DMZ (вычисления) - DMZ (computing)

В компьютерная безопасность, а DMZ или демилитаризованная область (иногда называемый сеть периметра или экранированная подсеть ) является физическим или логическим подсеть который содержит и предоставляет внешние сервисы организации для ненадежной, обычно более крупной сети, такой как Интернет. Цель DMZ - добавить дополнительный уровень безопасности к системе локальная сеть (LAN): внешний сетевой узел может получить доступ только к тому, что открыто в DMZ, в то время как остальная часть сети организации огороженный стеной.[1] DMZ функционирует как небольшая изолированная сеть, расположенная между Интернетом и частной сетью.[2]

Название происходит от термина "демилитаризованная область ", зона между государствами, в которой военные действия не разрешены.

Обоснование

ДМЗ рассматривается как не принадлежащая ни одной из граничащих с ней сторон. Эта метафора применима к использованию компьютеров, поскольку DMZ действует как шлюз в общедоступный Интернет. Он не так безопасен, как внутренняя сеть, и не так небезопасен, как общедоступный Интернет.

В этом случае хозяева наиболее уязвимы для атак те, которые предоставляют услуги пользователям за пределами локальная сеть, такие как Эл. почта, Интернет и система доменных имен (DNS) серверы. Из-за повышенного потенциала этих хостов, подвергающихся атаке, они помещаются в эту конкретную подсеть, чтобы защитить остальную часть сети в случае взлома любого из них.

Хостам в DMZ разрешено иметь только ограниченное соединение с определенными хостами во внутренней сети, поскольку содержимое DMZ не так безопасно, как внутренняя сеть. Точно так же связь между хостами в DMZ и с внешней сетью также ограничена, чтобы сделать DMZ более безопасной, чем Интернет, и подходящей для размещения этих служб специального назначения. Это позволяет хостам в DMZ взаимодействовать как с внутренней, так и с внешней сетью, в то время как брандмауэр контролирует трафик между серверами DMZ и клиентами внутренней сети, а другой брандмауэр будет выполнять некоторый уровень контроля для защиты DMZ от внешней сети.

Конфигурация DMZ обеспечивает дополнительную защиту от внешних атак, но обычно не имеет отношения к внутренним атакам, таким как прослушивание сообщений через анализатор пакетов или спуфинг такие как подмена электронной почты.

Также иногда хорошей практикой является создание отдельной засекреченной военизированной зоны (CMZ),[3] хорошо контролируемая военизированная зона, состоящая в основном из веб-серверов (и аналогичных серверов, которые взаимодействуют с внешним миром, то есть с Интернетом), которые не находятся в DMZ, но содержат конфиденциальную информацию о доступе к серверам в локальной сети (например, к серверам баз данных). В такой архитектуре DMZ обычно имеет брандмауэр приложений и FTP в то время как CMZ размещает веб-серверы. (Серверы базы данных могут находиться в CMZ, в LAN или вообще в отдельной VLAN.)

Любая услуга, которая предоставляется пользователям во внешней сети, может быть помещена в DMZ. Самые распространенные из этих услуг:

Веб-серверам, которые обмениваются данными с внутренней базой данных, требуется доступ к сервер базы данных, который может быть закрыт для общего доступа и содержать конфиденциальную информацию. Веб-серверы могут связываться с серверами баз данных напрямую или через брандмауэр приложений по соображениям безопасности.

Эл. почта сообщения и, в частности, база данных пользователей являются конфиденциальными, поэтому они обычно хранятся на серверах, к которым нельзя получить доступ из Интернета (по крайней мере, небезопасным образом), но к ним можно получить доступ с серверов электронной почты, которые доступны в Интернете.

Почтовый сервер внутри DMZ передает входящую почту на защищенные / внутренние почтовые серверы. Он также обрабатывает исходящую почту.

В целях безопасности соблюдение юридических стандартов, таких как HIPAA, и причины мониторинга, в бизнес-среде некоторые предприятия устанавливают Прокси сервер внутри DMZ. Это дает следующие преимущества:

  • Обязывает внутренних пользователей (обычно сотрудников) использовать прокси-сервер для доступа в Интернет.
  • Сниженные требования к пропускной способности доступа в Интернет, так как некоторый веб-контент может кэшироваться прокси-сервером.
  • Упрощает запись и мониторинг действий пользователей.
  • Централизованная фильтрация веб-контента.

А обратный прокси Сервер, как и прокси-сервер, является посредником, но используется наоборот. Вместо предоставления услуги внутренним пользователям, желающим получить доступ к внешней сети, он обеспечивает непрямой доступ для внешней сети (обычно Интернет) к внутренним ресурсам. Например, может быть предоставлен доступ к приложениям вспомогательного офиса, таким как система электронной почты. для внешних пользователей (для чтения электронной почты вне компании), но удаленный пользователь не будет иметь прямого доступа к своему почтовому серверу (только обратный прокси-сервер может физически получить доступ к внутреннему почтовому серверу). Это дополнительный уровень безопасности, особенно рекомендуемый, когда необходимо получить доступ к внутренним ресурсам извне, но стоит отметить, что этот дизайн по-прежнему позволяет удаленным (и потенциально злонамеренным) пользователям общаться с внутренними ресурсами с помощью прокси. Поскольку прокси функционирует как ретранслятор между недоверенной сетью и внутренним ресурсом: он также может пересылать вредоносный трафик (например, эксплойты на уровне приложений ) во внутреннюю сеть; поэтому возможности прокси-сервера по обнаружению и фильтрации атак имеют решающее значение для предотвращения использования внешних злоумышленников уязвимостей, имеющихся во внутренних ресурсах, которые открываются через прокси. Обычно такой механизм обратного прокси предоставляется с использованием брандмауэр прикладного уровня который фокусируется на конкретной форме и содержании трафика, а не просто контролирует доступ к определенным TCP и UDP порты (как межсетевой экран с фильтром пакетов подойдет), но обратный прокси-сервер обычно не является хорошей заменой хорошо продуманной конструкции DMZ, поскольку он должен полагаться на постоянное обновление сигнатур для обновленных векторов атак.

