DMZ چیست؟
DMZ چیست؟
DMZ مخفف عبارت Demilitarized Zone است وعموما به بخش هایی از شبکه اشاره می کند که کاملا قابل اطمینان نیست. DMZ امکانی روی شبکه فراهم می کند تا سیستم هایی که توسط عموم مردم و از طریق اینترنت قابل دسترسی است، از سیستم هایی که فقط توسط پرسنل سازمان قابل استفاده است تفکیک شود. DMZ
در مواردیکه با شرکای تجاری و دیگر نهادهای خارجی ارتباط وجود دارد هم قابل استفاده است.
تعریف DMZ
با ایجاد ناحیه ای شبه حفاظت شده روی شبکه DMZ ایجاد می شود. در حالت عادی این ناحیه با کنترل دسترسی به شبکه توسط فایروال یا روترهای با امکان فیلتر کردن بالا طراحی و ایجاد می شود این کنترل، سیاست را بگونه ای تنظیم می کند که تعیین می کند کدام ترافیک اجازه ورود به DMZ دارد و کدام ترافیک می تواند از DMZ خارج شود. عموما هر سیستمی که بتوان بوسیله کاربر خارجی مستقیما به آن وصل شد باید در DMZ قرار بگیرد. سیستمی که توسط یک سیستم یا کاربر خارجی و بطور مستقیم قابل دسترسی باسد اولین سیستمی است که در معرض حمله و خطر قرار دارد. نمی توان به این سیستم بطور دسترسی این سیستم ها را به سیستم های کاملا حساس شبکه داخلی، محدود نماییم.
قانون عمومی دسترسی DMZ آن است که کاربران خارجی به سرویس های موجود روی سیستم DMZ اجازه دسترسی دارند. لازم است دسترسی DMZ به سیستم های داخلی محدود شود. در صورت امکان این سیستم داخلی است که با DMZ ارتباط برقرار می کند. سیستم داخلی می تواند به DMZ یا اینترنت دسترسی داشته باشد؛ اما کاربران خارجی نمی توانند به سیستم داخلی دسترسی پیدا کنند. اما اکنون یک سیاست کلی برای DMZ و لیستی از سرویس هایی را که روی اینترنت ارائه می شود در اختیار داریم. واقعا کدام سرویس ها باید در DMZ قرار گیرد؟ اجازه دهید به هر سرویس بخصوص نگاهی بیندازیم:
سرور داخلی میل برای دریافت میل های داخلی و نیز برای ارسال میل های خارجی استفاده می شود. میل های جدید توسط سرور خارجی میل دریافت می شود و به سمت سرور داخلی میل گسیل می شود و میل های خارجی را به سرور خارجی ارسال می کند. بطور ایده آل همه کاری که توسط سرور داخلی میل انجام می شود تقاضای میل از سرور خارجی میل است. برخی فایروال ها کار سرور میل را هم انجام می دهند.
شکل 1 شمای سیستم DMZ و شبکه داخلی
چنانچه از سرور میل فایروال استفاده شود، این سرور به جای سرور خارجی میل عمل می کند.در این صورت سرور میل خارجی اضافی خواهد بود و قابل حذف است. توجه: چنانچه عملکرد سرور میل کاملا حیاتی باشد، باید سرور میل یدکی، هم در شبکه داخلی و هم در DMZ قرار داده شود. عموما سرورهای وب قابل وصول، داخل DMZ قرار داده می شود.بسیاری از وب سایت ها فعالیت خود را بر پایه اطلاعاتی که کاربر وارد می کند ارائه می دهند. ورودی کاربر پردازش می شود و اطلاعات مربوطه از بانک اطلاعاتی احضار می شود. بانک اطلاعات شامل اطلاعات حساس هم می باشد. خود سرور وب می تواند با سرور بانک اطلاعات ارتباط برقرار نماید اما از آنجا که سرور وب از خارج قابل دستیابی است لذا کاملا قابل اطمینان نیست. در این حالت بهتر است از سیستم سومی استفاده شود تا کاربردهایی که واقعا با بانک اطلاعات رابطه برقرار مینماید در آن داده شود. سیستم سوم، سرور کاربردی است. سرور وب ورودی کاربران را دریافت می کند و انرا برای پردازش به سرور کاربردی ارائه می کند. سرور کاربردی بانک اطلاعات را احضار می کند و اطلاعات مناسب را درخواست می نماید. اگرچه این معماری پیچیده به نظر می رسد در عوض برای سرور بانک اطلاعات حفاظت ایجاد می-کند و پردازش های مربوط به درخواست را از سرور وب دور می کند.
