- تاریخ ثبتنام
- 2014-01-12
- نوشتهها
- 889
- پسندها
- 0
- امتیازها
- 16
- سن
- 37
- محل سکونت
- تهران، پاسداران
- وب سایت
- www.irsapro.ir
با سلام خدمت کاربران عزیز
در امنیت رایانه یک منطقه غیر نظامی (به انگلیسی: DMZ) (گاهی اوقات به شبکهبندی محیطی اشاره دارد)، یک زیرشبکهی منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در معرض یک شبکهی نامطمئن بزرگتر که معمولاً اینترنت است قرار میدهد. هدف از یک DMZ، اضافه کردن یک لایهی امنیتی بیشتر به شبکهی محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمتهای شبکه، تنها به تجهیزاتی که در DMZ هستند دسترسی دارد. این نام از اصطلاح "منطقه غیر نظامی" مشتق شده است، منطقهای بین دولتهای ملی که در آن اقدام نظامی مجاز نیست.
دلیل وجود
در یک شبکه کامپیوتری، میزبانهایی که بیشترین آسییبپذیری نسبت به حملات دارند، آنهایی هستند که برای کاربرانی خارج از شبکهی محلی، خدماتی را فراهم میکنند، مانند پست الکترونیکی، کارسازهای وب و سامانه نام دامنه. به خاطر پتانسیل رو به افزایش مصالحهی این میزبانها، اگر متجاوز در حمله کردن به هر یک از آنها موفق شد، به منظور حفاظت از بقیه شبکه، آنها در زیرشبکهی خودشان قرار داده میشوند. میزبانهایی که در DMZ هستند ارتباط محدودی با میزبانهای خاصی در شبکهی داخلی دارند، اگر چه ارتباط با سایر میزبانها در DMZ و شبکهی خارجی مجاز است. این به میزبانهای DMZ اجازه میدهد که خدماتی را هم به شبکه داخلی و هم شبکه خارجی فراهم کنند، در حالی که دخالت دیوار آتش، ترافیک بین کارسازهای DMZ و کارخواههای شبکهی داخلی را کنترل میکنند. تنظیمات DMZ معمولاً امنیت در برابر حملات خارجی را فراهم میکند، اما معمولاً تأثیری بر حملات داخلی نظیر شنود ارتباطات از طریق یک تحلیلگر بسته یا تقلب کردن مانند رایانامهنگاری متقلبانه ندارند.
خدمات در DMZ
هر گونه خدماتی که برای کاربران شبکهی خارجی فراهم میشود میتواند در DMZ قرار بگیرد. رایجترین این خدمات عبارتند از :
کارسازهای وب
کارسازهای پست الکترونیکی
کارسازهای FTP
کارسازهای صدا روی پروتکل اینترنت
کارسازهای وبی که با یک پایگاه دادهی داخلی ارتباط برقرار میکنند، نیازمند دسترسی به یک کارساز پایگاه داده دارند که ممکن است در دسترس عموم نبوده و شامل اطلاعات حساسی باشد. کارسازهای وب میتوانند با کارسازهای پایگاه داده چه مستقیم و چه از طریق یک نرمافزار دیوار آتش برای دلایل امنیتی ارتباط برقرار کنند. پیامهای پست الکترونیکی و به ویژه پایگاه داده کاربر اطلاعات محرمانه هستند، بنابراین معمولاً روی کارسازهایی ذخیره میشوند که از اینترنت نمیتوان به آنها دسترسی داشت(حداقل در یک حالت نا امن)، اما از طریق کارسازهای قرارداد ساده نامهرسانی که در معرض اینترنت هستند میتوان به آنها دسترسی داشت. کارساز پست الکترونیکی داخل DMZ، پستهای الکترونیکی دریافتی را به سمت کارسازهای پست الکترونیکی امن/داخلی عبور میدهند. همچنین پستهای الکترونیکی ارسالی را اداره میکند. برای دلایل امنیتی، الزامات قانونی و نظارت، در یک محیط کسب و کار، برخی از شرکتها یک پراکسی سرور در DMZ نصب میکنند. که نتایج زیر را در بر دارد:
کاربران داخلی (معمولاً کارمندان) برای دسترسی به اینترنت، ملزم به استفاده از پراکسی هستند. به شرکت اجازه میدهد پهنای باند مورد نیاز دسترسی به اینترنت را کاهش دهد چرا که برخی از محتوای وب ممکن است توسط پراکسی سرور کَش شود. ضبط و نظارت بر فعالیتهای کاربران را ساده کرده و محتوایی که ناقض سیاستهای استفادهی قابل قبول است را بلوکه میکند. یک پراکسی سرور معکوس، مانند یک پراکسی سرور، یک واسطه است، اما از راه دیگری استفاده میشود. به جای ارائهی خدمات به کاربرانی که مایل به دسترسی به یک شبکه خارجی هستند، برای شبکه خارجی (معمولاً اینترنت) دسترسی غیر مستقیم به منابع داخلی را فراهم میکند. برای مثال، نرمافزار دسترسی به شرکت، مثلاً یک سیستم پست الکترونیکی، میتواند برای کاربران خارجی فراهم شود(برای خواندن پستهای الکترونیکی هنگامی که خارج از شرکت هستیم) اما کاربر راه دور، به کارساز پست الکترونیکیاش دسترسی مستقیم نخواهد داشت. تنها پراکسی سرور معکوس میتواند به طور فیزیکی به کارساز پست الکترونیکی داخلی دسترسی داشته باشد. این یک لایه اضافهی امنیتی است، که به ویژه هنگامی توصیه میشود که منابع داخلی نیاز به دسترسی از خارج دارند. معمولاً چنین مکانیزم پراکسی معکوسی با استفاده از یک دیوار آتش لایهی کاربرد فراهم میشود، چرا که آنها روی شکل خاصی از ترافیک تمرکز میکنند به جای کنترل دسترسی روی پورتهای خاص TCP و UDP همان طور که دیوار آتش فیلتر بسته انجام میدهد.
