DMZ (datornätverk)

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 24 januari 2021; kontroller kräver 5 redigeringar .

DMZ ( Eng. Demilitarized Zone - demilitarized zone, DMZ) är ett nätverkssegment som innehåller offentliga tjänster och skiljer dem från privata [1] . Till exempel kan en webbtjänst fungera som en offentlig tjänst : servern som tillhandahåller den , som är fysiskt placerad på det lokala nätverket ( Intranät ), måste svara på alla förfrågningar från det externa nätverket ( Internet ), medan andra lokala resurser (t. till exempel filservrar , arbetsstation ) måste isoleras från extern åtkomst.

Syftet med DMZ är att lägga till ett extra lager av säkerhet till det lokala nätverket , vilket gör det möjligt att minimera skador i händelse av en attack mot en av de offentliga tjänsterna: en extern angripare har endast direkt tillgång till utrustningen i DMZ [2 ] .

Terminologi och koncept

Namnet kommer från den militära termen " demilitariserad zon " - territoriet mellan de krigförande staterna, där militära operationer inte är tillåtna. Med andra ord, åtkomst till DMZ är öppen för båda parter, förutsatt att besökaren inte har något uppsåt. I analogi är konceptet med DMZ (till exempel när man bygger en gateway till det offentliga Internet) att ett område tilldelas i det lokala nätverket som inte är säkert som resten av nätverket (internt) och inte farligt som offentligt (externt) ) [3] [4] [5] .

System som är öppna för direktåtkomst från externa nätverk är vanligtvis främsta mål för angripare och är potentiellt utsatta för hot. Som en följd av detta kan dessa system inte helt lita på. Därför är det nödvändigt att begränsa åtkomsten av dessa system till datorer som finns inuti nätverket [6] .

Även om det ger skydd mot externa attacker, har DMZ i allmänhet ingenting att göra med interna attacker som trafikavlyssning [5] [7] .

Arkitektur och implementering

Separation av segment och kontroll av trafik mellan dem implementeras som regel av specialiserade enheter - brandväggar . Huvuduppgifterna för en sådan enhet är [8] :

åtkomstkontroll från det externa nätverket till DMZ;
åtkomstkontroll från det interna nätverket till DMZ;
tillstånd (eller kontroll) av åtkomst från det interna nätverket till det externa;
förbud mot åtkomst från det externa nätverket till det interna.

I vissa fall räcker det med en router eller till och med en proxyserver för att organisera en DMZ [2] .

Servrar i DMZ kan ha begränsad möjlighet att ansluta till individuella värdar på det interna nätverket [K 1] vid behov . Kommunikation i DMZ mellan servrar och med det externa nätverket är också begränsad för att göra DMZ säkrare än Internet för värd för vissa tjänster.[ vad? ] . På servrar i DMZ bör endast nödvändiga program köras , onödiga inaktiveras eller tas bort helt och hållet [8] .

Det finns många olika DMZ-nätverksarkitekturalternativ. Två huvudsakliga - med en brandvägg och med två brandväggar [2] [9] . Baserat på dessa metoder är det möjligt att skapa både förenklade och mycket komplexa konfigurationer som motsvarar kapaciteten hos den utrustning som används och säkerhetskraven i ett visst nätverk [5] .

Konfiguration av en brandvägg

För att skapa ett nätverk med en DMZ kan en brandvägg användas som har minst tre nätverksgränssnitt: en för att ansluta till leverantören ( WAN ), den andra - till det interna nätverket ( LAN ), den tredje - till DMZ. Ett sådant schema är enkelt att implementera, men ställer ökade krav på utrustning och administration : brandväggen måste behandla all trafik som går både till DMZ och till det interna nätverket. Samtidigt blir det en enda felpunkt , och om den hackas (eller ett fel i inställningarna) kommer det interna nätverket att vara sårbart direkt från det externa [3] .

Dubbel brandväggskonfiguration

Ett säkrare tillvägagångssätt är när två brandväggar används för att skapa en DMZ: en av dem kontrollerar anslutningar från det externa nätverket till DMZ, den andra - från DMZ till det interna nätverket. I det här fallet, för en framgångsrik attack på interna resurser, måste två enheter äventyras [2] . Dessutom kan långsammare applikationslagerfiltreringsregler konfigureras på den yttre skärmen , vilket ger förbättrat skydd för det lokala nätverket utan att negativt påverka prestandan för det inre segmentet [3] .

