DMZ
DMZ или демилитаризирана зона (на английски: demilitarized zone) в компютърната сигурност е физична или логична подмрежа, която съдържа и разкрива услугите в мрежата на организация към външна ненадеждна мрежа, най-често интернет. Целта на DMZ е да се добави допълнителен слой защита към вътрешната мрежа (LAN): външен мрежови възел има достъп единствено до това, което е разкрито от DMZ, докато останалата част от мрежата на организацията се намира зад защитна стена. Демилитаризираната зона функционира като малка, изолирана мрежа, позиционирана между интернет и частната мрежа, а ако дизайнът ѝ е ефективен, дава на организацията допълнително време за засичане и спиране на пробиви в сигурността, преди да са проникнали по-нататък във вътрешните мрежи.
Наименованието произлиза от термина „демилитаризирана зона“, представляваща района между две държави, в който военните действия са забранени.
Обосновка
[редактиране | редактиране на кода]Във военния смисъл, демилитаризираната зона не принадлежи на никоя страна. Тази концепция се прилага при компютрите, където DMZ играе ролята на порта към публичния интернет и нито е толкова сигурна като вътрешната мрежа, нито е толкова несигурна като глобалната мрежа.
В този случай, хостовете, най-уязвими към атаки, са тези, които предоставят услуги към потребители извън локалната мрежа, като например e-mail, уеб и DNS сървъри. Поради повишения потенциал тези хостове да претъпяват атаки, те се поставят в специална подмрежа, за да се защити останалата част от мрежата, в случай че някой от тях е компрометиран.
На хостовете в DMZ им е разрешено да има само ограничена свързаност към определени хостове във вътрешната мрежа, тъй като съдържанието в DMZ не е толкова сигурно, като това във вътрешната мрежа. По подобен начин, комуникацията между хостове в DMZ и към външната мрежа също е ограничена с цел да се направи DMZ по-сигурна от интернет и подходяща за подслоняване на услуги със специално предназначение. Това позволява на хостовете в DMZ да комуникират както с вътрешната, така и с външната мрежа. Една защитна стена контролира трафика между DMZ и вътрешната мрежа, а друга защитна стена упражнява известен контрол, за да защити DMZ от външната мрежа.
Конфигурацията на DMZ предоставя допълнителна сигурност от външни атаки, но обикновено няма отношение по вътрешните атаки, като например подслушването на комуникацията чрез анализатор на трафика или спуфинг атаки.
Всяка услуга, която се предоставя на потребителите във външна мрежа, може да бъде поставена в DMZ. Най-често това са:
- Уеб сървъри
- Пощенски сървъри
- FTP сървъри
- VoIP сървъри
Уеб сървърите, които комуникират с вътрешна база данни, имат нужда от достъп до сървър база данни, който може да не е публично достъпен и може да съдържа чувствителна информация. Уеб сървърите могат да комуникират със сървърите база данни както директно, така и чрез софтуерна защитна стена за повече сигурност.
Пощенските съобщения и особено потребителските бази данни са поверителни и затова обикновено се съхраняват на сървъри, които не са достъпни от интернет (поне не по несигурен начин), но са достъпни от пощенски сървъри, които са открити към интернет. Пощенският сървър, разположен в DMZ, предава идващото писмо към подсигурени вътрешни пощенски сървъри. Също така, той управлява и изходящите писма.
Поради причини за сигурност, съвместимост със законови стандарти и мониторинг, в бизнес средите, някои предприятия инсталират прокси сървър в DMZ. Това води със себе си следните ползи:
- Задължава вътрешните потребители (служителите) да използват прокси сървър за връзка към интернет.
- Намалява изискванията за пропускателна способност към интернет, тъй като уеб съдържанието може да бъде кеширано от прокси сървъра.
- Опростява записването и мониторирането на потребителските действия.
- Централизирано филтриране на уеб съдържанието.
Архитектура
[редактиране | редактиране на кода]Съществуват много различни начини за проектиране на мрежа с DMZ. Два от най-основните методи включват единична или двойна защитна стена. Тези архитектури могат да бъдат разширявани, за да се създадат много сложни архитектури, в зависимост от мрежовите изисквания.
Единична защитна стена
[редактиране | редактиране на кода]Единична защитна стена с най-малко 3 мрежови интерфейса може да бъда използвана, за да се създаде мрежова архитектура, съдържаща DMZ. Външната мрежа се образува от интернет доставчика до защитната стена на първия мрежови интерфейс, вътрешната мрежа се образува от втория мрежови интерфейс, а DMZ се образува от третия мрежови интерфейс. Защитната стена става единична точка за повреда за мрежата и трябва да може да се справя с целия трафик, идващ към DMZ, както и с вътрешната мрежа.
Двойна защитна стена
[редактиране | редактиране на кода]Смятано за по-сигурен подход,[1] е използването на две защитни стени при съставянето на DMZ. Първата защитна стена (наричана също периметърна защитна стена[2]) трябва да бъде конфигурирана така, че да пропуска трафик, насочен единствено към DMZ. Втората защитна стена (наричана също вътрешна защитна стена) пропуска трафик единствено от DMZ към вътрешната мрежа.
Тази структура се счита за по-сигурна,[1] тъй като две устройства трябва да бъдат компрометирани. Допълнителна защита може да бъде постигната, ако двете защитни стени са от различни производители, тъй като така намалява шансът двете да страдат от една и съща уязвимост в сигурността. Един от недостатъците на тази архитектура е, че е по-скъпа, както за закупуване, така и за поддръжка.[3] Практиката на използване на различни защитни стени от различни производители се счита за компонент на „защита в дълбочина“.[4]
Вижте също
[редактиране | редактиране на кода]Източници
[редактиране | редактиране на кода]- ↑ а б Jacobs, Stuart. Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance. John Wiley & Sons, 2015. ISBN 9781119101604. с. 563.
- ↑ Perimeter Firewall Design // Microsoft Security TechCenter. Microsoft Corporation.
- ↑ Zeltzer, Lenny (април 2002). Firewall Deployment for Multitier Applications
- ↑ Young, Scott. Designing a DMZ // SANS Institute, 2001. с. 2.