Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Демілітаризована зона (англ. Demilitarized Zone, скор. DMZ або ДМЗ) — сегмент мережі, що містить загальнодоступні сервіси та відокремлює їх від приватних. Як загальнодоступний може виступати, наприклад, вебсервіс: сервер, що його забезпечує, який фізично розміщений у локальній мережі (Інтранет), повинен відповідати на будь-які запити із зовнішньої мережі (Інтернет), при цьому інші локальні ресурси (наприклад, файлові сервери, робочі станції) необхідно ізолювати від зовнішнього доступу.
Мета ДМЗ — надати додатковий рівень безпеки в локальній мережі, який дозволяє мінімізувати збитки в разі атаки на один із загальнодоступних сервісів: зовнішній зловмисник має прямий доступ тільки до обладнання в ДМЗ.
Термінологія та концепція
Назва походить від воєнного терміна «демілітаризована зона» — територія між ворожими державами, на якій не допускаються воєнні операції. Інакше кажучи, доступ у ДМЗ відкритий для обох сторін за умови, що відвідувач не має злого наміру. Аналогічно, концепція ДМЗ (наприклад, при побудові шлюзу в публічний Інтернет) полягає в тому, що в локальній мережі виділяється область, яка не є безпечною, як частина мережі, що залишилася (внутрішня), і не небезпечна, як публічна (зовнішня).
Системи, відкриті для прямого доступу з зовнішніх мереж, як правило, є головними цілями зловмисників і потенційно наражаються на проявлення загроз. Як наслідок, вони не можуть послуговуватися повною довірою. Тому необхідно обмежити доступ цих систем до комп'ютерів, розташованих усередині мережі.
Надаючи захист від зовнішніх атак, ДМЗ, як правило, не має жодного стосунку до атак внутрішніх, таких як перехоплення трафіку.
Архітектура та реалізація
Розділення сегментів і контроль трафіку між ними, як правило, реалізуються спеціалізованими пристроями — міжмережевими екранами. Основними завданнями такого пристрою є:
- контроль доступу з зовнішньої мережі в ДМЗ;
- контроль доступу з внутрішньої мережі в ДМЗ;
- дозвіл (або контроль) доступу з внутрішньої мережі в зовнішню;
- заборонена доступу з зовнішньої мережі у внутрішню.
У деяких випадках для організації ДМЗ достатньо засобів маршрутизатора чи навіть проксі-сервера.
Сервери в ДМЗ за необхідності можуть мати обмежене з'єднання з окремими вузлами у внутрішній мережі. Зв'язок у ДМЗ між серверами й із зовнішньою мережею також обмежується, щоб зробити ДМЗ безпечнішою для розміщення певних сервісів, ніж Інтернет. На серверах у ДМЗ повинні виконуватися лише необхідні програми, непотрібні вимикаються чи взагалі видаляються.
Існує безліч різних варіантів архітектури мережі з ДМЗ. Два основних — з одним міжмережевим екраном і з двома міжмережевими екранами. На базі цих методів можна створювати як спрощені, так і дуже складні конфігурації, відповідні до можливостей використовуваного обладнання та вимог до безпеки в конкретній мережі.
Конфігурації ДМЗ
Конфігурація з одним міжмережевим екраном
Для створення мережі з ДМЗ може бути використаний один міжмережевий екран, який має мінімум три мережеві інтерфейси: один — для з'єднання з провайдером (WAN), другий — із внутрішньою мережею (LAN), третій — з ДМЗ. Така схема проста в реалізації, однак має підвищені вимоги до обладнання й адміністрування: міжмережевий екран повинен обробляти весь трафік, що йде як у ДМЗ, так і у внутрішню мережу. При цьому він стає «єдиною точкою відмови», а у випадку його зламу (чи помилки в налаштуваннях) внутрішня мережа виявиться вразливою безпосередньо з зовнішньої.
Конфігурація з двома міжмережевими екранами
Безпечнішим є підхід, коли для створення ДМЗ використовуються два міжмережеві екрани: один із них контролює з'єднання із зовнішньої мережі в ДМЗ, інший — із ДМЗ у внутрішню мережу. У такому разі для успішної атаки на внутрішні ресурси повинні бути скомпрометовані два пристрої. Крім того, на зовнішньому екрані можна налаштувати повільніші правила фільтрації на прикладному рівні, забезпечивши посилений захист локальної мережі без негативного впливу на продуктивність внутрішнього сегмента.
