O que é uma DMZ e como configurá-la na rede?

O que significa "DMZ"? DMZ significa Zona Desmilitarizada, mas isso na verdade significa coisas diferentes em reinos diferentes.

No mundo real, uma DMZ é uma faixa de terra que serve como um ponto de demarcação entre a Coreia do Sul e o Norte. Mas quando se trata de tecnologia, DMZ é uma sub-rede separada logicamente que normalmente contém os serviços de internet hospedados externamente. Então, qual é exatamente o propósito de um DMZ? Como isso te protege? E você pode configurar um no seu roteador?

Qual é o objetivo de um DMZ?

DMZ atua como um escudo entre a Internet não confiável e sua rede interna.

Ao isolar os serviços voltados para o usuário mais vulneráveis, como e-mail, web e servidores DNS dentro de sua própria sub-rede lógica, o restante da rede interna ou rede local (LAN) pode ser protegido em caso de comprometimento.

Os hosts dentro de uma DMZ têm conectividade limitada à rede interna principal, pois são colocados atrás de um firewall intermediário que controla o fluxo de tráfego entre os dois pontos de rede. No entanto, alguma comunicação é permitida para que os hosts DMZ possam oferecer serviços para a rede interna e externa.

Relacionado: Qual é a diferença entre LAN e WAN?

A premissa principal por trás de uma DMZ é mantê-la acessível a partir da Internet enquanto deixa o resto da LAN interna intacta e inacessível para o mundo externo. Essa camada adicional de segurança evita que os agentes da ameaça se infiltrem diretamente na sua rede.

Quais serviços são adicionados dentro de uma DMZ?

A maneira mais fácil de entender uma configuração DMZ é pensar em um roteador. Os roteadores geralmente têm duas interfaces:

  1. Interface interna: esta é a sua interface não voltada para a Internet que possui seus hosts privados.
  2. Interface Externa: Esta é a interface voltada para a Internet que possui seu uplink e interação com o mundo exterior.

Para implementar uma rede DMZ, basta adicionar uma terceira interface conhecida como DMZ. Todos os hosts que podem ser acessados ​​diretamente da Internet ou que requerem comunicação regular com o mundo externo são então conectados por meio da interface DMZ.

Os serviços padrão que podem ser colocados dentro de uma DMZ incluem servidores de e-mail, servidores FTP, servidores Web e servidores VOIP, etc.

Uma consideração cuidadosa deve ser dada à política geral de segurança do computador de sua organização e uma análise de recursos deve ser conduzida antes de migrar os serviços para uma DMZ.

O DMZ pode ser implementado em uma rede doméstica ou sem fio?

Você deve ter notado que a maioria dos roteadores domésticos menciona o DMZ Host. No verdadeiro sentido da palavra, esta não é uma DMZ real. O motivo é que uma DMZ em uma rede doméstica é simplesmente um host na rede interna que tem todas as portas expostas além das que não são encaminhadas.

A maioria dos especialistas em rede evita a configuração de um host DMZ para uma rede doméstica. Isso ocorre porque o host DMZ é aquele ponto entre as redes interna e externa que não recebe os mesmos privilégios de firewall que outros dispositivos na rede interna desfrutam.

Além disso, um host DMZ baseado em casa ainda mantém a capacidade de se conectar a todos os hosts na rede interna, o que não é o caso das configurações DMZ comerciais em que essas conexões são feitas por meio de firewalls separados.

Um host DMZ em uma rede interna pode fornecer uma falsa sensação de segurança quando, na realidade, está apenas sendo usado como um método de encaminhamento direto de portas para outro firewall ou dispositivo NAT.

A configuração de uma DMZ para uma rede doméstica só é necessária se determinados aplicativos exigirem acesso persistente à Internet. Embora isso possa ser alcançado por meio do encaminhamento de portas ou da criação de servidores virtuais, às vezes lidar com a grande quantidade de números de portas torna isso pouco prático. Nesses casos, configurar um host DMZ é uma solução lógica.

