yönlendirici kullanılır.
Yönlendiriciler, DMZ'ye yalnızca bir cihazın eklenmesine izin verir. Yönlendirici "beyaz" bir IP adresi almalıdır. Sadece bu durumda, ona erişmek mümkün olacaktır. küresel ağ ... Bununla ilgili bilgi için internet servis sağlayıcınıza başvurun. Bazı sağlayıcılar ücretsiz olarak harici bir IP adresi sağlar, ancak çoğu zaman bu hizmet için ek bir ücret alınır.
DMZ'ye yalnızca statik IP adresine sahip bir bilgisayar eklenebilir. Bu nedenle, yaptığımız ilk şey onu değiştirmek. Bunu yapmak için özellikleri açın ağ bağlantısı ve TCP / IP ayarlarında, ağınızın adres aralığında statik bir IP adresi yazıyoruz. Örneğin, yönlendiricinizin IP'si 192.168.0.1 ise, bilgisayar için 192.168.0.10 belirtebilirsiniz. Varsayılan alt ağ maskesi 255.255.255.0'dır. Ve "Gateway" alanında yönlendiricinizin adresini belirtmeniz gerekir.
Lütfen bilgisayara verilen IP adresinin dağıtılan adres aralığında olmaması gerektiğini unutmayınız.
Bu, bilgisayar kurulumunu tamamlar ve yönlendirici ayarlarına geçebilirsiniz.
İlk adım, varsayılan olarak her zaman devre dışı bırakıldığından, yönlendiricide DMZ'yi etkinleştirmektir.
Cihaz web arayüzünde ilgili menü öğesini buluyoruz:
Her durumda, ayarlar sekmesinde "Etkinleştir" kutusunu işaretlemeniz gerekir. Ve yanında "DMZ Host Adresi" veya "Görünür İstasyon Adresi" adlı bir alan bulun (yönlendirici modeline bağlı olarak başka seçenekler olabilir). Bu alana, DMZ'ye eklenmesi gereken bilgisayarın veya diğer cihazın statik adresini girin. Bizim durumumuzda, bu 192.168.0.10'dir.
Ayarları kaydedin ve yönlendiriciyi yeniden başlatın. Hepsi bu kadar: seçilen bilgisayardaki tüm bağlantı noktaları açık. Gelen bağlantıları kullanan herhangi bir program, doğrudan ağa gittiğini düşünecektir. Diğer tüm programlar normal şekilde çalışacaktır.
Aşağıda, İngilizce arayüzlü bir yönlendirici yapılandırma örneği verilmiştir.
DMZ oluşturma uygun yol işi basitleştirmek gerekli programlar ancak unutulmamalıdır ki, açık Erişim bilgisayara ağ saldırıları ve virüs bulaşması riskini artırır.
Bu nedenle, DMZ ana bilgisayarı olarak kullanılan cihaza bir güvenlik duvarı ve virüsten koruma yazılımı yüklediğinizden emin olun.
Yönlendiricideki DMZ - Bu, yönlendiricinin yerel ağından belirli bir IP için tüm harici bağlantı noktalarını açmanıza izin veren bir işlevdir. Genellikle uygulamak için kullanılır uzaktan erişim yönlendiricinin arkasında bulunan belirli bir cihaza. Özellikle sıklıkla, DMZ herhangi bir yerden erişim için kullanılır. puan İnternet'ten IP kameralara veya DVR'ye, onlar. video gözetimi için.
Birçok Wi_Fi yönlendirici, harici bir ağdan yerel ağlarındaki cihazlara erişim sağlama işlevine sahiptir (DMZ ana bilgisayar modu, ayrıca açık ana bilgisayardır). Bu modda, yerel ağdaki bir cihazın (bilgisayar, video kaydedici, IP kamera vb.) tüm portları açıktır. Bu, DMZ'nin kanonik tanımıyla pek uyuşmuyor, çünkü açık portlar dahili ağdan ayrılmaz. Yani, DMZ ana bilgisayarı dahili ağdaki kaynaklara serbestçe bağlanabilirken, kurallı DMZ'den dahili ağa bağlantılar, onları ayıran güvenlik duvarı tarafından engellenir, yani. güvenlik açısından, çözüm en iyisi değil. Bunun, başka bir yerel ağdaki cihaza erişimi düzenlemenin yollarından sadece biri olduğu unutulmamalıdır. Basit bağlantı noktası yönlendirme de popülerdir. Ayrıca hemen hemen tüm modern ve çok fazla olmayan yönlendirici tarafından da desteklenir. Ama önemli bir fark var. Herhangi bir okul çocuğu DMZ'yi kurmakla başa çıkabilir, ancak bunu ilk kez yapan bir kişi için bağlantı noktası yönlendirme o kadar kolay değildir.
DMZ hepsi bir arada bir çözümdür ve kullanımı birkaç kolay adım gerektirir. Örneğin, İnternet'ten DVR'ye erişimi uygularken şunlara ihtiyacınız vardır:
Ne kadar basit olduğunu görüyorsun. Bu, DMZ'nin rahatlığıdır. Başka bir artı, geçerli bir DVR için hangi bağlantı noktasının seçileceğini bilmeden bir yönlendirici (yönlendirici) yapılandırabilme yeteneğidir. Ve sonuç olarak, yönlendirici ayarlarından bağımsız olarak erişim bağlantı noktasının daha fazla değiştirilmesi.
çağda Bulut bilişim DMZ (Demilitarized Zone, askerden arındırılmış bölge, DMZ - kuruluşlara kamu hizmetlerini içeren ve sağlayan ve ayrıca bunları yerel ağın geri kalanından ayıran, dahili bilgi alanını harici kaynaklardan ek koruma sağlamaya izin veren fiziksel veya mantıksal bir ağ segmenti saldırılar) çok daha önemli hale geldi - ve aynı zamanda orijinal mimarlarının hayal ettiğinden çok daha savunmasız.
On ya da yirmi yıl önce, uç noktaların çoğu hala şirketin dahili ağındayken, DMZ ağa yalnızca bir eklentiydi. Yerel alan ağı dışındaki kullanıcılar çok nadiren dahili hizmetlere erişim istediler ve bunun tersi, yerel kullanıcıların kamu hizmetlerine erişme ihtiyacı da sık sık ortaya çıkmadı, bu nedenle o zaman DMZ çözmek için çok az şey yaptı. bilgi Güvenliği... Şimdi rolüne ne oldu?
Bugün ya bir yazılım şirketisiniz ya da çok sayıda SaaS hizmet sağlayıcısıyla çalışıyorsunuz (Hizmet olarak yazılım, yazılım hizmet olarak). Öyle ya da böyle, ancak sürekli olarak LAN'ınızın dışındaki kullanıcılara erişim sağlamanız veya bulutta bulunan hizmetlere erişim talep etmeniz gerekir. Sonuç olarak, DMZ'niz çeşitli uygulamalarla dolu kapasiteye sahiptir. Ve DMZ başlangıçta çevreniz için bir kontrol noktası olarak hizmet etmek için tasarlanmış olsa da, bu günlerde işlevi giderek daha fazla siber suçlular için harici bir reklam tabelası gibi.
DMZ'de çalıştırdığınız her hizmet, potansiyel bilgisayar korsanlarına kaç kullanıcınız olduğu, kritik iş bilgilerinizi nerede sakladığınız ve bu verilerin bir saldırganın çalmak isteyebileceği bir şey içerip içermediği hakkında başka bir bilgi mesajıdır. Aşağıda, DMZ'yi tüm bu karmaşayı ortadan kaldıracak şekilde etkinleştirmek ve yapılandırmak için en iyi dört uygulama bulunmaktadır.
DMZ'nin arkasındaki temel fikir, gerçekten LAN'ın geri kalanından ayrı olması gerektiğidir. Bu nedenle, DMZ ve dahili ağınızın geri kalanı için farklı IP yönlendirme ve güvenlik ilkelerini etkinleştirmeniz gerekir. Bu, size saldıran siber suçlular için hayatı daha da zorlaştıracaktır, çünkü DMZ'nizle ilgilenseler bile bu bilgiyi LAN'ınıza saldırmak için kullanamayacaklardır.
