منطقه غیر نظامی در شبکههای کامپیوتری!
مطالب زیر عینا از منبع [1] ترجمه شده است:
DMZ مخفف Demilitarized Zone به معنای منطقه غیر نظامی است. این عبارت به قسمتی از شبکه اطلاق میشود که کاملا مورد اعتماد نیست. DMZ مکانی را در شبکه ایجاد میکند که سیستمهایی را که افراد روی اینترنت به آن دسترسی دارند را از سیستمهایی که تنها توسط کارکنان استفاده میشود را جدا میسازد.
DMZ از طریق ایجاد یک منطقه شبکه تقریبا محافظت شده ایجاد میشود. این منطقه با کنترلهای دسترسی شبکه مانند فایروال یا روترهای فیلتر شده ایجاد میشود. سپس کنترلهای دسترسی شبکه پالیسی را تنظیم میکنند تا ترافیکی را که اجازه ورود به یا خروج از DMZ را مشخص نماید. مانند شکل زیر.
شکل 1 رولهای پالسی عمومی DMZ
بطور کلی هر سیستمی که باید بطور مستقیم توسط کاربر خارجی دسترسی داشته باشد باید در DMZ قرار بگیرد. سیستمهایی که توسط سیستمها یا کاربران خارجی دسترسی داده میشوند، اولین سیستمهایی هستند که مورد حمله قرار گرفته و بصورت بالقوه تحت نفوذ قرار دارند. به این سیستمها به هیچ عنوان نمیتوان اعتماد کرد زیرا امکان نفوذ در آنها در هر زمان محتمل است. بنابراین، دسترسی این سیستمها به شبکه داخلی که دارای سیستمهای حساس است را محدود میکنیم.
قوانین (رولهای) دسترسی عمومی DMZ به کاربران خارجی اجازه دسترسی به سرویسهای مناسب در سیستمهای DMZ را میدهد. سیستمهای DMZ باید به شدت برای دسترسی به سیستمهای داخلی محدود شده باشند. در صورت امکان، سیستم داخلی باید ارتباط با سیستم DMZ را آغاز کند. سیستمهای داخلی میتوانند باتوجه به پالیسی به DMZ یا اینترنت دسترسی داشته باشند، اما کاربران خارجی تحت هیچ عنوانی امکان دسترسی به سیستمهای داخلی را ندارند. شکل زیر سرویسهایی را که میتوان در DMZ ارائه کرد را نشان میدهد.
شکل 2 چیدمان (layout) سیستمها بین DMZ و شبکه داخلی
ایمیل:
همانطور که در شکل بالا مشاهده میشود، یک سرور ایمیل داخلی و یک سرور ایمیل خارجی داریم. از سرور ایمیل خارجی برای دریافت ایمیلهای ورودی و همچنین ارسال ایمیلهای خروجی از شبکه داخلی استفاده میشود. ایمیل جدید توسط سرور ایمیل خارجی دریافت و به سرور ایمیل داخلی ارسال میشود. سرور ایمیل داخلی ایمیلهای خروجی را به سرور خارجی ارسال میدارد.
وب:
سرورهای وب با دسترسی عمومی در DMZ قرار داده میشوند. در شکل بالا یک سرور اپلیکیشن نیز دیده میشود. بسیاری از وب سایتها محتوا فعال با توجه به ورودی کاربر ارائه میدهند. ورودی کاربر پردازش شده و اطلاعات از یک پایگاه داده فراخوانده میشود. این پایگاه داده دارای اطلاعات حساس است و انتخاب مناسبی برای DMZ نیست. خود وب سرور میتواند با سرور پایگاه داده ارتباط برقرار نماید، اما چون از خارج قابل دسترسی است، بنابراین قابل اعتماد نیست. بنابراین در این مورد از یک سیستم ثالث برای اپلیکیشنی که قرار است با پایگاه داده ارتباط برقرار کند، استفاده میشود. وب سرور ورودی کاربر را دریافت کرده و آن را برای پردازش در اختیار سرور اپلیکیشن قرار میدهد. سرور اپلیکیشن پایگاه داده را برای درخواست اطلاعات مورد نظر فرا میخواند و اطلاعات را در اختیار وب سرور برای انتقال به کاربر قرار میدهد.
اگرچه این معماری ممکن است پیچیده به نظر آید، اما محافظت لازم از سرور پایگاه داده را فراهم میآورد و بار پردازش کوئری را از دوش وب سرور بر میدارد.
