DMZ یا منطقه غیرنظامی یک شبکه پیرامونی است که از ترافیک غیرقابل اعتماد محافظت می کند و یک لایه امنیتی اضافی به شبکه محلی داخلی سازمان اضافه می کند. در ادامه به بررسی اینکه شبکه DMZ چیست؟ می پردازیم. با ما همراه باشید.
هدف از شبکه DMZ چیست؟
هدف نهایی یک DMZ این است که به یک سازمان اجازه دهد به شبکههای غیرقابل اعتماد مانند اینترنت دسترسی داشته باشد، در حالی که از امنیت شبکه خصوصی یا LAN خود اطمینان حاصل کند. سازمانها معمولاً خدمات و منابع خارجی و همچنین سرورهای سیستم نام دامنه (DNS)، پروتکل انتقال فایل (FTP)، نامه، پروکسی، پروتکل صوتی از طریق اینترنت (VoIP) و سرورهای وب را در DMZ ذخیره میکنند.
این سرورها و منابع ایزوله شده اند و دسترسی محدودی به LAN داده می شود تا اطمینان حاصل شود که می توان از طریق اینترنت به آنها دسترسی داشت، اما شبکه محلی داخلی نمی تواند. در نتیجه، رویکرد DMZ دسترسی مستقیم به داده ها و سرورهای داخلی سازمان از طریق اینترنت را برای هکرها دشوارتر می کند.
شبکه DMZ چگونه کار می کند؟
کسب و کارهای دارای وب سایت عمومی که مشتریان از آن استفاده می کنند باید وب سرور خود را از طریق اینترنت در دسترس قرار دهند. انجام این کار به معنای قرار دادن کل شبکه داخلی آنها در معرض خطر بالایی است. برای جلوگیری از این امر، یک سازمان می تواند به یک شرکت میزبان برای میزبانی وب سایت یا سرورهای عمومی آنها بر روی یک فایروال پرداخت کند، اما این بر عملکرد تأثیر می گذارد. بنابراین در عوض، سرورهای عمومی در شبکه ای مجزا و ایزوله میزبانی می شوند.
یک شبکه DMZ یک بافر بین اینترنت و شبکه خصوصی یک سازمان فراهم می کند. DMZ توسط یک دروازه امنیتی، مانند فایروال، که ترافیک بین DMZ و یک شبکه محلی را فیلتر می کند، ایزوله می شود. سرور پیش فرض DMZ توسط دروازه امنیتی دیگری محافظت می شود که ترافیک ورودی از شبکه های خارجی را فیلتر می کند.
راه اندازی DMZ با فایروال چگونه است؟
در حالت ایده آل بین دو فایروال قرار دارد و راه اندازی فایروال DMZ تضمین می کند که بسته های شبکه ورودی قبل از اینکه به سرورهای میزبانی شده در DMZ برسند توسط یک فایروال یا سایر ابزارهای امنیتی مشاهده می شوند. این بدان معناست که حتی اگر یک مهاجم پیشرفته بتواند از اولین فایروال عبور کند، قبل از اینکه بتواند به یک تجارت آسیب برساند، باید به خدمات سخت شده در DMZ نیز دسترسی داشته باشد.
اگر مهاجم بتواند به فایروال خارجی نفوذ کند و سیستمی را در DMZ به خطر بیندازد، قبل از دسترسی به داده های حساس شرکت، باید از یک فایروال داخلی نیز عبور کند. یک بازیگر بسیار ماهر و بد ممکن است به خوبی بتواند یک DMZ ایمن را نقض کند، اما منابع موجود در آن باید آلارم هایی را به صدا درآورند که هشدارهای زیادی در مورد وقوع نقض در حال انجام است.
سازمان هایی که نیاز به رعایت مقررات، مانند قانون حمل و پاسخگویی بیمه سلامت (HIPAA) دارند، گاهی اوقات یک سرور پروکسی در DMZ نصب می کنند. این به آنها امکان می دهد نظارت و ضبط فعالیت کاربر را ساده کنند، فیلتر محتوای وب را متمرکز کنند و اطمینان حاصل کنند که کارمندان از سیستم برای دسترسی به اینترنت استفاده می کنند. اگر میخواهید همه آنچه را که درباره سرور پروکسی را بدانید این مطلب را مطالعه کنید.
مزایای استفاده از DMZ
مزیت اصلی DMZ ارائه یک شبکه داخلی با یک لایه امنیتی پیشرفته با محدود کردن دسترسی به داده ها و سرورهای حساس است. یک DMZ بازدیدکنندگان وب سایت را قادر می سازد تا خدمات خاصی را در حالی که بین آنها و شبکه خصوصی سازمان ایجاد می کند، به دست آورند. در نتیجه، DMZ مزایای امنیتی بیشتری نیز ارائه می دهد، مانند:
- فعال کردن کنترل دسترسی:
کسب و کارها می توانند از طریق اینترنت عمومی دسترسی به خدمات خارج از محدوده شبکه خود را برای کاربران فراهم کنند. DMZ دسترسی به این خدمات را در حین اجرای بخشبندی شبکه امکانپذیر میسازد تا دسترسی کاربر غیرمجاز به شبکه خصوصی را دشوارتر کند. یک DMZ ممکن است شامل یک سرور پراکسی نیز باشد که جریان ترافیک داخلی را متمرکز می کند و نظارت و ضبط آن ترافیک را ساده می کند. - جلوگیری از شناسایی شبکه:
با ارائه یک بافر بین اینترنت و یک شبکه خصوصی، یک DMZ از انجام کار شناسایی مهاجمان برای جستجوی اهداف بالقوه جلوگیری می کند. سرورهای داخل DMZ به صورت عمومی در معرض دید قرار میگیرند، اما یک لایه امنیتی دیگر توسط یک فایروال ارائه میشود که مانع از مشاهده داخل شبکه داخلی توسط مهاجم میشود. حتی اگر یک سیستم DMZ به خطر بیفتد، فایروال داخلی شبکه خصوصی را از DMZ جدا می کند تا آن را ایمن نگه دارد و شناسایی خارجی را دشوار کند. - مسدود کردن جعل پروتکل اینترنت (IP):
مهاجمان سعی می کنند با جعل آدرس IP و جعل هویت یک دستگاه تایید شده وارد شده به شبکه، راه هایی برای دسترسی به سیستم ها پیدا کنند. یک DMZ میتواند چنین تلاشهای جعلی را کشف و متوقف کند زیرا سرویس دیگری مشروعیت آدرس IP را تأیید میکند. DMZ همچنین بخش بندی شبکه را برای ایجاد فضایی برای سازماندهی ترافیک و دسترسی به خدمات عمومی به دور از شبکه خصوصی داخلی فراهم می کند.