Ще вищого рівня захисту можна досягти, використавши два міжмережеві екрани двох різних виробників і (бажано) різної архітектури — це зменшує імовірність того, що обидва пристрої матимуть однакову вразливість. Наприклад, випадкова помилка в налаштуваннях з меншою імовірністю з'явиться в конфігурації інтерфейсів двох різних виробників; прогалина в безпеці, знайдена в системі одного виробника, з меншою імовірністю виявиться в системі другого. Недоліком цієї архітектури є вища вартість.
ДМЗ-хост
Деякі маршрутизатори SOHO-класу мають функцію надання доступу з зовнішньої мережі до внутрішніх серверів (режим DMZ host або exposed host). У такому режимі вони являють собою хост, у якого відкриті (не захищені) всі порти, крім тих, що транслюються іншим способом. Це не зовсім відповідає визначенню істинної ДМЗ, оскільки сервер з відкритими портами не відділяється від внутрішньої мережі. Тобто ДМЗ-хост може вільно підключитися до ресурсів у внутрішній мережі, тоді як з'єднання з внутрішньою мережею з ДМЗ блокуються міжмережевим екраном, що розділяє їх, якщо немає спеціального правила, яке б це дозволяло. ДМЗ-хост не надає в плані безпеки жодної з переваг, які надає використання підмереж, і часто використовується як простий метод трансляції всіх портів на інший міжмережевий екран або пристрій.
Примітки
- Сергеев А. Настройка сетей Microsoft дома и в офисе. Учебный курс. — СПб. : ИД «Питер», 2006. — С. 312. — . (рос.)
- Сміт, 2006.
- Shinder, D. (29 червня 2005). (англ.). TechRepublic. Архів оригіналу за 24 січня 2021. Процитовано 3 квітня 2020.
- Shinder, T. (27 червня 2001). (англ.). ISAserver.org. Архів оригіналу за 8 липня 2016. Процитовано 3 квітня 2020.
- (англ.). Tech-FAQ.com. Архів оригіналу за 26 квітня 2020. Процитовано 3 квітня 2020.
- Киселев Е. Безопасность IBM Lotus Notes/Domino R7. — М. : «ИнтерТраст», 2007. — .
- (англ.). Microsoft TechNet. Архів оригіналу за 26 серпня 2017. Процитовано 3 квітня 2020.
- Гергель, 2007.
- (англ.). NTSecurity.com. 31.10.2012. Архів оригіналу за 6 червня 2014. Процитовано 4 червня 2014.
- Смирнов А. А., Житнюк П. П. Киберугрозы реальные и выдуманные // «Россия в глобальной политике». — 2010. — № 2. (рос.)
- Johannes Endres (4.10.2006). (нім.). Heise Netze. Архів оригіналу за 17 листопада 2016. Процитовано 4 квітня 2020.
Коментарі
- Міжмережевий екран дозволяє з'єднання хосту в внутрішній мережі з хостом у ДМЗ, якщо це з'єднання ініціював (надіслав запит першим) хост у внутрішній мережі.
Література
- Смит Р. Ф. Демилитаризованная зона ISA // «Windows IT Pro/RE». — М. : Открытые системы, 2006. — № 3. (рос.)
- Гергель А. В. Компьютерные сети и сетевые технологии. — Нижний Новгород : ННГУ, 2007. — С. 18. (рос.)
- Robert Shimonski, Will Schmied. Building DMZs For Enterprise Networks. — Syngress Publishing, 2003. — P. 304. — . (англ.)