سیستم های قابل وصول از خارج
تمام سیستم های قابل دسترسی از خارج باید در DMZ قرار داده شوند. به خاطر داشته باشید هر وقت سیستمی از طریق session تعاملی(مانند telent یا ssh) قابل دسترسی باشد، کاربران قادر به اجرای حمله برضد دیگر سیستم های موجود در DMZ خواهند بود. ممکن است ترجیح دهید DMZ دومی برای سیستم ها اجاد کنید و DMZ های دیگر را در برابر حملات محافظت نمایید.
سیستم های کنترلی
سرور DNS خارجی باید در DMZ قرار داه شود. اگر سازمان بخواهد خودش میزبان DMZ باشد، لازم است سرور DNS در برابر درخواست هایی که از خارج می آید قابل دسترسی باشد. علاوه براین DNS بخش حیاتی پیکره بندی سازمان می باشد. به همین دلیل شاید بخواهید DNS یدکی استفاده کنید یا ISP خود را وادار نمایید به عنوان DNS دیگری عمل کند. اگر روش دوم را انتخاب کنید ISP DNS نیاز خواهد داشت از DNS شما Zone transfer را اجرا کند. برای اجرای این انتقال به سیستم دیگری نیاز نیست. اگر استفاده از NTP را انتخاب کرده اید لازم است سرور اصلی NTP محلی در DMZ قرار داشته باشد. سیستم های داخلی درخواست خود را برای به روز کردن تاریخ و ساعت به سرور اصلی NTP محلی می فرستند. فایروال هم می تواند به عنوان سرور اصلی NTP محلی عمل کند.
معماری مناسب DMZ
معماری های زیادی برای DMZ وجود دارد و با توجه به نگاهی که ما به بحث امنیت داریم هر یک از این معماری های دارای مزایا و معایب مخصوص بخود می باشند که با توجه به آنها تعیین می کنیم کدام معماری برای کدام سازمان مناسب است. در سه بخشی که در ادامه آمده است به جزئیات مربوط به سه تا از عمومی ترین معماری ها خواهیم پرداخت.
روتر و فایروال
در شکل 2 معماری ساده متشکل از روتر و فایروال دیده می شود. روتر از یک طرف به ISP وصل شده است و از طرف دیگر به شبکه خارجی سازمان اتصال یافته است. در اینجا فایروال دسترسی به شبکه داخلی را کنترل می کند. DMZ در اینجا همان شبکه خارجی خواهد بود و سیستم هایی که از طریق اینترنت قابل دستیابی هستند در این مکان قرار دارند. از آنجا که این سیستم ها در شبکه خارجی قرار داده شده اند، بنابراین از طرف اینترنت در معرض حمله قرار دارند. می توان با قرار دادن فیلترهایی در روتر تا حدی این خطر را کاهش داد. قرار دادن فیلتر در روتر باعث می شود فقط ترافیکی که اجازه ورود به DMZ دارد بتواند از سرویس ارائه شده توسط DMZ استفاده کند.
شکل 2 معماری DMZ با روتر و فایروال
روش دیگر برای کاهش خطرپذیری سیستم آن است که سیستم بگونه ای قفل شود که فقط سرویس های ارائه شده توسط DMZ روی آن قابل اجرا باشد. معنی این جمله آن است که سرور وب فقط وظایف سرور وب را اجرا کند و سرویس های دیگر نظیر FTP، Telnet و غیره تعطیل شود. علاوه بر این باید سیستم به بالاترین نسخه نرم افزاری ارتقا داده شود و به دقت نظارت شود. در بسیاری موارد روتر به ISP تعلق دارد و توسط او مدیریت می شود. در این حالت برای ایجاد تغییر در فیلترها و برای تنظیم درست آنها با مشکل مواجه می شوید. اما اگر روتر متعلق به سازمان باشد این مشکل را نخواهید داشت. البته برای تنظیم اکثر روترها نیاز است از خط فرمان استفاده کنید، بنابراین برای تنظیم درست فیلترها و کارکرد صحیح روتر، دقت زیادی لازم است.
استفاده از یک فایروال
با استفاده از یک فایروال می توان DMZ ایجاد کرد. زمانیکه از فایروال استفاده می شود بین DMZ و شبکه خارجی تفاوت قائل شده ایم. شبکه خارجی از روتر ISP و فایروال تشکیل شده است. DMZ واسطه سومی روی فایروال ایجاد می کند فایروال به تنهایی دسترسی به DMZ را کنترل می کند.