Архитектура

Есть много разных способов создать сеть с DMZ. Два основных метода - это один брандмауэр, также известная как трехногая модель, и с двумя брандмауэрами, также известными как спина к спине. Эти архитектуры могут быть расширены для создания очень сложных архитектур в зависимости от требований сети.

Единый межсетевой экран

Схема типичной модели трехсторонней сети, использующей DMZ с одним межсетевым экраном.

Один брандмауэр с как минимум 3 сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей DMZ. Внешняя сеть формируется из Интернет-провайдер к брандмауэру на первом сетевом интерфейсе внутренняя сеть формируется из второго сетевого интерфейса, а DMZ формируется из третьего сетевого интерфейса. Брандмауэр становится единой точкой отказа для сети и должен быть в состоянии обрабатывать весь трафик, идущий как в DMZ, так и во внутреннюю сеть. Зоны обычно отмечены цветами, например, фиолетовым для LAN, зеленым для DMZ. , красный для Интернета (часто другой цвет используется для беспроводных зон).

Двойной межсетевой экран

Схема типичной сети, использующей DMZ с двумя межсетевыми экранами.

Самый безопасный подход, по мнению Колтона Фралика,[4] заключается в использовании двух межсетевых экранов для создания DMZ. Первый брандмауэр (также называемый "внешний интерфейс" или "периметр")[5] брандмауэр) должен быть настроен так, чтобы разрешать трафик только в DMZ. Второй межсетевой экран (также называемый "внутренним" или "внутренним" межсетевым экраном) разрешает трафик в DMZ только из внутренней сети.

Эта установка считается[4] более безопасен, поскольку потребуется взломать два устройства. Еще больше защиты обеспечивается, если два брандмауэра предоставляются двумя разными поставщиками, поскольку это снижает вероятность того, что оба устройства будут иметь одни и те же уязвимости безопасности. Например, дыра в безопасности, обнаруженная в системе одного поставщика, с меньшей вероятностью возникнет в системе другого. Одним из недостатков этой архитектуры является то, что ее дороже как покупать, так и управлять.[6] Практика использования разных брандмауэров от разных поставщиков иногда описывается как компонент "глубокая защита "[7] стратегия безопасности.

Хост DMZ

Какой-то дом маршрутизаторы обратитесь к Хост DMZ, который - во многих случаях - фактически неправильное употребление. Хост DMZ домашнего маршрутизатора - это единственный адрес (например, IP-адрес) во внутренней сети, на который отправляется весь трафик, который иначе не пересылается на другие хосты LAN. По определению, это не настоящая DMZ (демилитаризованная зона), поскольку маршрутизатор сам по себе не отделяет хост от внутренней сети. То есть хост DMZ может подключаться к другим хостам во внутренней сети, тогда как хосты в реальной DMZ не могут подключиться к внутренней сети из-за брандмауэра, который их разделяет, если брандмауэр не разрешает соединение.

Брандмауэр может разрешить это, если хост во внутренней сети сначала запрашивает соединение с хостом в DMZ. Хост DMZ не дает ни одного из преимуществ безопасности, которые подсеть предоставляет и часто используется как простой метод перенаправления всех портов на другой брандмауэр / NAT устройство. Эта тактика (установка узла DMZ) также используется с системами, которые не взаимодействуют должным образом с обычными правилами межсетевого экрана или NAT. Это может быть связано с тем, что нельзя заранее сформулировать правило пересылки (например, варьируя номера портов TCP или UDP, а не фиксированный номер или фиксированный диапазон). Это также используется для сетевых протоколов, для которых маршрутизатор не имеет программирования для обработки (6в4 или GRE туннели являются прототипами).

Смотрите также

Рекомендации

  1. ^ «Система контроля безопасности DMZ». Официальный веб-сайт Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США. Получено 2020-06-09.
  2. ^ «Что такое DMZ и как она работает?». Techtarget SearchБезопасность. Получено 2020-06-09.
  3. ^ Брэдли Митчелл (27 августа 2018 г.). «Демилитаризованная зона в компьютерных сетях». Получено 10 декабря 2018.
  4. ^ а б Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения информационного обеспечения. Джон Вили и сыновья. п. 296. ISBN  9781119101604.
  5. ^ «Проект межсетевого экрана по периметру». Технический центр безопасности Microsoft. Корпорация Майкрософт. Получено 14 октября 2013.
  6. ^ Зельцер, Ленни (апрель 2002 г.). «Развертывание межсетевого экрана для многоуровневых приложений»
  7. ^ Янг, Скотт (2001). «Проектирование DMZ». Институт SANS. п. 2. Получено 11 декабря 2015.

Нестандартный шаблон / шаблон без цитирования

  • SolutionBase: усиление защиты сети с помощью DMZ Деб Шиндер в TechRepublic.
  • Эрик Майвальд. Сетевая безопасность: руководство для начинающих. Второе издание. МакГроу-Хилл / Осборн, 2003.
  • Интернет-брандмауэры: часто задаваемые вопросы, составлено Мэттом Кертином, Маркусом Ранумом и Полом Робертсоном