DMZ Host in Router

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • nighthunter
  • Registratie: December 2007
  • Laatst online: 03-07 21:58
Beste Leden van Tweakers,

Ik heb eigenlijk een korte vraag namelijk:

Wat houd een DMZ Host in een hedendaagse consumentenrouter in?
Het algemene zakelijke netwerk opbouw van een DMZ is mij geloof ik duidelijk, maar omdat ik veelal op het internet lees dat dit niet gelijk staat aan een DMZ Host(Consumenten Router) vraag ik mij hier een aantal dingen af.
For some home routers, it refers to a DMZ Host. Strictly speaking, this is not a true DMZ (Demilitarized Zone). A home router DMZ host is a host on the internal network that has all ports exposed, except those ports otherwise forwarded. Which is often used a simple method to forward all ports to another firewall /NAT device.
Ik heb een aantal tests gedaan met een KPN Experiabox (die op mijn werk staat) en de DMZ Host functie. Zoals ik lees en merk worden bij dit ingestelde IP adres alle poorten doorgezet met uitzondering van de poorten anders ingesteld in de NAT tabel. Maar ik kan nergens vinden of de hardware firewall inactief wordt gesteld of actief blijft op dit ingestelde IP adres.

Als test heb ik met Kali Linux(voorheen Backtrack) een aantal UDP Floods en SYN Floods als test vanaf een extern IP adres rechtstreeks naar de computer die als DMZ ingesteld staat. Blijkt het toch zo te zijn dat de Firewall van de KPN Experiabox deze detecteerd(staat in Log) en blokkeerd.

Als ik het goed begrijp blijft de Firewall dus gewoon actief op dat betreffende DMZ adres echter wordt er alleen een firewall regel toegepast dat de NAT poorten direct worden doorgezet. en is in dit geval het ingestelde DMZ Host apparaat niet vatbaar voor DDoS aanvallen, zoals die dat in een geavanceerde zakelijke netwerk zou zijn? zoals het hieronder geciteerde stuk dus ondersteund?
What is DMZ host?

Regarding the DMZ Host (private IP address), it is a local computer exposed to the Internet. Therefore, an incoming packet will be checked by Firewall and NAT algorithms in BILLION BROADBAND ROUTER , then passed to the DMZ host when packet is not sent by hacker and not limited by virtual server list. Besides, there are some IP protocols that do not have port number information. There is no way to use Virtual Server setting to forward incoming packet. Therefore, DMZ host is the easy to forward this kind of packets. If you enable and set virtual server and DMZ host, the precedence is Virtual Server and then DMZ. For example, the incoming packet will be checked with Firewall rules, Virtual Server rules and then DMZ host.
En bovendien, als 1 van mijn collega's via WLan of Lan zijn computer in deze Experiabox zou stoppen zou deze dan ook toegang hebben tot mijn DMZ Host? of is dit enkel geblokeerd vanaf mijn DMZ host naar zijn/haar computer? of geld dit onderstaande citaat niet op de DMZ host in een consumenten router.
A DMZ (demilitarized Zone) is a conceptual network design where publicly accessible servers are placed on a separate, isolated network segment. The intention of a DMZ is to ensure that publicly accessible servers cannot contact other internal network segments, in the event that a server is compromised.
Of begrijp ik iets verkeerd?

Mvg,
Nighthunter

[ Voor 40% gewijzigd door nighthunter op 19-08-2013 21:32 ]


Acties:
  • 0 Henk 'm!

  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 07-07 14:23

webfreakz.nl

el-nul-zet-é-er

... en is in dit geval het ingestelde DMZ Host apparaat niet vatbaar voor DDoS aanvallen, zoals die dat in een geavanceerde zakelijke netwerk zou zijn? zoals het hieronder geciteerde stuk dus ondersteund?
Dat klopt, de firewall op de experiabox zet een zekere screening aan zoals dat heet (bij Juniper SRX tenminste).
En bovendien, als 1 van mijn collega's via WLan of Lan zijn computer in deze Experiabox zou stoppen zou deze dan ook toegang hebben tot mijn DMZ Host? of is dit enkel geblokeerd vanaf mijn DMZ host naar zijn/haar computer? of geld dit onderstaande citaat niet op de DMZ host in een consumenten router.
Die moet nog wel toegang hebben ja. Het laatste citaat wordt eigenlijk teniet gedaan door je eerste citaat ;) Dat van die laatste is wat je kan maken met professionele firewalls.

Als ik jou was zou ik de OpenSSH server starten op die Kali machine en hem als DMZ host configureren, en kijken of je vanaf het internet door die Experiabox heen de SSH port kan bereiken.

> nmap $host -p 22
> ssh $host

Een ping zal je Experiabox niet doorlaten naar je Kali machine, die zal die zelf beantwoorden.

Je kan het controleren met een TCPDump op de achtergrond ;)

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!


Acties:
  • 0 Henk 'm!

  • nighthunter
  • Registratie: December 2007
  • Laatst online: 03-07 21:58
Okee, Dus dan is de DMZ host in ieder niet helemaal blootgelegt voor hackers, Op de poorten na natuurlijk.
Dan kan ik mijn Raspberry dus veilig achter DMZ zetten zonder een softwarematige firewall voor DDoS. Softwarematige Poortfirewall moet ik dan natuurlijk wel gaan gebruiken. het probleem is namelijk dat de Experiabox maar maximaal 10 poortregels ondersteund. en omdat mijn gebruikte poorten niet allemaal netjes op elkaar aansluiten leek me dit wel een goed alternatief.

De SSH server is inderdaad te berijken als ik DMZ Host naar mijn Kali bak heb gezet. Deze poort wordt immers gewoon geforward door de DMZ host setting.

Acties:
  • 0 Henk 'm!

  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 07-07 14:23

webfreakz.nl

el-nul-zet-é-er

Ik zou een even Googlen naar wat iptables scripts voor op je Raspberry, maar het is niet al te ingewikkeld :)

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!