В компьютерной безопасности , A DMZ или демилитаризованная зона (иногда упоминаются как по периметру сеть или экранированной подсеть ) представляет собой физическую или логическая подсеть , который содержит и выставляет внешние обращенные услуги организации к ненадежной, как правило , больше, сети , таким как Интернет . Цель DMZ - добавить дополнительный уровень безопасности в локальную сеть (LAN) организации: внешний сетевой узел может получить доступ только к тому, что открыто в DMZ, в то время как остальная часть сети организации защищена брандмауэром . [1]DMZ функционирует как небольшая изолированная сеть, расположенная между Интернетом и частной сетью. [2]
Название происходит от термина « демилитаризованная зона» - зона между государствами, в которой военные операции не разрешены.
Обоснование
DMZ рассматривается как не принадлежащая ни к одной из сетей, граничащих с ней. Эта метафора применима к использованию компьютеров, поскольку DMZ действует как шлюз в общедоступный Интернет. Он не так безопасен, как внутренняя сеть, и не так небезопасен, как общедоступный Интернет.
В этом случае хозяева наиболее уязвимыми для атак являются те , которые предоставляют услуги для пользователей за пределами локальной сети , например, электронной почты , Web и системы доменных имен (DNS) серверов. Из-за увеличения вероятности того, что эти хосты подвергнутся атаке, они помещаются в эту конкретную подсеть, чтобы защитить остальную часть сети в случае взлома любого из них.
Хостам в DMZ разрешено иметь только ограниченное соединение с определенными хостами во внутренней сети, поскольку содержимое DMZ не так безопасно, как внутренняя сеть. Точно так же связь между хостами в DMZ и с внешней сетью также ограничена, чтобы сделать DMZ более безопасной, чем Интернет, и подходящей для размещения этих служб специального назначения. Это позволяет хостам в DMZ взаимодействовать как с внутренней, так и с внешней сетью, в то время как промежуточный брандмауэр контролирует трафик между серверами DMZ и клиентами внутренней сети, а другой брандмауэр будет выполнять некоторый уровень контроля для защиты DMZ от внешней сети. .
Конфигурация DMZ обеспечивает дополнительную защиту от внешних атак, но обычно не имеет отношения к внутренним атакам, таким как перехват сообщений через анализатор пакетов или спуфинг, например спуфинг электронной почты .
Также иногда хорошей практикой является создание отдельной засекреченной военизированной зоны (CMZ) [3] , военизированной зоны с усиленным контролем, состоящей в основном из веб-серверов (и подобных серверов, которые взаимодействуют с внешним миром, например, с Интернетом), которые находятся не в DMZ, а содержат конфиденциальную информацию о доступе к серверам в локальной сети (например, к серверам баз данных). В такой архитектуре DMZ обычно имеет брандмауэр приложений и FTP, в то время как CMZ размещает веб-серверы. (Серверы баз данных могут находиться в CMZ, в локальной сети или вообще в отдельной VLAN.)
Любая услуга, предоставляемая пользователям во внешней сети, может быть помещена в демилитаризованную зону. Самые распространенные из этих услуг:
Веб-серверам, которые обмениваются данными с внутренней базой данных, требуется доступ к серверу базы данных , который может быть недоступен для всех и может содержать конфиденциальную информацию. Веб-серверы могут связываться с серверами баз данных напрямую или через брандмауэр приложений из соображений безопасности.
Сообщения электронной почты и, в частности, база данных пользователей являются конфиденциальными, поэтому они обычно хранятся на серверах, к которым нельзя получить доступ из Интернета (по крайней мере, небезопасным образом), но к ним можно получить доступ с серверов электронной почты, которые доступны в Интернете.
Почтовый сервер внутри DMZ передает входящую почту на защищенные / внутренние почтовые серверы. Он также обрабатывает исходящую почту.
В целях безопасности, соблюдения правовых стандартов, таких как HIPAA , и целей мониторинга в бизнес-среде некоторые предприятия устанавливают прокси-сервер в демилитаризованной зоне. Это дает следующие преимущества:
- Обязывает внутренних пользователей (обычно сотрудников) использовать прокси-сервер для доступа в Интернет.
- Сниженные требования к пропускной способности доступа в Интернет, поскольку некоторый веб-контент может кэшироваться прокси-сервером.
- Упрощает запись и мониторинг действий пользователей.
- Централизованная фильтрация веб-контента.
Обратный прокси - сервер, как прокси - сервер, является посредником, но используется другой путь. Вместо того, чтобы предоставлять услугу внутренним пользователям, желающим получить доступ к внешней сети, он обеспечивает непрямой доступ внешней сети (обычно Интернет) к внутренним ресурсам. Например, доступ к приложениям вспомогательного офиса, таким как система электронной почты, может быть предоставлен внешним пользователям (для чтения электронной почты, находясь за пределами компании), но удаленный пользователь не будет иметь прямого доступа к своему почтовому серверу (только обратный прокси-сервер может физический доступ к внутреннему почтовому серверу). Это дополнительный уровень безопасности, который особенно рекомендуется, когда к внутренним ресурсам необходимо получить доступ извне, но стоит отметить, что этот дизайн по-прежнему позволяет удаленным (и потенциально злонамеренным) пользователям общаться с внутренними ресурсами с помощью прокси. Поскольку прокси функционирует как ретранслятор между недоверенной сетью и внутренним ресурсом: он также может пересылать вредоносный трафик (например, эксплойты на уровне приложений ) во внутреннюю сеть; поэтому возможности прокси-сервера по обнаружению и фильтрации атак имеют решающее значение для предотвращения использования внешних злоумышленников уязвимостей, присутствующих во внутренних ресурсах, которые открываются через прокси. Обычно такой механизм обратного прокси-сервера обеспечивается с помощью брандмауэра прикладного уровня, который фокусируется на конкретной форме и содержании трафика, а не просто контролирует доступ к определенным портам TCP и UDP (как это делал бы брандмауэр с фильтром пакетов ), но обратный прокси-сервер обычно не является хорошей заменой хорошо продуманной конструкции DMZ, поскольку он должен полагаться на постоянное обновление сигнатур для обновленных векторов атак.
