DMZ

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

ДМЗ (демілітаризована зона, DMZ) — технологія забезпечення захисту інформаційного периметра, при якій сервери, що відповідають на запити з зовнішньої мережі, перебувають в особливому сегменті мережі (який і називається ДМЗ) і обмежені в доступі до основних сегментів мережі за допомогою міжмережевого екрану (файрвола) з метою мінімізування збитків при зломі одного із загальнодоступних сервісів, які знаходяться в ДМЗ.

Захист мережевого середовища[ред. | ред. код]

Звичайно, коли говорять про атаки через Інтернет і пов'язаних з ними ризиками, мають на увазі безпеку поштового сервера, Web-Сервера та інших корпоративних Internet — сервісів. Для забезпечення корпоративної безпеки Internet — сервіси звичайно виносять в окрему екрановану мережу, так звану демілітаризовану зону (DMZ). Міжмережевий екран захищає корпоративні ресурси та станції користувачів від серверів, розташованих в DMZ на випадок їхньої можливої компрометації.

Тому вважається, що при подібній організації мережі атака через Інтернет на корпоративні ресурси закритої мережі надзвичайно складна. Користувачі внутрішньої мережі можуть мати доступ до ресурсів демілітаризованої зони, зокрема до поштових серверів, через проксі сервери та різним шлюзи і, таким чином, одержують опосередкований доступ до ресурсів Internet.

Особливість атак на клієнтське програмне забезпечення полягає в тому, що, на відміну від атак на Internet-сервіси, у випадку успіху атакувальник відразу одержує доступ у внутрішню мережу та до всіх ресурсів, до яких має доступ користувач. У випадку, якщо мережа побудована за принципом яйця та має тільки периметричний захист (а це не рідкість навіть у досить пристойних компаніях) атакувальник автоматично одержує повний доступ до всіх ресурсів мережі. Це робить атаки на клієнтське програмне забезпечення небезпечнішими, ніж атаки на Internet-служби.

Троянський уміст. Варто розглядати два види троянського вмісту: троянські програми «загального користування», які в незліченній кількості гуляють мережею і які можна віднести до вірусів та троянські програми розроблені спеціально для того, щоб атакувати саме вашу мережу.

Програма може управлятися ззовні одержуючи команди з web-сервера або електронною поштою.

Атаки збору інформації. Як правило, перед атакою на корпоративну мережу проводиться збір інформації про дану мережу, з метою з'ясувати її внутрішню структуру, програмне забезпечення, яке використовується, методи та режими адміністрування, число та рівень підготовки адміністраторів і т.д. Найчастіше електронна пошта може дозволити атакувальному одержати ті відомості, які його цікавлять; методів для цього досить багато, починаючи від простих листів до системних адміністраторів та аналізу відповідей, і закінчуючи методами з автоматичним «зворотним зв'язком», наприклад, включення в лист елементу, який знаходиться на зовнішньому сервері. При звертанні до зовнішнього сервера буде зареєстрована інформація про браузер, яка може містити не тільки відомості про систему але й відомості про облікові дані користувача.

Атаки на вразливість програмного забезпечення. Наслідком атак на вразливість програмного забезпечення можуть бути ті ж, що й атак за допомогою троянів. Досить часто використовуються комбіновані атаки, тобто уразливість програмного забезпечення викори- стовується для автоматичного запуску троянської програми без участі користувача. Але особливість атак на уразливість програмного забезпечення в тому, що для атаки можуть використатися зовні необразливі дані, наприклад, лист якого-небудь активного вмісту (на- приклад, сценаріїв, макросів та ін.). Це робить практично неможливим запобігання подібних атак за допомогою контент-фільтрів.

Є два способи забезпечення безпеки: безпека за рахунок спостереження та безпека за рахунок запобігання. Антивірус здатний розпізнати лише той вміст, сигнатура якого є в його базі, а це означає, що завжди можна створити вміст, який пройде крізь антивірусний захист. Аналогічна проблема є й у контент-фільтрах, хоча їх іноді відносять до програм другого роду. Навіть у тому випадку коли ви просто фільтруєте вкладення певних типів, контент-фільтр клієнтських програм можуть по-різному обробляти вміст листа, результатом чого може бути те, що поштова програма знайде вкладення там, де контент-фільтр його просто не знайшов, прийнявши вкладення за текст листа. Однак, все це не означає, що варто відмовитися від використання програм фільтрації та антивірусів. Наявність фільтрів сильно ускладнює можливу атаку на внутрішню мережу, найчастіше роблячи її економічно невигідної. Крім того, це програмне забезпечення відфільтрує типові атаки, і знизить число подій у внутрішній мережі, що звільнить системним адміністраторам час для аналізу інших подій, а так само дасть адміністраторам інформацію звідки варто очікувати нетипових атак. Таким чином для захисту варто зробити наступне: підвищити стандарти адміністрування внутрішньої мережі, більше приділяти увагу розмежуванню доступу, аудитові нестандартних явищ та супроводу клієнтського програмного забезпечення. Це дозволить запобігти багатьом атакам або виявити їх у момент розвитку. Багато організацій воліють заощаджувати на користувальницькій підтримці, а рівень підтримки користувачів і користувальницького програмного забезпечення не повинен бути нижче рівня підтримки серверів.