شکل 3 معماری DMZ با یک فایروال
با استفاده از معماری تک فایروال، کل ترافیک از یک فایروال عبور می کند. در این حالت فایروال باید طوری تنظیم شود که اجازه عبور ترافیک فقط به سرویس های مناسب روی هر سیستم DMZ داده شود. علاوه بر این فایروال از ترافیک هایی که اجازه عبور به آنها داده نشده است گزارش تهیه می کند. در اینجا فایروال به تک نقطه ای برای بروز خرابی تبدیل شده است و می تواند برای عبور ترافیک تنگنا ایجاد کند. اگر فراهمی مسئله ای کلیدی در معماری باشد فایروال باید بگونه ای تنظیم شود که توان مقابله ای با خرابی را داشته باشد، فایروال باید توان پردازش تمام ترافیک ورودی را داشته باشد. مدیریت این معماری ساده است و برای صدور اجازه عبور ترافیک یا عدم عبور آن فقط فایروال باید تنظیم شود. روتر نیازی به فیلتر ندارد، اما انجام برخی اعمال فیلتری موجب کاراتر شدن فایروال می شود. علاوه بر این سیستم هایی که در DMZ قرار گرفته است توسط فایروال محافظت می شوند، بنابراین احتیاج کمتری به ایمن سازی کامل دارند.
استفاده از دو فایروال
معماری سومی برای DMZ در شکل 4 نشان داده شده است. این معماری از دو فایروال برای تفکیک شبکه داخلی و خارجی استفاده می کند. در اینجا هم شبکه خارجی از روتر ISP و یک فایروال تشکیل شده است. اکنون DMZ بین فایروال1 و فایروال2 قرار دارد. فایروال1 بگونه ای تنظیم می شود که به تمام ترافیک DMZ اجازه عبور دهد، همانند تمام ترافیک داخلی، فایروال2 دارای محدودیت های بیشتری در تنظیم و پیکره بندی می باشد، بگونه ای که فقط اجازه عبور اطلاعات خروجی برای اینترنت را صادر می کند. در طراحی معماری با فایروال لازم است فایروال1 قادر به تحمل بار زیاد باشد چون ممکن است سیستم های DMZ ترافیک زیادی داشته باشند.
شکل 4 معماری DMZ با دو فایروال
البته فایروال2 می تواند از قدرت کمتری برخوردار باشد، چون فقط با ترافیک داخلی سروکار دارد. بهتر است فایروال ها از دو نوع متفاوت باشد. این پیکربندی نسبت به معماری که فقط از یک فایروال استفاده می کند؛ امنیت بیشتری فراهم می کند چرا که مهاجم مجبور است از هر دو فایروال عبور کند. همانند معماری با یک فایروال، در اینجا سیستم های DMZ توسط فایروال1 در برابر اینترنت محافظت می شوند. استفاده از دو فایروال هزینه معماری را افزایش می دهد و نیاز به مدیریت و پیکره بندی بیشتری دارد.
فایروال ابزاری برای کنترل دسترسی به شبکه است و بدین منظور طراحی شده است که به جزء ترافیک مجاز، از عبور هر ترافیک دیگری جلوگیری کند. این تعریف با تعریف روتر مغایرت دارد چرا که روتر، ابزاری شبکه ای است که برای مسیریابی ترافیک با حداکثر سرعت ممکن بکار می رود. برخی می گویند روتر می تواند فایروال هم باشد. البته روتر می تواند برخی اعمال فایروال را انجام دهد اما یک تفاوت کلیدی وجود دارد: روتر تلاش می کند هر ترافیکی را با حداکثر سرعت ممکن مسیریابی کند، نه اینکه از عبور ان جلوگیری کند. شاید روش بهتر برای بیان تفاوت بین روتر و فایروال این باشد که فایروال ابزاری امنیتی است که می تواند جریان یافتن ترافیک مناسب را اجازه دهد حال آنکه روتر ابزاری شبکه ای است می توان برای جلوگیری از عبور ترافیک خاص آنرا پیکره بندی نمود. اغلب فایروال ها سطح کمتری از پیکره بندی در اختیار کاربر قرار می دهند. فایروال را می توان به گونه ای پیکره بندی کرد که اجازه عبور ترافیک را براساس نوع سرویس، آدرس IP مبدا و مقصد، یا ID کاربری که سرویس را درخواست داده، صادر کند. علاوه بر این فایروال دارای قابلیت گزارش گیری و ثبت وقایع مربوط به کل ترافیک می باشد. فایروال می تواند وظایف مدیریت امنیتی را بصورت مرکزی انجام دهد. مدیر امنیتی قادر است ترافیک مجازی که از خارج به سیستم های داخلی سازمان ارسال می شود را پیکره بندی تعیین کند. اگرچه این مطلب نمی تواند نیاز به پیکره بندی سیستم را کاهش دهد، اما بعضی از خطراتی که در یک سیستم بدون پیکره بندی وجود دارد را از بین می برد.
- ۹۲/۱۱/۱۰