سید معین مصطفوی
سید معین مصطفوی
خواندن ۶ دقیقه·۲ سال پیش

منطقه غیر نظامی در شبکه‌های کامپیوتری!


منطقه غیر نظامی در شبکه‌های کامپیوتری!

مطالب زیر عینا از منبع [1] ترجمه شده است:

DMZ مخفف Demilitarized Zone به معنای منطقه غیر نظامی است. این عبارت به قسمتی از شبکه اطلاق می‌شود که کاملا مورد اعتماد نیست. DMZ مکانی را در شبکه ایجاد می‌کند که سیستم‌هایی را که افراد روی اینترنت به آن دسترسی دارند را از سیستم‌هایی که تنها توسط کارکنان استفاده می‌شود را جدا می‌سازد.

DMZ از طریق ایجاد یک منطقه شبکه تقریبا محافظت شده ایجاد می‌شود. این منطقه با کنترل‌های دسترسی شبکه مانند فایروال یا روترهای فیلتر شده ایجاد می‌شود. سپس کنترل‌های دسترسی شبکه پالیسی را تنظیم می‌کنند تا ترافیکی را که اجازه ورود به یا خروج از DMZ را مشخص نماید. مانند شکل زیر.

شکل 1 رولهای پالسی عمومی DMZ

بطور کلی هر سیستمی که باید بطور مستقیم توسط کاربر خارجی دسترسی داشته باشد باید در DMZ قرار بگیرد. سیستم‌هایی که توسط سیستم‌ها یا کاربران خارجی دسترسی داده می‌شوند، اولین سیستم‌هایی هستند که مورد حمله قرار گرفته و بصورت بالقوه تحت نفوذ قرار دارند. به این سیستم‌ها به هیچ عنوان نمی‌توان اعتماد کرد زیرا امکان نفوذ در آن‌ها در هر زمان محتمل است. بنابراین، دسترسی این سیستم‌ها به شبکه داخلی که دارای سیستم‌های حساس است را محدود می‌کنیم.

قوانین (رول‌های) دسترسی عمومی DMZ به کاربران خارجی اجازه دسترسی به سرویس‌های مناسب در سیستم‌های DMZ را می‌دهد. سیستم‌های DMZ باید به شدت برای دسترسی به سیستم‌های داخلی محدود شده باشند. در صورت امکان، سیستم داخلی باید ارتباط با سیستم DMZ را آغاز کند. سیستم‌های داخلی می‌توانند باتوجه به پالیسی به DMZ یا اینترنت دسترسی داشته باشند، اما کاربران خارجی تحت هیچ عنوانی امکان دسترسی به سیستم‌های داخلی را ندارند. شکل زیر سرویس‌هایی را که می‌توان در DMZ ارائه کرد را نشان می‌دهد.


شکل 2 چیدمان (layout) سیستم‌ها بین DMZ و شبکه داخلی

ایمیل:

همانطور که در شکل بالا مشاهده می‌شود، یک سرور ایمیل داخلی و یک سرور ایمیل خارجی داریم. از سرور ایمیل خارجی برای دریافت ایمیل‌های ورودی و همچنین ارسال ایمیل‌های خروجی از شبکه داخلی استفاده می‌شود. ایمیل جدید توسط سرور ایمیل خارجی دریافت و به سرور ایمیل داخلی ارسال می‌شود. سرور ایمیل داخلی ایمیل‌های خروجی را به سرور خارجی ارسال می‌دارد.

وب:

سرورهای وب با دسترسی عمومی در DMZ قرار داده می‌شوند. در شکل بالا یک سرور اپلیکیشن نیز دیده می‌شود. بسیاری از وب سایت‌ها محتوا فعال با توجه به ورودی کاربر ارائه می‌دهند. ورودی کاربر پردازش شده و اطلاعات از یک پایگاه داده فراخوانده می‌شود. این پایگاه داده دارای اطلاعات حساس است و انتخاب مناسبی برای DMZ نیست. خود وب سرور می‌تواند با سرور پایگاه داده ارتباط برقرار نماید، اما چون از خارج قابل دسترسی است، بنابراین قابل اعتماد نیست. بنابراین در این مورد از یک سیستم ثالث برای اپلیکیشنی که قرار است با پایگاه داده ارتباط برقرار کند، استفاده می‌شود. وب سرور ورودی کاربر را دریافت کرده و آن را برای پردازش در اختیار سرور اپلیکیشن قرار می‌دهد. سرور اپلیکیشن پایگاه داده را برای درخواست اطلاعات مورد نظر فرا می‌خواند و اطلاعات را در اختیار وب سرور برای انتقال به کاربر قرار می‌دهد.

اگرچه این معماری ممکن است پیچیده به نظر آید، اما محافظت لازم از سرور پایگاه داده را فراهم می‌آورد و بار پردازش کوئری را از دوش وب سرور بر می‌دارد.

