מה זה DMZ? - טכנולוגיית מידע - IT - HWzone פורומים
עבור לתוכן
  • צור חשבון

מה זה DMZ?


MasterDK

Recommended Posts

שלום,

ה DMZ שאתה רואה על ראוטרים ביתיים בטח מתייחס לקונפיגורציה כל שהיא בהקשר לצורת התעבורה אל תוך חומת אש שלהם אבל לא ממש כמו DMZ "אמיתי".

לשאלה שלך, זה שונה מ NAT בחומת האש מפני שההעברה נעשית כאן דרך גורם נוסף, שזה ה שרת DMZ.

קח לדוגמא מצב שיש לך פנימית, אשר נמצאת מאחורי חומת אש. כל המחשבים מאחורי ההגנה של חומת האש.

אולם, השרת של ה DMZ יושב מחוץ לחומת האש ומעניק שכבה נוספת של בטיחות.

מפני שאם מחשב שנמצא ב"תוך אזור חומת האש" קורא לדף מסויים מהאינטרנט, זה יבוקש ויגיע דרך ה DMZ,

(אתה יכול לקרוא לו גם proxy), ובכך אין תקשורת ישירה בין האינטרנט למחשבים בתוך אזור חומת האש.

זה מעניק שכבת ביטחון נוספת, מה גם שה DMZ לא מורשה לתקשר עם המחשבים בתוך חומת האש, אלא אם כן הוא מעביר "בקשות" בחזרה לאחד המחשבים שיצר קשר ל"בחוץ". מכאן אתה יכול להסיק את הערך המוסף בהגנה.

לגבי SECURITY FLAWS אני מאמין שזה מאוד אישי וקשור בקונפיגורציה שלך וחומת האש.

.

קישור לתוכן
שתף באתרים אחרים

הסבר לא בדיוק מדוייק.

המטרה של DMZ היא בסה"כ להפריד שירותים שפתוחים לגישה מחוץ לחומת האש משאר הרשת שיושבת מאחורי החומה.

הרב הפעמים תראה שרתי FTP בארגונים יושבים בDMZ למשל.

יום אחד אני אלמד להסביר דברים פשוט ולעניין כמוך :-)

תודה

קישור לתוכן
שתף באתרים אחרים

הסבר לא בדיוק מדוייק.

המטרה של DMZ היא בסה"כ להפריד שירותים שפתוחים לגישה מחוץ לחומת האש משאר הרשת שיושבת מאחורי החומה.

הרב הפעמים תראה שרתי FTP בארגונים יושבים בDMZ למשל.

גם במצבים של מתאמי שיחות (באם אתה מנוי לשירותי VOIP של אחת החברות) יש DMZ פעיל.

DMZ stand for DeMilitarized Zone

קישור לתוכן
שתף באתרים אחרים

VoIP זה בדבר האחרון שהייתי שם בDMZ במיוחד לא את הIP PBX שלי.

בגלל שזה תחת סודיות אני לא יכול לפרט יותר מדי אבל כל הספקיות פועלות עם DMZ ואין לך בכלל גישה למתאם שלהם כי הסיסמה משתנה בכל פעם שהם שולחים לו קובץ חילול (שלא לדבר על כך שזאת סיסמה מאותיות גדולות+קטנות+מספרים+סימנים+מעל 10 תווים סה"כ). מה שקורה הוא פשוט מאוד - במצב שבו יש מודם-נתב אמביט בבית, הספקיות לא יכולות להשתמש במתאם שלהם אז מה שעושים זה לחלק נתבים בחינם, לנטרל את יכולת הראוטר של הAMBIT, להפוך אותו ל-Bridge, ולהגדיר IP סטאטי בנתב שהוא ה-IP של ה-DMZ של המתאם על מנת שאת כל הפניית הפורטים אתה תעשה אך ורק בנתב בלבד (כי למתאם אין לך גישה). במצב של מודם-נתב של ה-DMZ מבוטל.

עריכה - גם במצב של מתאם ונתב מהספקית, הם יגדירו בנתב IP סטאטי שהוא ה-DMZ של המתאם ובנתב עצמו יבצעו הפניית פורטים.

הבנת?

קישור לתוכן
שתף באתרים אחרים

DMZ host בציוד ביתי זול זה לא DMZ.

הכותב שאל על DMZ, ואם תחפש אימולטורים של אודיוקודס (המשווקת הרשמית של מתאמי השיחות בארץ), אתה תראה שגם שם אתה יכול לקבוע את ה-IP של ה-DMZ.

ואני אוהב אנשים שקובעים שבציוד ביתי, בגלל שהוא זול, הנתון שם זה לא מה שהם חושבים. אם אתה כל כך אוהב להישאר עם האף למעלה, לך תיקנה ראוטר של סיסקו ב-1,000$, אבל תדע שגם בציוד הביתי ה*זול* זה קיים גם אם זה לא לרצונך.