Архитектура
Есть много разных способов создать сеть с DMZ. Два из самых основных методов - с одним брандмауэром , также известным как трехногая модель, и с двумя брандмауэрами, также известными как спина к спине. Эти архитектуры могут быть расширены для создания очень сложных архитектур в зависимости от требований сети.
Единый брандмауэр
Один брандмауэр с как минимум 3 сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей DMZ. Внешняя сеть формируется от ISP до межсетевого экрана на первом сетевом интерфейсе, внутренняя сеть формируется из второго сетевого интерфейса, а DMZ формируется из третьего сетевого интерфейса. Брандмауэр становится единой точкой отказа для сети и должен быть в состоянии обрабатывать весь трафик, идущий как в DMZ, так и во внутреннюю сеть. Зоны обычно обозначаются цветами, например, фиолетовым для LAN, зеленым для DMZ, красным для Интернета (часто другой цвет используется для беспроводных зон).
Двойной брандмауэр
По мнению Колтона Фралика [4], наиболее безопасным подходом является использование двух межсетевых экранов для создания DMZ. Первый брандмауэр (также называемый брандмауэром «внешнего интерфейса» или «периметра» [5] ) должен быть настроен так, чтобы разрешать трафик, предназначенный только для DMZ. Второй межсетевой экран (также называемый «внутренним» или «внутренним» межсетевым экраном) разрешает трафик в DMZ только из внутренней сети.
Эта установка считается [4] более безопасной, поскольку потребуется взломать два устройства. Еще больше защиты обеспечивается, если два брандмауэра предоставляются двумя разными поставщиками, поскольку это снижает вероятность того, что оба устройства будут иметь одни и те же уязвимости безопасности. Например, дыра в безопасности, обнаруженная в системе одного поставщика, с меньшей вероятностью возникнет в системе другого. Одним из недостатков этой архитектуры является то, что ее дороже покупать и управлять. [6] Практика использования различных межсетевых экранов от разных поставщиков иногда описывается как компонент стратегии безопасности « глубокоэшелонированной » [7] .
Хост DMZ
Некоторые домашние маршрутизаторы относятся к хосту DMZ , что во многих случаях на самом деле является неправильным . Хост DMZ домашнего маршрутизатора - это единственный адрес (например, IP-адрес) во внутренней сети, на который отправляется весь трафик, который иначе не перенаправляется на другие хосты LAN. По определению, это не настоящая DMZ (демилитаризованная зона), поскольку маршрутизатор сам по себе не отделяет хост от внутренней сети. То есть хост DMZ может подключаться к другим хостам во внутренней сети, тогда как хосты в реальной DMZ не могут подключиться к внутренней сети из-за брандмауэра, который их разделяет, если брандмауэр не разрешает соединение.
Брандмауэр может разрешить это, если хост во внутренней сети сначала запрашивает соединение с хостом в DMZ. Хост DMZ не обеспечивает ни одного из преимуществ безопасности, которые предоставляет подсеть, и часто используется как простой метод переадресации всех портов на другое устройство межсетевого экрана / NAT . Эта тактика (создание узла DMZ) также используется с системами, которые не взаимодействуют должным образом с обычными правилами межсетевого экрана или NAT. Это может быть связано с тем, что правило пересылки невозможно сформулировать заранее (например, варьируя номера портов TCP или UDP, а не фиксированный номер или фиксированный диапазон). Это также используется для сетевых протоколов, для которых маршрутизатор не имеет программирования для обработки ( туннели 6in4 или GRE являются типичными примерами).
Смотрите также
- Бастионный хозяин
- Экранированная подсеть
- Сетевая архитектура Science DMZ DMZ для высокопроизводительных вычислений
Рекомендации
- ^ "Система управления безопасностью DMZ" . Официальный сайт Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США . Проверено 9 июня 2020 .
- ^ «Что такое DMZ и как она работает?» . Techtarget SearchSecurity . Проверено 9 июня 2020 .
- ^ Брэдли Митчелл (27 августа 2018 г.). «Демилитаризованная зона в компьютерных сетях» . Проверено 10 декабря 2018 .
- ^ а б Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения информационного обеспечения . Джон Вили и сыновья. п. 296. ISBN. 9781119101604.
- ^ «Дизайн межсетевого экрана по периметру» . Технический центр безопасности Майкрософт . Корпорация Microsoft . Проверено 14 октября 2013 года .
- ^ Зельцер, Ленни (апрель, 2002). «Развертывание межсетевого экрана для многоуровневых приложений»
- ^ Янг, Скотт (2001). «Проектирование DMZ» . Институт SANS. п. 2 . Проверено 11 декабря 2015 .
Нестандартный шаблон / шаблон без цитирования
- SolutionBase: усиление защиты сети с помощью DMZ от Деб Шиндер из TechRepublic .
- Эрик Майвальд. Сетевая безопасность: руководство для начинающих. Второе издание. Макгроу-Хилл / Осборн, 2003.
- Межсетевые экраны Интернета: часто задаваемые вопросы, составлено Мэттом Кертином, Маркусом Ранумом и Полом Робертсоном