Демілітаризована зона (комп'ютерні мережі)

Демілітаризована зона (англ. Demilitarized Zone, скор. DMZ або ДМЗ) — сегмент мережі, що містить загальнодоступні сервіси та відокремлює їх від приватних^[1]. Як загальнодоступний може виступати, наприклад, вебсервіс: сервер, що його забезпечує, який фізично розміщений у локальній мережі (Інтранет), повинен відповідати на будь-які запити із зовнішньої мережі (Інтернет), при цьому інші локальні ресурси (наприклад, файлові сервери, робочі станції) необхідно ізолювати від зовнішнього доступу.

Мета ДМЗ — надати додатковий рівень безпеки в локальній мережі, який дозволяє мінімізувати збитки в разі атаки на один із загальнодоступних сервісів: зовнішній зловмисник має прямий доступ тільки до обладнання в ДМЗ^[2].

Термінологія та концепція

Назва походить від воєнного терміна «демілітаризована зона» — територія між ворожими державами, на якій не допускаються воєнні операції. Інакше кажучи, доступ у ДМЗ відкритий для обох сторін за умови, що відвідувач не має злого наміру. Аналогічно, концепція ДМЗ (наприклад, при побудові шлюзу в публічний Інтернет) полягає в тому, що в локальній мережі виділяється область, яка не є безпечною, як частина мережі, що залишилася (внутрішня), і не небезпечна, як публічна (зовнішня)^[3] ^[4] ^[5].

Системи, відкриті для прямого доступу з зовнішніх мереж, як правило, є головними цілями зловмисників і потенційно наражаються на проявлення загроз. Як наслідок, вони не можуть послуговуватися повною довірою. Тому необхідно обмежити доступ цих систем до комп'ютерів, розташованих усередині мережі^[6].

Надаючи захист від зовнішніх атак, ДМЗ, як правило, не має жодного стосунку до атак внутрішніх, таких як перехоплення трафіку^[5]^[7].

Архітектура та реалізація

Розділення сегментів і контроль трафіку між ними, як правило, реалізуються спеціалізованими пристроями — міжмережевими екранами. Основними завданнями такого пристрою є^[8]:

контроль доступу з зовнішньої мережі в ДМЗ;
контроль доступу з внутрішньої мережі в ДМЗ;
дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню;
заборонена доступу з зовнішньої мережі у внутрішню.

У деяких випадках для організації ДМЗ достатньо засобів маршрутизатора чи навіть проксі-сервера^[2].

Сервери в ДМЗ за необхідності можуть мати обмежене з'єднання з окремими вузлами у внутрішній мережі^{[К 1]}. Зв'язок у ДМЗ між серверами й із зовнішньою мережею також обмежується, щоб зробити ДМЗ безпечнішою для розміщення певних сервісів, ніж Інтернет. На серверах у ДМЗ повинні виконуватися лише необхідні програми, непотрібні вимикаються чи взагалі видаляються^[8].

Існує безліч різних варіантів архітектури мережі з ДМЗ. Два основних — з одним міжмережевим екраном і з двома міжмережевими екранами^[2]^[9]. На базі цих методів можна створювати як спрощені, так і дуже складні конфігурації, відповідні до можливостей використовуваного обладнання та вимог до безпеки в конкретній мережі^[5].

Конфігурації ДМЗ

Конфігурація з одним міжмережевим екраном

Для створення мережі з ДМЗ може бути використаний один міжмережевий екран, який має мінімум три мережеві інтерфейси: один — для з'єднання з провайдером (WAN), другий — із внутрішньою мережею (LAN), третій — з ДМЗ. Така схема проста в реалізації, однак має підвищені вимоги до обладнання й адміністрування: міжмережевий екран повинен обробляти весь трафік, що йде як у ДМЗ, так і у внутрішню мережу. При цьому він стає «єдиною точкою відмови», а у випадку його зламу (чи помилки в налаштуваннях) внутрішня мережа виявиться вразливою безпосередньо з зовнішньої^[3].

Конфігурація з двома міжмережевими екранами

Безпечнішим є підхід, коли для створення ДМЗ використовуються два міжмережеві екрани: один із них контролює з'єднання із зовнішньої мережі в ДМЗ, інший — із ДМЗ у внутрішню мережу. У такому разі для успішної атаки на внутрішні ресурси повинні бути скомпрометовані два пристрої^[2]. Крім того, на зовнішньому екрані можна налаштувати повільніші правила фільтрації на прикладному рівні, забезпечивши посилений захист локальної мережі без негативного впливу на продуктивність внутрішнього сегмента^[3].

