Как использовать сервер DMZ на маршрутизаторе?
С помощью описанного выше методы мы с помощью роутера открываем лишь один порт для одного устройства в сети. Через DMZ-хост можно открыть сразу несколько портов. Однако, делать это нужно лишь в крайних случаях, так как в таком случае устройство оказывается абсолютно открытым для доступа из интернета. Однако иногда это делать необходимо, например, для настроек просмотра камер видеонаблюдения, подключенных через регистратор, или для организации игрового сервера.
Приведу пример — часто при подключении регистратора видеонаблюдения по умолчанию используется порт 80 и поменять его в настройках просто невозможно. В то же самое время на маршрутизаторе этот порт также занят и перенаправить его не получится. В этом случае на помощь приходит DMZ-хост на роутере.
Демилитаризованная зона DMZ: архитектура и осуществление
Из толкования первоначального термина нам становится ясно, DMZ – это определенный участок местности, на котором запрещены любые виды вредоносной деятельности. И это крайне удачно характеризует всю суть данной, скажем так, уловки.
Нам следует уяснить о самой концепции DMZ, что это крайне простое решение, представляющее собой создание отдельного сегмента компьютерной сети, изолируемого от всех внешних интернет-хостингов и от внутренней сети компании. Также это ограничение контроля или полный запрет доступа как к сети Интернет, так и во внутреннюю сеть.
Создать отдельный сегмент сети достаточно легко. Для этого используются межсетевые экраны или же файрволы. Само слово «файрвол» рядовому пользователю может быть известно по фильмам об известных хакерах, но мало кто знает, что же он собой представляет.
Межсетевой экран – это программно-аппаратная единица компьютерной сети, разделяющая ее на секторы и позволяющая фильтровать поступающий сетевой трафик по заданным оператором (администратором) правилам. Также, в случае несанкционированного проникновения, злоумышленник получает доступ лишь к тем файлам, которые находятся в рамках отделенного сектора, без ущерба для остальных.
Существует, как минимум, два вида конфигурации демилитаризованных зон – с одним межсетевым экраном или же со множеством. В первой конфигурации межсетевой экран разделяет сеть на три сектора:
- внутренняя сеть;
- DMZ;
- интернет-канал.
Но всё же этот способ обеспечивает недостаточный уровень защиты. В большинстве крупных фирм всё-таки используется второй способ – с большим количеством файрволов. В этом случае злоумышленнику придется преодолеть уже, как минимум, один дополнительный системный периметр со своим фильтром трафика, что значительно увеличивает безопасность.
Настройка DMZ Zyxel Keenetic
На роутере Zyxel Keenetic тоже имеется подобная функция, но она не называется DMZ, а скрыта в разделе «Безопасность — Межсетевой экран».
Сначала выбираем здесь тип сети, в которую хотим разрешить доступ — это Home Network (Домашняя сеть) И далее нажимаем на кнопку «Добавить правило»
Далее оставляем все по умолчанию, кроме одного пункта — «IP адрес назначения». Здесь нужно выбрать «Один» и в текстовом поле написать IP адрес компьютера, на котором надо открыть все порты
Обратите внимание, что в графе «Протокол» сейчас выбираем TCP
Делаем все, как на картинке ниже:
На обновленной линейке Keenetic DMZ настраивается тоже в рубрике «Межсетевой экран». Жмем тут «Добавить правило»
Включаем его галочкой и прописываем все то же самое, как и в старой версии Zyxel
Для расширения кругозора также советую прочитать инструкцию от компании Зайксель.
Настройка DMZ на роутере
Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети. Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.
Установка статического IP-адреса
Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP 192.168.0.1, то для компьютера можно указать 192.168.0.10. Маска подсети стандартная – 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.
На этом настройка компьютера завершена и можно переходить к настройкам роутера.
Настройка роутера
Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.
Находим соответствующий пункт меню в веб-интерфейсе устройства:
- На роутерах Asus нужная вкладка так и называется – DMZ.
- На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
- У D-Link ищите пункт «Межсетевой экран».
В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это 192.168.0.10.
Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.
Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.
Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.