معماری
راههای متفاوتی برای طراحی یک شبکه با استفاده از یک DMZ وجود دارد. دو تا از ابتداییترین روشها، دیوار آتش یگانه که با نام مدل سه پا نیز شناخته میشود و با دیوار آتش دوگانه. این معماری میتواند به ایجاد معماریهای بسیار پیچیده بسته به الزامات شبکه گسترش یابد.
Diagram of a typical network employing DMZ using a three-legged firewall
یک دیوار آتش یگانه با حداقل 3 رابط شبکهای میتواند برای ایجاد یک معماری شبکه که شامل DMZ است استفاده شود. شبکهی خارجی از شرکت خدمات اینترنتی (ISP) تا دیوار آتشِ اولین رابط شبکه تشکیل شده است، شبکه داخلی از دامین رابط شبکه تشکیل شده است، و DMZ از سومین رابط شبکه تشکیل شده است. دیوار آتش یک نقطه خرابی مرکزی برای شبکه میشود و باید همانند شبکهی داخلی، قادر به اداره کردن تمام ترافیکی که به DMZ میرود، باشد. مناطق معمولاً با رنگهایی مشخص شدهاند؛ برای مثال، ارغوانی برای شبکهی محلی، سبز برای DMZ، قرمز برای اینترنت (مناطق بیسیم اغلب با رنگ دیگری نمایش داده میشود).
Diagram of a typical network employing DMZ using dual firewalls
رویکرد امنتر، استفاده از دو دیوار آتش برای ساختن DMZ است. اولین دیوار آتش (دیوار آتش "بخش جلویی" نیز گفته میشود) باید برای اجازه به ترافیکهای منتهی به DMZ پیکربندی شود. دیوار آتش دوم (دیوار آتش "بخش عقبی" نیز گفته میشود) فقط به ترافیک DMZ به سمت شبکه داخلی اجازه عبور میدهد. این طرز قرارگیری امنتر است، چرا که نیاز به مصالحه با دو وسیله است. حتی در صورتی که دو دیوار آتش توسط دو شرکت تجهیزات کامپیوتری متفاوت تهیه شده باشد، حفاظت بیشتری خواهیم داشت، چرا که احتمال آسیب دیدن هر دو دستگاه از یک آسیبپذیری امنیتی یکسان را کاهش میدهد. برای مثال، تنظیمات تصادفاً اشتباهی، با احتمال کمتری از یک روش یکسانی، آن هم از طریق دو رابط پیکربندی از دو شرکت سازندهی متفاوت اتفاق میافتد و یک حفرهی امنیتی اگر در سیستم ساخت یک شرکت پیدا شود، احتمال کمتری دارد تا در سیستم ساخت شرکت دیگر پیدا شود. البته این معماری مستلزم هزینهی بیشتری است. در عمل استفاده از دیوار آتشهای متفاوت از شرکتهای سازندهی متفاوت، گاهی اوقات به عنوان جزئی از یک استراتژی امنیتی دفاع در عمق توصیف میشود.
میزبان DMZ
برخی مسیریابهای خانگی به یک میزبان DMZ نسبت داده میشوند. یک میزبان DMZ مسیریاب خانگی، میزبانی در شبکهی داخلی است که در معرض تمام پورتها به جز آن پورتهایی است که فرستاده میشوند. با این تعریف، این یک واقعی نمیباشد، چرا که به تنهایی میزبان را از شبکه داخلی جدا نمیکند. به عبارت دیگر میزبان DMZ قادر به ارتباط برقرار کردن با میزبانهای شبکهی داخلی است، در حالی که میزبانهای یک DMZ واقعی، از ارتباط برقرار کردن با شبکه داخلی توسط دیوار آتشی که آنها را از هم جدا میکند، منع شدهاند، مگر اینکه دیوار آتش اجازهی ارتباط را صادر کند. یک دیوار آتش در صورتی این اجازه را میدهد که در ابتدا یک میزبان در شبکه داخلی، درخواست یک ارتباط با یک میزبان در DMZ داشته باشد. میزبان DMZ هیچ کدام از مزایای امنیتی که یک زیر شبکه فراهم میکند را ارائه نمیکند و اغلب به عنوان یک روش آسان برای ارسال پورتها به یک وسیلهی دیوار آتش یا (NAT) دیگر میباشد.
منابع
منبع اصلی: ویکی پدیا
- SolutionBase: Strengthen network defenses by using a DMZ by Deb Shinder at TechRepublic.
- Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
- Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson