מהו DMZ וכיצד אתה מגדיר אחד ברשת שלך?

בשביל מה מייצג "DMZ"? DMZ פירושו אזור מפורז, אבל זה בעצם אומר דברים שונים בתחומים שונים.

בעולם האמיתי, DMZ הוא רצועת אדמה המשמשת נקודת תיחום בין צפון ודרום קוריאה. אך בכל הקשור לטכנולוגיה, DMZ היא רשת משנה מופרדת מבחינה לוגית המכילה בדרך כלל שירותי רשת המתארחים חיצונית, הפונים לאינטרנט. אז מה בעצם מטרתו של DMZ? איך זה מגן עליך? ואתה יכול להגדיר אחד כזה בנתב שלך?

מה המטרה של DMZ?

DMZ משמש כמגן בין האינטרנט הלא אמין לרשת הפנימית שלך.

על ידי בידוד השירותים הפגיעים ביותר הפונים למשתמש, כגון שרתי דואר אלקטרוני, אינטרנט ו DNS ניתן להגן על רשת משנה לוגית, על שאר הרשת הפנימית או הרשת המקומית (LAN) במקרה של פְּשָׁרָה.

למארחים בתוך DMZ יש קישוריות מוגבלת לרשת הפנימית הראשית שכן הם ממוקמים מאחורי חומת אש מתערבת השולטת בזרימת התנועה בין שתי נקודות הרשת. עם זאת, תקשורת מסוימת מותרת כך שמארחי DMZ יכולים להציע שירותים הן לרשת הפנימית והן לחוץ.

קָשׁוּר: מה ההבדל בין LAN ל- WAN?

הנחת היסוד העיקרית מאחורי DMZ היא לשמור עליו נגיש מהאינטרנט תוך השארת שאר ה- LAN הפנימי שלם ונגיש לעולם החיצון. שכבת אבטחה נוספת זו מונעת מגורמי איום לחדור ישירות לרשת שלך.

אילו שירותים מתווספים בתוך DMZ?

הדרך הקלה ביותר להבין תצורת DMZ היא לחשוב על נתב. לרובטים יש בדרך כלל שני ממשקים:

1. ממשק פנימי: זהו הממשק שלך שאינו פונה לאינטרנט ובו המארחים הפרטיים שלך.
2. ממשק חיצוני: זהו הממשק הפונה לאינטרנט שיש בו את העלייה והאינטראקציה שלך עם העולם החיצון.

כדי להטמיע רשת DMZ, אתה פשוט מוסיף ממשק שלישי המכונה DMZ. כל מארח שנגיש ישירות מהאינטרנט או דורש תקשורת קבועה לעולם החיצון מחובר לאחר מכן דרך ממשק DMZ.

השירותים הסטנדרטיים שניתן למקם בתוך DMZ כוללים שרתי דואר אלקטרוני, שרתי FTP, שרתי אינטרנט ושרתי VOIP וכו '.

יש לבחון היטב את מדיניות אבטחת המחשבים הכללית של הארגון שלך ולבצע ניתוח משאבים לפני העברת שירותים ל- DMZ.

האם ניתן ליישם DMZ ברשת ביתית או אלחוטית?

אולי שמתם לב שרוב הנתבים הביתיים מזכירים את מארח DMZ. במובן האמיתי של המילה, זה לא DMZ אמיתי. הסיבה לכך ש- DMZ ברשת ביתית הוא פשוט מארח ברשת הפנימית שכל היציאות נחשפות לצד אלה שאינן מועברות.

רוב מומחי הרשת מזהירים מפני הגדרת מארח DMZ לרשת ביתית. הסיבה לכך היא שמארח ה- DMZ הוא הנקודה שבין הרשתות הפנימיות והחיצוניות שאינה ניתנת לאותן הרשאות חומת האש ממנה נהנים מכשירים אחרים ברשת הפנימית.

כמו כן, מארח DMZ ביתי עדיין שומר על היכולת להתחבר לכל המארחים ברשת הפנימית אשר אינו המקרה של תצורות DMZ מסחריות בהן חיבורים אלה נעשים באמצעות הפרדה חומות אש.

מארח DMZ ברשת פנימית יכול לספק תחושת אבטחה כוזבת כאשר במציאות הוא משמש רק כשיטה להעברת יציאות לחומת אש אחרת או התקן NAT.

קביעת תצורה של DMZ לרשת ביתית נחוצה רק אם יישומים מסוימים דורשים גישה מתמשכת לאינטרנט. למרות שניתן להשיג זאת באמצעות העברת יציאות או יצירת שרתים וירטואליים, לפעמים התמודדות עם כמות המספרים הגבוהה של הנמלים הופכת את זה לבלתי מעשי. במקרים כאלה, הקמת מארח DMZ היא פיתרון הגיוני.

דגם חומת האש היחידה והכפולה של DMZ

ניתן לבצע הגדרות DMZ בדרכים שונות. שתי השיטות הנפוצות ביותר ידועות בשם רשת שלוש רגליים (חומת אש אחת), ורשת עם חומות אש כפולות.

