DMZ ( Eng. Demilitarized Zone - demilitarized zone, DMZ) este un segment de rețea care conține servicii publice și le separă de cele private [1] . De exemplu, un serviciu web poate acționa ca un serviciu public : serverul care îl furnizează , care se află fizic în rețeaua locală ( Intranet ), trebuie să răspundă oricăror solicitări din rețeaua externă ( Internet ), în timp ce alte resurse locale (pentru de exemplu, serverele de fișiere , stația lucrătorilor ) trebuie să fie izolate de accesul extern.
Scopul DMZ este de a adăuga un nivel suplimentar de securitate rețelei locale , care permite reducerea la minimum a daunelor în cazul unui atac asupra unuia dintre serviciile publice: un atacator extern are acces direct doar la echipamentele din DMZ [2] ] .
Denumirea provine de la termenul militar „ zonă demilitarizată ” - teritoriul dintre statele beligerante, pe care operațiunile militare nu sunt permise. Cu alte cuvinte, accesul la DMZ este deschis ambelor părți, cu condiția ca vizitatorul să nu aibă intenții rău intenționate. Prin analogie, conceptul de DMZ (de exemplu, atunci când se construiește o poartă către Internetul public) este că o zonă este alocată în rețeaua locală care nu este sigură ca restul rețelei (internă) și nu este periculoasă ca publică (externă). ) [3] [4] [5] .
Sistemele deschise accesului direct din rețele externe sunt de obicei ținte principale pentru atacatori și sunt potențial expuse amenințărilor. În consecință, aceste sisteme nu pot fi pe deplin de încredere. Prin urmare, este necesar să se limiteze accesul acestor sisteme la calculatoarele situate în interiorul rețelei [6] .
În timp ce oferă protecție împotriva atacurilor externe, DMZ nu are, în general, nimic de-a face cu atacurile interne, cum ar fi interceptarea traficului [5] [7] .
Separarea segmentelor și controlul traficului dintre ele, de regulă, sunt implementate de dispozitive specializate - firewall -uri . Sarcinile principale ale unui astfel de dispozitiv sunt [8] :
În unele cazuri, un router sau chiar un server proxy este suficient pentru a organiza un DMZ [2] .
Serverele din DMZ pot avea capacitatea limitată de a se conecta la gazde individuale din rețeaua internă [K 1] după cum este necesar . Comunicarea în DMZ între servere și cu rețeaua exterioară este, de asemenea, limitată pentru a face DMZ-ul mai sigur decât Internetul pentru găzduirea anumitor servicii.[ ce? ] . Pe serverele din DMZ, ar trebui să fie executate numai programele necesare , cele inutile sunt dezactivate sau eliminate cu totul [8] .
Există multe opțiuni diferite de arhitectură de rețea DMZ. Două principale - cu un firewall și cu două firewall [2] [9] . Pe baza acestor metode, este posibil să se creeze atât configurații simplificate, cât și foarte complexe, care să corespundă capabilităților echipamentului utilizat și cerințelor de securitate dintr-o anumită rețea [5] .
Pentru a crea o rețea cu un DMZ, poate fi utilizat un firewall care are cel puțin trei interfețe de rețea: una pentru conectarea la furnizor ( WAN ), a doua - la rețeaua internă ( LAN ), a treia - la DMZ. O astfel de schemă este simplu de implementat, dar impune cerințe sporite asupra echipamentelor și administrării : firewall-ul trebuie să proceseze tot traficul care merge atât către DMZ, cât și către rețeaua internă. În același timp, devine un singur punct de eșec , iar dacă este piratat (sau o eroare în setări), rețeaua internă va fi vulnerabilă direct de la extern [3] .
O abordare mai sigură este atunci când sunt utilizate două firewall-uri pentru a crea un DMZ: unul dintre ele controlează conexiunile de la rețeaua externă la DMZ, al doilea - de la DMZ la rețeaua internă. În acest caz, pentru un atac de succes asupra resurselor interne, două dispozitive trebuie compromise [2] . În plus, regulile mai lente de filtrare a stratului de aplicație pot fi configurate pe ecranul exterior , oferind protecție îmbunătățită pentru rețeaua locală fără a afecta negativ performanța segmentului interior [3] .
Un nivel și mai mare de protecție poate fi asigurat prin utilizarea a două firewall-uri de la doi producători diferiți și (de preferință) arhitectură diferită - acest lucru reduce probabilitatea ca ambele dispozitive să aibă aceeași vulnerabilitate [10] . De exemplu, o configurare greșită aleatorie este mai puțin probabil să apară în configurarea interfețelor de la doi producători diferiți; o gaură de securitate găsită în sistemul unui furnizor este mai puțin probabil să ajungă în sistemul altui furnizor. Dezavantajul acestei arhitecturi este costul mai mare [11] .
Unele routere din clasa SOHO au funcția de a oferi acces de la rețeaua externă la serverele interne ( gazdă DMZ sau modul gazdă expusă ). În acest mod, sunt o gazdă care are toate porturile deschise (neprotejate), cu excepția celor care sunt traduse într-un mod diferit. Acest lucru nu îndeplinește definiția unui adevărat DMZ, deoarece serverul cu porturi deschise nu este separat de rețeaua internă. Adică, o gazdă DMZ se poate conecta liber la resursele din rețeaua internă, în timp ce conexiunile la rețeaua internă din DMZ-ul real sunt blocate de firewall-ul care le separă, cu excepția cazului în care există o regulă specială de permis [K 1] . O gazdă DMZ nu oferă niciunul dintre beneficiile de securitate pe care le oferă subrețea și este adesea folosită ca o metodă simplă de a redirecționa toate porturile către un alt firewall sau dispozitiv [5] [11] .