web-dev-qa-db-fra.com

À quoi sert DMZ dans un routeur domestique sans fil?

Autant que je sache, en utilisant DMZ, vous exposez tous les ports de l'ordinateur hôte à Internet. Qu'est-ce que c'est bon?

22
guillermooo

La DMZ est utile si vous souhaitez exécuter un serveur domestique auquel vous pouvez accéder en dehors de votre réseau domestique (serveur Web, ssh, vnc ou autre protocole d'accès à distance). En règle générale, vous souhaitez exécuter un pare-feu sur le serveur pour vous assurer que seuls les ports spécifiquement recherchés sont autorisés à accéder aux ordinateurs publics.

Une alternative à l'utilisation de DMZ consiste à configurer la redirection de port. Avec la redirection de port, vous ne pouvez autoriser que des ports spécifiques via votre routeur. Vous pouvez également spécifier que certains ports doivent être redirigés vers des machines différentes si plusieurs serveurs sont installés derrière votre routeur.

22
heavyd

S'il te plait fais attention. DMZ dans un environnement d'entreprise/professionnel (avec pare-feu haut de gamme) n'est pas la même chose qu'un routeur sans fil domestique (ou d'autres routeurs NAT à usage domestique). Vous devrez peut-être utiliser un second routeur NAT pour obtenir la sécurité attendue (voir l'article ci-dessous).

Dans épisode 3 du podcast de Security Now de Leo Laporte et gourou de la sécurité Steve Gibson a parlé de ce sujet. Dans la transcription, voir "question vraiment intéressante parce que c'est la soi-disant" DMZ ", la zone démilitarisée, comme elle est appelée sur les routeurs.".

De Steve Gibson, http://www.grc.com/nat/nat.htm :

"Comme vous pouvez l'imaginer, une machine" DMZ "de routeur, et même une machine" de transfert de port ", doit bénéficier d'une sécurité importante, sinon elle explorera rapidement le champignon Internet. C'est un gros problème du point de vue de la sécurité. Pourquoi?. .. un routeur NAT dispose d'un commutateur Ethernet standard interconnectant TOUS ses ports côté LAN. Il n'y a rien de "séparé" sur le port hébergeant la machine spéciale "DMZ". Il se trouve sur le réseau local interne! tout ce qui pourrait s'y glisser via un port de routeur transféré ou, étant donné que c'est l'hôte DMZ, a accès à toutes les autres machines du réseau local privé interne. (C'est vraiment mauvais.) "

Dans l'article, il existe également une solution à ce problème qui implique l'utilisation d'un deuxième routeur NAT. Il existe de très bons diagrammes pour illustrer le problème et la solution.

17
Peter Mortensen

A DMZ ou "zone démilitarisée" vous permet de configurer des serveurs ou d’autres périphériques devant être accessibles de l’extérieur de votre réseau.

Qu'est-ce qui appartient là? Serveurs Web, serveurs proxy, serveurs de messagerie, etc.

Dans un réseau, les hôtes les plus vulnérables aux attaques sont ceux qui fournissent des services aux utilisateurs extérieurs au réseau local, tels que les serveurs de messagerie électronique, Web et DNS. En raison du potentiel accru de compromission de ces hôtes, ils sont placés dans leur propre sous-réseau afin de protéger le reste du réseau si l'intrus réussissait. Les hôtes de la DMZ ont une connectivité limitée à des hôtes spécifiques du réseau interne, bien que la communication avec d'autres hôtes de la DMZ et au réseau externe soit autorisée. Cela permet aux hôtes du DMZ de fournir des services au réseau interne et au réseau externe, tandis qu'un pare-feu intermédiaire contrôle le trafic entre les serveurs DMZ et les clients du réseau interne.

10
Bruce McLeod

Dans les réseaux informatiques, une DMZ (zone démilitarisée), également appelée réseau de périmètre ou sous-réseau filtré, est un sous-réseau physique ou logique qui sépare un réseau local interne d'autres réseaux non approuvés. généralement l'internet. Les serveurs, ressources et services externes sont situés dans la zone démilitarisée. Ils sont donc accessibles depuis Internet, mais le reste du réseau local interne reste inaccessible. Cela fournit une couche de sécurité supplémentaire au réseau local, car il limite la capacité des pirates informatiques à accéder directement aux serveurs internes et aux données via Internet.

0
user927671