ВсёПросто

Применение и настройка DMZ в роутере

Четыре лучших практики по настройке DMZ (демилитаризованная зона)

В эру облачных вычислений DMZ (Demilitarized Zone, демилитаризованная зона, ДМЗ — физический или логический сегмент сети, содержащий и предоставляющий организации общедоступные сервисы, а также отделяющий их от остальных участков локальной сети, что позволяет обеспечить внутреннему информационному пространству дополнительную защиту от внешних атак) стала намного более важной — и одновременно более уязвимой, — чем когда-либо могли себе это представить ее первоначальные архитекторы.

Десять или двадцать лет назад, когда большинство конечных точек все еще находились во внутренней сети компании, DMZ зона была всего лишь дополнительной пристройкой к сети.

Пользователи, находящиеся за пределами локальной вычислительной сети, очень редко запрашивали доступ к внутренним сервисам, и наоборот, необходимость в доступе локальных пользователей к общедоступным сервисам также возникала не часто, поэтому в то время DMZ мало что решала в деле обеспечения информационной безопасности. Что же стало с ее ролью сейчас?

Сегодня вы либо софтверная компания, либо вы работаете с огромным количеством поставщиков SaaS-сервисов (Software as а service, программное обеспечение как услуга).

Так или иначе, но вам постоянно приходится предоставлять доступ пользователям, находящимися за пределами вашей LAN, либо запрашивать доступ к сервисам, расположенным в облаке. В результате ваша DMZ «забита под завязку» различными приложениями.

И хотя DMZ, как изначально предполагалось, должна служить своеобразной контрольной точкой вашего периметра, в наши дни ее функция всё больше напоминает внешнюю рекламную вывеску для киберпреступников.

Каждый сервис, который вы запускаете в DMZ зоне, является еще одним информационным сообщением для потенциальных хакеров о том, сколько у вас пользователей, где вы храните свою критически важную деловую информацию, и содержат ли эти данные то, что злоумышленник может захотеть украсть. Ниже представлены четыре лучшие практики, которые позволят вам включить и настроить DMZ так, что пресечь весь этот бардак.

1. Сделайте DMZ действительно отдельным сегментом сети

Основная идея, лежащая в основе DMZ, состоит в том, что она должна быть действительно отделена от остальной LAN.

Поэтому вам необходимо включить отличающиеся между собой политики IP-маршрутизации и безопасности для DMZ и остальной части вашей внутренней сети.

Это на порядок усложнит жизнь нападающим на вас киберпреступникам, ведь даже если они разберутся с вашей DMZ, эти знания они не смогут использовать для атаки на вашу LAN.

2. Настройте сервисы внутри и вне DMZ зоны

В идеале все сервисы, которые находятся за пределами вашей DMZ, должны устанавливать прямое подключение только к самой DMZ зоне.

Сервисы, расположенные внутри DMZ, должны подключаться к внешнему миру только через прокси-серверы. Сервисы, находящиеся внутри DMZ, более безопасны, чем расположенные вне ее.

Сервисы, которые лучше защищены, должны взять на себя роль клиента при осуществлении запроса из менее защищенных областей.

3. Используйте два межсетевых экрана для доступа к DMZ

Хотя можно включить DMZ, используя только один файрвол с тремя или более сетевыми интерфейсами, настройка, использующая два межсетевых экрана предоставит вам более надежные средства сдерживания киберпреступников.

Первый брандмауэр используется на внешнем периметре и служит только для направления трафика исключительно на DMZ. Второй — внутренний межсетевой экран — обслуживает трафик из DMZ во внутреннюю сеть.

Такой подход считается более безопасным, так как он создает два отдельных независимых препятствия на пути хакера, решившего атаковать вашу сеть.

4. Внедрите технологию Reverse Access

Подход от компании Safe-T — технология Reverse Access — сделает DMZ еще более безопасной. Эта технология, основанная на использовании двух серверов, устраняет необходимость открытия любых портов в межсетевом экране, в то же самое время обеспечивая безопасный доступ к приложениям между сетями (через файрвол). Решение включает в себя:

Роль внешнего сервера, расположенного в DMZ организации (на месте или в облаке), заключается в поддержании клиентской стороны пользовательского интерфейса (фронтенда, front-end) к различным сервисам и приложениям, находящимися во Всемирной сети.

Он функционирует без необходимости открытия каких-либо портов во внутреннем брандмауэре и гарантирует, что во внутреннюю локальную сеть могут попасть только легитимные данные сеанса.

