Para que é utilizada a DMZ num router sem fios doméstico?
Tanto quanto sei, ao utilizar a DMZ expõe todos os portos do computador anfitrião à Internet. Para que é que isso serve?
Tanto quanto sei, ao utilizar a DMZ expõe todos os portos do computador anfitrião à Internet. Para que é que isso serve?
A DMZ é boa se quiser executar um servidor doméstico que possa ser acedido de fora da sua rede doméstica (ou seja, servidor web, ssh, vnc ou outro protocolo de acesso remoto). Tipicamente, quereria executar uma firewall na máquina do servidor para se certificar de que apenas as portas que são especificamente desejadas têm acesso a partir de computadores públicos.
Uma alternativa à utilização da DMZ é configurar o reencaminhamento de portas. Com o reencaminhamento de portas pode permitir apenas portas específicas através do seu router e pode também especificar algumas portas para ir para máquinas diferentes se tiver vários servidores a correr atrás do seu router.
Por favor, tenha cuidado. A DMZ num ambiente empresarial/profissional (com firewalls topo de gama) não é o mesmo que para um router sem fios doméstico (ou outros routers NAT para uso doméstico). Poderá ter de utilizar um segundo router NAT para obter a segurança esperada (ver o artigo abaixo).
Em episódio 3 do podcast Security Now por Leo Laporte e guru da segurança Steve Gibson este assunto foi abordado. Na transcrição ver perto de “questão realmente interessante porque é a chamada "DMZ”, a Zona Desmilitarizada, como é chamada nos routers".
De Steve Gibson, http://www.grc.com/nat/nat.htm :
“Como pode imaginar, a máquina "DMZ” de um router, e mesmo uma máquina “porta reencaminhada” precisa de ter uma segurança substancial ou estará cheia de fungos da Internet em pouco tempo. Isso é um GRANDE problema do ponto de vista da segurança. Porquê? … um router NAT tem um switch Ethernet padrão que interliga TODAS as suas portas LAN-side. Não há nada “separado” na porta que aloja a máquina especial “DMZ”. Está na LAN interna! Isto significa que qualquer coisa que possa rastejar para dentro dela através de uma porta de router encaminhada, ou devido ao facto de ser o anfitrião DMZ, tem acesso a todas as outras máquinas na LAN privada interna. (Isso é muito mau.)“
No artigo há também uma solução para este problema que envolve a utilização de um segundo router NAT. Há alguns diagramas realmente bons para ilustrar o problema e a solução.
Uma DMZ ou “zona desmilitarizada” é onde se pode configurar servidores ou outros dispositivos que precisam de ser acedidos de fora da sua rede.
O que pertence lá? Servidores Web, servidores proxy, servidores de correio electrónico, etc.
Numa rede, os hosts mais vulneráveis a ataques são aqueles que fornecem serviços a utilizadores fora da LAN, tais como servidores de correio electrónico, web e DNS. Devido ao aumento do potencial destes servidores estarem comprometidos, são colocados na sua própria sub-rede a fim de proteger o resto da rede se um intruso for bem sucedido. Os anfitriões na DMZ têm conectividade limitada a anfitriões específicos na rede interna, embora seja permitida a comunicação com outros anfitriões na DMZ e com a rede externa. Isto permite aos anfitriões na DMZ fornecer serviços tanto à rede interna como externa, enquanto uma firewall interveniente controla o tráfego entre os servidores da DMZ e os clientes da rede interna.
Em redes informáticas, uma DMZ (zona desmilitarizada), também conhecida por vezes como rede perimetral ou subrede rastreada, é uma subrede física ou lógica que separa uma rede local interna (LAN) de outras redes não confiáveis, geralmente a Internet. Os servidores, recursos e serviços voltados para o exterior estão localizados na zona DMZ. Portanto, são acessíveis a partir da Internet, mas o resto da LAN interna permanece inalcançável. Isto proporciona uma camada adicional de segurança à LAN, uma vez que restringe a capacidade dos hackers de aceder directamente aos servidores e dados internos através da Internet.