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Demilitarizovana zona angl Demilitarized Zone skor DMZ abo DMZ segment merezhi sho mistit zagalnodostupni servisi ta vidokremlyuye yih vid privatnih Yak zagalnodostupnij mozhe vistupati napriklad vebservis server sho jogo zabezpechuye yakij fizichno rozmishenij u lokalnij merezhi Intranet povinen vidpovidati na bud yaki zapiti iz zovnishnoyi merezhi Internet pri comu inshi lokalni resursi napriklad fajlovi serveri robochi stanciyi neobhidno izolyuvati vid zovnishnogo dostupu Meta DMZ nadati dodatkovij riven bezpeki v lokalnij merezhi yakij dozvolyaye minimizuvati zbitki v razi ataki na odin iz zagalnodostupnih servisiv zovnishnij zlovmisnik maye pryamij dostup tilki do obladnannya v DMZ Terminologiya ta koncepciyaNazva pohodit vid voyennogo termina demilitarizovana zona teritoriya mizh vorozhimi derzhavami na yakij ne dopuskayutsya voyenni operaciyi Inakshe kazhuchi dostup u DMZ vidkritij dlya oboh storin za umovi sho vidviduvach ne maye zlogo namiru Analogichno koncepciya DMZ napriklad pri pobudovi shlyuzu v publichnij Internet polyagaye v tomu sho v lokalnij merezhi vidilyayetsya oblast yaka ne ye bezpechnoyu yak chastina merezhi sho zalishilasya vnutrishnya i ne nebezpechna yak publichna zovnishnya Sistemi vidkriti dlya pryamogo dostupu z zovnishnih merezh yak pravilo ye golovnimi cilyami zlovmisnikiv i potencijno narazhayutsya na proyavlennya zagroz Yak naslidok voni ne mozhut poslugovuvatisya povnoyu doviroyu Tomu neobhidno obmezhiti dostup cih sistem do komp yuteriv roztashovanih useredini merezhi Nadayuchi zahist vid zovnishnih atak DMZ yak pravilo ne maye zhodnogo stosunku do atak vnutrishnih takih yak perehoplennya trafiku Arhitektura ta realizaciyaRozdilennya segmentiv i kontrol trafiku mizh nimi yak pravilo realizuyutsya specializovanimi pristroyami mizhmerezhevimi ekranami Osnovnimi zavdannyami takogo pristroyu ye kontrol dostupu z zovnishnoyi merezhi v DMZ kontrol dostupu z vnutrishnoyi merezhi v DMZ dozvil abo kontrol dostupu z vnutrishnoyi merezhi v zovnishnyu zaboronena dostupu z zovnishnoyi merezhi u vnutrishnyu U deyakih vipadkah dlya organizaciyi DMZ dostatno zasobiv marshrutizatora chi navit proksi servera Serveri v DMZ za neobhidnosti mozhut mati obmezhene z yednannya z okremimi vuzlami u vnutrishnij merezhi Zv yazok u DMZ mizh serverami j iz zovnishnoyu merezheyu takozh obmezhuyetsya shob zrobiti DMZ bezpechnishoyu dlya rozmishennya pevnih servisiv nizh Internet Na serverah u DMZ povinni vikonuvatisya lishe neobhidni programi nepotribni vimikayutsya chi vzagali vidalyayutsya Isnuye bezlich riznih variantiv arhitekturi merezhi z DMZ Dva osnovnih z odnim mizhmerezhevim ekranom i z dvoma mizhmerezhevimi ekranami Na bazi cih metodiv mozhna stvoryuvati yak sprosheni tak i duzhe skladni konfiguraciyi vidpovidni do mozhlivostej vikoristovuvanogo obladnannya ta vimog do bezpeki v konkretnij merezhi Konfiguraciyi DMZKonfiguraciya z odnim mizhmerezhevim ekranom Shema z odnim mizhmerezhevim ekranom Dlya stvorennya merezhi z DMZ mozhe buti vikoristanij odin mizhmerezhevij ekran yakij maye minimum tri merezhevi interfejsi odin dlya z yednannya z provajderom WAN drugij iz vnutrishnoyu merezheyu LAN tretij z DMZ Taka shema prosta v realizaciyi odnak maye pidvisheni vimogi do obladnannya j administruvannya mizhmerezhevij ekran povinen obroblyati ves trafik sho jde yak u DMZ tak i u vnutrishnyu merezhu Pri comu vin staye yedinoyu tochkoyu