Sinds de KPN hier binnen is gelegd, werken mijn portforwardingen niet meer, ip-camera's bedrijven terrein.
Ik krijg van de kpn 192.168.2.254, voorheen was alles ingesteld op 192.168.1.x en diverse poorts van 9000 t/m 9600
Achter het KPN modem Box 12b hangt een Unifi router, met 192.168.1.1 hierop de wan-poort van de kpn krijg ik daarop 192.168.2.32 en deze deelt 192.168.1.x aan de binnenkant uit, Alle hardware werkt weer, behalve de camera's om die van buitenaf te benaderen/monitoren
Hoe kan ik nu port forwarding in gang zetten, zodat alles op 192.168.1.x kan blijven werken, en niet 10 camera's moet configureren.
Bladzijde 1 / 2
Ik gok dat je daarvoor in je nieuwe modem opnieuw de portforwarding moet instellen naar je eigen router(192.168.2.32 ). Maak hier wel een vast ip van.
Als het apparaat achter: 192.168.2.32 nog steeds dezelfde instellingen heeft als voorheen moet dat voldoende zijn.
Achter het KPN modem Box 12b hangt een Unifi router, met 192.168.1.1 hierop de wan-poort van de kpn krijg ik daarop 192.168.2.32 en deze deelt 192.168.1.x aan de binnenkant uit, Alle hardware werkt weer, behalve de camera's om die van buitenaf te benaderen/monitoren
Hoe kan ik nu port forwarding in gang zetten, zodat alles op 192.168.1.x kan blijven werken, en niet 10 camera's moet configureren.
Zet op de V12 het IP adres dat aan de WAN poort van de Unifi toegewezen is vast als DHCP reservation. Hierdoor zal het IP adres niet meer wijzigen.
Stel het WAN IP adres van de Unifi op de V12 in als DMZ Host.
Port-forwardings maak je vervolgens op de Unifi.
Waarom een DMZ naar je router? Dat levert alleen maar extra beveiligings problemen op? Ik zou dat alleen aanraden als je last hebt van NAT problemen?
Waarom een DMZ naar je router? Dat levert alleen maar extra beveiligings problemen op?
Nee hoor, dat is precies waar de DMZ functionaliteit voor bedoeld is.
Goed, als u dan kiest voor de DMZ oplossing zult u er werk van moeten maken uw eigen router altijd zsm te updaten omdat deze nu volledig ontsloten is aan het internet. Het is dan zeker raadzaam om UPNP uit te zetten zodat er niet per ongeluk poorten worden open gezet naar andere zaken zoals bijvoorbeeld uw camera systeem..
Ik betwijfel ook ten zeerste of KPN een echte DMZ doorvoert of dat ze zoals bijna alle isp’s gewoon alle poorten forwarden naar het DMZ apparaat.
Als u het goed zou willen doen met een DMZ dan zitten alleen de camera’s achter de router die in de DMZ zit. En sluit u alle andere apparaten in huis aan op uw modem.
Een DMZ hoort altijd los te staan van uw interne netwerk.
Ik betwijfel ook ten zeerste of KPN een echte DMZ doorvoert of dat ze zoals bijna alle isp’s gewoon alle poorten forwarden naar het DMZ apparaat.
Uiteraard is de DMZ een echte DMZ waarbij ook niet routeerbaar verkeer (ICMP) doorgezet wordt naar de DMZ Host.
Ik betwijfel ook ten zeerste of KPN een echte DMZ doorvoert of dat ze zoals bijna alle isp’s gewoon alle poorten forwarden naar het DMZ apparaat.
Uiteraard is de DMZ een echte DMZ waarbij ook niet routeerbaar verkeer (ICMP) doorgezet wordt naar de DMZ Host.
En waarom stuurt die DMZ instelling alle ICMP’s door? Omdat een DMZ is bedacht om al het verkeer naar die DMZ te segmenteren van het lan netwerk in geval van een beveiligings incident. Het is dus niet de bedoeling om een DMZ in te stellen naar een router waar een lan achter zit.
tesseract schreef:
Het is dus niet de bedoeling om een DMZ in te stellen naar een router waar een lan achter zit.
Wat een onzin.
tesseract schreef:
Het is dus niet de bedoeling om een DMZ in te stellen naar een router waar een lan achter zit.
“A demilitarized zone network, or DMZ, is a subnet that creates an extra layer of protection from external attack.”
“A DMZ network, in computing terms, is a subnetwork that shears public-facing services from private versions.”
