é seguro deixar o dmz habilitado?

[Rideh4rdz]

Nas configurações do roteador é seguro deixar o DMZ habilitado? E a opção ipv6 redirecionar portas, se deixar habilitado, também seria seguro?

[Mateus2]

É uma boa pergunta, será útil para muitas pessoas, que bom que você a fez; eis a resposta:
É extremamente inseguro, pois o usuário aceita que o roteador irá transferir qualquer dado em qualquer porta (passando por um firewall genérico no roteador, se estiver ativo), e irá direto para a sua placa de rede. Nenhum servidor utiliza DMZ!
Todo sistema que preza o mínimo de segurança, irá forçar o DMZ a estar desativado, somente se usa DMZ para debug de redes, verificar um software e analisar o que ele recebe de dados, porém reafirmo, nenhum servidor irá fazer debug de redes com DMZ ativo, e sim um servidor-testes com subnet totalmente independente e restrito, com IP externo talvez até diferente do IP servidor-mestre.

 

O problema de manter portas de conexão liberadas, é que se existem falhas em programas ou em placa de rede ou em sistema operacional, normalmente essas falhas não podem ser exploitadas justamente porque as portas de entrada estão fechadas, então enquanto um programa não definir a PORTA E IP de saída, nenhum IP consegue enviar pacotes para dentro da rede. E mais, o programa define o IP de saída, o roteador irá detectar isso e somente aceitará pacotes de entrada desse IP destino, não irá redirecionar nenhum pacote de outro IP nessa mesma porta, a não ser que o redirecionamento esteja ativo de alguma forma.

 

IPv6 redirecionar portas, é a mesma coisa que redirecionar portas no IPv4, mesmas regras, quem define é o protocolo entre roteador e sistema operacional (se estiver ativo Plug-and-Play/UPnP), ou o usuário, ou caso o UPnP de um certo software não esteja correto e ter de direcionar portas manualmente, ou o software não ter suporte UPnP.

 

O roteador barra os pacotes, somente faz a leitura da porta e IP de destino, portanto ele é tecnicamente imune a falhas de entrada, porém o sistema operacional tende a ler o conteúdo caso programas internos a ele estejam permitindo/forçando a liberdade em certa porta. Vírus irão usar o UPnP para comunicar externamente, se forem sofisticados, então o UPnP também é inseguro, porém o DMZ é de magnitudes pior.

Se preza pela segurança, deve-se rotear porta por porta, para certo IP, sabendo exatamente para onde vai e tendo a noção de que outros programas podem usar a porta ilegalmente (somente vírus faz isso, ou programas de análise de redes); se for projeto de redes sofisticado, é possível definir múltiplas portas para multi-casting em um pool de IPs.

[Rideh4rdz]

@Mateus2 Valeu, foi bastante útil mesmo. Estou tendo problemas para jogar um jogo online e encontrei na internet uma sugestão para habilitar o dmz, procurei na internet quais seriam os riscos mas não achei nenhuma resposta clara, apenas tutorias sobre como usar dmz e empresas e afins, coisas que não entendo direito.

Então valeu mesmo, vou deixar o então dmz desabilitado e procurar uma outra solução para o problema.

[Mateus2]

Pesquisa as portas que o jogo utiliza, ou senão verifica você mesmo usando o DMZ ativo, ou UPnP ativo, apenas para testes, fecha tudo que estiver usando internet e abra apenas o jogo e a Steam caso seja obrigatório, as portas você verifica com este software ou alternativos:
SoftPerfect Network Protocol Analyzer
https://www.softperfect.com/products/networksniffer/