سیستمهای قابل دسترسی از خارج:
تمامی این سیستمها باید در DMZ قرار بگیرند. توجه داشته باشید که اگر سیستمی از طریق جلسات (سشنها) تعاملی مانند تل نت یا SSH قابل دسترسی باشد، این امکان وجود دارد که از آن برای حمله به سایر سیستمها استفاده شود. بنابراین شاید نیاز باشد که یک DMZ مجزا برای این سیستمها ایجاد گردد تا از حمله به سایر سیستمهای موجود در DMZ اول جلوگیری شود.
معماری مناسب DMZ
معماریهای متفاوتی برای DMZ وجود دارد. از لحاظ امنیتی هر کدام از این معماریها نقاط قوت و ضعف خود را دارند. بنابراین معماری مناسب باید با توجه به نیازمندیهای سازمان انتخاب شود. از جمله معماریهای رایج میتوان به موارد زیر اشاره کرد:
شمای کلی هر کدام از این معماریها را در تصاویر زیر ملاحظه میکنید.
شکل 3 DMZ با معماری فایروال و روتر
در معماری DMZ روتر و فایروال، روتر به شبکه خارجی سازمان متصل است و فایروال دسترسی به شبکه داخلی را کنترل میکند. در این معماری، DMZ بخشی از شبکه خارجی است، و سیستمهایی که از اینترنت دسترسی به آنها ایجاد میشود، در آنجا قرار میگیرند. از آنجایی که این سیستمها روی شبکه خارجی قرار دارند، کاملا در مقابل حملات از سوی اینترنت آسیبپذیر هستند. برای کاهش ریسک نفوذ، فیلترهایی روی روتر اعمال میشود تا تنها ترافیکی بتواند عبور کند که مرتبط با سرویسهایی باشد که توسط سیستمهای DMZ ارائه میشود.
شکل 4 DMZ با معماری تک فایروال
از یک فایروال میتوان برای ایجاد DMZ استفاده کرد. زمانی که از یک فایروال استفاده میشود، DMZ از شبکه خارجی توسط فایروال جدا میشود. در واقع شبکه خارجی توسط روتر و فایروال تشکیل میگردد. DMZ توسط واسط سوم فایروال ایجاد میشود. فایروال به تنهایی دسترسی به DMZ را کنترل میکند. استفاده از این معماری سبب میشود که تمامی ترافیک از فایروال عبور کند. فایروال باید به گونهای تنظیم شود که تنها به ترافیک مربوط به سرویسهای سیستمهای موجود روی DMZ اجازه عبور دهد. فایروال باید بتواند لاگی از ترافیکی مجاز و غیرمجاز ارائه کند.
در این معماری فایر تنها نقطه خرابی و گلوگاه ترافیک شبکه خواهد بود. اگر در دسترس بودن مسئله امنیتی کلیدی در معماری باشد، فایروال باید قابلیت fail-over configuration داشته باشد. اگر انتظار ترافیکی بالایی از DMZ است، فایروال باید بتواند این ترافیک را به علاوه ترافیک داخلی برای دسترسی به اینترنت به خوبی مدیریت نماید.
مدیریت این معماری نسبت به معماری روتر و فایروال آسانتر است. زیرا تنها نیاز به پیکربندی فایروال است و نیازی به اعمال فیلتر روی روتر نیست. اگرچه فیلتر روی روتر میتواند به عملکرد فایروال کمک کند.
شکل 5 DMZ با معماری دو فایروال
معماری سوم برای DMZ، معماری دو فایروال است. این معماری از دو فایروال برای جداسازی DMZ از شبکههای داخلی و خارجی استفاده میکند. شبکه خارجی توسط روتر و فایروال اول تعریف میشود. در این حالت DMZ بین فایروال اول و دوم قرار میگیرد. فایراول برای عبور تمامی ترافیک DMZ و همچنین ترافیک داخلی پیکربندی شده است. فایروال دوم با پیکربندی محدودتر و برای عبور ترافیک خروجی به اینترنت تنظیم شده است. این معماری مستلزم آن است که فایروال اول امکان مدیریت بارهای ترافیکی قابل توجه را داشته باشد. این فایروالها میتوانند با یکدیگر متفاوت باشند. این پیکربندی امنیت کلی را افزایش میدهد زیرا بسیار نامحتمل است که در یک حمله هر دو فایروال آسیبپذیر باشند. همانند معماری تک فایروال، سیستمهای DMZ از اینترنت توسط فایروال اول محافظت شدهاند.
استفاده از دو فایروال هزینههای معماری را افزایش میدهد و نیازمند مدیریت و پیکربندی اضافی است.
منبع:
[1] Maiwald, E. (2003). Network Security: a beginner's guide. McGraw-hill Osborne, ISBN-10 : 0072229578.