vidmovi a u vipadku jogo zlamu chi pomilki v nalashtuvannyah vnutrishnya merezha viyavitsya vrazlivoyu bezposeredno z zovnishnoyi Konfiguraciya z dvoma mizhmerezhevimi ekranami Shema z dvoma mizhmerezhevimi ekranami Bezpechnishim ye pidhid koli dlya stvorennya DMZ vikoristovuyutsya dva mizhmerezhevi ekrani odin iz nih kontrolyuye z yednannya iz zovnishnoyi merezhi v DMZ inshij iz DMZ u vnutrishnyu merezhu U takomu razi dlya uspishnoyi ataki na vnutrishni resursi povinni buti skomprometovani dva pristroyi Krim togo na zovnishnomu ekrani mozhna nalashtuvati povilnishi pravila filtraciyi na prikladnomu rivni zabezpechivshi posilenij zahist lokalnoyi merezhi bez negativnogo vplivu na produktivnist vnutrishnogo segmenta She vishogo rivnya zahistu mozhna dosyagti vikoristavshi dva mizhmerezhevi ekrani dvoh riznih virobnikiv i bazhano riznoyi arhitekturi ce zmenshuye imovirnist togo sho obidva pristroyi matimut odnakovu vrazlivist Napriklad vipadkova pomilka v nalashtuvannyah z menshoyu imovirnistyu z yavitsya v konfiguraciyi interfejsiv dvoh riznih virobnikiv progalina v bezpeci znajdena v sistemi odnogo virobnika z menshoyu imovirnistyu viyavitsya v sistemi drugogo Nedolikom ciyeyi arhitekturi ye visha vartist DMZ hostDeyaki marshrutizatori SOHO klasu mayut funkciyu nadannya dostupu z zovnishnoyi merezhi do vnutrishnih serveriv rezhim DMZ host abo exposed host U takomu rezhimi voni yavlyayut soboyu host u yakogo vidkriti ne zahisheni vsi porti krim tih sho translyuyutsya inshim sposobom Ce ne zovsim vidpovidaye viznachennyu istinnoyi DMZ oskilki server z vidkritimi portami ne viddilyayetsya vid vnutrishnoyi merezhi Tobto DMZ host mozhe vilno pidklyuchitisya do resursiv u vnutrishnij merezhi todi yak z yednannya z vnutrishnoyu merezheyu z DMZ blokuyutsya mizhmerezhevim ekranom sho rozdilyaye yih yaksho nemaye specialnogo pravila yake b ce dozvolyalo DMZ host ne nadaye v plani bezpeki zhodnoyi z perevag yaki nadaye vikoristannya pidmerezh i chasto vikoristovuyetsya yak prostij metod translyaciyi vsih portiv na inshij mizhmerezhevij ekran abo pristrij PrimitkiSergeev A Nastrojka setej Microsoft doma i v ofise Uchebnyj kurs SPb ID Piter 2006 S 312 ISBN 5 469 01114 3 ros Smit 2006 Shinder D 29 chervnya 2005 angl TechRepublic Arhiv originalu za 24 sichnya 2021 Procitovano 3 kvitnya 2020 Shinder T 27 chervnya 2001 angl ISAserver org Arhiv originalu za 8 lipnya 2016 Procitovano 3 kvitnya 2020 angl Tech FAQ com Arhiv originalu za 26 kvitnya 2020 Procitovano 3 kvitnya 2020 Kiselev E Bezopasnost IBM Lotus Notes Domino R7 M InterTrast 2007 ISBN 5 7419 0084 4 angl Microsoft TechNet Arhiv originalu za 26 serpnya 2017 Procitovano 3 kvitnya 2020 Gergel 2007 angl NTSecurity com 31 10 2012 Arhiv originalu za 6 chervnya 2014 Procitovano 4 chervnya 2014 Smirnov A A Zhitnyuk P P Kiberugrozy realnye i vydumannye Rossiya v globalnoj politike 2010 2 ros Johannes Endres 4 10 2006 nim Heise Netze Arhiv originalu za 17 listopada 2016 Procitovano 4 kvitnya 2020 KomentariMizhmerezhevij ekran dozvolyaye z yednannya hostu v vnutrishnij merezhi z hostom u DMZ yaksho ce z yednannya iniciyuvav nadislav zapit pershim host u vnutrishnij merezhi LiteraturaSmit R F Demilitarizovannaya zona ISA Windows IT Pro RE M Otkrytye sistemy 2006 3 ros Gergel A V Kompyuternye seti i setevye tehnologii Nizhnij Novgorod NNGU 2007 S 18 ros Robert Shimonski Will Schmied Building DMZs For Enterprise Networks Syngress Publishing 2003 P 304 ISBN 1 931836 88 4 angl