Переадресация всех портов на хост локальной сети (организация DMZ-хоста)
Иногда возникает задача в локальной сети интернет-центра Keenetic организовать DMZ-хост (это может быть веб-сервер, сетевой видеорегистратор, IP-камера или другое устройство), у которого открыты все порты и таким образом предоставить полный удаленный доступ к нему из Интернета. DMZ-хост это не сегмент DMZ, т.к. хост с открытыми портами не изолируется от внутренней сети и не защищен встроенными средствами безопасности (межсетевым экраном и механизмом трансляции адресов NAT).
NOTE: Важно!
1. Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье «В чем отличие «белого» и «серого» IP-адреса?»
2. Рассматриваемый в данной статье пример является частным случаем и не лучшим вариантом с точки зрения безопасности соединения. Этот вариант используйте, только если не знаете, какие порты и протоколы используются на сервере или сетевом устройстве. В этом случае безопасность должна осуществляться непосредственно средствами устройства, на котором открыты все порты. Мы рекомендуем в переадресации портов открывать только определенные порты и протоколы, которые необходимы для работы сервера или сетевого устройства.
Перед настройкой правила переадресации портов зарегистрируйте устройство в интернет-центре на странице «Список устройств» и включите опцию «Постоянный IP-адрес», указав для этого хоста локальный IP.
Затем на странице «Переадресация» нужно создать правило проброса всех портов.
Включите правило переадресации портов.
В поле «Вход» нужно правильно указать значение. Выберите подключение или интерфейс, через который роутер Keenetic получает доступ в Интернет и на котором используется публичный IP-адрес (в нашем примере это «Провайдер»). В большинстве случаев следует выбирать интерфейс «Провайдер». Если у вас подключение к Интернету осуществляется через подключение с авторизацией PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение.
В поле «Выход» выберите устройство, подключение или интерфейс, которому будет переадресован подходящий трафик (в нашем примере это зарегистрированный в домашней сети компьютер Server).
В поле «Протокол» выберите значение «TCP/UDP (все порты и ICMP)» из списка предустановленных (это значение находится первым в списке).
В поле «Расписание работы» можно добавить расписание, по которому будет работать данное правило.
NOTE: Важно! Дополнительную настройку межсетевого экрана производить не нужно, т.к. при использовании правила переадресации интернет-центр самостоятельно открывает доступ по указанным портам и протоколам
Если переадресация портов по какой-то причине не заработала, обратитесь к статье «Что делать, если не работает переадресация портов?»
Если переадресация портов по какой-то причине не заработала, обратитесь к статье «Что делать, если не работает переадресация портов?».
Пользователи, считающие этот материал полезным: 4 из 5
понедельник, 30 мая 2016 г.
Перевод роутера GPON МГТС в режим моста
Наконец-то я настроил интернет от МГТС по GPON под себя. А именно, перевел мгтс’овскую коробку в режим моста, а трафик теперь маршрутизирует мой роутер MikroTik hEX. Трафик только в интернет! Провайдерские телефон и ТВ я ещё не перенастраивал, эти две услуги по прежнему работают через подключения к GPON-коробке. Хочется настроить trunk-порт и из оптического кабеля сразу в свой роутер! Но это другая история.
Перевод МГТС GPON SERCOMM RV6688BCM в режим моста возможен только из под учётной записи «нормального админа» – mgts/oaomgts, об активации которой я говорил тут. По мимо МГТС GPON SERCOMM RV6688BCM и MikroTik hEX я еще прикупил гигабитный инжектор Можно и без него, но очень хотелось!
Итак, настраиваем наш роутер MikroTik hEX: dhcp-сервер для домашней локалки, nat, firewall и т.д под свои нужды. и пока забываем про него.
Теперь самое интересное – перевод МГТС GPON SERCOMM RV6688BCM в режим моста. Информацию, как это сделать нашёл на форуме ixbt, на котором много чего можно найти, полезного и нужного! Поехали:
- Логинимся на SERCOMM RV6688BCM под учёткой «нормального админа» – mgts/oaomgts;
- Configure – WAN – отмечаем чекбокс напротив интерфейса HSI – Edit – Connection type ставим Bridge – VLAN ID должно быть значение 30 – Save;
- Configure – LAN – DHCP server – Disable – Save;
- Management – TR-069 Client – TR-069 mode ставим Disable – Save – справа вверху нажимаем Apply.
