DMZ (tietokoneverkot)

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 24. tammikuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 5 muokkausta .

DMZ ( Eng.  Demilitarized Zone  - demilitarized zone, DMZ) on julkisia palveluita sisältävä verkkosegmentti, joka erottaa ne yksityisistä [1] . Esimerkiksi verkkopalvelu voi toimia julkisena palveluna : sen tarjoavan palvelimen , joka sijaitsee fyysisesti paikallisessa verkossa ( Intranet ), on vastattava kaikkiin ulkoisen verkon ( Internet ) pyyntöihin, kun taas muiden paikallisten resurssien (esim. esimerkiksi tiedostopalvelimet , work station ) on eristettävä ulkoisista yhteyksistä.

DMZ:n tarkoitus on lisätä paikallisverkkoon ylimääräinen suojauskerros , joka mahdollistaa vahingon minimoimisen, jos jokin julkisista palveluista hyökkää : ulkopuolisella hyökkääjällä on suora pääsy vain DMZ:n laitteisiin [2 ] .

Terminologia ja käsite

Nimi tulee sotilaallisesta termistä " demilitarisoitu vyöhyke " - sotivien valtioiden välinen alue, jolla sotilaalliset operaatiot eivät ole sallittuja. Toisin sanoen pääsy DMZ:hen on avoin molemmille osapuolille edellyttäen, että vierailijalla ei ole ilkeä tarkoitusta. Analogisesti DMZ:n käsite (esimerkiksi kun rakennetaan yhdyskäytävää julkiseen Internetiin) on, että paikallisverkossa on varattu alue, joka ei ole turvallinen kuin muu verkko (sisäinen) eikä vaarallinen julkisena (ulkoinen). ) [3] [4] [5] .

Järjestelmät, joihin pääsee suoraan ulkoisista verkoista, ovat yleensä hyökkääjien ensisijaisia ​​kohteita, ja ne ovat mahdollisesti alttiina uhille. Tämän seurauksena näihin järjestelmiin ei voida täysin luottaa. Siksi on välttämätöntä rajoittaa näiden järjestelmien pääsy verkon sisällä oleviin tietokoneisiin [6] .

Vaikka DMZ tarjoaa suojan ulkoisia hyökkäyksiä vastaan, sillä ei yleensä ole mitään tekemistä sisäisten hyökkäysten, kuten liikenteen sieppauksen , kanssa [5] [7] .

Arkkitehtuuri ja toteutus

Segmenttien erottaminen ja niiden välisen liikenteen hallinta toteutetaan pääsääntöisesti erikoistuneilla laitteilla - palomuurilla . Tällaisen laitteen päätehtävät ovat [8] :

Joissakin tapauksissa reititin tai jopa välityspalvelin riittää järjestämään DMZ:n [2] .

DMZ:n palvelimilla voi olla rajoitettu kyky muodostaa yhteyttä yksittäisiin isänteihin sisäisessä verkossa [K 1] tarpeen mukaan . Viestintä DMZ:ssä palvelimien välillä ja ulkopuolisen verkon kanssa on myös rajoitettu, jotta DMZ:stä tulee Internetiä turvallisempi tiettyjen palvelujen isännöimiseksi.[ mitä? ] . DMZ:n palvelimilla tulee suorittaa vain tarpeelliset ohjelmat , tarpeettomat poistetaan käytöstä tai poistetaan kokonaan [8] .

DMZ-verkkoarkkitehtuurivaihtoehtoja on monia erilaisia. Kaksi pääasiallista - yhdellä palomuurilla ja kahdella palomuurilla [2] [9] . Näiden menetelmien avulla on mahdollista luoda sekä yksinkertaistettuja että erittäin monimutkaisia ​​konfiguraatioita, jotka vastaavat käytettävien laitteiden ominaisuuksia ja tietyn verkon turvallisuusvaatimuksia [5] .

Yhden palomuurin kokoonpano

DMZ-verkon luomiseen voidaan käyttää yhtä palomuuria, jossa on vähintään kolme verkkoliitäntää: yksi yhteyden muodostamiseksi palveluntarjoajaan ( WAN ), toinen - sisäiseen verkkoon ( LAN ), kolmas - DMZ:ään. Tällainen järjestelmä on yksinkertainen toteuttaa, mutta se asettaa lisävaatimuksia laitteille ja hallinnolle : palomuurin on käsiteltävä kaikki liikenne, joka menee sekä DMZ:lle että sisäiseen verkkoon. Samalla siitä tulee yksi vikapiste , ja jos se hakkeroidaan (tai asetusvirhe), sisäinen verkko on haavoittuva suoraan ulkoisesta [3] .