Deze omschrijving is van toepassing voor als je bewust voor DMZ kiest terwijl het ook anders kan.
De reden dat KPN DMZ ingebouwd heeft in hun routers is anders. Namelijk een 2de router kunnen gebruiken zonder poorten te hoeven forwarden.
Jij vind DMZ onveilig.
Goed, als u dan kiest voor de DMZ oplossing zult u er werk van moeten maken uw eigen router altijd zsm te updaten omdat deze nu volledig ontsloten is aan het internet.
Maar het is ook een mogelijkheid om de router van KPN volledig te vervangen door een eigen router. Bijvoorbeeld een ASUS of Fritzbox ofzo. Wat vind je van die mogelijkheid? Ook onveilig? Net zo onveilig als DMZ?
Het is dan zeker raadzaam om UPNP uit te zetten zodat er niet per ongeluk poorten worden open gezet naar andere zaken zoals bijvoorbeeld uw camera systeem.. hoort altijd los te staan van uw interne netwerk.
Voor heel veel mensen die gamen is het realistisch gezien eigenlijk geen optie om geen UPnP te gebruiken. Vooral niet als je veel verschillende games speelt. Want dan blijf je aan het poorten forwarden. Niet te doen.
tesseract schreef:
Het is dus niet de bedoeling om een DMZ in te stellen naar een router waar een lan achter zit.
“A demilitarized zone network, or DMZ, is a subnet that creates an extra layer of protection from external attack.”
“A DMZ network, in computing terms, is a subnetwork that shears public-facing services from private versions.”
Deze omschrijving is van toepassing voor als je bewust voor DMZ kiest terwijl het ook anders kan.
De reden dat KPN DMZ ingebouwd heeft in hun routers is anders. Namelijk een 2de router kunnen gebruiken zonder poorten te hoeven forwarden.
Nee. Dit is gevaarlijk en zorgt er voor dat jij zelf elke firmware update direct moet patchen op die router. Tevens kan bijvoorbeeld upnp als dat niet uitstaat poorten open zetten zonder dat jij het weet. Al met al geen goede opstelling voor normale gebruikers.
Een eigen modem gebruiken betekent dat jij zelf dat modem moet updaten en bijhouden. Dit is dus vergelijkbaar.
In de cyber sec is een vuistregel dat je alleen zaken ontsluit als dat nodig is. Daarom blijf ik helemaal voor particulieren aanraden dat ze portforwarding gebruiken voor eenvoudige zaken. Het blijft zaak om je netwerk goed te segmenteren en regelmatig zelf pentest uit te voeren als je diensten aan het net hebt hangen.
Alles dat je ontsluit aan het net is een risico. Een DMZ kan dan zorgen dat je die risico’s beheersbaar maakt maar dan moet je deze wel goed gebruiken.
Je zou er voor kunnen kiezen om de DHCP centraal te doen en beide routers de DHCP uitschakelt. Of gebruik een swicth.
Voor deze opstelling lijkt mij de protforward de meest veilige oplossing maar het zou mooier zijn met een vpn. Camera systemen staan er om bekend dat ze zo lek zijn als een mandje.
Regelmatig klappen we helle bedrijven dmv hun camera systeem.
Dit is gevaarlijk ...
Wat een onzin.
... en zorgt er voor dat jij zelf elke firmware update direct moet patchen op die router.
Uiteraard is de abonnee zelf verantwoordelijk voor het bijwerken van de firmware op zijn eigen apparatuur. Dat is ook zo als de abonnee de Experia/KPN Box zou vervangen door een eigen router.
Tevens kan bijvoorbeeld upnp als dat niet uitstaat poorten open zetten zonder dat jij het weet.
Als je eigen apparatuur gebruikt dan ben je uiteraard ook zelf verantwoordelijk voor een veilige configuratie van die apparatuur.
Maar blijf vooral je adviezen geven. Het is mijn werk om bij bedrijven zulke houtje touwtje shit weer op te lossen na een hack.
U komt op mijn over als een developer met al uw slechte beveiligingspraktijken.
Maar blijf vooral je adviezen geven.
Dat zal ik ook blijven doen, er is immers helemaal niets mis met mijn adviezen.
Er is t.a.v. security ook geen enkel verschil tussen het, op de Experia/KPN Box, als DMZ Host instellen van een eigen router en het vervangen van de Experia/KPN Box door een eigen router. In beide gevallen ben je als abonnee zelf verantwoordelijk om de firmware up-to-date te houden en de router goed en veilig in te stellen.
