DMZ का उपयोग होम वायरलेस राउटर में किस लिए किया जाता है?


22

जहाँ तक मैं समझता हूँ, DMZ का उपयोग करके आप होस्ट कंप्यूटर के सभी पोर्ट को इंटरनेट पर दिखाते हैं। इसके लिए क्या अच्छा है?

जवाबों:


22

DMZ अच्छा है यदि आप एक होम सर्वर चलाना चाहते हैं जिसे आपके होम नेटवर्क (यानी वेब सर्वर, ssh, vnc या अन्य रिमोट एक्सेस प्रोटोकॉल) के बाहर से एक्सेस किया जा सकता है। आमतौर पर आप सर्वर मशीन पर एक फ़ायरवॉल चलाना चाहते हैं, केवल यह सुनिश्चित करने के लिए कि विशेष रूप से वांछित पोर्ट को सार्वजनिक कंप्यूटर से एक्सेस की अनुमति है।

DMZ का उपयोग करने का एक विकल्प पोर्ट अग्रेषण को सेटअप करना है। पोर्ट अग्रेषण के साथ आप अपने राउटर के माध्यम से केवल विशिष्ट पोर्ट की अनुमति दे सकते हैं और यदि आप अपने राउटर के पीछे कई सर्वर चल रहे हैं, तो आप विभिन्न मशीनों पर जाने के लिए कुछ पोर्ट निर्दिष्ट कर सकते हैं।


1
क्या राउटर को छोड़ना और सीधे कनेक्ट करना संभव है? क्या होगा यदि पोर्ट फोन केबल या समाक्षीय केबल की तरह है?
CMCDragonkai

18

कृपया सावधान रहें। डीएमजेड एक कॉर्पोरेट / पेशेवर वातावरण (उच्च अंत फ़ायरवॉल के साथ) एक घर वायरलेस राउटर (या घरेलू उपयोग के लिए अन्य NAT रूटर्स) के लिए समान नहीं है। अपेक्षित सुरक्षा प्राप्त करने के लिए आपको एक दूसरे NAT राउटर का उपयोग करना पड़ सकता है (नीचे लेख देखें)।

में कड़ी 3 की सुरक्षा अब पॉडकास्ट सिंह Laporte और सुरक्षा गुरु स्टीव गिब्सन द्वारा इस विषय के बारे में बात की गई थी। प्रतिलेख में देखें "वास्तव में दिलचस्प मुद्दा है क्योंकि यह तथाकथित" डीएमजेड, "डिमिलिटरीकृत ज़ोन है, क्योंकि इसे राउटर कहा जाता है।"

स्टीव गिब्सन से, http://www.grc.com/nat/nat.htm :

"जैसा कि आप कल्पना कर सकते हैं, एक राउटर की" डीएमजेड "मशीन, और यहां तक ​​कि" पोर्ट फॉरवर्ड "मशीन के लिए पर्याप्त सुरक्षा की आवश्यकता है या यह कुछ ही समय में इंटरनेट कवक के साथ क्रॉलिंग होगा। यह एक सुरक्षा दृष्टिकोण से एक बड़ी समस्या है। क्यों? .. एक NAT राउटर में एक मानक ईथरनेट स्विच होता है जो उसके सभी LAN- साइड पोर्ट्स को इंटरकनेक्ट करता है। विशेष "DMZ" मशीन को होस्ट करने वाले पोर्ट के बारे में "अलग" कुछ भी नहीं है। यह आंतरिक LAN पर है! इसका मतलब है कि ऐसा कुछ भी जो क्रॉल हो सकता है। एक अग्रेषित राउटर पोर्ट के माध्यम से, या इसके DMZ होस्ट होने के कारण, आंतरिक निजी LAN पर हर दूसरी मशीन तक पहुँच है (यह वास्तव में बुरा है।)

लेख में इस समस्या का समाधान भी है जिसमें एक दूसरे NAT राउटर का उपयोग करना शामिल है। समस्या और समाधान बताने के लिए कुछ बहुत अच्छे चित्र हैं।


3
+1। DMZ का बिंदु आंतरिक नेटवर्क के शेष भाग से एक संभावित समझौता मशीन को अलग करना है। यहां तक ​​कि DD-WRT यहां आपकी मदद नहीं कर सकता है, DMZ से उत्पन्न b / c हमले राउटर के नियम से नहीं गुजरते हैं, वे बस स्विच से टकराते हैं। DMZ एक भ्रम है जब तक कि यह एक अलग शारीरिक संबंध न हो।
Hyperslug

