Hướng dẫn thiết lập DMZ trong Mikrotik

DMZ là viết tắt của Khu phi quân sự, thuật ngữ này xuất phát từ việc sử dụng quân sự, có nghĩa là vùng đệm giữa hai kẻ thù.Áp dụng nó vào môi trường CNTT, điều đó có nghĩa là máy tính hoặc mạng con nhỏ nằm trong số các mạng nội bộ đáng tin cậy, như mạng LAN doanh nghiệp tư nhân và mạng bên ngoài đáng tin cậy, như Internet công cộng.

Thông thường, DMZ chứa các thiết bị có thể truy cập cho lưu lượng truy cập internet, chẳng hạn như máy chủ Web (HTTP), máy chủ FTP, máy chủ SMTP (e-mail) và máy chủ DNS.

Khu vực phi quân sự được sử dụng để bảo mật các mạng nội bộ khỏi sự truy cập bên ngoài. DMZ có thể được tạo bằng Bộ định tuyến MikroTik. Có nhiều cách khác nhau để thiết kế mạng với DMZ. Phương pháp cơ bản là sử dụng một tường lửa Linux duy nhất với 3 thẻ Ethernet. Sau đây là thảo luận về cài đặt DMZ và chuyển tiếp lưu lượng truy cập công cộng cho các máy chủ nội bộ.
Thiết lập DMZ

Trong cuộc thảo luận này, MikroTik RouterBoard 1100 được sử dụng.



Trong cuộc thảo luận này, 3 NIC đã được sử dụng với các chi tiết sử dụng sau:
eth1 với 10.252.108.14, địa chỉ IP có nguồn gốc từ máy chủ EEPIS (trong trường hợp này, địa chỉ IP này được coi là IP công cộng), được lấy từ DHCP EEPIS Server.
eth2 với 192.168.2.1, địa chỉ IP riêng, DMZ được kết nối với máy chủ Web.
eth3 với địa chỉ IP riêng 192.168.1.1, mạng riêng được sử dụng cho khách hàng.



Để đơn giản hóa cấu hình, hãy sử dụng Winbox, tiện ích để GUI từ xa đến Bộ định tuyến Mikrotik. Đối với cửa sổ. Sau đây là cấu hình đã được thử:

1. Đăng nhập vào MikroTik. Trước tiên, để kết nối giữa máy chủ MikroTik và EEPIS, hãy tạo eth1 để nhận kết quả DHCP từ máy chủ EEPIS. Sau đây là kết quả của ứng dụng khách DHCP trên eth1.



2. Nếu cần, hãy đưa ra nhận xét về cổng Ethernet được sử dụng, cùng với kết quả nhận xét về cổng eth theo các quy định ở trên.



3. Mở thiết bị đầu cuối MikroTik, trước tiên hãy xem kết quả trên tất cả các giao diện



4. Gán địa chỉ IP 192.168.1.1 trên eth3. Sau đó kiểm tra các thay đổi



5. Thêm địa chỉ IP 10.252.108.1 (cổng từ máy chủ EEPIS) làm cổng từ IP được coi là IP công cộng. Kiểm tra kết quả của các bổ sung.



6. Để tạo máy chủ DHCP, chỉ định máy chủ DNS. Máy chủ DNS được sử dụng là máy chủ DNS từ EEPIS, cụ thể là 202.985.3.Yêu cầu từ xa từ xa trở thành có để xác định xem máy chủ DNS có cho phép yêu cầu mạng hay không. Khi yêu cầu từ xa được kích hoạt, bộ định tuyến MikroTik đáp ứng các yêu cầu DNS và UDP DNS trên cổng 53. Sau đó kiểm tra kết quả của các bổ sung.



7. Sau đó, tạo dịch vụ DHCP cho eth3 với không gian mạng 192.168.1.0/24 với cổng 192.168.1.1 trên máy chủ DNS EEPIS đã được đặt trước đó. Cấu hình hơn nữa được hiển thị trong hình dưới đây.



8. Sau đó gán eth2 để gán IP, cụ thể là 192.168.2.1.



9. Thêm NAT nguồn hoặc tìm thấy nó với hành động giả trang. Scripting là một loại NAT dịch các gói có nguồn gốc từ các mạng NAT. Bộ định tuyến NAT sẽ dịch các gói có nguồn gốc từ địa chỉ IP riêng sang địa chỉ IP công cộng thông qua bộ định tuyến. Việc trả lại gói trả lời sẽ được thực hiện bằng cách đảo ngược thao tác. Masquerading sẽ thay đổi địa chỉ IP nguồn và cổng của gói từ mạng 192.168.1.0/24 thành địa chỉ 10.255.108.114 từ bộ định tuyến khi gói được định tuyến qua bộ định tuyến.