O modelo de firewall único e duplo de um DMZ

As configurações de DMZ podem ser feitas de diferentes maneiras. Os dois métodos mais comumente usados ​​são conhecidos como rede de três pernas (firewall único) e rede com firewalls duplos.

Dependendo de seus requisitos, você pode optar por qualquer uma dessas arquiteturas.

Método de firewall de três pernas ou único

Este modelo possui três interfaces. A primeira interface é a rede externa do ISP para o firewall, a segunda é sua rede interna e, por último, a terceira interface é a rede DMZ que contém vários servidores.

A desvantagem dessa configuração é que o uso de um único firewall é o único ponto de falha para toda a rede. Se o firewall for comprometido, todo o DMZ também será desativado. Além disso, o firewall deve ser capaz de lidar com todo o tráfego de entrada e saída da DMZ e da rede interna.

Método de firewall duplo

Como o nome indica, dois firewalls são usados ​​para arquitetar essa configuração, tornando-a o mais seguro dos dois métodos. Um firewall front-end é configurado para permitir que o tráfego passe de e para o DMZ apenas. O segundo firewall, ou firewall de back-end, é configurado para passar o tráfego do DMZ para a rede interna.

Ter um firewall extra diminui as chances de toda a rede ser afetada em caso de comprometimento.

Isso naturalmente tem um preço mais alto, mas fornece redundância no caso de falha do firewall ativo. Algumas organizações também garantem que ambos os firewalls sejam feitos por fornecedores diferentes para criar mais obstruções para os invasores que desejam invadir uma rede.

Como configurar um DMZ em seu roteador residencial

A maneira mais fácil e rápida de configurar uma rede DMZ doméstica é usando o modelo de três pernas. Cada interface será atribuída como uma rede interna, rede DMZ e rede externa. Por último, uma placa Ethernet de quatro portas no firewall completará esta configuração.

As etapas a seguir descrevem como configurar uma DMZ em um roteador doméstico. Observe que essas etapas serão semelhantes para a maioria dos principais roteadores, como Linksys, Netgear, Belkin e D-Link:

  1. Conecte seu computador ao roteador através do cabo Ethernet.
  2. Vá para o navegador da web do seu computador e digite o endereço IP do seu roteador na barra de ferramentas de endereços. Normalmente, o endereço de um roteador é 192.168.1.1. Pressione a tecla "Enter" ou a tecla de retorno.
  3. Você verá uma solicitação para inserir a senha do administrador. Digite sua senha que você criou no momento de configurar o roteador. A senha padrão em muitos roteadores é "admin".
  4. Selecione a guia “Segurança” localizada no canto superior superior da interface da web do seu roteador.
  5. Role até a parte inferior e selecione a caixa suspensa com o rótulo "DMZ". Agora escolha a opção de menu habilitar .
  6. Insira o endereço IP do host do computador de destino. Pode ser qualquer coisa como um computador de mesa remoto, servidor da web ou qualquer dispositivo que precise acessar a Internet. Observação: o endereço IP para o qual você está encaminhando o tráfego de rede deve ser estático, pois um endereço IP atribuído dinamicamente mudará toda vez que o computador for reiniciado.
  7. Selecione Salvar configurações e feche o console do roteador.

Relacionado: Como Encontrar o Endereço IP do Seu Roteador

Proteja seus dados e configure um DMZ

Consumidores inteligentes sempre protegem seus roteadores e redes de intrusos antes de acessar redes externas. Uma DMZ pode trazer uma camada adicional de segurança entre seus dados preciosos e hackers em potencial.

No mínimo, usar uma DMZ e dicas simples para proteger seus roteadores pode tornar muito difícil para os agentes de ameaças invadirem sua rede. E quanto mais difícil for para os invasores acessarem seus dados, melhor será para você!