• unk

Что такое DMZ?

Что такое сеть DMZ? Демилитаризованная зона (DMZ) — это сеть периметра, которая защищает внутреннюю локальную сеть организации (LAN) от ненадежного трафика. Общий смысл DMZ — это подсеть, расположенная между общедоступным интернетом и частными сетями. Она предоставляет доступ к внешним службам недоверенным сетям и обеспечивает дополнительный уровень безопасности для защиты конфиденциальных данных, хранящихся во внутренних сетях, используя брандмауэры для фильтрации трафика. Конечная цель DMZ — предоставить организации доступ к ненадежным сетям, таким как интернет, при этом обеспечивая безопасность своей частной сети или локальной сети. Организации обычно хранят в DMZ внешние службы и ресурсы, а также серверы для системы доменных имен (DNS), протокола передачи файлов (FTP), почты, прокси-сервера, IP-телефонии и веб-серверов. Эти серверы и ресурсы изолированы и имеют ограниченный доступ к локальной сети для обеспечения доступа через интернет, но внутренняя локальная сеть не может быть доступна. В результате подход DMZ затрудняет хакеру прямой доступ к данным организации и внутренним серверам через интернет. Как работает сеть DMZ? Компании с общедоступным сайтом, которым пользуются клиенты, должны сделать свой веб-сервер доступным по интернету. Это означает, что вся их внутренняя сеть подвергается риску. Чтобы предотвратить это, организация может заплатить хостинговой фирме за размещение сайта или их общедоступных серверов на брандмауэре, но это повлияет на производительность. Таким образом, общедоступные серверы размещаются в отдельной и изолированной сети. Сеть DMZ обеспечивает буфер между интернетом и частной сетью организации. DMZ изолирована шлюзом безопасности, таким как межсетевой экран, который фильтрует трафик между DMZ и LAN. DMZ защищена другим шлюзом безопасности, который фильтрует трафик, поступающий из внешних сетей. Она идеально расположена между двумя межсетевыми экранами, а настройка межсетевого экрана DMZ обеспечивает наблюдение за входящими сетевыми пакетами брандмауэром или другими средствами безопасности до того, как они перейдут к серверам, размещенным в DMZ. Это означает, что даже если злоумышленник может пройти мимо первого межсетевого экрана, он также должен получить доступ к защищенным службам в DMZ, прежде чем нанести ущерб компании. Если злоумышленник может проникнуть во внешний брандмауэр и взломать систему в DMZ, он также должен пройти через внутренний брандмауэр, прежде чем получить доступ к конфиденциальным корпоративным данным. Опытный злоумышленник может нарушить безопасность DMZ, но ресурсы в ней активируют сигналы тревоги, предупреждающие о том, что происходит нарушение. Организации, которые должны соблюдать такие правила, как Закон об унификации и учете в области медицинского страхования (HIPAA), иногда устанавливают прокси-сервер в DMZ. Это позволяет им упростить мониторинг и запись активности пользователей, централизовать фильтрацию веб-содержимого и обеспечить использование сотрудниками системы для получения доступа в интернет.

Преимущества использования DMZ Основным преимуществом DMZ является обеспечение внутренней сети дополнительным уровнем безопасности путем ограничения доступа к конфиденциальным данным и серверам. DMZ позволяет посетителям сайтов получать определенные услуги, обеспечивая буфер между ними и частной сетью организации. В результате DMZ также предлагает дополнительные преимущества в области безопасности, такие как:

  1. Обеспечение контроля доступа: Предприятия могут предоставлять пользователям доступ к услугам за пределами периметров своей сети через общедоступный интернет. DMZ обеспечивает доступ к этим сервисам при внедрении сегментации сети, что затрудняет проникновение несанкционированного пользователя в частную сеть. DMZ также может включать в себя прокси-сервер, который централизует внутренний трафик и упрощает мониторинг и запись этого трафика.

  2. Предотвращение сетевых разведывательных работ: обеспечивая буфер между интернетом и частной сетью, DMZ предотвращает выполнение злоумышленниками разведывательных работ, которые они проделывают в целях поиска потенциальных поставщиков. Серверы DMZ открыты для общественности, но предлагают еще один уровень безопасности с помощью межсетевого экрана, который не позволяет злоумышленнику видеть информацию внутри сети. Даже в случае взлома системы DMZ внутренний межсетевой экран отделяет частную сеть от DMZ, чтобы обеспечить ее безопасность и усложнить внешнюю разведку.