2
@ जिप्सलग: वास्तव में, डीडी-डब्ल्यूआरटी के साथ आप डीएमजेड को पूरी तरह से अलग सबनेट और वीएलएएन पर कॉन्फ़िगर कर सकते हैं। यह पूरी तरह से अलग नेटवर्क के बाकी है, या यह कॉन्फ़िगर से तो आंतरिक नेटवर्क के बाकी हिस्सों से DMZ VLAN के लिए उपयोग किया जाता है वान से यातायात की तरह firewalled / NAT'd। यह एक जटिल विन्यास में हो रहा है, लेकिन यह डीडी-WRT / OpenWRT के साथ संभव है।
क्विकोट

@quack, स्विच पोर्ट विशिष्ट नहीं है, यह एक नियमित स्विच है। तो मेरी समझौता मशीन राउटर नियम के माध्यम से फ़िल्टर किए जा रहे स्विच डब्ल्यू / आउट पर किसी भी अन्य मशीनों पर हमला कर सकती है। VLAN के बारे में, मेरा मानना ​​है कि मैं अपनी समझौता मशीन पर आंतरिक नेटवर्क पर कुछ करने के लिए आईपी (या मैक) को बदल सकता हूं और दूर कर सकता हूं। कुछ हाई-एंड राउटर की पीठ पर 4 पोर्ट 4 एनआईसी के 4-पोर्ट स्विच के रूप में व्यवहार करते हैं, इसलिए एक नियम स्थापित किया जा सकता है जैसे block all traffic from #4 to #1,#2,#3कि असंभव w / a L2 स्विच।
hyperslug

10

एक DMZ या "डी-मिलिटरीकृत ज़ोन" वह जगह है जहां आप सर्वर या अन्य डिवाइस सेट कर सकते हैं जिन्हें आपके नेटवर्क के बाहर से एक्सेस करने की आवश्यकता होती है।

वहां क्या है? वेब सर्वर, प्रॉक्सी सर्वर, मेल सर्वर आदि।

एक नेटवर्क में, सबसे अधिक हमला करने वाले मेजबान वे हैं जो लैन के बाहर के उपयोगकर्ताओं को सेवाएं प्रदान करते हैं, जैसे ई-मेल, वेब और डीएनएस सर्वर। यदि इन मेजबानों की बढ़ती क्षमता से समझौता किया जाता है, तो उन्हें अपने खुद के सबनेटवर्क में रखा जाता है ताकि बाकी नेटवर्क की रक्षा की जा सके अगर एक घुसपैठिया सफल होना था। डीएमजेड में मेजबान आंतरिक नेटवर्क में विशिष्ट होस्ट के लिए सीमित कनेक्टिविटी है, हालांकि डीएमजेड और बाहरी नेटवर्क में अन्य होस्ट के साथ संचार की अनुमति है। यह DMZ में मेजबानों को आंतरिक और बाहरी नेटवर्क दोनों को सेवाएं प्रदान करने की अनुमति देता है, जबकि एक हस्तक्षेप करने वाला फ़ायरवॉल DMZ सर्वर और आंतरिक नेटवर्क क्लाइंट के बीच यातायात को नियंत्रित करता है।


0

कंप्यूटर नेटवर्क में, एक DMZ (डिमिलिट्राइज़्ड ज़ोन), जिसे कभी-कभी परिधि नेटवर्क या एक स्क्रीन किए गए सबनेट नेटवर्क के रूप में भी जाना जाता है, एक भौतिक या तार्किक सबनेट है जो एक आंतरिक स्थानीय क्षेत्र नेटवर्क (LAN) को अन्य अविश्वसनीय नेटवर्क, आमतौर पर इंटरनेट से अलग करता है। बाहरी सामना करने वाले सर्वर, संसाधन और सेवाएं DMZ में स्थित हैं। इसलिए, वे इंटरनेट से सुलभ हैं, लेकिन शेष आंतरिक LAN अनुपलब्ध है। यह LAN को सुरक्षा की एक अतिरिक्त परत प्रदान करता है क्योंकि यह हैकर्स की क्षमता को इंटरनेट के माध्यम से सीधे आंतरिक सर्वर और डेटा तक पहुंचने के लिए प्रतिबंधित करता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.