ДМЗ (вычисления)

В компьютерной безопасности DMZ , или демилитаризованная зона (иногда называемая сетью периметра или экранированной подсетью ) — это физическая или логическая подсеть которая содержит и предоставляет внешние службы организации ненадежной, обычно более крупной сети, такой как Интернет . Целью DMZ является добавление дополнительного уровня безопасности к локальной сети (LAN) организации: узел внешней сети может получить доступ только к тому, что доступно в DMZ, в то время как остальная часть сети организации защищена брандмауэром . ^[1] DMZ функционирует как небольшая изолированная сеть, расположенная между Интернетом и частной сетью. ^[2]

Это не следует путать с хостом DMZ — функцией, присутствующей в некоторых домашних маршрутизаторах, которая часто сильно отличается от обычной DMZ.

Название происходит от термина демилитаризованная зона — территория между государствами, на которой запрещены военные действия.

Обоснование

Считается, что демилитаризованная зона не принадлежит ни одной из граничащих с ней сетей. Эта метафора применима к использованию компьютеров, поскольку демилитаризованная зона действует как шлюз в общедоступный Интернет. Она не так безопасна, как внутренняя сеть, и не так небезопасна, как общедоступный Интернет.

В этом случае наиболее уязвимыми для атак являются хосты , предоставляющие услуги пользователям за пределами локальной сети , такие как серверы электронной почты , веб-серверы и системы доменных имен (DNS). Из-за повышенного потенциала этих хостов, подвергшихся атаке, они помещаются в эту конкретную подсеть, чтобы защитить остальную часть сети в случае взлома любого из них.

Хостам в DMZ разрешено иметь только ограниченное подключение к определенным хостам во внутренней сети, поскольку содержимое DMZ не так безопасно, как внутренняя сеть. Аналогично, связь между хостами в демилитаризованной зоне и внешней сетью также ограничивается, чтобы сделать демилитаризованную зону более безопасной, чем Интернет, и подходящей для размещения этих служб специального назначения. Это позволяет узлам в DMZ взаимодействовать как с внутренней, так и с внешней сетью, в то время как промежуточный брандмауэр контролирует трафик между серверами DMZ и клиентами внутренней сети, а другой брандмауэр будет выполнять некоторый уровень контроля для защиты DMZ от внешней сети. .

Конфигурация DMZ обеспечивает дополнительную защиту от внешних атак, но обычно не имеет никакого отношения к внутренним атакам, таким как перехват сообщений через анализатор пакетов или подмена , например подмена электронной почты .

Иногда хорошей практикой является создание отдельной секретной военизированной зоны (КМЗ). ^[3] строго контролируемая военизированная зона, состоящая в основном из веб-серверов (и подобных серверов, которые взаимодействуют с внешним миром, например, с Интернетом), которые не находятся в демилитаризованной зоне, но содержат конфиденциальную информацию о доступе к серверам внутри локальной сети (например, серверам баз данных). В такой архитектуре в DMZ обычно находится брандмауэр приложений и FTP, а в CMZ размещаются веб-серверы. (Серверы баз данных могут находиться в CMZ, в локальной сети или вообще в отдельной VLAN.)

Любая услуга, предоставляемая пользователям во внешней сети, может быть помещена в DMZ. Наиболее распространенными из таких услуг являются:

Веб-серверам, которые взаимодействуют с внутренней базой данных, требуется доступ к серверу базы данных , который может быть закрыт для публичного доступа и может содержать конфиденциальную информацию. Веб-серверы могут взаимодействовать с серверами баз данных напрямую или через брандмауэр приложений по соображениям безопасности.

Сообщения электронной почты и, в частности, база данных пользователей являются конфиденциальными, поэтому они обычно хранятся на серверах, к которым невозможно получить доступ из Интернета (по крайней мере, небезопасным способом), но к которым можно получить доступ с серверов электронной почты, подключенных к Интернету.

Почтовый сервер внутри демилитаризованной зоны передает входящую почту на защищенные/внутренние почтовые серверы. Он также обрабатывает исходящую почту.

В целях безопасности, соблюдения правовых стандартов, таких как HIPAA , а также в целях мониторинга в бизнес-среде некоторые предприятия устанавливают прокси-сервер в DMZ. Это имеет следующие преимущества:

Обязывает внутренних пользователей (обычно сотрудников) использовать прокси-сервер для доступа в Интернет.
Снижены требования к пропускной способности доступа в Интернет, поскольку некоторый веб-контент может кэшироваться прокси-сервером.
Упрощает запись и мониторинг действий пользователей.
Централизованная фильтрация веб-контента.