Ще вищого рівня захисту можна досягти, використавши два міжмережеві екрани двох різних виробників і (бажано) різної архітектури — це зменшує імовірність того, що обидва пристрої матимуть однакову вразливість^[10]. Наприклад, випадкова помилка в налаштуваннях з меншою імовірністю з'явиться в конфігурації інтерфейсів двох різних виробників; прогалина в безпеці, знайдена в системі одного виробника, з меншою імовірністю виявиться в системі другого. Недоліком цієї архітектури є вища вартість^[11].

ДМЗ-хост

Деякі маршрутизатори SOHO-класу мають функцію надання доступу з зовнішньої мережі до внутрішніх серверів (режим DMZ host або exposed host). У такому режимі вони являють собою хост, у якого відкриті (не захищені) всі порти, крім тих, що транслюються іншим способом. Це не зовсім відповідає визначенню істинної ДМЗ, оскільки сервер з відкритими портами не відділяється від внутрішньої мережі. Тобто ДМЗ-хост може вільно підключитися до ресурсів у внутрішній мережі, тоді як з'єднання з внутрішньою мережею з ДМЗ блокуються міжмережевим екраном, що розділяє їх, якщо немає спеціального правила, яке б це дозволяло^{[К 1]}. ДМЗ-хост не надає в плані безпеки жодної з переваг, які надає використання підмереж, і часто використовується як простий метод трансляції всіх портів на інший міжмережевий екран або пристрій^[5]^[11].

Примітки

↑ Сергеев А. Настройка сетей Microsoft дома и в офисе. Учебный курс. — СПб. : ИД «Питер», 2006. — С. 312. — ISBN 5-469-01114-3. (рос.)
↑ ^а ^б ^в ^г Сміт, 2006.
↑ ^а ^б ^в Shinder, D. (29 червня 2005). SolutionBase: Strengthen network defenses by using a DMZ (англ.). TechRepublic. Архів оригіналу за 24 січня 2021. Процитовано 3 квітня 2020.
↑ Shinder, T. (27 червня 2001). ISA Server DMZ Scenarios (англ.). ISAserver.org. Архів оригіналу за 8 липня 2016. Процитовано 3 квітня 2020.
↑ ^а ^б ^в ^г DMZ (DeMilitarized Zone) (англ.). Tech-FAQ.com. Архів оригіналу за 26 квітня 2020. Процитовано 3 квітня 2020.
↑ Киселев Е. Безопасность IBM Lotus Notes/Domino R7. — М. : «ИнтерТраст», 2007. — ISBN 5-7419-0084-4.
↑ Perimeter Firewall Design (англ.). Microsoft TechNet. Архів оригіналу за 26 серпня 2017. Процитовано 3 квітня 2020.
↑ ^а ^б Гергель, 2007.
↑ Importance of DMZ in Network Security (англ.). NTSecurity.com. 31.10.2012. Архів оригіналу за 6 червня 2014. Процитовано 4 червня 2014.
↑ Смирнов А. А., Житнюк П. П. Киберугрозы реальные и выдуманные // «Россия в глобальной политике». — 2010. — № 2. (рос.)
↑ ^а ^б Johannes Endres (4.10.2006). DMZ selbst gebaut (нім.). Heise Netze. Архів оригіналу за 17 листопада 2016. Процитовано 4 квітня 2020.

Коментарі

↑ ^а ^б Міжмережевий екран дозволяє з'єднання хосту в внутрішній мережі з хостом у ДМЗ, якщо це з'єднання ініціював (надіслав запит першим) хост у внутрішній мережі.

Література

Смит Р. Ф. Демилитаризованная зона ISA // «Windows IT Pro/RE». — М. : Открытые системы, 2006. — № 3. (рос.)
Гергель А. В. Компьютерные сети и сетевые технологии. — Нижний Новгород : ННГУ, 2007. — С. 18. (рос.)
Robert Shimonski, Will Schmied. Building DMZs For Enterprise Networks. — Syngress Publishing, 2003. — P. 304. — ISBN 1-931836-88-4. (англ.)