En ännu högre skyddsnivå kan tillhandahållas genom att använda två brandväggar från två olika tillverkare och (helst) olika arkitektur - detta minskar sannolikheten för att båda enheterna har samma sårbarhet [10] . Till exempel är det mindre sannolikt att en slumpmässig felkonfiguration inträffar i konfigurationen av gränssnitt från två olika tillverkare; ett säkerhetshål som hittas i en leverantörs system är mindre sannolikt att hamna i en annan leverantörs system. Nackdelen med denna arkitektur är den högre kostnaden [11] .

DMZ-värd

Vissa routrar i SOHO -klassen har funktionen att ge åtkomst från det externa nätverket till interna servrar ( DMZ-värd eller exponerat värdläge ). I det här läget är de en värd som har alla portar öppna (inte skyddade), förutom de som är översatta på ett annat sätt. Detta uppfyller inte riktigt definitionen av en äkta DMZ, eftersom servern med öppna portar inte är separerad från det interna nätverket. Det vill säga, en DMZ-värd kan fritt ansluta till resurser i det interna nätverket, medan anslutningar till det interna nätverket från den verkliga DMZ:en blockeras av brandväggen som separerar dem, såvida det inte finns en speciell tillåtelseregel [K 1] . En DMZ-värd ger ingen av de säkerhetsfördelar som subnät ger, och används ofta som en enkel metod för att vidarebefordra alla portar till en annan brandvägg eller enhet [5] [11] .

Anteckningar

↑ Sergeev A. Installera Microsoft-nätverk hemma och på kontoret. Utbildningskurs . - St Petersburg. : Piter Publishing House , 2006. - S. 312 . — ISBN 5-469-01114-3 .
↑ 1 2 3 4 Smith, 2006 .
↑ 1 2 3 Shinder, D. SolutionBase: Stärk nätverksförsvar genom att använda en DMZ . TechRepublic (29 juni 2005). Hämtad 14 april 2015. Arkiverad från originalet 24 januari 2021.
↑ Shinder , T. ISA Server DMZ-scenarier . ISAserver.org (27 juni 2001). Hämtad 14 april 2015. Arkiverad från originalet 8 juli 2016.
↑ 1 2 3 4 DMZ (DeMilitarized Zone ) . tech-faq.com. Hämtad 4 juni 2014. Arkiverad från originalet 26 april 2020.
↑ Kiselev E. Säkerhet för IBM Lotus Notes/Domino R7 . - M . : "InterTrust", 2007. - ISBN 5-7419-0084-4 . Arkiverad 6 juni 2014 på Wayback Machine Arkiverad kopia (länk ej tillgänglig) . Hämtad 4 juni 2014. Arkiverad från originalet 6 juni 2014. (obestämd)
↑ Design för omkretsbrandväggen . Microsoft TechNet. Hämtad 4 juni 2014. Arkiverad från originalet 26 augusti 2017.
↑ 1 2 Gergel, 2007 .
↑ Vikten av DMZ i nätverkssäkerhet (eng.) (länk ej tillgänglig) . NTSecurity.com (31/10/2012). Hämtad 4 juni 2014. Arkiverad från originalet 6 juni 2014.
↑ Smirnov A. A., Zhitnyuk P. P. Verkliga och fiktiva cyberhot // Russia in Global Affairs. - 2010. - Nr 2 . Arkiverad från originalet den 14 april 2015.
↑ 1 2 Johannes Endres. DMZ selbst gebaut (tyska) . Heise Netze (4.10.2006). Hämtad 14 april 2015. Arkiverad från originalet 17 november 2016.

Kommentarer

↑ 1 2 Brandväggen tillåter en anslutning från en värd på det interna nätverket till en värd på DMZ om anslutningen initierades (begärdes först) av värden på det interna nätverket.

Litteratur

Smith R.F. ISA Demilitarized Zone // Windows IT Pro/RE. - M . : " Öppna system ", 2006. - Nr 3 .
Gergel AV Datornätverk och nätverksteknologier . - Nizhny Novgorod: UNN , 2007. - S. 18. - 107 sid.
Robert Shimonski, Will Schmied. Bygga DMZ för företagsnätverk . - Syngress Publishing, 2003. - S. 304 . — 744 sid. — ISBN 1-931836-88-4 .