Обратный прокси- сервер, как и прокси-сервер, является посредником, но используется наоборот. Вместо предоставления услуги внутренним пользователям, желающим получить доступ к внешней сети, он обеспечивает косвенный доступ внешней сети (обычно к Интернету) к внутренним ресурсам. Например, доступ к приложениям бэк-офиса, таким как система электронной почты, может быть предоставлен внешним пользователям (для чтения электронной почты, находясь за пределами компании), но удаленный пользователь не будет иметь прямого доступа к своему почтовому серверу (только обратный прокси-сервер может физически получить доступ к внутреннему почтовому серверу). Это дополнительный уровень безопасности, который особенно рекомендуется, когда к внутренним ресурсам необходимо получить доступ извне, но стоит отметить, что такая конструкция по-прежнему позволяет удаленным (и потенциально злонамеренным) пользователям взаимодействовать с внутренними ресурсами с помощью прокси-сервера. Поскольку прокси-сервер действует как ретранслятор между недоверенной сетью и внутренним ресурсом: он также может пересылать вредоносный трафик (например, эксплойты уровня приложения). ) в сторону внутренней сети; поэтому возможности обнаружения и фильтрации атак прокси-сервера имеют решающее значение для предотвращения использования внешними злоумышленниками уязвимостей, присутствующих во внутренних ресурсах, которые подвергаются воздействию через прокси-сервер. Обычно такой механизм обратного прокси обеспечивается за счет использования брандмауэра прикладного уровня , который фокусируется на конкретной форме и содержании трафика, а не просто контролирует доступ к определенным портам TCP и UDP (как это сделал бы межсетевой экран с фильтрацией пакетов ), а обратный прокси-сервер. обычно не является хорошей заменой хорошо продуманной конструкции DMZ, поскольку для обновленных векторов атак приходится полагаться на постоянные обновления сигнатур.

Архитектура

Существует много разных способов создания сети с DMZ. Два наиболее простых метода — это использование одного брандмауэра , также известного как трехсторонняя модель, и двойных брандмауэров, также известного как «спина к спине». Эти архитектуры можно расширять для создания очень сложных архитектур в зависимости от требований сети.

Единый межсетевой экран

Один межсетевой экран как минимум с тремя сетевыми интерфейсами может использоваться для создания сетевой архитектуры, содержащей DMZ. Внешняя сеть формируется от интернет-провайдера до межсетевого экрана на первом сетевом интерфейсе, внутренняя сеть формируется на втором сетевом интерфейсе, а DMZ формируется на третьем сетевом интерфейсе. Брандмауэр становится единой точкой отказа для сети и должен быть в состоянии обрабатывать весь трафик, идущий как в демилитаризованную зону, так и во внутреннюю сеть. Зоны обычно обозначаются цветами: например, фиолетовым для локальной сети, зеленым для DMZ, красным для Интернета (часто для беспроводных зон используется другой цвет).

Двойной брандмауэр

Самый безопасный подход, по мнению Колтона Фрэлика, ^[4] заключается в использовании двух межсетевых экранов для создания DMZ. Первый межсетевой экран (также называемый «внешним» или «периметром»). ^[5] брандмауэр) должен быть настроен так, чтобы разрешать трафик, направляемый только в DMZ. Второй брандмауэр (также называемый «внутренним» или «внутренним» брандмауэром) пропускает трафик в демилитаризованную зону только из внутренней сети.

Эта установка считается ^[4] более безопасно, поскольку необходимо будет взломать два устройства. Защита еще выше, если два брандмауэра предоставляются двумя разными поставщиками, поскольку это снижает вероятность того, что оба устройства будут страдать от одних и тех же уязвимостей безопасности. Например, обнаруженная дыра в безопасности в системе одного поставщика с меньшей вероятностью появится в системе другого. Одним из недостатков этой архитектуры является то, что она дороже как в приобретении, так и в управлении. ^[6] Практику использования разных межсетевых экранов от разных производителей иногда называют компонентом « глубокоэшелонированной защиты ». ^[7] стратегия безопасности.