Обратный прокси-сервер (Reverse proxy)
В качестве Reverse proxy может быть использован любой веб-сервер (NGINX, Apache, IIS). Как правило, для продуктов DIRECTUM используется Reverse proxy на базе IIS.
Для настройки потребуются
Application Request Routing и
URL Rewrite, которые можно установить при помощи
Web Platform Installer.
Для начала создаем веб-сайт, который будет принимать запросы из внешней сети. Для него необходимо указать соответствующие привязки (имя хоста и порт)
Так как все веб-решения компании DIRECTUM предполагают работу с важной информацией, необходимо настроить
сайт на использование HTTPS-соединения. Обычно для HTTPS-соединения используется 443 порт
Соответственно, данный порт необходимо указать в настройках DMZ-брандмауэра.
Следующим шагом добавляем правило перенаправления при помощи модуля URL Rewrite:
Если настройка осуществляется впервые, IIS сообщит о необходимости включения Reverse proxy-функциональности и предупредит, что Reverse proxy может как усилить защиту периметра организации, так и, наоборот, снизить безопасность, предоставив доступ внутренним
сервисам организации из сети Internet.
После включения Reverse proxy-функциональности необходимо задать правила перенаправления:
В поле «Правила для входящего трафика» указывается адрес и порт сервиса для перенаправления, находящегося во внутренней сети организации. Напомню, что входящие адреса, запросы с которых будут перенаправлены, задаются выше в настройках привязок веб-сайта.
Для снижения нагрузки на DMZ-сервер можно включить SSL-разгрузку. В этом случае все внешние HTTPS-запросы будут перенаправлены по HTTP во внутреннюю сеть. Мы не рекомендуем применять такие подходы, чтобы не снижать общую безопасность схемы взаимодействия,
поэтому в настройках брандмауэра внутренней сети также потребуется открыть 443 порт (или иной, указанный в правилах URLRewrite).
Пример настройки:
Сервер веб-приложения DIRECTUM располагается во внутренней сети организации и имеет один интерфейс: 192.168.1.2/255.255.255.0.
Брандмауэры сети DMZ и внутренней сети настраиваются на разрешение входящих и исходящих соединений по порту 443 протокола HTTP.
Для обеспечения дополнительной защиты рекомендуется ограничить доступ к веб-серверу DIRECTUM из внутренней сети и разрешить сетевые соединения только с необходимыми службами (СУБД, сервер сеансов, Workflow и т.д.). Для этого следует настроить правила брандмауэра
веб-сервера DIRECTUM для входящих и исходящих соединений и разрешить соединения по следующим портам:
- протокол TCP/IP;
- для связи с SQL сервером – по умолчанию порт 1433;
- для связи с сервером с установленной службой Сервер сеансов – по умолчанию порт 32300;
- для связи с сервером с установленной службой WorkFlow – по умолчанию порт 32310;
- для работы сервера веб-доступа по протоколу HTTPS – порт 443;
- протокол UDP/IP: для разрешения имен NetBIOS – по умолчанию порты 137-139.
Указан минимальный набор портов и протоколов связи. При использовании в продуктивной среде возможно расширение разрешающих правил. К примеру, для работы служб файловых хранилищ понадобится дополнительно открыть
порты 445 и 32320 по протоколу TCP.
Внедрите технологию Reverse Access
Подход от компании Safe-T — технология Reverse Access — сделает DMZ еще более безопасной. Эта технология, основанная на использовании двух серверов, устраняет необходимость открытия любых портов в межсетевом экране, в то же самое время обеспечивая безопасный доступ к приложениям между сетями (через файрвол). Решение включает в себя:
- Внешний сервер — устанавливается в DMZ / внешнем / незащищенном сегменте сети.
- Внутренний сервер — устанавливается во внутреннем / защищенном сегменте сети.
