DMZ
Főnév
DMZ (tsz. DMZs)
A számítógépes biztonságban a DMZ vagy demilitarizált zóna (néha peremhálózatnak vagy árnyékolt alhálózatnak nevezik ) egy olyan fizikai vagy logikai alhálózat , amely egy nem megbízható, általában nagyobb hálózatot, például internetet tartalmaz, és kiszolgálja a szervezet külső szolgáltatásait . A DMZ célja, hogy egy további biztonsági réteget adjon a szervezet helyi hálózatához (LAN): egy külső hálózati csomópont csak a DMZ-ben található adatokhoz férhet hozzá, míg a szervezet hálózatának többi részét tűzfal védi . [ 1 ] A DMZ kicsi, elszigetelt hálózatként működik az internet és a magánhálózat között. [ 2 ]
Ez nem tévesztendő össze a DMZ gazdagéppel , amely néhány otthoni útválasztóban megtalálható, és gyakran jelentősen eltér a hagyományos DMZ-től.
A név a demilitarizált zóna kifejezésből származik , amely államok közötti terület, ahol nem engedélyezettek a katonai műveletek.
Indoklás A DMZ nem tartozik egyik vele határos hálózathoz sem. Ez a metafora a számítástechnika használatára vonatkozik, mivel a DMZ átjáróként működik a nyilvános internethez. Nem olyan biztonságos, mint a belső hálózat, és nem is olyan bizonytalan, mint a nyilvános internet.
Ebben az esetben a támadásoknak leginkább azok a gazdagépek vannak kitéve, amelyek a helyi hálózaton kívüli felhasználóknak nyújtanak szolgáltatásokat , például az e-mail- , web- és tartománynévrendszer- (DNS) szerverek. Mivel ezek a gazdagépek megnövekedett potenciális támadást szenvednek el, ebbe a speciális alhálózatba helyezik őket, hogy megvédjék a hálózat többi részét, ha bármelyikük veszélybe kerülne.
A DMZ-ben található gazdagépek csak korlátozottan kapcsolódhatnak a belső hálózat bizonyos gazdagépeihez, mivel a DMZ tartalma nem olyan biztonságos, mint a belső hálózat. Hasonlóképpen, a DMZ-ben lévő gazdagépek és a külső hálózat közötti kommunikációt is korlátozzák, hogy a DMZ biztonságosabb legyen, mint az internet, és alkalmas legyen e speciális célú szolgáltatások elhelyezésére. Ez lehetővé teszi a DMZ-ben lévő gazdagépek számára, hogy a belső és a külső hálózattal is kommunikáljanak, miközben egy beavatkozó tűzfal szabályozza a forgalmat a DMZ-kiszolgálók és a belső hálózati kliensek között, egy másik tűzfal pedig bizonyos szintű vezérlést végez, hogy megvédje a DMZ-t a külső hálózattól.
A DMZ-konfiguráció további védelmet nyújt a külső támadásokkal szemben, de általában nincs hatással a belső támadásokra, például a csomagelemzőn keresztüli kommunikációra vagy a hamisításra , például az e-mail-hamisításra .
Néha bevált gyakorlat egy külön besorolt militarizált zóna (CMZ) konfigurálása is, [ 3 ] egy erősen felügyelt militarizált zóna, amely többnyire webszerverekből (és hasonló, a külső világhoz, pl. az internethez csatlakozó kiszolgálókból) áll, amelyek nincsenek a DMZ-n belül, de érzékeny információkat tartalmaznak a LAN-on belüli szerverekhez (például adatbázis-kiszolgálókhoz) való hozzáférésről. Az ilyen architektúrában a DMZ általában rendelkezik az alkalmazás tűzfalával és az FTP-vel , míg a CMZ a webkiszolgálókat. (Az adatbázis-kiszolgálók lehetnek a CMZ-ben, a LAN-ban vagy egy külön VLAN-ban.)
Bármely szolgáltatás, amelyet a külső hálózaton a felhasználóknak nyújtanak, elhelyezhető a DMZ-ben. Ezek közül a szolgáltatások közül a leggyakoribbak:
Webszerverek Levelező szerverek FTP szerverek VoIP szerverek A belső adatbázissal kommunikáló webszerverek hozzáférést igényelnek egy adatbázis-kiszolgálóhoz , amely nem biztos, hogy nyilvánosan hozzáférhető, és érzékeny információkat tartalmazhat. A webszerverek biztonsági okokból közvetlenül vagy egy alkalmazástűzfalon keresztül tudnak kommunikálni az adatbázis-kiszolgálókkal.
Az e-mail üzenetek és különösen a felhasználói adatbázis bizalmasak, ezért jellemzően olyan szervereken tárolódnak, amelyek az internetről nem elérhetők (legalábbis nem biztonságos módon), de az internetnek kitett e-mail szerverekről elérhetők.
A DMZ-n belüli levelezőszerver továbbítja a bejövő leveleket a védett/belső levelezőszervereknek. A kimenő leveleket is kezeli.
A biztonság, a jogi szabványoknak, például a HIPAA-nak való megfelelés és a felügyeleti okok miatt üzleti környezetben egyes vállalatok proxyszervert telepítenek a DMZ-n belül. Ennek a következő előnyei vannak:
Kötelezi a belső felhasználókat (általában alkalmazottakat), hogy a proxyszervert használják az internet eléréséhez. Csökkentett internet-hozzáférési sávszélesség-igény, mivel egyes webes tartalmakat a proxyszerver gyorsítótárban tárolhat. Leegyszerűsíti a felhasználói tevékenységek rögzítését és nyomon követését. Központi webtartalom szűrés. A fordított proxyszerver a proxyszerverhez hasonlóan közvetítő, de fordítva használják. Ahelyett, hogy szolgáltatást nyújtana a külső hálózathoz hozzáférni kívánó belső felhasználóknak, közvetett hozzáférést biztosít egy külső hálózat (általában az internet) számára a belső erőforrásokhoz. Például egy háttér-alkalmazáshoz, például egy levelezőrendszerhez hozzáférést lehetne biztosítani külső felhasználóknak (az e-mailek elolvasásához a vállalaton kívül), de a távoli felhasználónak nem lenne közvetlen hozzáférése az e-mail szerveréhez (csak a fordított proxyszerver férhet hozzá fizikailag a belső e-mail szerverhez). Ez egy extra biztonsági réteg különösen ajánlott, ha a belső erőforrásokhoz kívülről kell hozzáférni, de érdemes megjegyezni, hogy ez a kialakítás továbbra is lehetővé teszi a távoli (és potenciálisan rosszindulatú) felhasználók számára, hogy a belső erőforrásokkal beszéljenek a proxy segítségével. Mivel a proxy közvetítőként működik a nem megbízható hálózat és a belső erőforrás között: rosszindulatú forgalmat (pl. alkalmazás szintű exploit ) is továbbíthat a belső hálózat felé; ezért a proxy támadásészlelési és szűrési képességei kulcsfontosságúak annak megakadályozásában, hogy a külső támadók kihasználják a proxyn keresztül elérhető belső erőforrásokban található sebezhetőségeket. Általában egy ilyen fordított proxy-mechanizmust olyan alkalmazási rétegű tűzfal biztosít , amely a forgalom meghatározott alakjára és tartalmára összpontosít, ahelyett, hogy csak az adott TCP- és UDP-portokhoz való hozzáférést szabályozná (ahogyan egy csomagszűrő tűzfal tenné), de a fordított proxy általában nem helyettesíti a jól átgondolt DMZ-tervezést, mivel a frissített támadási vektorok folyamatos frissítésére kell támaszkodnia.
Sokféle módon lehet hálózatot tervezni DMZ-vel. A két legalapvetőbb módszer az egyetlen tűzfal , más néven háromlábú modell, és a kettős tűzfal, más néven hátoldal. Ezek az architektúrák a hálózati követelményektől függően nagyon összetett architektúrák létrehozására bővíthetők.
Egyetlen tűzfal
Egy tipikus háromlábú hálózati modell diagramja, amely DMZ-t használ egyetlen tűzfallal. Egyetlen, legalább 3 hálózati interfésszel rendelkező tűzfal használható DMZ-t tartalmazó hálózati architektúra létrehozására. A külső hálózat az ISP- től a tűzfalig az első hálózati interfészen, a belső hálózat a második hálózati interfészen, a DMZ pedig a harmadik hálózati interfészen jön létre. A tűzfal a hálózat egyetlen meghibásodási pontjává válik, és képesnek kell lennie kezelni a DMZ-re és a belső hálózatra érkező összes forgalmat. A zónákat általában színekkel jelölik - például lila a LAN, zöld a DMZ, piros az internet (gyakran más színnel a vezeték nélküli zónák).
Kettős tűzfal
Egy tipikus DMZ-t használó hálózat diagramja kettős tűzfallal. A legbiztonságosabb megközelítés Colton Fralick szerint [ 4 ] , ha két tűzfalat használunk egy DMZ létrehozásához. Az első tűzfalat (amelyet "front-end" vagy "perimeter" [ 5 ] tűzfalnak is neveznek) úgy kell beállítani, hogy csak a DMZ-re irányuló forgalmat engedélyezze. A második tűzfal (más néven "háttér" vagy "belső" tűzfal) csak a belső hálózatról engedélyezi a forgalmat a DMZ felé.
Ez a beállítás [ 4 ] biztonságosabbnak tekinthető , mivel két eszközt kellene veszélyeztetni. Még nagyobb a védelem, ha a két tűzfalat két különböző gyártó biztosítja, mert így kisebb a valószínűsége annak, hogy mindkét eszköz ugyanazt a biztonsági rést szenvedje. Például az egyik szállító rendszerében talált biztonsági rések kisebb valószínűséggel fordulnak elő a másik rendszerben. Ennek az architektúrának az egyik hátránya, hogy költségesebb mind a beszerzése, mind a kezelése. [ 6 ] A különböző gyártóktól származó különböző tűzfalak használatának gyakorlatát néha a " mélyreható védelem " [ 7 ] biztonsági stratégia részeként írják le .
DMZ-gazda Néhány útválasztó rendelkezik egy DMZ host nevű szolgáltatással . Ez a funkció egy csomópontot (számítógépet vagy más IP-címmel rendelkező eszközt) jelölhet ki DMZ-gazdaként. Az útválasztó tűzfala a DMZ gazdagépen lévő összes portot feltárja a külső hálózatnak, és nem akadályozza meg a kívülről érkező bejövő forgalmat a DMZ gazdagép felé. [ 8 ] [ 9 ] Ez a porttovábbítás kevésbé biztonságos alternatívája , amely csak néhány portot tesz elérhetővé. Ezt a funkciót kerülni kell, kivéve, ha: [ 9 ]
A DMZ gazdagépként kijelölt csomópont a tényleges DMZ lefelé irányuló tűzfala (lehet, hogy maga az útválasztó nem része az otthoni hálózatnak) A csomópont egy erős tűzfalat futtat, amely képes szabályozni a belső biztonságot A portok puszta száma túl nagy a porttovábbítási funkcióhoz A helyes porttovábbítási szabályokat nem lehetett előre megfogalmazni A router porttovábbítása nem képes kezelni a releváns forgalmat, pl. 6in4 vagy GRE alagutak A fenti első forgatókönyv kivételével minden esetben a DMZ-gazdafunkciót a valódi DMZ-konfiguráción kívül használják.