DMZ – что это в роутере, как настроить и включить демилитаризованную зону?

NFS

Настройка

Прежде чем мы начнем настраивать DMZ, я расскажу вам несколько моментов. В домашних роутерах нет полноценной возможности создать демилитаризованную зону, так как эти устройства для этого не предназначены. Да, такая настройка есть, но она позволяет полностью открывать порты только для одного сегмента сети. Но чаще всего этого достаточно. Например, если вам нужен доступ к нескольким камерам, лучше всего подключить их к видеорегистратору, к которому можно получить доступ.

Все настройки выполняются в веб-интерфейсе, доступ к которому можно получить, введя интернет-центр Keenetic или DNS-адрес в адресной строке любого браузера. Чаще всего используются адреса 192.168.1.1 или 192.168.0.1. Также этот адрес можно найти на этикетке под корпусом самого устройства.

Настройте сервисы внутри и вне DMZ зоны

В идеале все службы за пределами вашей DMZ должны устанавливать прямое соединение только с самой DMZ. Службы, расположенные в DMZ, должны подключаться к внешнему миру только через прокси-серверы. Службы, расположенные в демилитаризованной зоне, более безопасны, чем службы, расположенные за пределами демилитаризованной зоны. Более безопасные службы должны взять на себя роль клиента при выполнении запроса из менее безопасных областей.

Проектирование и архитектура DMZ

DMZ — это «открытая сеть», но есть несколько подходов к проектированию и архитектуре, которые защищают ее. Демилитаризованная зона может быть спроектирована разными способами, от единого межсетевого экрана до двух или более межсетевых экранов. В большинстве современных архитектур DMZ используются двойные брандмауэры, которые можно расширить для разработки более сложных систем.

  1. Единый брандмауэр: для одного брандмауэра DMZ требуется три или более сетевых интерфейса. Первая — это внешняя сеть, которая соединяет общедоступное интернет-соединение с брандмауэром. Второй формирует внутреннюю сеть, а третий подключается к DMZ. Различные правила контролируют и регулируют трафик, которому разрешен доступ к DMZ, и ограничивают подключения к внутренней сети.
  2. Двойной брандмауэр: как правило, более безопасным вариантом является реализация двух брандмауэров с DMZ между ними. Первый брандмауэр разрешает трафик только за пределами DMZ, а второй разрешает трафик только из DMZ во внутреннюю сеть. Злоумышленнику придется взломать оба брандмауэра, чтобы получить доступ к локальной сети организации.

Организации также могут точно настроить меры безопасности для различных сегментов сети. Это означает, что систему обнаружения вторжений (IDS) или систему предотвращения вторжений (IPS) в DMZ можно настроить для блокировки любого трафика, кроме запросов протокола передачи гипертекста (HTTPS) на TCP-порту 443).

Демилитаризованная зона DMZ: архитектура и осуществление

Из толкования исходного термина нам становится ясно, что DMZ — это особая область, в которой запрещена любая вредоносная деятельность. И это очень хорошо характеризует всю суть этого, так сказать, макияжа.

Мы должны понимать саму концепцию DMZ, что это предельно простое решение, представляющее собой создание отдельного сегмента компьютерной сети, изолированного от всего внешнего интернет-хостинга и внутренней сети компании. Это также ограничение контроля или полный запрет доступа как в Интернет, так и во внутреннюю сеть.

настройка dmz

Создать отдельный сегмент сети довольно просто. Для этого используются межсетевые экраны или межсетевые экраны. Само слово «брандмауэр» может быть знакомо обычному пользователю из фильмов об известных хакерах, но мало кто знает, что это такое.

Межсетевой экран — это программно-аппаратный блок компьютерной сети, который делит ее на секторы и позволяет фильтровать входящий сетевой трафик по правилам, установленным оператором (администратором). Кроме того, в случае несанкционированного доступа злоумышленник получает доступ только к тем файлам, которые находятся в отдельном секторе, без ущерба для остальных.

демилитаризованная зона ДМЗ

Существует как минимум два типа конфигураций DMZ: с одним межсетевым экраном или с несколькими. В первой конфигурации межсетевой экран делит сеть на три сектора:

  • внутренняя сеть;
  • ZDM;
  • интернет-канал.

Однако этот метод обеспечивает недостаточный уровень безопасности. Большинство крупных компаний по-прежнему используют второй метод с большим количеством межсетевых экранов. В этом случае злоумышленнику придется обойти как минимум один дополнительный периметр системы с помощью собственного фильтра трафика, что значительно повысит безопасность.