Роль внешнего сервера, расположенного в DMZ организации (на месте или в облаке), заключается в поддержании клиентской стороны пользовательского интерфейса (фронтенда, front-end) к различным сервисам и приложениям, находящимися во Всемирной сети. Он функционирует без необходимости открытия каких-либо портов во внутреннем брандмауэре и гарантирует, что во внутреннюю локальную сеть могут попасть только легитимные данные сеанса. Внешний сервер выполняет разгрузку TCP, позволяя поддерживать работу с любым приложением на основе TCP без необходимости расшифровывать данные трафика криптографического протокола SSL (Secure Sockets Layer, уровень защищенных cокетов).
Роль внутреннего сервера заключается в том, чтобы провести данные сеанса во внутреннюю сеть с внешнего узла SDA (Software-Defined Access, программно-определяемый доступ), и, если только сеанс является легитимным, выполнить функциональность прокси-сервера уровня 7 (разгрузка SSL, переписывание URL-адресов, DPI (Deep Packet Inspection, подробный анализ пакетов) и т. д.) и пропустить его на адресованный сервер приложений.
Технология Reverse Access позволяет аутентифицировать разрешение на доступ пользователям еще до того, как они смогут получить доступ к вашим критически-важным приложениям. Злоумышленник, получивший доступ к вашим приложениям через незаконный сеанс, может исследовать вашу сеть, пытаться проводить атаки инъекции кода или даже передвигаться по вашей сети. Но лишенный возможности позиционировать свою сессию как легитимную, атакующий вас злоумышленник лишается большей части своего инструментария, становясь значительно более ограниченным в средствах.
Вечный параноик, Антон Кочуков.
ДМЗ или демилитаризованная зона (DMZ) — это технология защиты сети, в которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), для того, что бы, минимизировать ущерб во время взлома одного из сервисов, находящихся в зоне.
Архитектура и реализация
Разделение сегментов и контроль трафика между ними, как правило, реализуются специализированными устройствами — межсетевыми экранами. Основными задачами такого устройства являются:
- контроль доступа из внешней сети в ДМЗ;
- контроль доступа из внутренней сети в ДМЗ;
- разрешение (или контроль) доступа из внутренней сети во внешнюю;
- запрет доступа из внешней сети во внутреннюю.
В некоторых случаях для организации ДМЗ достаточно средств маршрутизатора или даже прокси-сервера.
Серверы в ДМЗ при необходимости могут иметь ограниченную возможность соединиться с отдельными узлами во внутренней сети. Связь в ДМЗ между серверами и с внешней сетью также ограничивается, чтобы сделать ДМЗ более безопасной для размещения определённых сервисов, чем Интернет. На серверах в ДМЗ должны выполняться лишь необходимые программы, ненужные отключаются или вообще удаляются.
Существует множество различных вариантов архитектуры сети с DMZ. Два основных — с одним межсетевым экраном и с двумя межсетевыми экранами. На базе этих методов можно создавать как упрощенные, так и очень сложные конфигурации, соответствующие возможностям используемого оборудования и требованиям к безопасности в конкретной сети.
Конфигурация с одним межсетевым экраном
Схема с одним межсетевым экраном
Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с провайдером (WAN), второй — с внутренней сетью (LAN), третий — с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней.
Конфигурация с двумя межсетевыми экранами
Схема с двумя межсетевыми экранами
Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй — из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства. Кроме того, на внешнем экране можно настроить более медленные правила фильтрации на уровне приложений, обеспечив усиленную защиту локальной сети без негативного влияния на производительность внутреннего сегмента.
Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость. Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость.
ДМЗ-хост
Некоторые маршрутизаторы SOHO-класса имеют функцию предоставления доступа из внешней сети к внутренним серверам (режим DMZ host или exposed host). В таком режиме они представляют собой хост, у которого открыты (не защищены) все порты, кроме тех, которые транслируются иным способом. Это не вполне соответствует определению истинной ДМЗ, так как сервер с открытыми портами не отделяется от внутренней сети. То есть ДМЗ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из настоящей ДМЗ блокируются разделяющим их межсетевым экраном, если нет специального разрешающего правила. ДМЗ-хост не предоставляет в плане безопасности ни одного из преимуществ, которые даёт использование подсетей, и часто используется как простой метод трансляции всех портов на другой межсетевой экран или устройство.