קישור לתוכן
שתף באתרים אחרים

אבירן, זה פשוט שגוי, חבל שאתה טועה ומטעה בלי לבדוק (ולא בפעם הראשונה)

(ומתיימר להיות הטכנאי המבין כאשר נראה שאין לך ממש השכלה או נסיון ממשי בתחום, למעט אולי רשתות ביתיות)

זה לא עניין של אף למעלה: בציוד ביתי פשוט DMZ לא אומר מה שאומר DMZ בציוד רשת industry וזה הכל.

DMZ בראוטר ביתי פשוט אומר להפנות את כל התקשורת שלא מופנית בהפנית פורטים ל host מסויים,

לכן בראוטר ביתי לרוב הפיטצ'ר הזה ייקרא DMZ host

DMZ "אמיתי" בתעשיה זה משהו אחר לגמרי:

DMZ בפיירוול אמיתי הוא בד"כ בסאבנט אחר לגמרי (פיזי או vlan) ויש הפרדה מלאה בפירוול בין הרשתות

(למעט חוקים שמאפשרים תקשורת מסויימת הנחוצה בין הרשתות, כמו מעבר מידע SMTP בין ה mail relay לשרת הדואר ברשת הפנימית למשל)

בראוטר ביתי DMZ host הוא פשוט מחשב ברשת שאליו מנתבים את כל התקשורת, הוא לא בסאבנט אחר ואין שום הפרדה.

בראוטר ביתי מדובר בפיטצ'ר לנוחות של המשתמש שלא משמש לאבטחה של הרשת (ואפילו להפך, גורע מהיותה מאובטחת)

אין כאן "זלזול" בציוד ביתי פשוט, בסה"כ יש הפרדה בין המושגים:

DMZ ≠ DMZ host

אני מזמין אותך לקרוא לעומק בויקיפדיה על הנושא אם אתה מתעניין בו.

[br]פורסם בתאריך: 29.08.2010 בשעה 15:50:54


Some home routers refer to a DMZ host. A home DMZ host is a host on the internal network that has all ports exposed, except those ports otherwise forwarded. By definition this is not a true DMZ (Demilitarized Zone), since it alone does not separate the host from the internal network. That is, the DMZ host is able to connect to hosts on the internal network, whereas hosts within a real DMZ are prevented from connecting with the internal network by a firewall that separates them, unless the firewall permits the connection. A firewall may allow this if a host on the internal network first requests a connection to the host within the DMZ. The DMZ host provides none of the security advantages that a subnet provides and is often used as an easy method of forwarding all ports to another firewall / NAT device.

קישור לתוכן
שתף באתרים אחרים

אחד האנשים ציין פה שפשוט אין DMZ בראוטר ביתי, וזה מה שעיצבן.

מעבר לכך - לא נראה לי שמישהו שאל מה פותח השרשור הזה באמת רצה לדעת -DMZ או DMZ HOST

שבכל מקרה, הכוונה שלי היה ל-DMZ HOST כמובן אבל תנסה אתה להגיד ולרשום את זה 100 פעם ביום, גם אתה תתרגל לקרוא לזה DMZ.

דיברנו על שני דברים, יכול להיות שמשם נבעה הטעות.

אגב, מצחיק שאתה אומר את זה - כי בתחום הזה רמת הידע היא שקובעת ולא הניסיון. אתה יכול להיות בעל ידע רב כמו שלך ובעל ניסיון לא רע בכלל אבטחת מידע, לעומת זאת יבוא האנלייזר עם הוכחות בשטח על ידיעתו באבטחת מידע ויעדיפו אותו. אז עדיף שלא נכנס לתחום הזה.

קישור לתוכן
שתף באתרים אחרים

  • 3 שבועות מאוחר יותר...

אני קצת רוצה לחדד לי במילים שלי

DMZ HOST למעין שער הגנה שלא נמצא חומרתית על ה"ראוטר" שלי אלא הכוונה לשער שנמצא איי שם בעולם בעל הכתובת IP הרשומה בHOST שלו?

זה לא מאט את הרשת? הרי לפי מה שהבנתי ממכם [אולי לא הבנתי נכון] כל פאקט שצריך להגיע למחשב שלי צריך קודם כל לעבור את הDMZ HOST [ שלא נמצא בכלל אצלי?]

יכול להיות שעשיתי קצת סלט סלחו לי :silly:

קישור לתוכן
שתף באתרים אחרים

לא.

DMZ Host זה מחשב ברשת הפנימית, שכל פאקט שמגיע ואין לו שום יעד מתאים בטבלת NAT - במקום שהראוטר יעשה לו Drop,

הוא מעביר אותו אליו.

DMZ "רגיל", זה חלק מרשת של ארגון (בדרך כלל פשוט תת נפרדת),

שעליו חלות הגדרות firewall אחרות משל כל שאר הרשת (לרוב מקלות יותר),

ושם יושבים כל השרתים שאמורים לתת שירות לקליינטים מחוץ לרשת.

כך בעצם אותו "איזור" יוצר חציצה וירטואלית בין הרשת החיצונית (לרוב האינטרנט) לבית הרשת הפנימית.

באף אחד מהמקרים אין פאקט שמגיע קודם לDMZ, מטייל לו קצת שם, ואז מחליט שנגמר הטיול וחוזר ליעד בתוך הרשת הרגילה.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...