Para que é utilizado o DMZ em um roteador sem fio doméstico?

Pelo que entendi, ao usar o DMZ, você expõe todas as portas do computador host à Internet. Para que serve isso?

A DMZ é boa se você deseja executar um servidor doméstico que pode ser acessado de fora da sua rede doméstica (servidor da web, ssh, vnc ou outro protocolo de acesso remoto). Normalmente, você deseja executar um firewall na máquina do servidor para garantir que apenas as portas desejadas especificamente tenham acesso permitido a partir de computadores públicos.

Uma alternativa ao uso da DMZ é configurar o encaminhamento de porta. Com o encaminhamento de porta, você pode permitir apenas portas específicas através do seu roteador e também pode especificar algumas portas para máquinas diferentes se houver vários servidores executando atrás do roteador.

Por favor, seja cuidadoso. A DMZ em um ambiente corporativo / profissional (com firewalls de ponta) não é a mesma que para um roteador sem fio doméstico (ou outros roteadores NAT para uso doméstico). Pode ser necessário usar um segundo roteador NAT para obter a segurança esperada (consulte o artigo abaixo).

No episódio 3 do podcast Security Now de Leo Laporte e o guru da segurança Steve Gibson, esse assunto foi discutido. Na transcrição, veja próximo a "questão realmente interessante, porque essa é a chamada" DMZ ", a Zona Desmilitarizada, como é chamada nos roteadores".

De Steve Gibson, http://www.grc.com/nat/nat.htm :

"Como você pode imaginar, a máquina" DMZ "de um roteador e até mesmo uma máquina" encaminhada por porta "precisam ter segurança substancial ou estarão rastreando rapidamente o fungo da Internet. Esse é um GRANDE problema do ponto de vista de segurança. Por quê? .. um roteador NAT possui um switch Ethernet padrão que interconecta TODAS as portas do lado da LAN. Não há nada "separado" na porta que hospeda a máquina "DMZ" especial. Está na LAN interna! Isso significa que qualquer coisa que possa entrar nela através de uma porta de roteador encaminhada ou por ser o host DMZ, tem acesso a todas as outras máquinas na LAN privada interna. (Isso é muito ruim.) "

No artigo, há também uma solução para esse problema que envolve o uso de um segundo roteador NAT. Existem alguns diagramas realmente bons para ilustrar o problema e a solução.

Uma DMZ ou "zona desmilitarizada" é onde você pode configurar servidores ou outros dispositivos que precisam ser acessados ​​de fora da sua rede.

O que pertence lá? Servidores Web, servidores proxy, servidores de correio etc.

Em uma rede, os hosts mais vulneráveis ​​a ataques são aqueles que fornecem serviços a usuários fora da LAN, como servidores de email, web e DNS. Por causa do aumento do potencial desses hosts, eles são colocados em sua própria sub-rede para proteger o restante da rede, se um invasor tiver êxito. Os hosts na DMZ têm conectividade limitada a hosts específicos na rede interna, embora seja permitida a comunicação com outros hosts na DMZ e com a rede externa. Isso permite que os hosts na DMZ forneçam serviços à rede interna e externa, enquanto um firewall intermediário controla o tráfego entre os servidores DMZ e os clientes da rede interna.

Nas redes de computadores, uma DMZ (zona desmilitarizada), também conhecida como rede de perímetro ou sub-rede rastreada, é uma sub-rede física ou lógica que separa uma rede local interna (LAN) de outras redes não confiáveis, geralmente a Internet. Servidores, recursos e serviços externos estão localizados na DMZ. Portanto, eles são acessíveis pela Internet, mas o restante da LAN interna permanece inacessível. Isso fornece uma camada adicional de segurança à LAN, pois restringe a capacidade dos hackers de acessar diretamente servidores e dados internos via Internet.