Преимущества использования DMZ

Основное преимущество DMZ — обеспечение дополнительного уровня безопасности внутренней сети за счет ограничения доступа к конфиденциальным данным и серверам. DMZ позволяет посетителям сайта получать определенные услуги, обеспечивая буфер между ними и частной сетью организации. Следовательно, DMZ также предлагает дополнительные преимущества безопасности, такие как:

  1. Обеспечение контроля доступа: предприятия могут предоставлять пользователям доступ к службам за пределами периметра своей сети через общедоступный Интернет. DMZ обеспечивает доступ к этим службам при реализации сегментации сети, что затрудняет доступ неавторизованного пользователя к частной сети. DMZ может также включать прокси-сервер, который централизует внутренний трафик и упрощает его отслеживание и регистрацию.
  2. Предотвращение работы сетевой разведки. Обеспечивая буфер между Интернетом и частной сетью, DMZ не позволяет злоумышленникам выполнять аналитическую работу, которую они выполняют, чтобы найти потенциальных поставщиков. Серверы DMZ открыты для общественности, но предлагают еще один уровень безопасности брандмауэра, который не позволяет злоумышленнику просматривать информацию в сети. Даже если система DMZ скомпрометирована, внутренний брандмауэр отделяет частную сеть от DMZ, чтобы обеспечить ее безопасность и усложнить внешний интеллект.
  3. Блокировка IP Spoof: злоумышленники могут попытаться получить доступ к системам, подделав IP-адрес и действуя как утвержденное устройство, подключенное к сети. DMZ может обнаруживать и приостанавливать такие попытки спуфинга, пока другая служба проверяет легитимность IP-адреса. DMZ также обеспечивает сегментацию сети для создания пространства для организованного трафика и общедоступных сервисов, к которым можно получить доступ за пределами внутренней частной сети.

Услуги DMZ включают:

  1. DNS сервер
  2. FTP сервер
  3. Почтовый сервер
  4. Прокси сервер
  5. Веб сервер

Важность сетей DMZ: как они используются?

Сети DMZ были центральным компонентом безопасности корпоративных сетей с момента появления брандмауэров. Они защищают конфиденциальные данные, системы и ресурсы организации, отделяя внутренние сети от систем, которые могут быть взломаны злоумышленниками. DMZ также позволяют организациям контролировать и снижать уровни доступа к чувствительным системам.

Компании все чаще используют контейнеры и виртуальные машины (ВМ) для изоляции своих конкретных сетей или приложений от остальных своих систем. Развитие облачных вычислений означает, что многим компаниям больше не нужны внутренние серверы. Они также перенесли большую часть своей офшорной инфраструктуры в облако с помощью приложений «Программное обеспечение как услуга» (SaaS).

Например, облачная служба, такая как Microsoft Azure, позволяет организации, использующей приложения на стороне потребителя и виртуальные частные сети (VPN), применять гибридный подход с промежуточной демилитаризованной зоной. Этот метод также можно использовать, когда исходящий трафик требует контроля или управления между локальным центром обработки данных и VLAN.

Кроме того, демилитаризованные зоны доказали свою эффективность в устранении рисков безопасности, связанных с устройствами Интернета вещей (IoT) и операционными технологиями (OT), которые делают производство более разумным, но создают обширную поверхность угроз. Это связано с тем, что оборудование OT не было разработано для борьбы с кибератаками или восстановления после них, как в случае с устройствами IoT, которые создают значительный риск для критически важных данных и ресурсов организаций. DMZ обеспечивает сегментацию сети для снижения риска атаки, которая может нанести ущерб промышленной инфраструктуре.

Zyxel Keenetic

Новая прошивка

Перед добавлением подключенного устройства его необходимо зарегистрировать. Перейдите в раздел «Список устройств», там вы увидите два списка: «Незарегистрированные» и «Зарегистрированные» устройства. Чтобы зарегистрировать устройство, щелкните нужное устройство.

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Введите свое имя и нажмите кнопку регистрации.

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

После этого данное устройство появится в списке «Регистрация» — найдите его там и снова зайдите в настройки. Необходимо отметить поле «Постоянный IP-адрес».

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Переходим в «Переадресацию звонков» и создаем правило:

  • Ставим галочку «Включить правило».
  • Описание — Для удобства назовите ее «DMZ».
  • Логин: Здесь нужно указать соединение, через которое у вас есть интернет.
  • Выход: здесь указываем имя устройства, которое вы добавляете в DMZ.
  • Протокол: установите параметр «TCP / UDP (все порты и ICMP)».
  • Часы работы: Здесь вы можете установить режим работы, но очень часто сервер находится в состоянии «Всегда работает».

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Старая прошивка

В разделе «Домашняя сеть» (у него есть значок с двумя мониторами) перейдите на вкладку «Устройства» и выберите из списка устройство, которое будет хостом DMZ. Если устройство не подключено, вы можете добавить его, однако вам необходимо точно знать его MAC-адрес.