Die voorbeelden die je aanhaalt zijn net zo goed van toepassing voor abonnees die hun router rechtstreeks aan het netwerk van de provider hebben hangen.
Maar blijf vooral je adviezen geven.
Dat zal ik ook blijven doen, er is immers helemaal niets mis met mijn adviezen.
Ik geloof dat de verschillende NCSC’s daar heel anders over denken:
Ik ga er maar vanuit dat mensen eerder posts geloven die met bronnen komen. Die negeert u gemakshalve de hele tijd. tevens verwijst u naar een artikel dat u zelf heeft geschreven… Wij van WC eend..
Back to school boomer.
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Weet je wat pas veilig is? Helemaal geen internet gebruiken
Maar, je zult een afweging moeten maken tussen veiligheid en gebruikersgemak. Daarbij is DMZ of eigen router gebruiken gewoon een hele acceptabele optie. Niets mis mee.
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Easy, mensen die zelf hun modem gaan vervangen weten waar ze mee bezig zijn en snappen de beveiligings risico’s, wat u doet is normale gebruikers adviezen geven waarmee ze hun hele interne netwerk kunnen compromitteren met alle gevolgen van dien. U zou zeker bij dit soort geavanceerde instellingen moeten wijzen op de gigantische risico’s die er aanvast kleven. Ik heb inmiddels heel erg veel bronnen aangeleverd waarin uw advies volledig onderuit wordt gehaald en u gaat in tegen alle adviezen van instanties die er verstand van hebben.
Helemaal in de huidige tijd waarin zerotrust beveiliging steeds prominenter wordt komt u aanzetten met adviezen uit de jaren 90. In de meeste gevallen bij normale eindgebruikers is het instellen van een DMZ sowieso af te raden. Maar leest u aub nog even na waar een DMZ exact voor dient.
Kan ik op de experiabox niet simpelweg DMZ aanzetten en hetzelfde resultaat bereiken?
DMZ (Demilitarized Zone) op de Experiabox zorgt er voor dat de router het inkomende verkeer routeert naar een enkel IP adres op het lokale netwerk. Dat zou dan het IP adres van een andere router kunnen zijn. Helaas is dit niet ideaal en ondergeschikt aan de op deze website beschreven oplossing. De DMZ implementatie betreft namelijk alleen maar TCP en UDP waarbij de Experiabox ook nog eens niet alle poorten doorzet. Daarnaast gebruik je door 2 routers achter elkaar te plaatsen dubbele NAT wat mogelijke complicaties oplevert met portforwarding.
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Easy, mensen die zelf hun modem gaan vervangen weten waar ze mee bezig zijn en snappen de beveiligings risico’s, wat u doet is normale gebruikers adviezen geven waarmee ze hun hele interne netwerk kunnen compromitteren met alle gevolgen van dien.
Dus het enige verschil is blijkbaar dat de abonnees die hun Experia/KPN Box gaan vervangen weten waarmee ze bezig zijn en mensen die een eigen router als DMZ Host achter de Experia/KPN Box plaatsen dat niet weten. Dat is natuurlijk nogal een boude uitspraak maar goed, in ieder geval maakt het duidelijk dat ook jij niet aan kunt geven dat er een verschil is anders dan dat er mensen zijn die niet begrijpen dat er geen verschil is.
Kan ik op de experiabox niet simpelweg DMZ aanzetten en hetzelfde resultaat bereiken?
DMZ (Demilitarized Zone) op de Experiabox zorgt er voor dat de router het inkomende verkeer routeert naar een enkel IP adres op het lokale netwerk. Dat zou dan het IP adres van een andere router kunnen zijn. Helaas is dit niet ideaal en ondergeschikt aan de op deze website beschreven oplossing. De DMZ implementatie betreft namelijk alleen maar TCP en UDP waarbij de Experiabox ook nog eens niet alle poorten doorzet. Daarnaast gebruik je door 2 routers achter elkaar te plaatsen dubbele NAT wat mogelijke complicaties oplevert met portforwarding.
Ik ben het volledig met die site eens dat je beter de Experia/KPN Box kunt vervangen door een eigen router zodat double NAT voorkomen wordt. Overigens is het niet zo dat de DMZ implementatie alleen maar TCP en UDP betreft, ook ICMP wordt doorgezet naar de DMZ Host. Daarnaast kan enkel TCP poort 8085 niet gebruikt worden omdat deze voor het beheer van de Experia/KPN Box zelf gebruikt wordt. Daarnaast wordt ook niet al het verkeer gerouteerd naar één IP adres op het LAN (de DMZ Host) maar alleen het verkeer waarvoor op de Experia/KPN Box geen port-forwarding is ingesteld.