10. Sau đó, cũng thêm NAT đích hoặc dstnat từ tất cả các nguồn trên IP đích 10.252.108.14 trên giao thức TCP theo hướng 192.168.2.2 vào cổng 80 trong đó trên IP 192.168.2.2:80 đã chuẩn bị một dịch vụ web. Đây là một loại NAT dịch các gói có nguồn gốc từ các mạng truy cập IP công cộng (10.252.108.14) sang mạng cục bộ (riêng tư) và chuyển tiếp chúng đến IP đã được chỉ định, cụ thể là 192.168.2.2:80.


Kết quả thử nghiệm trên Máy khách

Các kết quả dịch vụ DHCP được cung cấp bởi máy chủ DHCP của MikroTik.



Ping kết quả máy khách (mạng riêng tới 192.168.1.1 và tới IP công cộng 10.252.108,14)



Kết quả của khách hàng truy cập vào một trang web bên ngoài - trang web EEPIS



Khi IP công cộng được truy cập, nó được chuyển tiếp tới 192.168.2.2 thay vì truy cập 192.168.1.1/webconfig


Kết luận

DMZ là khu vực dành cho tin tặc được sử dụng để bảo vệ các hệ thống nội bộ liên quan đến các cuộc tấn công của hacker (tấn công hack). DMZ hoạt động trên tất cả các dịch vụ mạng cơ bản yêu cầu quyền truy cập vào mạng "Internet hoặc thế giới bên ngoài" tới các phần khác của mạng. Bằng cách đó, tất cả các "cổng mở" liên quan đến thế giới bên ngoài sẽ nằm trên mạng, vì vậy nếu tin tặc tấn công và bẻ khóa máy chủ bằng hệ thống DMZ, tin tặc sẽ chỉ có thể truy cập máy chủ, không phải trên mạng nội bộ. Nói chung, DMZ được xây dựng trên ba khái niệm, đó là: NAT (Dịch địa chỉ mạng), PAT (Dịch địa chỉ cổng) và Danh sách truy cập. Các hàm NAT để hiển thị lại các gói đến từ "địa chỉ thực" thành địa chỉ nội bộ. Ví dụ: nếu chúng tôi có "địa chỉ thực" 10.252.108,14, chúng tôi có thể tạo NAT trực tiếp trên dữ liệu đến 192.168.1.1 (địa chỉ mạng nội bộ). Sau đó, PAT phục vụ hiển thị dữ liệu đến một cổng cụ thể hoặc phạm vi của cổng và giao thức (TCP / UDP hoặc khác) và địa chỉ IP cho một cổng hoặc phạm vi cổng cụ thể đến địa chỉ IP nội bộ. Trong khi danh sách truy cập có chức năng kiểm soát chính xác những gì đến và thoát khỏi mạng trong một câu hỏi. Ví dụ: chúng tôi có thể từ chối hoặc cho phép tất cả ICMP đến với tất cả các địa chỉ IP ngoại trừ một ICMP không mong muốn.

Chức năng dịch địa chỉ mạng (NAT) để chỉ dẫn địa chỉ thực, chẳng hạn như địa chỉ internet, đến các mẫu địa chỉ nội bộ. Ví dụ: địa chỉ thực 10.252.108.14 có thể được chuyển trực tiếp đến mẫu địa chỉ mạng nội bộ 192.168.2.1 bằng NAT. Tuy nhiên, nếu tất cả thông tin được tự động dịch vào một địa chỉ nội bộ, sẽ không có quyền kiểm soát thông tin được nhập. Do đó, PAT nổi lên.

Chức năng dịch địa chỉ cổng (PAT) để định hướng dữ liệu đi qua các cổng, một tập hợp các cổng và giao thức, cũng như địa chỉ IP trên các cổng hoặc một tập hợp các bài đăng. Vì vậy, nó có thể được kiểm soát chặt chẽ cho mọi dữ liệu chảy từ và vào mạng.

Danh sách truy cập thực hiện các dịch vụ để người dùng có thể kiểm soát dữ liệu mạng. Danh sách truy cập có thể từ chối hoặc chấp nhận quyền truy cập dựa trên địa chỉ IP, địa chỉ IP đích và loại giao thức.

Trong thử nghiệm, không có danh sách truy cập nào được thực hiện, nhưng thử nghiệm này có thể nói là DMZ đơn giản được triển khai trên Bộ định tuyến MikroTik.