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Введите описание и обязательно установите флажок «Постоянный IP-адрес». Также в строке «Доступ в Интернет» должно быть «Разрешено». Нажмите «Зарегистрироваться».

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Теперь перейдите в раздел «Безопасность» и на вкладке «Трансляция сетевых адресов (NAT)» нажмите кнопку «Добавить правило».

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Теперь вам необходимо ввести следующие данные:

  • Описание: Назовите его «DMZ», чтобы избежать путаницы, но имя может быть любым.
  • Интерфейс — здесь нужно выбрать именно то соединение, через которое у вас есть Интернет. Эти данные можно посмотреть в разделе «Интернет».
  • Протокол: здесь мы указываем только одно значение: TCP / UDP (все порты и ICMP).
  • Перенаправить на адрес: здесь мы выбираем наш сервер.

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Нажмите кнопку «Сохранить».

ASUS

Находим слева раздел «Интернет», потом переходим на соответствующую вкладку. Активируйте функцию и введите адрес хоста. Не забудьте в конце нажать «Применить».

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Делаем статический IP

Здесь мы не будем говорить о «белом» адресе провайдера. Его установка никак не зависит от ваших навыков, это может предоставить только провайдер. Если у вас есть личный кабинет, попробуйте подключить там услугу. Если нет, сходите в офис и узнайте о возможности задать адрес.

Настройка демилитаризованной зоны начинается с установки адреса устройства, которое будет в нее включено. Способ зависит от конкретной версии операционной системы, но общая схема действий не сильно отличается. Перейдите в настройки сети, перейдите к параметрам адаптера, щелкните правой кнопкой мыши сетевое подключение и выберите Свойства. Здесь вы ищите IP-адрес, нажимаете на него и вводите числа.

Адрес устройства должен быть частью пула адресов маршрутизатора. Все зависит от IP роутера, если он 192.168.0.1, то укажите 192.168.0.10 для компьютера. Или как-то иначе, меняется только последнее число. Оставьте маску подсети, предложенную устройством. В поле «Шлюз» нужно указать адрес роутера.

Если роутер также работает как DHCP-сервер, то есть автоматически выдает адреса всем подключенным устройствам, после чего меняет настройки. Статический адрес компьютера, который будет находиться в демилитаризованной зоне, нельзя случайно присвоить какому-либо другому устройству. В противном случае включите любое из устройств прямо в сети. О том, как изменить настройки, смотрите в инструкции для вашей модели роутера. Этот адрес вводится во время конфигурации в поле хоста или «видимый адрес станции».

Читайте также: Диспетчеры задач для Андроид

Преимущества и недостатки

У DMZ есть свои плюсы и минусы. Давайте сначала посмотрим на плюсы:

  • Повышение безопасности внутренней сети и отдельных сервисов. Даже если устройство, расположенное в DMZ, будет взломано, внутренняя сеть и другие узлы DMZ останутся в безопасности.
  • Простая начальная настройка.
  • Доступно на большинстве маршрутизаторов, даже если они предназначены только для домашнего использования.

Минусы тоже есть, а в некоторых случаях сводят на нет все достоинства:

  • у вас должен быть статический IP-адрес, предоставляемый только вашим интернет-провайдером.
  • Само по себе создание DMZ никоим образом не увеличивает защиту устройств, перемещенных в этот сегмент. То есть сервер находится в dmz, что камеру придется отдельно защищать. Установите ограничения доступа, пароли или создайте какую-то отдельную защиту.

Самый существенный недостаток — необходимость постоянного внешнего адреса. Это дополнительная услуга от провайдера, и не все готовы ее предоставить.

Само собой разумеется, что защита устройств, которые будут открыты для доступа в Интернет, если вы не создадите общедоступный файловый сервер, на котором все будут делать то, что хотят. Также двери в ДМЗ открыты, поэтому пользоваться ими можно спокойно. Если вы подключаетесь к глобальной сети с использованием метода переадресации портов, некоторые из них будут заняты и их нельзя будет использовать.

Настройка DMZ на роутере

Маршрутизаторы позволяют добавлять в DMZ только одно устройство. Маршрутизатор должен получить «белый» IP-адрес. Только в этом случае можно будет получить к нему доступ из глобальной сети. За информацией по этому поводу обращайтесь к своему интернет-провайдеру. Некоторые интернет-провайдеры предоставляют внешний IP-адрес бесплатно, но за эту услугу часто требуется дополнительная плата.

Установка статического IP-адреса

В DMZ можно добавить только один компьютер со статическим IP-адресом. Поэтому первое, что мы делаем, это меняем. Для этого откройте свойства сетевого подключения и в настройках TCP / IP пропишите статический IP-адрес в диапазоне адресов вашей сети. Например, если IP-адрес вашего маршрутизатора 192.168.0.1, вы можете указать 192.168.0.10 для компьютера. Маска подсети по умолчанию — 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.