Хост DMZ

Некоторые домашние маршрутизаторы ссылаются на хост DMZ , что во многих случаях на самом деле является неправильным названием . Узел DMZ домашнего маршрутизатора — это одиночный адрес (например, IP-адрес) во внутренней сети, на который отправляется весь трафик, который иначе не перенаправляется на другие узлы локальной сети. По определению, это не настоящая демилитаризованная зона (демилитаризованная зона), поскольку маршрутизатор сам по себе не отделяет хост от внутренней сети. То есть хост DMZ может подключаться к другим хостам во внутренней сети, тогда как хосты в реальной DMZ не могут подключиться к внутренней сети с помощью брандмауэра, который их разделяет, если брандмауэр не разрешает соединение.

Брандмауэр может разрешить это, если хост во внутренней сети сначала запрашивает соединение с хостом в DMZ. Хост DMZ не предоставляет никаких преимуществ безопасности, которые предоставляет подсеть , и часто используется как простой метод переадресации всех портов на другой брандмауэр/ устройство NAT . Эта тактика (установление хоста DMZ) также используется с системами, которые не взаимодействуют должным образом с обычными правилами брандмауэра или NAT. Это может быть связано с тем, что никакое правило пересылки не может быть сформулировано заранее (например, изменение номеров портов TCP или UDP в отличие от фиксированного номера или фиксированного диапазона). Это также используется для сетевых протоколов, для которых маршрутизатор не имеет программирования ( 6in4 или туннели прототипическими примерами являются GRE).

См. также

Бастионный хозяин
Экранированная подсеть
Science DMZ Network Architecture , сеть DMZ для высокопроизводительных вычислений.

Ссылки

^ «Система управления безопасностью ДМЗ» . Официальный сайт Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США . Архивировано из оригинала 9 июня 2020 г. Проверено 9 июня 2020 г.
^ «Что такое демилитаризованная зона и как она работает?» . Techtarget SearchSecurity . Проверено 9 июня 2020 г.
^ Брэдли Митчелл (27 августа 2018 г.). «Демилитаризованная зона в компьютерных сетях» . Проверено 10 декабря 2018 г.
^ Jump up to: ^а ^б Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения безопасности информации . Джон Уайли и сыновья. п. 296. ИСБН 9781119101604 .
^ «Проектирование межсетевого экрана по периметру» . Технологический центр безопасности Microsoft . Корпорация Майкрософт . Проверено 14 октября 2013 г.
^ Зельцер, Ленни (апрель 2002 г.). «Развертывание межсетевого экрана для многоуровневых приложений»
^ Янг, Скотт (2001). «Проектирование ДМЗ» . Институт САНС. п. 2 . Проверено 11 декабря 2015 г.

Дальнейшее чтение

SolutionBase: Укрепите защиту сети с помощью DMZ от Деб Шиндер из TechRepublic .
Эрик Майвальд. Сетевая безопасность: руководство для начинающих. Второе издание. МакГроу-Хилл/Осборн, 2003 г.
Интернет-брандмауэры: часто задаваемые вопросы, составлено Мэттом Кертином, Маркусом Ранумом и Полом Робертсоном.

[1] «Система управления безопасностью ДМЗ» . Официальный сайт Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США . Архивировано из оригинала 9 июня 2020 г. Проверено 9 июня 2020 г.

[2] «Что такое демилитаризованная зона и как она работает?» . Techtarget SearchSecurity . Проверено 9 июня 2020 г.

[Bradley_Mitchell-3] Брэдли Митчелл (27 августа 2018 г.). «Демилитаризованная зона в компьютерных сетях» . Проверено 10 декабря 2018 г.

[jacobs-4] Jump up to: ^а ^б Джейкобс, Стюарт (2015). Инженерная информационная безопасность: применение концепций системной инженерии для обеспечения безопасности информации . Джон Уайли и сыновья. п. 296. ИСБН 9781119101604 .

[5] «Проектирование межсетевого экрана по периметру» . Технологический центр безопасности Microsoft . Корпорация Майкрософт . Проверено 14 октября 2013 г.

[6] Зельцер, Ленни (апрель 2002 г.). «Развертывание межсетевого экрана для многоуровневых приложений»

[sans-7] Янг, Скотт (2001). «Проектирование ДМЗ» . Институт САНС. п. 2 . Проверено 11 декабря 2015 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]