Внешний сервер выполняет разгрузку TCP, позволяя поддерживать работу с любым приложением на основе TCP без необходимости расшифровывать данные трафика криптографического протокола SSL (Secure Sockets Layer, уровень защищенных cокетов).

Роль внутреннего сервера заключается в том, чтобы провести данные сеанса во внутреннюю сеть с внешнего узла SDA (Software-Defined Access, программно-определяемый доступ), и, если только сеанс является легитимным, выполнить функциональность прокси-сервера уровня 7 (разгрузка SSL, переписывание URL-адресов, DPI (Deep Packet Inspection, подробный анализ пакетов) и т. д.) и пропустить его на адресованный сервер приложений.

Технология Reverse Access позволяет аутентифицировать разрешение на доступ пользователям еще до того, как они смогут получить доступ к вашим критически-важным приложениям.

Злоумышленник, получивший доступ к вашим приложениям через незаконный сеанс, может исследовать вашу сеть, пытаться проводить атаки инъекции кода или даже передвигаться по вашей сети.

Но лишенный возможности позиционировать свою сессию как легитимную, атакующий вас злоумышленник лишается большей части своего инструментария, становясь значительно более ограниченным в средствах.

DMZ — что это в роутере? DMZ и видеонаблюдение

DMZ в роутере — это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера.

Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером.

Особенно часто DMZ применяется для доступа из любой точкиинтернета к IP камерам или видеорегистратору, т.е. для видеонаблюдения. 

Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению  DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые. DMZ — это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:

  1. Ввести в настройках DMZ роутера IP видеорегистратора
  2. Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS

Тут всё просто. Если вашему роутеру будут присваиваться провайдером разные IP-адреса, то узнать какой IP сейчас у вашего роутера можно будет с помощью сервиса DDNS. А вам необходимо знать этот самый IP адрес, чтобы подсоединиться удалённо к вашему устройству. DDNS — позволяет пользователям получить субдомен, который будет привязан к пользовательскому устройству. Зная этот субдомен, вам будет не нужно беспокоиться, его вы и будете использовать вместо IP. Однако, постоянный IP от провайдера, и проще, и безопаснее, но дороже 🙂 Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.

Любители практики могут почитать Как открыт порты на реальном роутере TP-LINK с помощью DMZ.

Буквально два слова про проброс портов вцелом. Проброс портов можно было бы назвать частным случаем DMZ если бы не то, что DMZ в том виде, в котором он реализован на домашних роутерах не появился бы позже термина проброс порта. Многие пользователи не понимают смысла слова порт. Можно, если угодно расценивать порт, как цифровую метку (в виде цифры) на пакетах, помогающую сортировать информационные пакеты по назначению. Своего рода дополнительное средство маршрутизации. Как правило в настройках роутера присутствует пункт переадресация портов. Для этого следует указать IP устройства в сети роутера, порт(т.е. ту самую метку) по которому это устройство доступно по управлению,  внешний порт — это порт который будет привязан к указанным порту и IP устройства.


Вывод:

DMZ по сути является пробросом портов на конкретный IP в локальной сети маршрутизатора(роутера) из внешней сети. Отличие от проброса портов, в том, что в случае DMZ для указанного IP открываются все возможные порты одновременно. Это не эффективно с точки зрения безопасности, однако, значительно облегчает настройку удалённого доступа к какому-либо устройству за роутером. Обычно эта возможность применяется в видеонаблюдении.

DMZ – что это в роутере, настройка демилитаризованной зоны, как включить режим, сервер и хост, порты и зоны, ДМЗ в роутере TP-Link

DMZ – аббревиатура английского термина Demilitarized Zone (демилитаризованная зона), обозначающая сегмент защищённой сети, на который распространяются специальные настройки безопасности от внешних угроз. Цель создания выделенных условий для некоторых устройств – обеспечить бесперебойную работу установленных на них программ.

Подробнее о DMZ

DMZ состоит из одного или нескольких компьютеров либо сетевых устройств, без ограничений доступных из внутренней сети и из интернета. Потребность в таких настройках вызвана специфическими программами или службами, к которым необходим доступ внешним пользователям.

Например, в сети предприятия установлены серверы электронной почты, или обмена сообщениями. Вместо того чтобы настраивать цепочку правил доступа в сетевом экране, удалённым пользователям предоставляется доступ к серверу по специальному алгоритму. При этом связь с локальной сетью извне контролируется стандартной политикой безопасности.

