web-dev-qa-db-ja.com

DMZのサーバーは、ネットワークの他の部分にセキュリティリスクをもたらす可能性がありますか?

私は仕事のためにたくさんの道​​を進んでいるので、古いラップトップを持って、私がいるときにアクセスできるいくつかのVMラボをセットアップして遊んでみようと思っていました。家から離れて。

それは、いくつかのVMを実行する専用サーバーであり、重要なことは何もありません。ハッキングされて混乱した場合に発生する唯一のことは、私がリセットしなければならないことに少しイライラすることです。帰宅。

そのため、ルーターやファイアウォールなどを構成してアクセス可能で安全なものにするために多くの時間を費やすのではなく、DMZにドロップして、それで済ませることができると思いました。

今、私はDMZやその操作にあまり詳しくありません。 IPをDMZに設定することはできますが、それはその程度です。

これを行うとしたら、私の小さなVMサーバーがどれほど脆弱であるか、構成が不十分であっても、内部ネットワークにリスクをもたらすでしょうか?または、ネットワークは、かどうかに関係なく、まったく同じように安全ですか? DMZにマシンがありませんか?

1
Kefka

DMZは、ほとんどの(すべてではないにしても)コンシューマールーターの誤称です。結局のところ、「ゾーン」はありません。正しい用語は「公開ホスト」です。これは物事を少し明確にします。

公開されたホストは、ネットワークの他の部分から分離されていません。それはまだ同じブロードキャストドメインに存在します。侵害された場合、攻撃者はローカルネットワークに自由にアクセスできます。 (別の方法で分離されていない限り。)

また、公開されたホストで「内部」サービスが実行されている場合、それらは突然インターネットにアクセスできるようになります。

より良い方法は、VPNサービス(OpenVPNのように、単一のTCPまたはUDPポート)のみを必要とし、このサービス専用のポートを転送することです。

3
Daniel B

短い答え:はい

特定のポートを開いて特定のマシンに転送するだけの場合は、それらのポートのセキュリティについてのみ心配する必要があります。

DMZはすべてのポートを開き、それらを1台のマシンにルーティングします。攻撃者がエクスプロイトを使用してDMZボックスを制御する場合、はい、攻撃者はネットワーク内にいます。

私の理解では、DMZは非常に一時的なニーズにのみ使用する必要があります。

0
Tyson