Voor zover ik begrijp, stel je door DMZ te gebruiken alle poorten van de hostcomputer bloot aan het Internet. Waar is dat goed voor?
De DMZ is goed als je een thuisserver wil draaien die toegankelijk is van buiten je thuisnetwerk (bv. webserver, ssh, vnc of een ander protocol voor toegang op afstand). Typisch zou je een firewall willen draaien op de server machine om er zeker van te zijn dat alleen de poorten die specifiek gewenst zijn, toegang krijgen van publieke computers.
Een alternatief voor het gebruik van de DMZ is om port forwarding in te stellen. Met port forwarding kun je alleen specifieke poorten door je router laten lopen en je kunt ook aangeven dat sommige poorten naar verschillende machines gaan als je meerdere servers achter je router hebt draaien.
Wees voorzichtig. DMZ in een bedrijfs-/professionele omgeving (met high-end firewalls) is niet hetzelfde als voor een draadloze router thuis (of andere NAT-routers voor thuisgebruik). Het kan zijn dat je een tweede NAT router moet gebruiken om de verwachte beveiliging te krijgen (zie het artikel hieronder).
In aflevering 3 van de Security Now podcast door Leo Laporte en beveiligingsgoeroe Steve Gibson werd over dit onderwerp gesproken. In het transcript zie in de buurt “echt interessante kwestie, want dat is de zogenaamde "DMZ,” de Demilitarized Zone, zoals het op routers wordt genoemd.“.
Van Steve Gibson, http://www.grc.com/nat/nat.htm :
"Zoals je je kunt voorstellen, moet de "DMZ” machine van een router, en zelfs een “port forwarded” machine, goed beveiligd zijn, anders krioelt het er binnen de kortste keren van de Internet schimmels. Dat is een GROOT probleem vanuit een beveiligingsstandpunt. Waarom? … een NAT router heeft een standaard Ethernet schakelaar die AL zijn LAN poorten met elkaar verbindt. Er is niets “aparts” aan de poort die de speciale “DMZ” machine host. Hij bevindt zich op de interne LAN! Dit betekent dat alles wat er in kan kruipen via een doorgestuurde router poort, of omdat het de DMZ host is, toegang heeft tot iedere andere machine op het interne privé LAN. (Dat is echt slecht.)“
In het artikel staat ook een oplossing voor dit probleem die het gebruik van een tweede NAT router inhoudt. Er zijn een paar goede diagrammen om het probleem en de oplossing te illustreren.
Een DMZ of “gedemilitariseerde zone” is de plaats waar je servers of andere apparaten kunt opstellen die van buiten je netwerk benaderd moeten kunnen worden.
Wat hoort daar thuis? Webservers, proxyservers, mailservers, enz.
In een netwerk zijn de hosts die diensten leveren aan gebruikers buiten het LAN, zoals e-mail-, web- en DNS-servers, het meest kwetsbaar voor aanvallen. Vanwege de verhoogde kans dat deze hosts gecompromitteerd worden, worden ze in hun eigen subnetwerk geplaatst om de rest van het netwerk te beschermen als een indringer zou slagen. Hosts in de DMZ hebben beperkte connectiviteit met specifieke hosts in het interne netwerk, maar communicatie met andere hosts in de DMZ en naar het externe netwerk is toegestaan. Hierdoor kunnen hosts in de DMZ diensten leveren aan zowel het interne als het externe netwerk, terwijl een tussenliggende firewall het verkeer tussen de DMZ servers en de interne netwerk clients controleert.
In computernetwerken is een DMZ (demilitarized zone), soms ook bekend als perimeternetwerk of afgeschermd subnetwerk, een fysiek of logisch subnet dat een intern lokaal netwerk (LAN) scheidt van andere niet-vertrouwde netwerken, meestal het internet. Extern gerichte servers, bronnen en diensten bevinden zich in de DMZ. Ze zijn dus toegankelijk vanaf het internet, maar de rest van het interne LAN blijft onbereikbaar. Dit biedt een extra beveiligingslaag voor het LAN omdat het hackers beperkt in hun mogelijkheden om direct toegang te krijgen tot interne servers en gegevens via het internet.