سیستم‌های قابل دسترسی از خارج:

تمامی این سیستم‌ها باید در DMZ قرار بگیرند. توجه داشته باشید که اگر سیستمی از طریق جلسات (سشن‌ها) تعاملی مانند تل نت یا SSH قابل دسترسی باشد، این امکان وجود دارد که از آن برای حمله به سایر سیستم‌ها استفاده شود. بنابراین شاید نیاز باشد که یک DMZ مجزا برای این سیستم‌ها ایجاد گردد تا از حمله به سایر سیستم‌های موجود در DMZ اول جلوگیری شود.

معماری مناسب DMZ

معماری‌های متفاوتی برای DMZ وجود دارد. از لحاظ امنیتی هر کدام از این معماری‌ها نقاط قوت و ضعف خود را دارند. بنابراین معماری مناسب باید با توجه به نیازمندی‌های سازمان انتخاب شود. از جمله معماری‌های رایج می‌توان به موارد زیر اشاره کرد:

  • روتر و فایروال
  • تک فایروال
  • دو فایروال

شمای کلی هر کدام از این معماری‌ها را در تصاویر زیر ملاحظه می‌کنید.


شکل 3 DMZ با معماری فایروال و روتر

در معماری DMZ روتر و فایروال، روتر به شبکه خارجی سازمان متصل است و فایروال دسترسی به شبکه داخلی را کنترل می‌کند. در این معماری، DMZ بخشی از شبکه خارجی است، و سیستم‌هایی که از اینترنت دسترسی به آن‌ها ایجاد می‌شود، در آنجا قرار می‌گیرند. از آنجایی که این سیستم‌ها روی شبکه خارجی قرار دارند، کاملا در مقابل حملات از سوی اینترنت آسیب‌پذیر هستند. برای کاهش ریسک نفوذ، فیلترهایی روی روتر اعمال می‌شود تا تنها ترافیکی بتواند عبور کند که مرتبط با سرویس‌هایی باشد که توسط سیستم‌های DMZ ارائه می‌شود.


شکل 4 DMZ با معماری تک فایروال

از یک فایروال می‌توان برای ایجاد DMZ استفاده کرد. زمانی که از یک فایروال استفاده می‌شود، DMZ از شبکه خارجی توسط فایروال جدا می‌شود. در واقع شبکه خارجی توسط روتر و فایروال تشکیل می‌گردد. DMZ توسط واسط سوم فایروال ایجاد می‌شود. فایروال به تنهایی دسترسی به DMZ را کنترل می‌کند. استفاده از این معماری سبب می‌شود که تمامی ترافیک از فایروال عبور کند. فایروال باید به گونه‌ای تنظیم شود که تنها به ترافیک مربوط به سرویس‌های سیستم‌های موجود روی DMZ اجازه عبور دهد. فایروال باید بتواند لاگی از ترافیکی مجاز و غیرمجاز ارائه کند.

در این معماری فایر تنها نقطه خرابی و گلوگاه ترافیک شبکه خواهد بود. اگر در دسترس بودن مسئله امنیتی کلیدی در معماری باشد، فایروال باید قابلیت fail-over configuration داشته باشد. اگر انتظار ترافیکی بالایی از DMZ است، فایروال باید بتواند این ترافیک را به علاوه ترافیک داخلی برای دسترسی به اینترنت به خوبی مدیریت نماید.

مدیریت این معماری نسبت به معماری روتر و فایروال آسان‌تر است. زیرا تنها نیاز به پیکربندی فایروال است و نیازی به اعمال فیلتر روی روتر نیست. اگرچه فیلتر روی روتر می‌تواند به عملکرد فایروال کمک کند.


شکل 5 DMZ با معماری دو فایروال

معماری سوم برای DMZ، معماری دو فایروال است. این معماری از دو فایروال برای جداسازی DMZ از شبکه‌های داخلی و خارجی استفاده می‌کند. شبکه خارجی توسط روتر و فایروال اول تعریف می‌شود. در این حالت DMZ بین فایروال اول و دوم قرار می‌گیرد. فایراول برای عبور تمامی ترافیک DMZ و همچنین ترافیک داخلی پیکربندی شده است. فایروال دوم با پیکربندی محدودتر و برای عبور ترافیک خروجی به اینترنت تنظیم شده است. این معماری مستلزم آن است که فایروال اول امکان مدیریت بارهای ترافیکی قابل توجه را داشته باشد. این فایروال‌ها می‌توانند با یکدیگر متفاوت باشند. این پیکربندی امنیت کلی را افزایش می‌دهد زیرا بسیار نامحتمل است که در یک حمله هر دو فایروال آسیب‌پذیر باشند. همانند معماری تک فایروال، سیستم‌های DMZ از اینترنت توسط فایروال اول محافظت شده‌اند.

استفاده از دو فایروال هزینه‌های معماری را افزایش می‌دهد و نیازمند مدیریت و پیکربندی اضافی است.

منبع:

[1] Maiwald, E. (2003). Network Security: a beginner's guide. McGraw-hill Osborne, ISBN-10 ‏ : ‎ 0072229578.

منطقه نظامینظامی شبکه‌های کامپیوتریسرور ایمیلشبکه خارجیdmz
دانشجوی کارشناسی ارشد مهندسی فناوری اطلاعات گرایش معماری سازمانی دانشگاه شهید بهشتی
شاید از این پست‌ها خوشتان بیاید