DMZ (számítógépes hálózatok)

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. január 24-én felülvizsgált verziótól ; az ellenőrzések 5 szerkesztést igényelnek .

A DMZ ( Eng.  Demilitarized Zone  - demilitarized zone, DMZ) egy hálózati szegmens , amely közszolgáltatásokat tartalmaz, és elválasztja azokat a magánszolgáltatásoktól [ 1] . Például egy webszolgáltatás működhet közszolgáltatásként : az azt biztosító szervernek , amely fizikailag a helyi hálózaton ( Intranet ) található, válaszolnia kell a külső hálózat ( Internet ) bármely kérésére, míg a többi helyi erőforrásnak ( pl. például a fájlszervereket , a dolgozói állomást ) el kell különíteni a külső hozzáféréstől.

A DMZ célja egy további biztonsági réteg hozzáadása a helyi hálózathoz , amely lehetővé teszi a károk minimalizálását valamelyik közszolgáltatás elleni támadás esetén: a külső támadó csak a DMZ-ben lévő berendezésekhez férhet hozzá közvetlenül [2 ] .

Terminológia és fogalom

Az elnevezés a „ demilitarizált zóna ” katonai kifejezésből származik, amely a hadviselő államok közötti terület, ahol a katonai műveletek nem engedélyezettek. Más szavakkal, a DMZ-hez való hozzáférés mindkét fél számára nyitva áll, feltéve, hogy a látogatónak nincs rosszindulatú szándéka. Analógia alapján a DMZ koncepciója (például a nyilvános internethez való átjáró építésekor) az, hogy a helyi hálózatban olyan területet osztanak ki, amely nem biztonságos, mint a hálózat többi része (belső), és nem veszélyes (külső). ) [3] [4] [5] .

A külső hálózatokról közvetlen hozzáférésre nyitott rendszerek általában a támadók elsődleges célpontjai, és potenciálisan fenyegetéseknek vannak kitéve. Következésképpen ezekben a rendszerekben nem lehet teljesen megbízni. Ezért szükséges korlátozni e rendszerek hozzáférését a hálózaton belül található számítógépekre [6] .

Miközben védelmet nyújt a külső támadások ellen, a DMZ-nek általában semmi köze a belső támadásokhoz, például a forgalom elfogásához [5] [7] .

Építészet és megvalósítás

A szegmensek szétválasztását és a köztük lévő forgalom szabályozását általában speciális eszközök - tűzfalak - valósítják meg . Egy ilyen eszköz fő feladatai [8] :

Egyes esetekben egy router vagy akár egy proxy szerver is elegendő egy DMZ megszervezéséhez [2] .

Előfordulhat, hogy a DMZ-ben lévő kiszolgálók korlátozott mértékben tudnak csatlakozni a belső hálózat egyes gazdagépeihez [K 1] szükség szerint . A DMZ-ben a szerverek közötti és a külső hálózattal folytatott kommunikáció szintén korlátozott, hogy a DMZ biztonságosabb legyen, mint az internet bizonyos szolgáltatások tárolására.[ mi? ] . A DMZ-ben lévő szervereken csak a szükséges programokat szabad végrehajtani , a feleslegeseket letiltjuk vagy teljesen eltávolítjuk [8] .

Számos különböző DMZ hálózati architektúra opció létezik. Két fő - egy tűzfallal és két tűzfallal [2] [9] . Ezen módszerek alapján egyszerűsített és nagyon összetett konfigurációk is készíthetők, amelyek megfelelnek a használt berendezések képességeinek és az adott hálózat biztonsági követelményeinek [5] .

Egyetlen tűzfal konfiguráció

Hálózat létrehozásához DMZ-vel egy tűzfal használható, amely legalább három hálózati interfésszel rendelkezik: az egyik a szolgáltatóhoz való csatlakozáshoz ( WAN ), a második a belső hálózathoz ( LAN ), a harmadik a DMZ-hez. Egy ilyen séma egyszerűen megvalósítható, de fokozott követelményeket támaszt a berendezésekkel és az adminisztrációval szemben : a tűzfalnak fel kell dolgoznia a DMZ-re és a belső hálózatra irányuló összes forgalmat. Ugyanakkor egyetlen hibaponttá válik , és ha feltörik (vagy hiba van a beállításokban), a belső hálózat közvetlenül a külsőtől lesz sebezhető [3] .