  3. Блокировка спуфинга по IP-протоколу: злоумышленники могут попытаться получить доступ к системам, подделывая IP-адрес и исполняя роль утвержденного устройства, подключенного к сети. DMZ может обнаружить и приостановить такие попытки спуфинга, поскольку другая служба проверяет законность IP-адреса. DMZ также обеспечивает сегментацию сети, чтобы создать пространство для организованного трафика и общедоступных услуг, доступ к которым будет осуществляться вне внутренней частной сети.

Услуги DMZ включают в себя:

  1. Серверы DNS

  2. Серверы FTP

  3. Почтовые серверы

  4. Прокси-серверы

  5. Веб-серверы

Проектирование и архитектура DMZ DMZ — это «широко открытая сеть», но существует несколько подходов к проектированию и архитектуре, которые защищают ее. DMZ может быть разработана несколькими способами: от подхода с одним межсетевым экраном до наличия двух и нескольких межсетевых экранов. Большинство современных архитектур DMZ используют двойные брандмауэры, которые можно расширить для разработки более сложных систем.

  1. Один брандмауэр: DMZ с одним брандмауэром требует трех или более сетевых интерфейсов. Первый — это внешняя сеть, которая подключает общедоступное интернет-соединение к брандмауэру. Второй формирует внутреннюю сеть, а третий подключается к DMZ. Различные правила контролируют и управляют трафиком, которому разрешен доступ к DMZ и ограничивают подключение к внутренней сети.

  2. Двойной межсетевой экран: развертывание двух межсетевых экранов с DMZ между ними, как правило, является более безопасным вариантом. Первый брандмауэр допускает только внешний трафик к DMZ, а второй — только трафик, поступающий из DMZ во внутреннюю сеть. Злоумышленнику пришлось бы взломать оба межсетевых экрана, чтобы получить доступ к локальной сети организации.

Организации также могут точно настроить средства контроля безопасности для различных сегментов сети. Это означает, что система обнаружения вторжений (IDS) или система предотвращения вторжений (IPS) в DMZ может быть настроена на блокировку любого трафика, кроме запросов протокола передачи гипертекста (HTTPS) на порт 443 протокола управления передачей (TCP). Важность сетей DMZ: как они используются? Сети DMZ являются центральным компонентом защиты корпоративных сетей с момента внедрения межсетевых экранов. Они защищают конфиденциальные данные, системы и ресурсы организаций, сохраняя внутренние сети отдельно от систем, которые могут быть затронуты злоумышленниками. DMZ также позволяют организациям контролировать и снижать уровни доступа к конфиденциальным системам. Предприятия все чаще используют контейнеры и виртуальные машины (ВМ) для изоляции своих сетей или конкретных приложений от остальной части своих систем. Рост облачных технологий означает, что многим компаниям больше не нужны внутренние серверы. Они также перенесли большую часть своей внешней инфраструктуры в облачное хранилище с помощью приложений «ПО как услуга» (SaaS). Например, облачный сервис, такой как Microsoft Azure, позволяет организации, которая запускает приложения на стороне потребителя и в виртуальных частных сетях (VPN), использовать гибридный подход с DMZ, расположенным между ними. Этот метод также может использоваться, когда исходящий трафик требует аудита или управления им между локальным центром обработки данных и виртуальными сетями. Кроме того, DMZ доказали свою эффективность в противодействии рискам безопасности, связанным с устройствами Интернета вещей (IoT) и операционными технологиями (OT), которые делают производство более интеллектуальным, но создают обширную поверхность угроз. Это связано с тем, что ОТ-оборудование не было разработано для борьбы с кибератаками или восстановления после них, как это было в устройствах Интернета вещей, что представляет значительный риск для критически важных данных и ресурсов организаций. DMZ обеспечивает сегментацию сети для снижения риска атаки, которая может нанести ущерб промышленной инфраструктуре.


Источник - https://www.fortinet.com/ru/resources/cyberglossary/what-is-dmz

10 просмотров0 комментариев

Недавние посты

Смотреть все