Demilitarizētā zona (tīkla aizsardzība)

Vikipēdijas lapa
Pārlēkt uz: navigācija, meklēt

Demilitarizētā zona (DMZ) datoru drošībā ir fizisks vai loģisks apakštīkls, kas satur organizācijas uz āru vērstos servisus. Tās uzdevums ir kalpot kā organizācijas lokālā tīkla (LAN) papildus aizsargslānim; ārējam tīkla mezglam ir tieša piekļuve tikai pie DMZ aparatūras.

Pamatojums[labot šo sadaļu | labot pirmkodu]

Militārā jomā, DMZ tiek uzskatīta par zonu, kura nepieder nevienai pusei, ar kuru tā robežojas. Šī pati koncepcija tiek izmantota arī datorikā, kur DMZ var būt, piemēram, vārteja uz publisko internetu. Šī zona nav tik droša kā kompānijas iekšējais tīkls, bet tā ir drošāka par publisko internetu.

Šajā gadījumā, resursdatori, kuri nodrošina publiskajā internetā esošos lietotājus ar servisiem, piemēram, webserveris, e-pasta serveris, DNS serveris, uzbrukuma gadījumā ir visievainojamākie. Tā kā iespēja, ka šiem resursdatoriem kāds uzbruks, ir salīdzinoši augstāka, tie tiek ievietoti šajā apakštīklā, lai aizsargātu pārējo tīklu gadījumā, ja uzbrucēja ļaunprātīgās darbības būtu veiksmīgas.

Tā kā DMZ saturs nav tik drošs kā iekšējā tīkla saturs, esošajiem resursdatoriem ir atļauta tikai ierobežota piekļuve konkrētiem iekšējā tīkla resursdatoriem. Lai padarītu DMZ drošāku par Internetu un īpaša nolūka servisiem atbilstošu, arī komunikācija starp DMZ resursdatoriem un ārejo tīklu ir ierobežota. Tas ļauj DMZ resursdatoriem komunicēt gan ar iekšējo, gan ārējo tīklu, atstājot plūsmas kontroli starp DMZ serveriem un iekšējā tīkla klientiem un DMZ aizsardzību no ārējā tīkla, ugunsmūru ziņā.

DMZ konfigurācija pasargā no ārējiem uzbrukumiem, bet parasti, tā nav spējīga pasargāt no iekšējiem uzbrukumiem, kā piemēram, elektronisko maldināšanu.

Dažreiz, labs darba stils ir konfigurēt atsevišķu Klasificēto Militarizēto Zonu (CMZ). Tā ir augsti novērota militarizētā zona, kas sastāv, galvenokārt, no tīmekļa serveriem (un līdzīgiem serveriem, kas savienojas ar Internetu), kas neatrodas DMZ, bet satur sensitīvu informāciju par piekļuvi iekšējā tīkla serveriem, piemēram, datubāžu serveriem. Šādā arhitektūrā, DMZ parasti ir lietojumprogrammatūru ugunsmūris un FTP, kamēr CMZ uztur tīmekļa serverus. (Datubāžu serveri varētu būt CMZ, lokālajā tīklā vai atsevišķā virtuālajā lokālajā tīklā.)

Arhitektūra[labot šo sadaļu | labot pirmkodu]

Ir daudz un dažādi veidi kā projektēt tīklu ar DMZ. Divas no pamata metodēm ir ar vienu ugunsmūri, zināms arī kā trīskājainas modelis, un ar diviem ugunsmūriem. Balstoties uz tīkla prasībām, šīs arhitektūras var tikt paplašinātas, lai radītu ļoti sarežģītas tīkla arhitektūras,

Viens ugunsmūris[labot šo sadaļu | labot pirmkodu]

Viens ugunsmūris ar vismaz 3 tīkla interfeisiem var tikt izmantots, lai radītu tīkla arhitektūru, kas satur DMZ. Ārējais tīkls tiek veidots no ISP līdz ugunsmūra pirmajam tīkla interfeisam, iekšējais tīkls tiek veidots no otrā tīkla interfeisa un DMZ tiek veidota no trešā tīkla interfeisa. Šādā arhitektūrā ugunsmūris kļūst par vienīgo tīkla atteices punktu, tāpēc tam jābūt spējīgam regulēt visu plūsmu gan DMZ, gan iekšējā tīkla virzienā. Zonas parasti tiek marķētas ar krāsu palīdzību, piemēram, lokālais tīkls ir zaļš, DMZ ir zils, Internets ir sarkans un bezvadu zona ir violeta.

Dubults ugunsmūris[labot šo sadaļu | labot pirmkodu]

Balstoties uz Stjuarta Džeikobsa vārdiem, visdrošākā pieeja DMZ izveidē ir izmantot divus ugunsmūrus. Pirmajam ugunsmūrim (saukts arī par "front-end" vai perimetra ugunsmūri) jābūt konfigurētam tā, lai tas atļautu ceļot tikai tādai datu plūsmai, kas paredzēta DMZ. Otrajam ugunsmūrim (saukts arī par "back-end" vai iekšējo ugunsmūri) jāļauj ceļot tikai tādai datu plūsmai, kas paredzēta no DMZ uz iekšējo tīklu.

Šāds uzstādījums tiek uzskatīts par drošāku, jo datiem jāplūst caur divām ierīcēm. Vēl lielāku drošības līmeni var panākt, ja katrs no šiem ugunsmūriem ir iegādāts no cita piegādātāja, tāpēc, ka samazinās risks, ka abām ierīcēm būs vienādas ievainojamības.

DMZ saimnieks[labot šo sadaļu | labot pirmkodu]

Daži mājas maršrutētāji tiek saukti arī par DMZ saimniekiem. Šādi maršrutētāji ir ar vienu adresi (piemēram, IP adresi) uz kuru, iekšējā tīklā, tiek sūtīta visa datu plūsma, kas netiek pāradresēta citiem lokālā tīkla resursdatoriem. Pēc definīcijas, šī nav patiesa DMZ, jo tā nenošķir saimnieku no iekšējā tīkla. Respektīvi, DMZ saimnieks ir spējīgs savienoties ar iekšējā tīkla resursdatoriem, taču īstas DMZ resursdatori nav spējīgi savienoties ar iekšējo tiklu pateicoties ugunsmūrim, kas tos nošķir, atskaitot gadījumus, kad ugunsmūris to atļauj.

Ugunsmūris to varētu atļaut, ja resursdators no iekšējā tīkla pieprasa savienojumu ar resursdatoru DMZ iekšienē pirmais. DMZ saimnieks nesniedz nevienu no drošības priekšrocībām, ko sniedz apakštīkls un bieži tiek izmantots kā viegls veids, lai pāradresētu visus portus uz citu ugunsmūri vai NAT ierīci. Šī metode tiek izmantota arī sistēmās, kuras nespēj pienācīgi sazināties ar normāliem ugunsmūra vai NAT noteikumiem. Tā var būt, jo neviens pāradresēšanas noteikums nevar tikt formulēts iepriekš. Tas tiek pielietots arī tīkla protokoliem, kurus maršrutētājs nevar apstrādāt (piemēram, 6in4 vai GRE tuneļi).