Kettős tűzfal konfiguráció

Biztonságosabb megközelítés, ha két tűzfalat használnak egy DMZ létrehozásához: az egyik a külső hálózat és a DMZ közötti kapcsolatokat vezérli, a második a DMZ-től a belső hálózathoz. Ebben az esetben a belső erőforrások elleni sikeres támadáshoz két eszközt kell veszélyeztetni [2] . Ezenkívül a külső képernyőn lassabb alkalmazásrétegű szűrési szabályok konfigurálhatók , amelyek fokozott védelmet biztosítanak a helyi hálózat számára anélkül, hogy negatívan befolyásolnák a belső szegmens teljesítményét [3] .

Még magasabb szintű védelmet biztosíthat két különböző gyártótól származó két tűzfal és (lehetőleg) eltérő architektúra használata – ez csökkenti annak valószínűségét, hogy mindkét eszközön ugyanaz a sebezhetőség lesz [10] . Például kisebb valószínűséggel fordul elő véletlenszerű hibás konfiguráció két különböző gyártó interfészének konfigurációjában; az egyik szállító rendszerében talált biztonsági rés kisebb valószínűséggel kerül egy másik szállító rendszerébe. Ennek az architektúrának a hátránya a magasabb költség [11] .

DMZ gazdagép

Egyes SOHO -osztályú útválasztóknak az a funkciója, hogy hozzáférést biztosítsanak a külső hálózatról a belső szerverekhez ( DMZ gazdagép vagy nyílt gazdagép mód ). Ebben a módban olyan gazdagépről van szó, amelynek minden portja nyitva van (nem védett), kivéve azokat, amelyek más módon vannak lefordítva . Ez nem egészen felel meg a valódi DMZ definíciójának, mivel a nyitott portokkal rendelkező szerver nincs elválasztva a belső hálózattól. Ez azt jelenti, hogy egy DMZ gazdagép szabadon csatlakozhat a belső hálózat erőforrásaihoz, míg a valódi DMZ-től a belső hálózathoz való csatlakozást az őket elválasztó tűzfal blokkolja, hacsak nincs speciális engedélyezési szabály [K 1] . A DMZ gazdagép nem nyújtja az alhálózat által nyújtott biztonsági előnyök egyikét sem, és gyakran használják egyszerű módszerként az összes port másik tűzfalra vagy eszközre való továbbítására [5] [11] .

Jegyzetek

  1. Szergejev A. Microsoft hálózatok beállítása otthon és az irodában. Képzési tanfolyam . - Szentpétervár. : Piter Kiadó , 2006. - S.  312 . — ISBN 5-469-01114-3 .
  2. 1 2 3 4 Smith, 2006 .
  3. 1 2 3 Shinder, D. SolutionBase: Erősítse meg a hálózat védelmét  DMZ használatával . TechRepublic (2005. június 29.). Letöltve: 2015. április 14. Az eredetiből archiválva : 2021. január 24..
  4. ↑ Shinder , T. ISA Server DMZ forgatókönyvek  . ISAserver.org (2001. június 27.). Letöltve: 2015. április 14. Az eredetiből archiválva : 2016. július 8..
  5. 1 2 3 4 DMZ (Demilitarizált zóna  ) . tech-faq.com. Letöltve: 2014. június 4. Az eredetiből archiválva : 2020. április 26.
  6. Kiselev E. Az IBM Lotus Notes/Domino R7 biztonsága . - M . : "InterTrust", 2007. - ISBN 5-7419-0084-4 . Archivált 2014. június 6-án a Wayback Machine -nél Archivált másolat (hivatkozás nem érhető el) . Letöltve: 2014. június 4. Az eredetiből archiválva : 2014. június 6.. 
  7. Kerületi tűzfal  tervezés . Microsoft TechNet. Letöltve: 2014. június 4. Az eredetiből archiválva : 2017. augusztus 26..
  8. 1 2 Gergel, 2007 .
  9. A DMZ jelentősége a hálózati biztonságban  (eng.)  (a hivatkozás nem elérhető) . NTSecurity.com (2012.10.31.). Letöltve: 2014. június 4. Az eredetiből archiválva : 2014. június 6..
  10. Smirnov A. A., Zhitnyuk P. P. Valós és kitalált kiberfenyegetések  // Russia in Global Affairs. - 2010. - 2. sz . Az eredetiből archiválva : 2015. április 14.
  11. 1 2 Johannes Endres. DMZ selbst gebaut  (német) . Heise Netze (2006.10.4.). Letöltve: 2015. április 14. Az eredetiből archiválva : 2016. november 17..

Megjegyzések

  1. 1 2 A tűzfal lehetővé teszi a csatlakozást a belső hálózaton lévő gazdagéptől a DMZ-n lévő gazdagéphez, ha a kapcsolatot a belső hálózaton lévő gazdagép kezdeményezte (először kérte).

Irodalom