چرا باید از DMZ اسفاده کنیم؟
پنجشنبه, ۱۰ بهمن ۱۳۹۲، ۱۲:۵۱ ق.ظ
DMZ چیست؟
چرا باید از DMZ اسفاده کنیم؟
یک DMZ از در دسترس بودن شبکه داخلی ما از اینترنت محافظت میکند.DMZ. سرویس های عمومی را از شبکه داخلی و شبکه خارجی مثل اینترنت ایزوله میکند .
معمولی ترین ساختار به این گونه است که فایروال را با سه کارت شبکه روی ان نصب میکنند وکانفیگ میکنندکه یکی از انها برای ارتباطات اینترنتی و دومی برای DMZ و سومی برای شبکه لوکال و تمامی درخواست های ورودی به شبکه ،اتوماتیک به DMZ هدایت میشود زیرا هیچ سروری در شبکه داخلی فعال نیست (که کسی از بیرون بخواهد به ان وصل شود ) و حتی قابل اتصال نیست .پس بنابراین DMZ به ما کمک میکند که شبکه داخلی ما از دسترس هکر ها در امان باشد.
چطور DMZ را نصب کنیم؟
اول از همه باید تصمیم بگیریم که چه سرویس هایی را می خواهیم روی سرور هایمان نصب کنیم.DMZ باید روی یک سگمنت متفاوت از شبکه نصب شودهم به صورت فیزیکی هم به صورت تئوری.
این به این معنی است که از سرور های جداگانه برای میزبانی سرویس های که میخواهیم در دسترس قرار دهیم استفاده کنیم(مثل DNS ، وب سرور ، میل سرور) DMZ . در یک ساب نت جداگانه قرار دارد بعلاوه اینکه باید سرور نت برای کاربران شبکه داخلی نیز فعال باشد.به عبارت دیگر اینترنت برای کاربران شبکه داخلی فعال است .همچنین کلاینت ها باید بتوانند به شبکه DMZ وصل شوند.در شکل زیر طرح نهایی یک شبکه DMZ را میبینیم.(بپیوست می باشد)
بدیهی است که که سرور های درون DMZ باید از لحاظ سخت افزاری قوی باشند چون انها دقیقا در راس شبکه هستند دقیقا پشت فایروال .موقعیت انها طوری است که از ورود هکر ها به شبکه ممانعت میکنند اما ریسک به خطر افتادن خودشان بالاست.
در زیر لیست از روش هایی که می توانیم امنیت DMZ را بالا ببریم مطالعه میکنیم:
- تمامی سرویس ها و درخواست های غیر ضروری را غیر فعال کنیم .
- اجرا کردن سرویس ها را با عدم اعطای GID& UID تا انجایی که ممکن است
- حذف یا غیر فعال کردن اکانت یوزر های غیر لازم .
- لاگ ها را کانفیگ کنیم و مرتبا انها را چک کنیم.
- استفاده کنیم از سکوریتی فایروال ها و همچنین از ویژگی ANTISPOFING
همچنین ساختار DMZ می تواند اینگونه باشد که اضافه کنیم چندین DMZ را با سلسله مراتب امنیتی مختلفکه وابسته است به تعداد سرویس ها و سیستم های که در شبکه موجود است این زون ها می توانند اسمبل شوند به صورت ساختار خطی که دیتا از DMZ به DMZ دیگر عبور داده می شود.
این نوع زیرساخت های شبکه امن ترین راه برای حفاظت از شبکه داخلی نمی باشد.اما گاهی اوقات لازم استیک مثال از این سناریو مواقعی است که وب سرور ها در DMZ قرار دارند که انها احتیاج دارند به دیتا بیس سرورشان روی یک پورت امن که درون DMZ قرار دارد این دیتا بیس سرور نهایتا می تواند به بعضی از دیتا روی شبکه داخلی دسترسی داشته باشد در روش دیتا بیس از حملات بیرونی محافظت می شود در حالی که وب سرور در دسترس نگه داشته می شود شبکه داخلی هم ایزوله است .
چیز هایی که باید به یاد داشته باشیم:
سادگی فهم DMZ اون را قوی و پرکاربرد می سازد یک DMZ میتواند مثل یک نگهبان خوب عمل کند با این وجود به خودی خود یک مبنای امنیتی نیست با هرچند با یک طراحی خوب و زیر ساخت های IDS & IPS میتواند یک مانع باشد بر علیه ترافیک های نا خواسته.