خدمات DMZ عبارتند از:
- سرورهای DNS
- سرورهای FTP
- سرورهای پست الکترونیکی
- سرورهای پروکسی
- وب سرورها
طراحی و معماری DMZ چگونه است؟
DMZ یک “شبکه باز گسترده” است، اما چندین رویکرد طراحی و معماری وجود دارد که از آن محافظت می کند. DMZ را می توان به روش های مختلفی طراحی کرد، از رویکرد تک فایروال گرفته تا داشتن فایروال های دوگانه و چندگانه. اکثر DMZ های مدرن معماری ها از فایروال های دوگانه استفاده می کنند که می توانند برای توسعه سیستم های پیچیده تر گسترش یابند.
فایروال تک: یک DMZ با طراحی تک فایروال به سه یا چند رابط شبکه نیاز دارد. اولی شبکه خارجی است که اتصال اینترنت عمومی را به فایروال متصل می کند. دومی شبکه داخلی را تشکیل می دهد، در حالی که سومی به DMZ متصل است. قوانین مختلف ترافیکی را که اجازه دسترسی به DMZ را دارند و اتصال به شبکه داخلی را محدود می کنند، نظارت و کنترل می کنند.
فایروال دوگانه: استقرار دو فایروال با یک DMZ بین آنها به طور کلی یک گزینه امن تر است. فایروال اول فقط به ترافیک خارجی به DMZ اجازه می دهد و دومی فقط به ترافیکی اجازه می دهد که از DMZ به شبکه داخلی می رود. یک مهاجم باید هر دو فایروال را به خطر بیاندازد تا به شبکه محلی یک سازمان دسترسی پیدا کند.
سازمان ها همچنین می توانند کنترل های امنیتی را برای بخش های مختلف شبکه تنظیم کنند. این بدان معناست که یک سیستم تشخیص نفوذ (IDS) یا سیستم پیشگیری از نفوذ (IPS) در یک DMZ میتواند به گونهای پیکربندی شود که ترافیکی غیر از درخواستهای پروتکل امن انتقال ابرمتن (HTTPS) به پورت ۴۴۳ پروتکل کنترل انتقال (TCP) را مسدود کند.
اهمیت استفاده از شبکه های DMZ
شبکههای DMZ از زمان معرفی فایروالها برای تامین امنیت شبکههای سازمانی جهانی نقش محوری داشتند. آنها با جدا نگه داشتن شبکه های داخلی از سیستم هایی که می توانند توسط مهاجمان هدف قرار گیرند، از داده ها، سیستم ها و منابع حساس سازمان محافظت می کنند. DMZ ها همچنین سازمان ها را قادر می سازند تا سطوح دسترسی به سیستم های حساس را کنترل و کاهش دهند.
شرکت ها به طور فزاینده ای از کانتینرها و ماشین های مجازی (VM) برای جداسازی شبکه ها یا برنامه های خاص خود از بقیه سیستم های خود استفاده می کنند. رشد ابر به این معنی است که بسیاری از مشاغل دیگر نیازی به وب سرورهای داخلی ندارند. آنها همچنین بسیاری از زیرساخت های خارجی خود را با استفاده از برنامه های نرم افزار به عنوان سرویس (SaaS) به ابر منتقل کرده اند.
به عنوان مثال، یک سرویس ابری مانند Microsoft Azure به سازمانی که برنامههای کاربردی را در محل و در شبکههای خصوصی مجازی (VPN) اجرا میکند، اجازه میدهد تا از یک رویکرد ترکیبی با DMZ در بین هر دو استفاده کند. این روش همچنین می تواند زمانی که ترافیک خروجی نیاز به ممیزی دارد یا برای کنترل ترافیک بین یک مرکز داده داخلی و شبکه های مجازی استفاده می شود.
سخن پایانی
DMZها در مقابله با خطرات امنیتی ناشی از فناوری جدید مانند دستگاههای اینترنت اشیا (IoT) و سیستمهای فناوری عملیاتی (OT) مفید هستند که تولید و ساخت را هوشمندتر میکنند اما سطح تهدید گستردهای را ایجاد میکنند. این به این دلیل است که تجهیزات OT برای مقابله با حملات سایبری یا بازیابی از آنها مانند دستگاههای دیجیتال IoT طراحی نشدهاند، که خطر قابلتوجهی برای دادهها و منابع حیاتی سازمانها ایجاد میکند. یک DMZ بخش بندی شبکه را برای کاهش خطر حمله ای که می تواند به زیرساخت های صنعتی آسیب برساند، فراهم می کند.