Демілітаризована зона (комп'ютерні мережі)

Демілітаризована зона (англ. Demilitarized Zone, скор. DMZ або ДМЗ) сегмент мережі, що містить загальнодоступні сервіси та відокремлює їх від приватних[1]. Як загальнодоступний може виступати, наприклад, веб-сервіс: сервер, що його забезпечує, який фізично розміщений у локальній мережі (Інтранет), повинен відповідати на будь-які запити із зовнішньої мережі (Інтернет), при цьому інші локальні ресурси (наприклад, файлові сервери, робочі станції) необхідно ізолювати від зовнішнього доступу.

Мета ДМЗ — надати додатковий рівень безпеки в локальній мережі, який дозволяє мінімізувати збитки в разі атаки на один із загальнодоступних сервісів: зовнішній зловмисник має прямий доступ тільки до обладнання в ДМЗ[2].

Термінологія та концепція

Назва походить від воєнного терміна «демілітаризована зона» — територія між ворожими державами, на якій не допускаються воєнні операції. Інакше кажучи, доступ у ДМЗ відкритий для обох сторін за умови, що відвідувач не має злого наміру. Аналогічно, концепція ДМЗ (наприклад, при побудові шлюзу в публічний Інтернет) полягає в тому, що в локальній мережі виділяється область, яка не є безпечною, як частина мережі, що залишилася (внутрішня), і не небезпечна, як публічна (зовнішня)[3] [4] [5].

Системи, відкриті для прямого доступу з зовнішніх мереж, як правило, є головними цілями зловмисників і потенційно наражаються на проявлення загроз. Як наслідок, вони не можуть послуговуватися повною довірою. Тому необхідно обмежити доступ цих систем до комп'ютерів, розташованих усередині мережі[6].

Надаючи захист від зовнішніх атак, ДМЗ, як правило, не має жодного стосунку до атак внутрішніх, таких як перехоплення трафіку[5][7].

Архітектура та реалізація

Розділення сегментів і контроль трафіку між ними, як правило, реалізуються спеціалізованими пристроями міжмережевими екранами. Основними завданнями такого пристрою є[8]:

  • контроль доступу з зовнішньої мережі в ДМЗ;
  • контроль доступу з внутрішньої мережі в ДМЗ;
  • дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню;
  • заборонена доступу з зовнішньої мережі у внутрішню.

У деяких випадках для організації ДМЗ достатньо засобів маршрутизатора чи навіть проксі-сервера[2].

Сервери в ДМЗ за необхідності можуть мати обмежене з'єднання з окремими вузлами у внутрішній мережі[К 1]. Зв'язок у ДМЗ між серверами й із зовнішньою мережею також обмежується, щоб зробити ДМЗ безпечнішою для розміщення певних сервісів, ніж Інтернет. На серверах у ДМЗ повинні виконуватися лише необхідні програми, непотрібні вимикаються чи взагалі видаляються[8].

Існує безліч різних варіантів архітектури мережі з ДМЗ. Два основних — з одним міжмережевим екраном і з двома міжмережевими екранами[2][9]. На базі цих методів можна створювати як спрощені, так і дуже складні конфігурації, відповідні до можливостей використовуваного обладнання та вимог до безпеки в конкретній мережі[5].

Конфігурації ДМЗ

Конфігурація з одним міжмережевим екраном

Схема з одним міжмережевим екраном

Для створення мережі з ДМЗ може бути використаний один міжмережевий екран, який має мінімум три мережеві інтерфейси: один — для з'єднання з провайдером (WAN), другий — із внутрішньою мережею (LAN), третій — з ДМЗ. Така схема проста в реалізації, однак має підвищені вимоги до обладнання й адміністрування: міжмережевий екран повинен обробляти весь трафік, що йде як у ДМЗ, так і у внутрішню мережу. При цьому він стає «єдиною точкою відмови», а у випадку його зламу (чи помилки в налаштуваннях) внутрішня мережа виявиться вразливою безпосередньо з зовнішньої[3].

Конфігурація з двома міжмережевими екранами

Схема з двома міжмережевими екранами

Безпечнішим є підхід, коли для створення ДМЗ використовуються два міжмережеві екрани: один із них контролює з'єднання із зовнішньої мережі в ДМЗ, інший — із ДМЗ у внутрішню мережу. У такому разі для успішної атаки на внутрішні ресурси повинні бути скомпрометовані два пристрої[2]. Крім того, на зовнішньому екрані можна налаштувати повільніші правила фільтрації на прикладному рівні, забезпечивши посилений захист локальної мережі без негативного впливу на продуктивність внутрішнього сегмента[3].

Ще вищого рівня захисту можна досягти, використавши два міжмережеві екрани двох різних виробників і (бажано) різної архітектури — це зменшує вірогідність того, що обидва пристрої матимуть однакову вразливість[10]. Наприклад, випадкова помилка в налаштуваннях з меншою вірогідністю з'явиться в конфігурації інтерфейсів двох різних виробників; прогалина в безпеці, знайдена в системі одного виробника, з меншою вірогідністю виявиться в системі другого. Недоліком цієї архітектури є вища вартість[11].

ДМЗ-хост

Деякі маршрутизатори SOHO-класу мають функцію надання доступу з зовнішньої мережі до внутрішніх серверів (режим DMZ host або exposed host). У такому режимі вони являють собою хост, у якого відкриті (не захищені) всі порти, крім тих, що транслюються іншим способом. Це не зовсім відповідає визначенню істинної ДМЗ, оскільки сервер з відкритими портами не відділяється від внутрішньої мережі. Тобто ДМЗ-хост може вільно підключитися до ресурсів у внутрішній мережі, тоді як з'єднання з внутрішньою мережею з ДМЗ блокуються міжмережевим екраном, що розділяє їх, якщо немає спеціального правила, яке б це дозволяло[К 1]. ДМЗ-хост не надає в плані безпеки жодної з переваг, які надає використання підмереж, і часто використовується як простий метод трансляції всіх портів на інший міжмережевий екран або пристрій[5][11].

Примітки

  1. Сергеев А. Настройка сетей Microsoft дома и в офисе. Учебный курс. СПб. : ИД «Питер», 2006. С. 312. — ISBN 5-469-01114-3. (рос.)
  2. Сміт, 2006.
  3. Shinder, D. (29 червня 2005). SolutionBase: Strengthen network defenses by using a DMZ (англ.). TechRepublic.
  4. Shinder, T. (27 червня 2001). ISA Server DMZ Scenarios (англ.). ISAserver.org.
  5. DMZ (DeMilitarized Zone) (англ.). Tech-FAQ.com.
  6. Киселев Е. Безопасность IBM Lotus Notes/Domino R7. — М. : «ИнтерТраст», 2007. — ISBN 5-7419-0084-4.
  7. Perimeter Firewall Design (англ.). Microsoft TechNet.
  8. Гергель, 2007.
  9. Importance of DMZ in Network Security (англ.). NTSecurity.com. 31.10.2012. Архів оригіналу за 6 червня 2014. Процитовано 4 червня 2014.
  10. Смирнов А. А., Житнюк П. П. Киберугрозы реальные и выдуманные // «Россия в глобальной политике». — 2010. — № 2. (рос.)
  11. Johannes Endres (4.10.2006). DMZ selbst gebaut (нім.). Heise Netze.

Коментарі

  1. Міжмережевий екран дозволяє з'єднання хосту в внутрішній мережі з хостом у ДМЗ, якщо це з'єднання ініціював (надіслав запит першим) хост у внутрішній мережі.

Література

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.