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Ooh en dit had ik al aangegeven eerder in het draadje. Maar u leest zoals altijd selectief.
Maar blijft u rustig roeptoeteren dat het prima is en veilig voor de normale gebruiker. Het is niet mijn netwerk.
Al deze ellende ontstaat doordat particulieren hun rommel ontsluiten aan het internet. Het advies dat u geeft.. Werkt u voor china?
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Ooh en dit had ik al aangegeven eerder in het draadje. Maar u leest zoals altijd selectief.
Waar dan?
Maar goed, er is dus geen verschil en dat weet jij uiteraard ook.
Al deze ellende ontstaat doordat particulieren hun rommel ontsluiten aan het internet. Het advies dat u geeft..
Het klopt dat je als abonnee natuurlijk geen rotzooi moet aansluiten maar wil je echt zeggen dat de abonnee maar de door de ISP geleverde router moet blijven gebruiken en vooral geen eigen router moet gebruiken?
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Ooh en dit had ik al aangegeven eerder in het draadje. Maar u leest zoals altijd selectief.
Waar dan?
Maar goed, er is dus geen verschil en dat weet jij uiteraard ook.
In dit draadje? Lezen?
Als daar geen heel goede reden voor is, zou ik het niet doen. KPN zorgt immers voor de updates en zorgt ervoor dat je veilig bent zonder dat je ernaar hoeft om te kijken.
U heeft opnieuw geen enkel artikel dat ik aanlever over waarom een eindgebruiker geen DMZ zou moeten instellen, gelezen of ter harte genomen. U gaat tegen het advies van alle professionals in en blijft vasthouden aan uw standpunt zonder legitieme redenen te geven waarom het gebruik van een DMZ een goede keuze zou zijn.
Daarnaast lijkt het erop dat u niet bekend bent met de definitie van een DMZ. Ik herhaal het nogmaals:
'Een DMZ-netwerk is een subnetwerk dat openbare diensten afschermt van vertrouwelijke assets.'
Een DMZ zou dus niet moeten verwijzen naar een router waar een intern netwerk achter zit, omdat dit verschillende gevaren met zich meebrengt.
Door een DMZ te configureren naar een router waar een thuisnetwerk achter zit, stelt u in feite het hele interne netwerk bloot aan risico’s van buitenaf. Dit gaat tegen alle aanbevolen beveiligingsrichtlijnen in. Een DMZ is bedoeld om diensten zoals web- of mailservers van het interne netwerk af te schermen, niet om het hele interne netwerk toegankelijk te maken.
Het opzetten van een DMZ zonder de juiste segmentering kan leiden tot:
Directe blootstelling van kwetsbare apparaten aan het internet.
Geen scheiding tussen interne en externe netwerken, wat hackers toegang kan geven tot alle devices in het thuisnetwerk.
Verhoogd risico op aanvallen zoals DDoS, malware-infecties, of het misbruiken van kwetsbare IoT-apparaten.
Als u dit advies blijft negeren, loopt u het risico om uw netwerk en de vertrouwelijke gegevens daarop ernstig in gevaar te brengen. De vraag blijft dus: waarom denkt u dat dit een veilige en verstandige keuze is, terwijl het tegengesteld is aan wat (security) professionals wereldwijd aanbevelen?
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Ooh en dit had ik al aangegeven eerder in het draadje. Maar u leest zoals altijd selectief.
Waar dan?
Maar goed, er is dus geen verschil en dat weet jij uiteraard ook.
In dit draadje? Lezen?
Met alle respect @tesseract, maar dat bericht vertelt me niet wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router.
U heeft opnieuw geen enkel artikel dat ik aanlever over waarom een eindgebruiker geen DMZ zou moeten instellen, gelezen of ter harte genomen.
Klopt, er is namelijk geen enkel door jou aangehaald artikel dat indruist tegen het instellen van een router als DMZ Host achter een Experia/KPN Box.
Door een DMZ te configureren naar een router waar een thuisnetwerk achter zit, stelt u in feite het hele interne netwerk bloot aan risico’s van buitenaf.
