DMZ چیست و چه کاربردی دارد؟ به همراه ویدئو

DMZ چیست؟

DMZ یا Demilitarized zone در دنیای واقعی به منطقه ای گفته می شود که نیروهای نظامی اجازه ورود به آن منطقه را ندارند و اما در یک شبکه کامپیوتری به محیطی گفته می شود که حفاظت فایروال در آن وجود ندارد. در واقع DMZ یک شبکه محیطی است که از شبکه داخلی محلی (LAN) سازمان در برابر ترافیک غیرقابل اعتماد محافظت می کند. یعنی شبکه DMZ شامل خدماتی می باشد که در معرض دسترسی عموم قرار دارد و معمولا این نقطه ناامن، اینترنت می باشد.

معنای DMZ، زیر شبکه ای است که بین اینترنت عمومی و شبکه های خصوصی قرار دارد. شبکه DMZ سرویس های خارجی را در معرض شبکه های غیرقابل اعتماد قرار می دهد و یک لایه امنیتی اضافی برای محافظت از اطلاعات حساس ذخیره شده در شبکه های داخلی، با استفاده از فایروال برای فیلتر کردن ترافیک ، ایجاد می کند.

هدف نهایی DMZ این است که به سازمان اجازه دسترسی به شبکه های غیرقابل اعتماد مانند اینترنت را بدهد، در حالیکه از امنیت شبکه خصوصی یا شبکه محلی آن اطمینان حاصل می کند. سازمان ها معمولاً خدمات و منابع خارجی و همچنین سرورهای (DNS)، پروتکل انتقال فایل (FTP)، ایمیل، پروکسی، پروتکل انتقال صدا از طریق اینترنت (VoIP) و وب سرورها را در DMZ ذخیره می کنند. در نتیجه، رویکرد شبکه DMZ دسترسی مستقیم به داده های سازمان و سرورهای داخلی از طریق اینترنت را برای هکر دشوارتر می کند.

شبکه DMZ چگونه کار می کند؟

برای مثال شرکتی را در نظر بگیرید که دارای یک وب سایت است و باید وب سرور خود را از طریق اینترنت قابل دسترسی نماید. اما همانطور که می دانید این کار می تواند کل شبکه داخلی آن را به خطر بیاندازد. برای جلوگیری از آن می توان از یک شرکت ارائه دهنده هاست درخواست کرده تا وب سایت یا سرورهای عمومی را از طریق فایروال میزبانی نماید، که این کار ممکن است بر عملکرد تاثیر بگذارد. بنابراین بهتر است در عوض توسط سرورهای عمومی در شبکه ای مجزا و جداگانه میزبانی شوند.

یک شبکه DMZ یک بافر بین اینترنت و شبکه خصوصی یک سازمان فراهم می کند. شبکه DMZ توسط یک درگاه امنیتی مانند فایروال که ترافیک بین DMZ و LAN را فیلتر می کند، جدا شده است. البته DMZ توسط درگاه امنیتی دیگری محافظت می شود که ترافیکی را که از شبکه های خارجی وارد می شود را نیز فیلتر می کند.

این مکان بین دو فایروال واقع شده است و تنظیمات فایروال DMZ قبل از ورود به سرورهای میزبان در شبکه DMZ، از مشاهده بسته های شبکه ورودی توسط یک فایروال یا سایر ابزارهای امنیتی اطمینان حاصل می کند. این بدان معناست که حتی اگر یک مهاجم پیچیده قادر به عبور از اولین فایروال باشد، قبل از آسیب رساندن به یک شبکه، باید به تنظیمات DMZ نیز دسترسی داشته باشد.

اگر یک مهاجم بتواند به فایروال خارجی نفوذ کند و سیستمی را در DMZ به خطر بیندازد، پس از آن باید قبل از دسترسی به داده های حساس شرکت، از یک فایروال داخلی نیز عبور کنند. ممکن است یک هکر ماهر بتواند یک DMZ امن را به خطر بیاندازد، اما تنظیمات موجود در DMZ شما را از این تهدیدات مطلع خواهد کرد.

برای مثال برخی از سازمان ها که امنیت اطلاعات برای آنها اهمیت دارد یک پروکسی بر روی سرور DMZ نصب می کنند، که با استفاده از آن می توانند کلیه فعالیت های یک کاربر را ضبط کرده و زیر نظر داشته باشند و یا حتی اطمینان داشته باشند که کارمندان از اینترنت استفاده می کنند.

بیشتر بخوانید: PAM یا Privileged Access Management چیست؟

جهت آشنایی بیشتر با DMZ ویدئو زیر را مشاهده نمایید:

مزایای استفاده از DMZ:

مزیت اصلی DMZ فراهم کردن شبکه داخلی با یک لایه امنیتی اضافی از طریق محدود کردن دسترسی به داده های حساس و سرورها است. شبکه DMZ بازدید کنندگان وب سایت را قادر می سازد تا خدمات خاصی را بدست آورند در حالی که یک بافر بین آنها و شبکه خصوصی سازمان فراهم می کند.

 در نتیجه، DMZ مزایای زیر را ارائه می دهد:

ـ امکان کنترل دسترسی: مشاغل می توانند از طریق اینترنت عمومی، دسترسی به خدمات خارج از محیط شبکه داخلی خود را در اختیار کاربران قرار دهند. DMZ امکان دسترسی به این سرویس ها را در حین اجرای تقسیم بندی شبکه فراهم می کند تا دسترسی کاربر غیر مجاز به شبکه خصوصی را دشوارتر کند. شبکه DMZ همچنین ممکن است شامل یک سرور پراکسی باشد که جریان داخلی ترافیک را متمرکز کرده و نظارت و ضبط آن ترافیک را ساده می کند.