İdeal olarak, DMZ'nizin dışındaki tüm hizmetler yalnızca DMZ'nin kendisiyle doğrudan bağlantı kurmalıdır. DMZ'nin içinde yer alan hizmetler aşağıdakilere bağlanmalıdır: dış dünya yalnızca proxy sunucuları aracılığıyla. DMZ içindeki hizmetler, DMZ dışındakilere göre daha güvenlidir. Daha iyi korunan hizmetler, daha az güvenli alanlardan istekte bulunurken istemci rolünü üstlenmelidir.
Üç veya daha fazla ağ arabirimine sahip tek bir güvenlik duvarı kullanarak DMZ'yi etkinleştirmek mümkün olsa da, iki güvenlik duvarı kullanarak yapılandırmak, siber suçluları caydırmak için size daha güvenilir bir yol sağlayacaktır. İlk güvenlik duvarı dış çevrede kullanılır ve yalnızca trafiği yalnızca DMZ'ye yönlendirmeye hizmet eder. İkincisi, dahili güvenlik duvarı, DMZ'den dahili ağa trafik sağlar. Bu yaklaşım, ağınıza saldırmaya karar veren bir bilgisayar korsanının önünde iki ayrı bağımsız engel oluşturduğu için daha güvenli olarak kabul edilir.
Safe-T'nin yaklaşımı - Ters Erişim teknolojisi - DMZ'yi daha da güvenli hale getirecek. Bu ikili sunucu teknolojisi, güvenlik duvarında herhangi bir bağlantı noktası açma ihtiyacını ortadan kaldırırken aynı zamanda ağlar arasındaki uygulamalara (güvenlik duvarı aracılığıyla) güvenli erişim sağlar. Çözüm şunları içerir:
Kuruluşun DMZ'sinde (yerinde veya bulutta) bulunan harici bir sunucunun rolü, kullanıcı arabiriminin (ön uç, ön uç) istemci tarafını, içinde bulunan çeşitli hizmetlere ve uygulamalara sürdürmektir. Dünya çapında Ağ... Dahili güvenlik duvarında herhangi bir bağlantı noktası açmaya gerek kalmadan çalışır ve dahili güvenlik duvarının açılmasını sağlar. yerel alan ağı yalnızca meşru oturum verileri girebilir. Ön uç sunucu, TCP boşaltma işlemini gerçekleştirerek, SSL (Güvenli Yuva Katmanı) trafik verilerinin şifresini çözmek zorunda kalmadan herhangi bir TCP tabanlı uygulamayı desteklemenize olanak tanır.
Dahili sunucunun rolü, oturum verilerini harici bir SDA (Yazılım Tanımlı Erişim) düğümünden dahili ağa barındırmak ve yalnızca oturum meşru ise, Katman 7 proxy işlevselliğini (SSL boşaltma, URL'leri yeniden yazma, DPI) yürütmektir. (Derin Paket Denetimi, Ayrıntılı Paket Denetimi) vb.) ve adreslenen uygulama sunucusuna iletin.
Ters Erişim teknolojisi, kullanıcıların kritik görev uygulamalarınıza erişmeden önce erişim izninin kimliğini doğrulamasını sağlar. Yasadışı bir oturum yoluyla uygulamalarınıza erişim sağlayan bir saldırgan ağınızı araştırabilir, kod yerleştirme saldırılarına girişebilir ve hatta ağınızda dolaşabilir. Ancak oturumlarını meşru olarak konumlandırma fırsatından mahrum kalan size saldıran saldırgan, araç setinin çoğunu kaybeder ve fonları çok daha sınırlı hale gelir.
Ebedi paranoyak Anton Kochukov.
İlgili Makaleler: | |
Chipsetler Grafik çekirdeği GMA3100
Intel'in nakliye bütçesine başlama planları... Uzaktan Kontrol Yazılım Kılavuzu
Elbette her PC kullanıcısı (özellikle yeni başlayanlar) bunu bilmiyor ... Sabit sürücü ne yapacağını vızıldıyor
Son zamanlarda, size yapabileceğiniz yolları zaten anlattım. ... |