Запобігання атакам через клієнтські додатки. У випадку з Internet-сервісами ми ізо- лювали їх в екрановану демілітаризовану зону, запобігши можливості доступу до корпора- тивних даних зі скомпрометованого сервера. Можливо використання окремого облікового запису для запуску клієнтських додатків. Додаток, запущений з іншим обліковим записом, може мати знижений рівень доступу та буде ізольований від даних користувача, навіть як- що він буде працювати на тому ж комп'ютері одночасно з іншими додатками даного корис- тувача (локальна ізоляція).

На жаль, розмежування прав доступу в рамках однієї машини це нетривіальний процес, і дуже велика ймовірність помилки, що дозволить ізольованому клієнтському додатку одержати підвищені права доступу. Тому найнадійнішим залишається винос потенційно небезпечних клієнтських додатків в окрему екрановану мережу.

Додатки можуть бути винесені на термінальний сервер. Існують різні технології (наприклад, Application Publishing в Citrix Metaframe), які роблять цей процес швидким і, головне, практично непомітним для користувача, тому що користувач продовжує взаємодіяти з додатком так, ніби його було запущено локально. У такий спосіб ми одержуємо 3 корпоративні зони: демілітаризовану серверну зону, зону ізольованих клієнтських додатків і внутрішню корпоративну мережу. Виключаємо можливість влучення яких-небудь даних з Internet у внутрішню мережу крім випадків, коли ці дані явно скопійовані користувачем зони ізольованих додатків. Заборона копіювання потенційно небезпечних даних (файлів, які виконуються наприклад, макро-документи) у цьому випадку реалізується досить просто.

Конфігурації ДМЗ[ред. | ред. код]

У залежності від вимог до безпеки, ДМЗ може організовуватися одним, двома або трьома фаєрволами.

Конфігурація з одним фаєрволом[ред. | ред. код]

Схема с одним файрволом.

Найпростішою (і найпоширенішою) схемою є схема, в якій ДМЗ, внутрішня мережа і зовнішня мережа підключаються до різних портів маршрутизатора (виступає в ролі файрвола), контролюючого з'єднання між мережами. Подібна схема проста в реалізації, вимагає всього лише одного додаткового порту. Однак у випадку злому (або помилки конфігурації) маршрутизатора мережа виявляється вразлива безпосередньо із зовнішньої мережі.

Конфігурація з двома фаєрволами[ред. | ред. код]

Схема с двумя файрволами и общим соединением.

У конфігурації з двома файрволом ДМЗ підключається до двох маршрутизаторів, один з яких обмежує з'єднання з зовнішньої мережі в ДМЗ, а другий контролює з'єднання з ДМЗ у внутрішню мережу. Подібна схема дозволяє мінімізувати наслідки злому будь-якого з файрволов або серверів, що взаємодіють із зовнішньою мережею — до тих пір, поки не буде зламаний внутрішній файрвол, зловмисник не буде мати довільного доступу до внутрішньої мережі.

Конфігурація з трьома фаєрволами[ред. | ред. код]

Існує рідкісна конфігурація з трьома файрволом. У цій конфігурації перший з них бере на себе запити із зовнішньої мережі, другий контролює мережеві підключення ДМЗ, а третій — контролює з'єднання внутрішньої мережі. У подібній конфігурації зазвичай ДМЗ і внутрішня мережа ховаються за NAT (трансляцією мережних адрес).

Однією з ключових особливостей ДМЗ є не тільки фільтрація трафіку на внутрішньому брандмауера, але і вимога обов'язкової сильної криптографії при взаємодії між активним обладнанням внутрішньої мережі і ДМЗ. Зокрема, не повинно бути ситуацій, в яких можлива обробка запиту від сервера в ДМЗ без авторизації. У випадку, якщо ДМЗ використовується для забезпечення захисту інформації всередині периметра від витоку зсередини, аналогічні вимоги пред'являються для обробки запитів користувачів із внутрішньої мережі.


ДМЗ і SOHO[ред. | ред. код]

У разі використання домашніх (SOHO) маршрутизаторів і точок доступу під ДМЗ іноді мається на увазі можливість «прокидки портів» — здійснення трансляції, що прийшла із зовнішньої мережі запиту на який-небудь порт маршрутизатора на вказаний вузол внутрішньої мережі.

Див. також[ред. | ред. код]