Такая организация сети гарантирует функционирование специальных служб и сервисов при малой вероятности проникновения злоумышленников в компьютеры пользователей и хищения данных. Разумеется, на DMZ-хосте не размещают секретную информацию или соответствующим способом защищают от взлома.

При построении домашней сети потребность в организации демилитаризованной зоны возникает при настройке персональных игровых серверов, выделенных торрент-клиентов, прочих устройств.

Как функционирует

Схемы построения демилитаризованной зоны разнятся в зависимости от задач её создания. Сложные конструкции состоят из нескольких роутеров.

Доступ в демилитаризованную зону извне и со стороны локальных пользователей допустим без ограничений, а из DMZ в локальную сеть, как правило, запрещён.

В простых случаях DMZ состоит из единичного устройства – хоста, подключённого к единственному маршрутизатору, наряду с остальными компьютерами. Настройки доступа к выбранному устройству устанавливаются в меню роутера.

Принцип работы

Получив запрос на подключение к конкретной службе или программе, маршрутизатор переадресовывает пакет согласно настроенным правилам. При наличии специальных указаний пакет передаётся конкретному компьютеру, иначе такие запросы адресуются DMZ-хосту (host).

  Способы подключения телевизора к интернету через кабель или роутер

Ошибки при установке соединений исключает специальное указание, какой службе адресован пакет. Такие условия называют портом подключения.

Обнаружив попытку подключения к, например, игровому серверу на порт 22422, роутер проверяет таблицу переадресации портов.

Если нет специальной настройки указывающей на конкретный локальный адрес, запрос отправляется в DMZ и, при положительном ответе, устанавливается связь между игровым сервером и внешним компьютером.

Пользователи не видят, какое конкретное устройство ответило на запрос. Для программ ответ тоже выглядит, как отправленный маршрутизатором.

Примеры использования

Рассмотрим пример использования персонального FTP сервера для доступа к домашней коллекции файлов. Получив из интернета запрос на подключение по протоколу FTP, роутер перенаправляет его сетевому хранилищу, подключённому в демилитаризованную зону.

Поскольку других записей в таблице переназначения портов роутера нет, запросы во внутреннюю сеть не поступают.

Вместо сетевого хранилища допустимо подключить игровой сервер, устройство с запущенным торрент-клиентом, IP-камеру или сервер видеонаблюдения.

Включаем и настраиваем DMZ в роутере

Процедура настройки ДМЗ в роутерах домашнего класса проста и не требует специальной квалификации. Рассмотрим процесс включения режима ДМЗ на примере распространённой модели компании TP-LINK, для других прошивок и аппаратов прочих производителей последовательность действий схожа, но процесс незначительно отличается. Итак, приступим:

  1. Войдите при помощи браузера в меню управления сетевыми настройками устройства, которое будет назначено DMZ-хостом.
  2. Отключите получение IP-адреса по протоколу DHCP и введите адрес вручную из диапазона локальной сети. В примере использован адрес 192.168.1.55.
  3. Войдите в настройки роутера. Выберите в левом столбике вкладку «Переадресация» и затем подменю DMZ.
  4. Следующим шагом включаем поддержку демилитаризованной зоны, соответствующим переключением кнопок на странице управления. Вводим IP-адрес хоста и нажимаем кнопку сохранения изменений.

  Как обжать кабель (витую пару) для сети и интернета

Рассмотренный пример выбран исходя из простоты.

Отсутствие сложных правил фильтрации и переадресации входящих соединений снижает нагрузку на маршрутизатор и предоставляет приемлемую скорость обмена информацией с устройствами в демилитаризованной зоне. Нет необходимости в высокопроизводительном оборудовании, что сокращает расходы и гарантирует повышенную стабильность при эксплуатации.

Информационные технологии

TP-Link TL-WR941ND — это дешевый WiFi-роутер с хороший производительностью. Аппаратных ревизий роутера на текущий момент выпущено аж 6 штук. Cердце маршрутизатора всех версиях — микропроцессор Atheros AR9132-BC1E 400 МГц. Кстати, вточности такой же устанавливается на гигабитного старшего брата — TP-Link TL-WR1043ND.

Объем оперативки RAM 32MB, Flash-памяти — 4MB (на первой версии было 8MB). Для дешево маршрутизатора в ценовом спектре до 2000 рублей это отлично. В плане беспроводной сети тоже все смотрится очень убедительно — 3 антенны WiFi в режиме MIMO по 5 dBi. Проще говоря, заморочек с беспроводной сетью в стандартных критериях не должно быть в принципе.