تحقیق ، ترجمه ، تایپ : عظیم پورجعفر
یک DMZ از در دسترس بودن شبکه داخلی ما از اینترنت محافظت میکند.DMZ. سرویس های عمومی را از شبکه داخلی و شبکه خارجی مثل اینترنت ایزوله میکند .
معمولی ترین ساختار به این گونه است که فایروال را با سه کارت شبکه روی ان نصب میکنند وکانفیگ میکنندکه یکی از انها برای ارتباطات اینترنتی و دومی برای DMZ و سومی برای شبکه لوکال و تمامی درخواست های ورودی به شبکه ،اتوماتیک به DMZ هدایت میشود زیرا هیچ سروری در شبکه داخلی فعال نیست (که کسی از بیرون بخواهد به ان وصل شود ) و حتی قابل اتصال نیست .پس بنابراین DMZ به ما کمک میکند که شبکه داخلی ما از دسترس هکر ها در امان باشد.
چطور DMZ را نصب کنیم؟
اول از همه باید تصمیم بگیریم که چه سرویس هایی را می خواهیم روی سرور هایمان نصب کنیم.DMZ باید روی یک سگمنت متفاوت از شبکه نصب شودهم به صورت فیزیکی هم به صورت تئوری.
این به این معنی است که از سرور های جداگانه برای میزبانی سرویس های که میخواهیم در دسترس قرار دهیم استفاده کنیم(مثل DNS ، وب سرور ، میل سرور) DMZ . در یک ساب نت جداگانه قرار دارد بعلاوه اینکه باید سرور نت برای کاربران شبکه داخلی نیز فعال باشد.به عبارت دیگر اینترنت برای کاربران شبکه داخلی فعال است .همچنین کلاینت ها باید بتوانند به شبکه DMZ وصل شوند.در شکل زیر طرح نهایی یک شبکه DMZ را میبینیم.(بپیوست می باشد)
بدیهی است که که سرور های درون DMZ باید از لحاظ سخت افزاری قوی باشند چون انها دقیقا در راس شبکه هستند دقیقا پشت فایروال .موقعیت انها طوری است که از ورود هکر ها به شبکه ممانعت میکنند اما ریسک به خطر افتادن خودشان بالاست.
در زیر لیست از روش هایی که می توانیم امنیت DMZ را بالا ببریم مطالعه میکنیم:
- تمامی سرویس ها و درخواست های غیر ضروری را غیر فعال کنیم .
- اجرا کردن سرویس ها را با عدم اعطای GID& UID تا انجایی که ممکن است
- حذف یا غیر فعال کردن اکانت یوزر های غیر لازم .
- لاگ ها را کانفیگ کنیم و مرتبا انها را چک کنیم.
- استفاده کنیم از سکوریتی فایروال ها و همچنین از ویژگی ANTISPOFING
همچنین ساختار DMZ می تواند اینگونه باشد که اضافه کنیم چندین DMZ را با سلسله مراتب امنیتی مختلفکه وابسته است به تعداد سرویس ها و سیستم های که در شبکه موجود است این زون ها می توانند اسمبل شوند به صورت ساختار خطی که دیتا از DMZ به DMZ دیگر عبور داده می شود.
این نوع زیرساخت های شبکه امن ترین راه برای حفاظت از شبکه داخلی نمی باشد.اما گاهی اوقات لازم استیک مثال از این سناریو مواقعی است که وب سرور ها در DMZ قرار دارند که انها احتیاج دارند به دیتا بیس سرورشان روی یک پورت امن که درون DMZ قرار دارد این دیتا بیس سرور نهایتا می تواند به بعضی از دیتا روی شبکه داخلی دسترسی داشته باشد در روش دیتا بیس از حملات بیرونی محافظت می شود در حالی که وب سرور در دسترس نگه داشته می شود شبکه داخلی هم ایزوله است .
چیز هایی که باید به یاد داشته باشیم:
سادگی فهم DMZ اون را قوی و پرکاربرد می سازد یک DMZ میتواند مثل یک نگهبان خوب عمل کند با این وجود به خودی خود یک مبنای امنیتی نیست با هرچند با یک طراحی خوب و زیر ساخت های IDS & IPS میتواند یک مانع باشد بر علیه ترافیک های نا خواسته.
تحقیق ، ترجمه ، تایپ : عظیم پورجعفر