Dat is niet juist immers die router die als DMZ Host ingesteld is heeft gewoon een firewall die standaard alle van buitenaf geïnitieerde communicatie blokkeert en alleen verkeer zal doorlaten als er op die router weer port-forwardings ingesteld zijn of dat (onverstandig) uPnP geactiveerd is. Er is wat dat betreft geen enkel verschil tussen het gebruik van een eigen router als DMZ Host en het gebruik van een eigen router die de Experia/KPN Box vervangt. Maar het lijkt erop dat jij dat niet in wilt zien.
Met alle respect @tesseract, maar vertel me nu eens wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router?
Ooh en dit had ik al aangegeven eerder in het draadje. Maar u leest zoals altijd selectief.
Waar dan?
Maar goed, er is dus geen verschil en dat weet jij uiteraard ook.
In dit draadje? Lezen?
Met alle respect @tesseract, maar dat bericht vertelt me niet wat t.a.v. security het verschil is tussen het als DMZ Host instellen van een eigen router achter een Experia/KPN Box en het vervangen van de Experia/KPN Box door een eigen router.
U heeft opnieuw geen enkel artikel dat ik aanlever over waarom een eindgebruiker geen DMZ zou moeten instellen, gelezen of ter harte genomen.
Klopt, er is namelijk geen enkel door jou aangehaald artikel dat indruist tegen het instellen van een router als DMZ Host achter een Experia/KPN Box.
Door een DMZ te configureren naar een router waar een thuisnetwerk achter zit, stelt u in feite het hele interne netwerk bloot aan risico’s van buitenaf.
Dat is niet juist immers die router die als DMZ Host ingesteld is heeft gewoon een firewall die standaard alle van buitenaf geïnitieerde communicatie blokkeert en alleen verkeer zal doorlaten als er op die router weer port-forwardings ingesteld zijn of dat (onverstandig) uPnP geactiveerd is. Er is wat dat betreft geen enkel verschil tussen het gebruik van een eigen router als DMZ Host en het gebruik van een eigen router die de Experia/KPN Box vervangt. Maar het lijkt erop dat jij dat niet in wilt zien.
Uw antwoord mist belangrijke nuances en laat belangrijke zaken buiten beschouwing. Hier zijn een aantal punten die problematisch of onvolledig zijn:
Verkeerde aanname over de DMZ-host: Hoewel de router zelf een firewall kan hebben, is het doel van een DMZ om een deel van het netwerk (gedeeltelijk) toegankelijk te maken voor extern verkeer, iets dat u maar niet wilt aannemen. Het configureren van een router als DMZ-host kan alsnog kwetsbaarheden introduceren. Deze router ontvangt namelijk direct verkeer van buitenaf, wat het interne netwerk minder goed beschermt en de aanvalsvector vergroot. Dit wordt ook bevestigd door experts die wijzen op de gevaren van DMZ-configuraties zonder de juiste segmentatie, nog iets dat u gemakshalve elke keer negeert en ik aantoon met bronnen.
Port-forwarding/uPnP: U stelt dat port-forwarding of uPnP (terecht) onveilig kan zijn, maar dit betekent niet dat het ontbreken daarvan een DMZ volledig veilig maakt. Het hebben van een firewall is geen garantie dat de risico’s zijn afgedekt. Firewalls moeten zorgvuldig worden geconfigureerd, en zelfs dan kunnen er nog altijd kwetsbaarheden zijn, vooral wanneer een router direct aan het internet hangt. KPN vangt dit voor gebruikers af door hun modems up to date te houden, voor de eindgebruiker dus geen omkijken naar.
Vergelijking met het vervangen van de KPN Box: Hoewel het waar is dat de risico's van een DMZ-opstelling en het vervangen van de KPN Box vergelijkbaar kunnen zijn, is het belangrijk om te vermelden dat het vervangen van een modem meestal wordt gedaan door mensen met technische kennis die specifieke redenen hebben om dit te doen. Deze mensen begrijpen vaak beter hoe ze een router moeten beveiligen en beheren, en zijn zich bewust van de risico's die verbonden zijn aan het direct blootstellen van een router aan het internet.
Het configureren van een DMZ door een gebruiker zonder diepgaande technische kennis is riskant, omdat deze opstelling specifieke maatregelen vereist. Het is niet verstandig om minder technisch onderlegde gebruikers bloot te stellen aan dit soort opstellingen zonder duidelijke uitleg van de risico's. Een DMZ is namelijk veel vatbaarder voor misconfiguraties, en zonder de juiste kennis kunnen deze fouten de beveiliging van het hele netwerk in gevaar brengen.