Это интересно: Диспетчер задач – что это такое и как его использовать (видео)
Как включить и настроить DMZ на Wi-Fi роутере / модеме.
Бюджетные модели этих сетевых устройств не имеют возможности создать полноценную зону для всех участников в нашем сегменте сети, но нам это и не нужно. Главное, что есть возможность добавить в Демилитаризованную зону один IP-адрес видимой станции. Этим действием, мы сделаем DMZ-хост и откроем доступ из внешней сети ко всем его доступным портам.
Зайдите в интерфейс маршрутизатора и в административной панели отыщите вкладку с названием DMZ. Например, у сетевых устройств от компании ASUS данная вкладка расположена в «Интернет» -> «DMZ».
На роутере компании TP-Link включить DMZ можно в разделе «Переадресация» (Forwarding) -> «DMZ».
К сожалению, от других производителей сетевых устройств для создания скриншота сейчас под рукой нет, но где найти эту функцию в других моделях на словах скажу. Компания D-Link расположила ее в «Межсетевом экране», а Zyxel Keenetic может добавить эту опции в параметрах NAT.
Как видите включить DMZ на роутере достаточно просто. Желаю, чтобы различного рода атаки обходили вас стороной.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Сегодня опишем процесс проброса портов роутера Zyxel.В предыдущей теме мы описали проброс портов на роутере D-link, в принципе схема одна и также, но все равно у новичков могут появиться вопросы, поэтому и создан этот пост.
Проброс портов роутера Zyxel
Проброс портов для роутера Zyxel keenetic lite
Переходим Домашняя сеть – Серверы. Включаем необходимую службу и добавляем нужный порт.
СервисПротоколПортыШироковещательныйIP-адрес сервераОписаниеДоступ из интернета
для DMZ Переходим Домашняя сеть – Открытый сервер. Вводим адрес компьютера для которого будет открыт полный доступ.
Проброс портов роутера Zyxel NBG334W EE
Переходим Network – NAT – Aplication. Добавляем новое правило.
ActiveService NameExternal portServer IP AddressInternet port
Для DMZ Переходим Network – NAT – General. Ставим галочку – Enable NAT и вводим адрес компьютера для которого будет открыт полный доступ.
Проброс портов роутера Zyxel NDMS 2.0
Переходим в Безопасность – Трансляция сетевых адресов (NAT).
ИнтерфейсПакеты на адресПротоколПорты TCPUDPПеренаправить на адрес
Проброс портов роутера Zyxel P-330 EE
Переходим в Advanced – Virtual Servers, ставим галочку Enable Virtual Servers.
ServersLocal IP AddressProtocolPort RangeDescrition
Для DMZ Переходим Advanced – DMZ. Вводим адрес компьютера для которого будет открыт полный доступ.
Аббревиатура DMZ расшифровывается как DeMilitarized Zone, то есть «Демилитаризованная зона». Неожиданно и непонятно какое это отношение имеет к роутеру. Однако на самом деле это очень полезная в ряде случаев вещь. Об этом и пойдёт речь в данной статье.
Что такое DMZ
Является физическим или виртуальным сервером, служащим как буфер между локальной сетью и интернетом. Применяется для предоставления пользователям локальной сети услуг электронной почты, удалённых серверов, веб-приложений и других программ, которые требуют доступ во Всемирную паутину. Для доступа к внутренним ресурсам извне нужно пройти процедуру авторизации, попытка войти для не авторизованных пользователей успехом не увенчается. В большинстве случаев это настройка маршрутизатора.
Название происходит от английской аббревиатуры, обозначающей демилитаризованную зону как барьер между враждующими территориями. Эта технология применяется, когда вы создаёте домашний сервер, доступ к которому должен осуществляться с любого компьютера, подсоединённого к интернету. Настоящая демилитаризованная зона используется в больших корпоративных сетях с высоким уровнем внутренней защиты. Домашние модели роутеров полностью открывают компьютер для доступа к интернету.