DMZ ( англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети , содержащий общедоступные сервисы и отделяющий их от частных . В качестве общедоступного может выступать, например, веб-сервис : обеспечивающий его сервер , который физически размещён в локальной сети ( Интернет ), должен отвечать на любые запросы из внешней сети ( Интернет ), при этом другие локальные ресурсы (например, файловые серверы , рабочие станции ) необходимо изолировать от внешнего доступа.

Цель ДМЗ — добавить дополнительный уровень безопасности в локальной сети , позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в ДМЗ .

Терминология и концепция

Название происходит от военного термина « демилитаризованная зона » — территория между враждующими государствами, на которой не допускаются военные операции. Иными словами, доступ в ДМЗ открыт для обеих сторон при условии, что посетитель не имеет злого умысла. По аналогии, концепция ДМЗ (например, при построении шлюза в публичный Интернет) состоит в том, что в локальной сети выделяется область, которая не безопасна как оставшаяся часть сети (внутренняя) и не опасна как публичная (внешняя) .

Системы, открытые для прямого доступа из внешних сетей, как правило, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Как следствие, эти системы не могут пользоваться полным доверием. Поэтому необходимо ограничить доступ этих систем к компьютерам, расположенным внутри сети .

Предоставляя защиту от внешних атак, ДМЗ, как правило, не имеет никакого отношения к атакам внутренним, таким как перехват трафика .

Архитектура и реализация

Разделение сегментов и контроль трафика между ними, как правило, реализуются специализированными устройствами — межсетевыми экранами . Основными задачами такого устройства являются :

• контроль доступа из внешней сети в ДМЗ;
• контроль доступа из внутренней сети в ДМЗ;
• разрешение (или контроль) доступа из внутренней сети во внешнюю;
• запрет доступа из внешней сети во внутреннюю.

В некоторых случаях для организации ДМЗ достаточно средств маршрутизатора или даже прокси-сервера .

Серверы в ДМЗ при необходимости могут иметь ограниченную возможность соединиться с отдельными узлами во внутренней сети . Связь в ДМЗ между серверами и с внешней сетью также ограничивается, чтобы сделать ДМЗ более безопасной для размещения определённых сервисов, чем Интернет ^{[ что? ]} . На серверах в ДМЗ должны выполняться лишь необходимые программы , ненужные отключаются или вообще удаляются .

Существует множество различных вариантов архитектуры сети с ДМЗ. Два основных — с одним межсетевым экраном и с двумя межсетевыми экранами . На базе этих методов можно создавать как упрощенные, так и очень сложные конфигурации, соответствующие возможностям используемого оборудования и требованиям к безопасности в конкретной сети .

Конфигурация с одним межсетевым экраном

Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с провайдером ( WAN ), второй — с внутренней сетью ( LAN ), третий — с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию : межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа , а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней .

Конфигурация с двумя межсетевыми экранами

Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй — из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства . Кроме того, на внешнем экране можно настроить более медленные правила фильтрации на уровне приложений , обеспечив усиленную защиту локальной сети без негативного влияния на производительность внутреннего сегмента .

Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость . Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость .

ДМЗ-хост

Некоторые маршрутизаторы SOHO -класса имеют функцию предоставления доступа из внешней сети к внутренним серверам (режим DMZ host или exposed host ). В таком режиме они представляют собой хост , у которого открыты (не защищены) все порты, кроме тех, которые транслируются иным способом. Это не вполне соответствует определению истинной ДМЗ, так как сервер с открытыми портами не отделяется от внутренней сети. То есть ДМЗ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из настоящей ДМЗ блокируются разделяющим их межсетевым экраном, если нет специального разрешающего правила . ДМЗ-хост не предоставляет в плане безопасности ни одного из преимуществ, которые даёт использование подсетей, и часто используется как простой метод трансляции всех портов на другой межсетевой экран или устройство .

Примечания

Комментарии

Литература

• Смит Р. Ф. // «Windows IT Pro/RE». — М. : « Открытые системы », 2006. — № 3 .
• Гергель А. В. . — Нижний Новгород: ННГУ , 2007. — С. 18. — 107 с.
• Robert Shimonski, Will Schmied. . — Syngress Publishing, 2003. — P. . — 744 p. — ISBN 1-931836-88-4 .