בהתאם לדרישות שלך, אתה יכול לבחור באחת מהארכיטקטורות הללו.

שיטת חומת אש עם שלוש רגליים או יחיד

דגם זה נושא שלושה ממשקים. הממשק הראשון הוא הרשת החיצונית מהספקית לחומת האש, השנייה היא הרשת הפנימית שלך, ולבסוף, הממשק השלישי הוא רשת ה- DMZ המכילה שרתים שונים.

החיסרון בהתקנה זו הוא ששימוש בחומת אש אחת ויחידה היא נקודת הכישלון היחידה עבור כל הרשת. אם חומת האש תיפגע, כל ה- DMZ יירד גם כן. כמו כן, חומת האש אמורה להיות מסוגלת להתמודד עם כל התעבורה הנכנסת והיוצאת הן עבור ה- DMZ והן עבור הרשת הפנימית.

שיטת חומת האש הכפולה

כפי שהשם מרמז, שני חומות אש משמשות לאדריכל התקנה זו, מה שהופך אותה לבטוחה יותר משתי השיטות. מוגדרת חומת אש חזיתית המאפשרת מעבר לתעבורה מ- DMZ בלבד. חומת האש השנייה או האחורית מוגדרת להעביר תעבורה מ- DMZ לרשת הפנימית.

חומת אש נוספת מקטינה את הסיכויים שהרשת כולה תושפע במקרה של פשרה.

מטבע הדברים זה כולל תג מחיר גבוה יותר אך מספק יתירות במקרה שחומת האש הפעילה נכשלת. ארגונים מסוימים גם מבטיחים ששני חומות האש מיוצרים על ידי ספקים שונים כדי ליצור מכשולים נוספים עבור תוקפים המעוניינים לפרוץ רשת.

כיצד להגדיר DMZ על הנתב הביתי שלך

הדרך הקלה והמהירה ביותר להקמת רשת DMZ ביתית היא באמצעות המודל בעל שלוש הרגליים. כל ממשק יוקצה כרשת פנימית, רשת DMZ ורשת חיצונית. לבסוף, כרטיס אתרנט בעל ארבע יציאות בחומת האש ישלים את ההתקנה הזו.

השלבים הבאים יתארו כיצד להגדיר DMZ בנתב ביתי. שים לב ששלבים אלה יהיו דומים עבור רוב הנתבים הגדולים כמו Linksys, Netgear, Belkin ו- D-Link:

1. חבר את המחשב לנתב באמצעות כבל ה- Ethernet.
2. עבור לדפדפן האינטרנט של המחשב והקלד את כתובת ה- IP של הנתב בסרגל הכלים של הכתובת. בדרך כלל, כתובת הנתב היא 192.168.1.1. לחץ על מקש "Enter" או החזר.
3. תראה בקשה להזנת סיסמת מנהל המערכת. הזן את הסיסמה שלך שיצרת בעת הגדרת הנתב. סיסמת ברירת המחדל בנתבים רבים היא "admin".
4. בחר בכרטיסייה "אבטחה" הממוקמת בפינה העליונה העליונה של ממשק האינטרנט של הנתב שלך.
5. גלול לתחתית ובחר בתיבה הנפתחת שכותרתה "DMZ". עכשיו בחר את לְאַפשֵׁר אפשרות תפריט.
6. הזן את כתובת ה- IP עבור מארח מחשב היעד. זה יכול להיות כל דבר כמו מחשב שולחני מרוחק, שרת אינטרנט או כל מכשיר שצריך לגשת לאינטרנט. הערה: כתובת ה- IP שאליה אתה מעביר את תעבורת הרשת צריכה להיות סטטית שכן כתובת IP שהוקצתה באופן דינמי תשתנה בכל פעם שהמחשב יופעל מחדש.
7. בחר שמור הגדרות וסגור את קונסולת הנתב.

קָשׁוּר: כיצד למצוא את כתובת ה- IP של הנתב שלך

שמור על הנתונים שלך והגדר DMZ

צרכנים חכמים תמיד מאבטחים את הנתבים והרשתות שלהם מפני פולשים לפני שהם ניגשים לרשתות חיצוניות. DMZ יכול להביא שכבת אבטחה נוספת בין הנתונים היקרים שלך להאקרים פוטנציאליים.

לכל הפחות, שימוש ב- DMZ ושימוש בטיפים פשוטים לאבטחת הנתבים שלך יכולים להקשות מאוד על שחקני האיומים לחדור לרשת שלך. וככל שקשה יותר לתוקפים להגיע לנתונים שלך, כך טוב לך יותר!

7 טיפים פשוטים לאבטחת הנתב ורשת ה- Wi-Fi שלך בדקות

פעל לפי הטיפים הבאים כדי לאבטח את הנתב הביתי שלך ולמנוע מאנשים לחדור לרשת שלך.

על הסופר