Samenvattend: het vervangen van een modem of router gebeurt meestal door mensen die weten wat ze doen, terwijl een DMZ-opstelling vaak complex en foutgevoelig is voor gebruikers zonder technische expertise.
Vermijden van de kern: Het belangrijkste punt hier is dat het instellen van een DMZ-router het risico op aanvallen vergroot en misconfiguraties kan veroorzaken, vooral bij minder technisch onderlegde gebruikers. Deze gebruikers hebben mogelijk niet de kennis om een router correct te configureren en te beveiligen, wat kan leiden tot ernstige kwetsbaarheden in hun netwerk. Dit is een fundamenteel beveiligingsrisico dat u negeert in uw antwoord.
Bovendien zijn er talrijke botnetwerken die zich richten op slecht beveiligde routers. Deze botnetwerken worden vaak gevormd door routers die kwetsbaar zijn door verkeerde configuraties of verouderde firmware. Wanneer een router in een DMZ is geplaatst zonder adequate beveiliging, wordt deze gemakkelijk blootgesteld aan kwaadwillende aanvallen. Cybercriminelen kunnen deze kwetsbaarheden uitbuiten om de router te compromitteren, waardoor deze deel uitmaakt van een botnet dat wordt gebruikt voor verschillende kwaadaardige doeleinden, zoals DDoS-aanvallen of het verspreiden van malware. https://www.security.nl/posting/861350/NCSC+ontdekt+150+besmette+routers+in+Nederland+die+onderdeel+van+botnet+zijn
In plaats van een DMZ aan te bevelen, zijn er veiligere alternatieven beschikbaar, zoals port-forwarding of het gebruik van een VPN. Deze opties stellen gebruikers in staat om specifieke diensten toegankelijk te maken zonder de hele router bloot te stellen aan het internet. Port-forwarding maakt het mogelijk om alleen bepaalde poorten te openen voor verkeer, terwijl een VPN een veilige verbinding biedt voor externe toegang zonder het risico van een onjuist geconfigureerde DMZ.
Het adviseren van een DMZ zonder juiste begeleiding voor de gemiddelde thuisgebruiker kan ernstige gevolgen hebben. Het is belangrijk om gebruikers te informeren over de risico's en hen veiliger alternatieven aan te bieden die beter aansluiten bij hun kennisniveau en behoeften.
Aangezien KPN veel klanten heeft die minder kennis hebben van netwerkbeveiliging, vind ik het zorgelijk dat dit soort adviezen gegeven worden zonder volledige uitleg van de risico's. Het advies om een DMZ in te stellen op deze manier kan kwetsbaarheden in een thuisnetwerk vergroten, wat tegen alle adviezen van overheden en experts ingaat, zie bronnen.
Bronnen:
Cisco: What is a DMZ Network and Why Would You Use It? Beschrijft de risico's en het juiste gebruik van een DMZ: https://community.cisco.com/t5/switching/what-is-the-use-dmz/td-p/2313763
Sophos: Network Segmentation and DMZ Best Practices Bevestigt het belang van juiste netwerksegmentatie en de gevaren bij misconfiguraties: https://www.okta.com/identity-101/dmz/
SANS Institute: DMZ Design Principles and Risks Waarom DMZ's niet mogen worden gebruikt voor routers die thuisnetwerken beschermen: https://sansorg.egnyte.com/dl/aK7nqeYC3o
NIST: Security Considerations for Remote Network Administration Beschrijft de gevaren van verkeerd ingestelde DMZ's voor thuisgebruikers en kleine bedrijven: https://csrc.nist.gov/glossary/term/demilitarized_zone
DoD: Limit administration to the internal network only Hier wordt duidelijk aangegeven dat een eigen router grote risico's met zich meebrengt: https://media.defense.gov/2020/Sep/17/2002499615/-1/-1/0/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF.pdf https://media.defense.gov/2023/Feb/22/2003165170/-1/-1/0/CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF
Ik laat het hierbij en ga er vanuit dat mensen na het lezen van alle informatie zelf een afweging kunnen maken.
DMZ bij KPN word gewoon anders gebruikt dan dat tesser dat in gedachte heeft. Hij spreekt over "een gedeelte van het netwerk". Bij KPN is DMZ 1 ip adres.
Hierover door discuseren en linkjes plaatsen naar websites die niemand leest is denk ik volkomen zinloos. Jullie zitten gewoon langs elkaar heen te praten.
Reageer
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.