DMZ Host in Router

Beste Leden van Tweakers,

Ik heb eigenlijk een korte vraag namelijk:

Wat houd een DMZ Host in een hedendaagse consumentenrouter in?
Het algemene zakelijke netwerk opbouw van een DMZ is mij geloof ik duidelijk, maar omdat ik veelal op het internet lees dat dit niet gelijk staat aan een DMZ Host(Consumenten Router) vraag ik mij hier een aantal dingen af.

For some home routers, it refers to a DMZ Host. Strictly speaking, this is not a true DMZ (Demilitarized Zone). A home router DMZ host is a host on the internal network that has all ports exposed, except those ports otherwise forwarded. Which is often used a simple method to forward all ports to another firewall /NAT device.

Ik heb een aantal tests gedaan met een KPN Experiabox (die op mijn werk staat) en de DMZ Host functie. Zoals ik lees en merk worden bij dit ingestelde IP adres alle poorten doorgezet met uitzondering van de poorten anders ingesteld in de NAT tabel. Maar ik kan nergens vinden of de hardware firewall inactief wordt gesteld of actief blijft op dit ingestelde IP adres.

Als test heb ik met Kali Linux(voorheen Backtrack) een aantal UDP Floods en SYN Floods als test vanaf een extern IP adres rechtstreeks naar de computer die als DMZ ingesteld staat. Blijkt het toch zo te zijn dat de Firewall van de KPN Experiabox deze detecteerd(staat in Log) en blokkeerd.

Als ik het goed begrijp blijft de Firewall dus gewoon actief op dat betreffende DMZ adres echter wordt er alleen een firewall regel toegepast dat de NAT poorten direct worden doorgezet. en is in dit geval het ingestelde DMZ Host apparaat niet vatbaar voor DDoS aanvallen, zoals die dat in een geavanceerde zakelijke netwerk zou zijn? zoals het hieronder geciteerde stuk dus ondersteund?

What is DMZ host?

Regarding the DMZ Host (private IP address), it is a local computer exposed to the Internet. Therefore, an incoming packet will be checked by Firewall and NAT algorithms in BILLION BROADBAND ROUTER , then passed to the DMZ host when packet is not sent by hacker and not limited by virtual server list. Besides, there are some IP protocols that do not have port number information. There is no way to use Virtual Server setting to forward incoming packet. Therefore, DMZ host is the easy to forward this kind of packets. If you enable and set virtual server and DMZ host, the precedence is Virtual Server and then DMZ. For example, the incoming packet will be checked with Firewall rules, Virtual Server rules and then DMZ host.

En bovendien, als 1 van mijn collega's via WLan of Lan zijn computer in deze Experiabox zou stoppen zou deze dan ook toegang hebben tot mijn DMZ Host? of is dit enkel geblokeerd vanaf mijn DMZ host naar zijn/haar computer? of geld dit onderstaande citaat niet op de DMZ host in een consumenten router.

A DMZ (demilitarized Zone) is a conceptual network design where publicly accessible servers are placed on a separate, isolated network segment. The intention of a DMZ is to ensure that publicly accessible servers cannot contact other internal network segments, in the event that a server is compromised.

Of begrijp ik iets verkeerd?

Mvg,
Nighthunter

[ Voor 40% gewijzigd door nighthunter op 19-08-2013 21:32 ]

Okee, Dus dan is de DMZ host in ieder niet helemaal blootgelegt voor hackers, Op de poorten na natuurlijk.
Dan kan ik mijn Raspberry dus veilig achter DMZ zetten zonder een softwarematige firewall voor DDoS. Softwarematige Poortfirewall moet ik dan natuurlijk wel gaan gebruiken. het probleem is namelijk dat de Experiabox maar maximaal 10 poortregels ondersteund. en omdat mijn gebruikte poorten niet allemaal netjes op elkaar aansluiten leek me dit wel een goed alternatief.

De SSH server is inderdaad te berijken als ik DMZ Host naar mijn Kali bak heb gezet. Deze poort wordt immers gewoon geforward door de DMZ host setting.