Обратите внимание, что IP-адрес, назначенный компьютеру, должен находиться за пределами диапазона адресов, распределяемых DHCP-сервером.

На этом настройка компьютера завершена, и вы можете переходить к настройке маршрутизатора.

Netis

Нужная нам функция находится в разделе «Пересылка», поэтому включаем хост, вводим IP и «Сохранить».

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Как работает сеть DMZ?

Компании, у которых есть общедоступный веб-сайт, используемый клиентами, должны сделать свой веб-сервер доступным в Интернете. Это означает, что вся их внутренняя сеть находится под угрозой. Чтобы избежать этого, организация может заплатить хостинговой компании за размещение сайта или его общедоступных серверов на брандмауэре, но это повлияет на производительность. Таким образом, общедоступные серверы размещаются в отдельной изолированной сети.

Сеть DMZ обеспечивает буфер между Интернетом и частной сетью организации. DMZ изолирована шлюзом безопасности, например межсетевым экраном, который фильтрует трафик между DMZ и LAN. DMZ защищена другим шлюзом безопасности, который фильтрует трафик из внешних сетей.

Он идеально расположен между двумя межсетевыми экранами, а конфигурация межсетевого экрана DMZ гарантирует, что входящие сетевые пакеты контролируются межсетевым экраном или другими мерами безопасности, прежде чем они будут отправлены на серверы, размещенные в DMZ. Это означает, что даже если злоумышленнику удастся обойти первый брандмауэр, он также должен получить доступ к защищенным службам в демилитаризованной зоне, прежде чем нанести ущерб бизнесу.

Если злоумышленник может взломать внешний брандмауэр и скомпрометировать систему в демилитаризованной зоне, он также должен пройти через внутренний брандмауэр, прежде чем получить доступ к конфиденциальным корпоративным данным. Опытный злоумышленник может поставить под угрозу безопасность демилитаризованной зоны, но ресурсы в ней вызовут сигнал тревоги, чтобы предупредить вас о том, что происходит нарушение.

Организации, которые должны соблюдать правила, такие как Закон об унификации медицинского страхования и бухгалтерском учете (HIPAA), иногда устанавливают прокси-сервер в демилитаризованной зоне. Это позволяет им упростить мониторинг и регистрацию активности пользователей, централизовать фильтрацию веб-контента и гарантировать, что сотрудники используют систему для доступа в Интернет.

Используйте два межсетевых экрана для доступа к DMZ

Хотя можно включить DMZ с помощью одного брандмауэра с тремя или более сетевыми интерфейсами, настройка с использованием двух брандмауэров предоставит вам более надежные средства сдерживания киберпреступников. Первый брандмауэр используется на внешнем периметре и служит только для направления трафика исключительно в DMZ. Второй, внутренний брандмауэр, обслуживает трафик из DMZ во внутреннюю сеть. Этот подход считается более безопасным, поскольку он создает два отдельных независимых препятствия на пути решения хакера атаковать вашу сеть.

Tenda

  1. Перейдите в «Дополнительные настройки» и найдите конфигурацию хоста.Что такое DMZ в роутере, для чего он нужен, как правильно его настроить
  2. Переводим ползунок во включенное состояние и вставляем последнюю цифру локальной машины, для которой будут открыты все двери.Что такое DMZ в роутере, для чего он нужен, как правильно его настроить
  3. Найдите вкладку «Дополнительно».Что такое DMZ в роутере, для чего он нужен, как правильно его настроить
  4. Прокрутите вниз до раздела «DMZ-host», активируйте (Включено) и введите адрес.

Что такое DMZ в роутере, для чего он нужен, как правильно его настроить

Как настроить функцию

Настройка «демилитаризованной зоны» вашей сети — очень простая задача. Суть инструкции — найти DMZ в роутере. Все остальное делается в несколько кликов.

  • Зайдите в веб-панель роутера. Для этого введите 192.168.1.1 или 192.168.0.1 в адресной строке браузера.
  • Введите логин и пароль. Обычно это «трудно запоминающаяся» комбинация «admin» и «admin», которую я бы рекомендовал изменить. Возможны и другие варианты — проверьте наклейку внизу роутера. Может быть другой логин и пароль.

  • Теперь найдите пункт «DMZ». Например, для устройств Asus зайдите в «Интернет» и затем выберите нужный пункт. В маршрутизаторах TP-Link: запись «Перенаправление» и вложенная запись «DMZ». На устройствах D-Link: «Дополнительно» или «Межсетевой экран».

  • Разрешите использование DMZ, выбрав «Enabled» или «Enable».
  • Введите IP-адрес устройства.
  • Сохраните изменения и перезапустите роутер.
Оцените статью
Блог про беспроводные технологии