ـ جلوگیری از شناسایی شبکه: با تهیه یک بافر بین اینترنت و یک شبکه خصوصی، یک DMZ مانع از انجام کار شناسایی توسط مهاجمان در تأمین اهداف بالقوه می شود. سرورهای داخل DMZ در معرض دید عموم قرار می گیرند اما توسط فایروال یک لایه امنیتی دیگر ارائه می شود که مانع از مشاهده حمله به داخل شبکه داخلی می شود. حتی اگر یک سیستم DMZ به خطر بیافتد، فایروال داخلی شبکه خصوصی را از DMZ جدا می کند تا امنیت آن را حفظ کرده و شناسایی خارجی را دشوار کند.

ـ مسدود کردن کلاهبرداری پروتکل اینترنت (IP): مهاجمان می توانند با جعل آدرس IP و جعل هویت دستگاه تأیید شده به سیستم در شبکه، به سیستم ها دسترسی پیدا کنند. DMZ می تواند چنین تلاش های کلاهبرداری را کشف و متوقف کند زیرا سرویس دیگری قانونی بودن آدرس IP را تأیید می کند. DMZ همچنین تقسیم بندی شبکه را ایجاد می کند تا فضایی برای سازماندهی ترافیک و دسترسی به خدمات عمومی به دور از شبکه خصوصی داخلی ایجاد کند.

بیشتر بخوانید: WAF یا Web application firewalls

خدمات DMZ شامل:

ـ سرورهای DNS

ـ سرورهای FTP

ـ سرورهای نامه

ـ سرورهای پروکسی

ـ وب سرورها

طراحی و معماری DMZ:

DMZ یک “شبکه کاملاً باز” است، اما روشهای مختلفی برای طراحی و معماری وجود دارد که از آن محافظت می کند. در این معماری ها از فایروال دوگانه استفاده می کنند که می تواند برای توسعه سیستم های پیچیده تر گسترش یابد.

1ـ فایروال منفرد: DMZ با طراحی تک فایروال به سه یا چند رابط شبکه نیاز دارد. اولین شبکه خارجی است که اتصال اینترنت عمومی را به فایروال متصل می کند. شبکه دوم شبکه داخلی را تشکیل می دهد در حالی که شبکه سوم به DMZ متصل است. قوانین مختلف ترافیکی را که اجازه دسترسی به DMZ را دارند و اتصال به شبکه داخلی را محدود می کنند کنترل می کنند.

2ـ دیوار آتش دوگانه: استقرار دو فایروال با DMZ بین آنها به طور کلی گزینه ایمن تری است. فایروال اول فقط به ترافیک خارجی DMZ اجازه می دهد و دومی فقط به ترافیکی که از DMZ به شبکه داخلی می رود اجازه می دهد. یک مهاجم مجبور است برای دسترسی به شبکه LAN سازمان ، هر دو فایروال را رد کند.

سازمانها همچنین می توانند کنترلهای امنیتی را برای بخشهای مختلف شبکه تنظیم کنند. این بدان معنی است که یک سیستم تشخیص نفوذ (IDS) یا سیستم پیشگیری از نفوذ (IPS) در یک DMZ می تواند به گونه ای پیکربندی شود که هرگونه ترافیک دیگری غیر از درخواست پروتکل انتقال Hypertext Secure (HTTPS) به پورت 443 پروتکل کنترل انتقال (TCP) را مسدود کند.

بیشتر بخوانید: معرفی 7 نوع جدید DDoS Attack 

اهمیت شبکه DMZ: چگونه از آنها استفاده می شود؟

شبکه DMZ از زمان معرفی فایروال ها و نقش امنیت شبکه های سازمانی بسیار مهم بوده. آنها با جدا کردن شبکه های داخلی از سیستم هایی که می توانند توسط مهاجمان هدف قرار گیرند، از داده ها ، سیستم ها و منابع حساس سازمان محافظت می کنند. DMZ ها همچنین سازمان ها را قادر می سازند تا سطح دسترسی به سیستم های حساس را کنترل و کاهش دهند.

شرکت ها به طور فزاینده ای از کانتینرها و ماشین های مجازی (VM) برای جداسازی شبکه ها یا برنامه های خاص خود از بقیه سیستم های خود استفاده می کنند. رشد ابر به این معنی است که بسیاری از مشاغل دیگر نیازی به وب سرورهای داخلی ندارند. آنها همچنین بسیاری از زیرساخت های خارجی خود را به ابر با استفاده از برنامه های نرم افزار به عنوان سرویس (SaaS) انتقال داده اند.

به عنوان مثال ، یک سرویس Cloud مانند Microsoft Azure به سازمانی که برنامه ها را در داخل و در شبکه های خصوصی مجازی (VPN) اجرا می کند، اجازه می دهد تا از روش ترکیبی با نشست DMZ بین هر دو استفاده کند. این روش همچنین می تواند هنگام کنترل ترافیک خروجی یا کنترل ترافیک بین یک مرکز داده داخلی و شبکه های مجازی مورد استفاده قرار گیرد.

علاوه بر این، DMZ ها در مقابله با خطرات امنیتی ناشی از دستگاه های اینترنت اشیا (IoT) و سیستم های فناوری عملیاتی (OT) ، که یک سطح تهدید گسترده ایجاد می کنند ، مفید واقع می شوند. به این دلیل است که تجهیزات OT برای مقابله یا بازیابی از حملات سایبری به شیوه دستگاههای اینترنت اشیا طراحی نشده است ، که خطر قابل توجهی برای داده ها و منابع حیاتی سازمان است. DMZ تقسیم بندی شبکه را برای کاهش خطر حمله ای که می تواند به زیرساخت های صنعتی آسیب برساند فراهم می کند.

بیشتر بخوانید: معرفی و آموزش پیکربندی فایروال کریو