Kaksoispalomuuriasetukset

Turvallisempi lähestymistapa on, kun DMZ:n luomiseen käytetään kahta palomuuria: toinen niistä ohjaa yhteyksiä ulkoisesta verkosta DMZ:hen, toinen - DMZ:stä sisäiseen verkkoon. Tässä tapauksessa sisäisiin resursseihin kohdistuva onnistunut hyökkäys edellyttää kahden laitteen vaarantumista [2] . Lisäksi hitaammat sovelluskerroksen suodatussäännöt voidaan määrittää ulkonäytölle , mikä parantaa paikallisverkon suojausta vaikuttamatta negatiivisesti sisäisen segmentin suorituskykyyn [3] .

Vielä korkeampi suojaustaso voidaan tarjota käyttämällä kahta palomuuria kahdelta eri valmistajalta ja (mieluiten) eri arkkitehtuuria - tämä vähentää todennäköisyyttä, että molemmissa laitteissa on sama haavoittuvuus [10] . Esimerkiksi satunnainen konfiguraatiovirhe on vähemmän todennäköinen kahden eri valmistajan liitäntöjen konfiguraatiossa; yhden toimittajan järjestelmästä löydetty tietoturva-aukko ei todennäköisesti pääty toisen toimittajan järjestelmään. Tämän arkkitehtuurin haittana on korkeammat kustannukset [11] .

DMZ-isäntä

Joidenkin SOHO -luokan reitittimien tehtävänä on tarjota pääsy ulkoisesta verkosta sisäisille palvelimille ( DMZ-isäntä tai avoin isäntätila ). Tässä tilassa ne ovat isäntä , jolla on kaikki portit auki (ei suojattu), paitsi ne, jotka on käännetty eri tavalla. Tämä ei täysin vastaa todellisen DMZ:n määritelmää, koska avointen porttien palvelinta ei ole erotettu sisäisestä verkosta. Toisin sanoen DMZ-isäntä voi vapaasti muodostaa yhteyden sisäisen verkon resursseihin, kun taas yhteydet sisäiseen verkkoon todellisesta DMZ:stä estetään ne erottava palomuuri, ellei ole erityistä sallimissääntöä [K 1] . DMZ-isäntä ei tarjoa mitään aliverkon tarjoamista turvallisuuseduista, ja sitä käytetään usein yksinkertaisena menetelmänä kaikkien porttien välittämiseksi toiseen palomuuriin tai laitteeseen [5] [11] .

Muistiinpanot

  1. Sergeev A. Microsoft-verkkojen määrittäminen kotona ja toimistossa. Koulutuskurssi . - Pietari. : Piter Publishing House , 2006. - S.  312 . — ISBN 5-469-01114-3 .
  2. 1 2 3 4 Smith, 2006 .
  3. 1 2 3 Shinder, D. SolutionBase: Vahvista verkon suojausta käyttämällä  DMZ :tä . TechRepublic (29. kesäkuuta 2005). Haettu 14. huhtikuuta 2015. Arkistoitu alkuperäisestä 24. tammikuuta 2021.
  4. ↑ Shinder , T. ISA Server DMZ -skenaariot  . ISAserver.org (27. kesäkuuta 2001). Haettu 14. huhtikuuta 2015. Arkistoitu alkuperäisestä 8. heinäkuuta 2016.
  5. 1 2 3 4 DMZ (Demilitarisoitu vyöhyke  ) . tech-faq.com. Haettu 4. kesäkuuta 2014. Arkistoitu alkuperäisestä 26. huhtikuuta 2020.
  6. Kiselev E. IBM Lotus Notes/Domino R7 -turvallisuus . - M . : "InterTrust", 2007. - ISBN 5-7419-0084-4 . Arkistoitu 6. kesäkuuta 2014 Wayback Machinessa Arkistoitu kopio (linkki ei ole käytettävissä) . Haettu 4. kesäkuuta 2014. Arkistoitu alkuperäisestä 6. kesäkuuta 2014. 
  7. Perimeter Firewall  Design . Microsoft TechNet. Haettu 4. kesäkuuta 2014. Arkistoitu alkuperäisestä 26. elokuuta 2017.
  8. 1 2 Gergel, 2007 .
  9. DMZ:n merkitys verkkoturvallisuuteen  (eng.)  (linkki ei ole käytettävissä) . NTSecurity.com (31.10.2012). Haettu 4. kesäkuuta 2014. Arkistoitu alkuperäisestä 6. kesäkuuta 2014.
  10. Smirnov A. A., Zhitnyuk P. P. Todelliset ja kuvitteelliset kyberuhat  // Venäjä globaaleissa asioissa. - 2010. - Nro 2 . Arkistoitu alkuperäisestä 14. huhtikuuta 2015.
  11. 1 2 Johannes Endres. DMZ selbst gebaut  (saksa) . Heise Netze (4.10.2006). Haettu 14. huhtikuuta 2015. Arkistoitu alkuperäisestä 17. marraskuuta 2016.

Kommentit

  1. 1 2 Palomuuri sallii yhteyden muodostamisen sisäisen verkon isännästä DMZ:n isäntään, jos sisäisen verkon isäntä käynnisti yhteyden (pyydettiin ensin).

Kirjallisuus