Но без ложки дегтя не обошлось — все попортила программная внутренность роутера. Юзеры нередко сетуют на повторяющиеся зависания роутера, а так же на трудности с IPTV. Обновление прошивки заморочек не решает. Так же часты жалобы на блок питания. Хотя он у TL-WR941ND импульсный, но некие юзеры сетуют на то, что при скачках напряжения роутер может скинуть опции.

Разглядим подробнее процесс опции роутера TP-Link TL-WR941ND под главных русских провайдеров.

Базисная настройка TL-WR941ND

Айпишник роутера в локальной сети стандартный для TP-Link — 192.168.1.1, адресок веб-интерфейса: http://192.168.1.1, логин admin и пароль по дефлоту — admin. Веб-интерфейс обыденный для TP-Link:

Настройку роутера TP-Link через Quick Setup я уже описывал тут — ссылка.  В этой статье я рассмотрю чуток более продвинутый вариант опции, хотя ничего сложного в нем нет полностью. Открываем раздел Network -> WAN. В руссифицированом интерфейсе это будет раздел Сеть -> WAN.

Настройка TP-Link TL-WR941ND для Ростелеком, ТТК и Дом.ру

При  настройке TL-WR941ND для большинства филиалов Ростелеком и ТТК, а так же для Дом.ру параметру WAN Connection Type избираем значение PPPoE/Russian PPPoE.  Ниже прописываем логин и пароль, выданные при подключении.  Второе соединение — Secondary Connection  в случае PPPoE обычно не употребляется — ставим Disabled.Wan Connection Mode выставляем Connect automatically.

Жмем Save.

Настройка TP-Link TL-WR941ND для Билайн

Для подключения к Билайн тип WAN подключения — WAN Connection Type — необходимо избрать L2TP/Russian L2TP.  В поля User Name и Password прописываем номер лицевого счета и пароль, выданный при подключении.

 Ниже ставим галочку Dynamic IP (Динамический IP).
В поле Server IP Address Name прописываем адресок vpn-сервера Билайн — tp.internet.beeline.ru.WAN Connection Mode выставляем в значение Connect Automatically.

Жмем кнопку Save.

Настройка WiFi на TP-Link TL-WR941ND

Для опции беспроводной сети на TL-WR941ND нужно зайти в раздел Wireless (Беспроводная сеть) -> Wireless Settings (Опции беспроводной сети):

В поле Wireles Network Name прописываем идентификатор создаваемой беспроводной сети, т.н. SSID — хоть какое слово на британском либо транслите.  Region — Russia, режим работы WiFi-модуля — Mode — 11 bgn mixed. Нажимаем кнопку Save.

Перебегаем в раздел Wireless security (Безопасность беспроводной сети):

Тип спецификации избираем WPA/WPA2-Personal. В перечне Version лучше избрать WPA2-PSK. Если у Вас в сети употребляются разные мобильные устройства с WiFi, тогда ничего не меняем и оставляем Automatic. В поле PSK Password прописываем ключ безопасности создаваемой беспроводной сети. Им может быть неважно какая буквенная либо цифирная последовательность не короче 8 знаков. Жмем кнопку Save.

Проброс порта на TP-Link TL-WR941ND

Для того, чтоб пробросить порт на роутере TP-Link TL-WR941ND, Вам нужно зайти в раздел Forwarding (Переадресация) -> Virtual Servers (Виртуальные сервера):

Жмем кнопку Add New (Добавить Новейшую). Раскроется вот такая вкладка:

Заполняем поля последующим образом: Service Port (Порт сервиса) — вводим порт либо спектр портов, которые нужно открыть.  В поле IP Address вводим Айпишник компьютера в локальной сети, для которого прокидываем порт. В выпадающем перечне Protocol нужно избрать применяемый протокол — TCP, UDP либо хоть какой тип — ALL. Status должен быть Enabled. Жмем кнопку Save.

Настройка DMZ на TP-Link TL-WR941ND

Для опции Демилитаризованной Зоны DMZ на роутере TP-Link TL-WR941ND, Вам нужно зайти в раздел Forwarding (Переадресация) -> DMZ:

Состояние текущей Демилитаризованной Зоны ставим Enable, а в поле DMZ Host IP Address вводим адресок компьютера, который желаем вывести в Демилитаризованную Зону DMZ. Жмем кнопку Save.