Демілітаризована зона
DMZ (англ. Demilitarized Zone - демілітаризована зона) - сегмент мережі, що містить загальнодоступні сервіси і відокремлює їх від приватних. Як загальнодоступний може виступати, наприклад, веб-сервіс: забезпечуючий його сервер, який фізично розміщений в локальної мережі, повинен відповідати на будь-які запити з зовнішньої мережі, при цьому інші локальні ресурси (наприклад, файлові сервери, робочі станції) необхідно ізолювати від зовнішнього доступу.
Суть DMZ полягає в тому, що вона не входить безпосередньо у внутрішню, ні в зовнішню мережу, і доступ до неї може здійснюватися тільки за заздалегідь заданими правилами брандмауера. У DMZ немає користувачів - там розташовуються тільки сервери. Демілітаризована зона як правило служить для запобігання доступу із зовнішньої мережі до хостів внутрішньої мережі за рахунок виносу з локальної мережі в особливу зону всіх сервісів, що вимагають доступу ззовні. Фактично виходить, що ця зона буде окремою підмережею з публічними адресами, захищеної (або - відокремленої) від публічних і корпоративних мереж міжмережевими екранами.
При створенні такої зони перед адміністраторами корпоративної мережі виникають додаткові завдання. Необхідно забезпечити розмежування доступу до ресурсів і серверів, розташованим в DMZ, забезпечити кофіденціальность інформації, переданої при роботі користувачів з цими ресурсами, вести конроль за діями користувачів. Відносно інформації, яка може перебувати на серверах, можна сказати наступне. З огляду на, що публічні сервіси можуть бути зламані, на них повинна знаходитися найменш важлива інформація, а будь-яка цінна інформація повинна розміщуватися виключно в локальній мережі, яка не буде доступна з публічних серверів.
На серверах, розміщених в DMZ, не повинно бути ніякої інформації про користувачів, клієнтів компанії, іншої конфіденційної інформації, не повинно бути особистих поштових скриньок співробітників - це все повинно бути надійно "заховано" в захищеній частині локальної мережі. А для тієї інформації, яка буде доступна на публічних серверах, необхідно передбачити проведення резервного архівування з можливо меншою періодичністю. Крім цього рекомендується для поштових серверів застосовувати як мінімум двухсерверную модель обслуговування, а для веб-серверів вести постійний моніторинг стану інформації для своєчасного виявлення і усунення наслідків злому.
Для захисту проникнення через демілітаризовану зону в корпоративну мережу використовуються міжмережеві екрани. Існують програмні й апаратні екрани. Для установки апаратного брандмауера потрібно лише підключити його в мережу і виконати мінімальну конфігурацію. Зазвичай програмні екрани використовуються для захисту невеликих мереж, де немає необхідності проводити багато налаштувань, пов'язаних з гнучким розподілом смуги пропускання і обмеження трафіку по протоколах для користувачів. Якщо мережа велика і потрібна висока продуктивність - вигідніше стає використовувати апаратні міжмережеві екрани. У багатьох випадках використовують не один, а два міжмережевих екрану - один захищає демілітаризовану зону від зовнішнього впливу, другий відділяє її від внутрішньої частини корпоративної мережі.
Але крім того, що винесення публічних серверів в демілітаризовану зону певною мірою захищає корпоративну мережу, необхідно продумати і забезпечити захист і самої DMZ.
Суть DMZ полягає в тому, що вона не входить безпосередньо у внутрішню, ні в зовнішню мережу, і доступ до неї може здійснюватися тільки за заздалегідь заданими правилами брандмауера. У DMZ немає користувачів - там розташовуються тільки сервери. Демілітаризована зона як правило служить для запобігання доступу із зовнішньої мережі до хостів внутрішньої мережі за рахунок виносу з локальної мережі в особливу зону всіх сервісів, що вимагають доступу ззовні. Фактично виходить, що ця зона буде окремою підмережею з публічними адресами, захищеної (або - відокремленої) від публічних і корпоративних мереж міжмережевими екранами.
При створенні такої зони перед адміністраторами корпоративної мережі виникають додаткові завдання. Необхідно забезпечити розмежування доступу до ресурсів і серверів, розташованим в DMZ, забезпечити кофіденціальность інформації, переданої при роботі користувачів з цими ресурсами, вести конроль за діями користувачів. Відносно інформації, яка може перебувати на серверах, можна сказати наступне. З огляду на, що публічні сервіси можуть бути зламані, на них повинна знаходитися найменш важлива інформація, а будь-яка цінна інформація повинна розміщуватися виключно в локальній мережі, яка не буде доступна з публічних серверів.
 |
| Мережа з демілітаризованою зоною. |
На серверах, розміщених в DMZ, не повинно бути ніякої інформації про користувачів, клієнтів компанії, іншої конфіденційної інформації, не повинно бути особистих поштових скриньок співробітників - це все повинно бути надійно "заховано" в захищеній частині локальної мережі. А для тієї інформації, яка буде доступна на публічних серверах, необхідно передбачити проведення резервного архівування з можливо меншою періодичністю. Крім цього рекомендується для поштових серверів застосовувати як мінімум двухсерверную модель обслуговування, а для веб-серверів вести постійний моніторинг стану інформації для своєчасного виявлення і усунення наслідків злому.
Для захисту проникнення через демілітаризовану зону в корпоративну мережу використовуються міжмережеві екрани. Існують програмні й апаратні екрани. Для установки апаратного брандмауера потрібно лише підключити його в мережу і виконати мінімальну конфігурацію. Зазвичай програмні екрани використовуються для захисту невеликих мереж, де немає необхідності проводити багато налаштувань, пов'язаних з гнучким розподілом смуги пропускання і обмеження трафіку по протоколах для користувачів. Якщо мережа велика і потрібна висока продуктивність - вигідніше стає використовувати апаратні міжмережеві екрани. У багатьох випадках використовують не один, а два міжмережевих екрану - один захищає демілітаризовану зону від зовнішнього впливу, другий відділяє її від внутрішньої частини корпоративної мережі.
 |
| Мережа з двома демілітаризованими зонами |
Але крім того, що винесення публічних серверів в демілітаризовану зону певною мірою захищає корпоративну мережу, необхідно продумати і забезпечити захист і самої DMZ.
При цьому необхідно вирішити такі питання, як:
• захист від атак на сервери та мережеве обладнання;
• захист окремих серверів;
• контроль поштового та іншого контенту;
• аудит дій користувачів.
Яким чином можуть вирішуватися ці питання? Поштовий сервер, який використовується як для зовнішньої переписки, так і для внутрішньокорпоративної, бажано "розділити" на дві складові - публічну, яка фактично буде сервером-ретранслятором і буде розміщуватися в DMZ, і основну, розміщену всередині корпоративної мережі. Основна складова забезпечує звернення внутрішньої пошти, приймає з ретранслятора і відправляє на нього зовнішню кореспонденцію.
Однією з основних проблем є забезпечення безпечного доступу до публічних ресурсів і додатків з корпоративної внутрішньої мережі. Хоча між нею і демілітаризованою зоною встановлюють міжмережевий екран, але він повинен бути "прозорий" для роботи. Є кілька варіантів надання такої можливості користувачам. Перший - використання термінального доступу. При такій організації взаємодії клієнта і сервера через встановлене з'єднання не передається будь-якої програмний код, серед якого могли б бути і віруси і інші шкідливі включення. Від термінального клієнта до сервера слід потік кодів натиснутих клавіш клавіатури і станів миші користувача, а назад, від сервера клієнту, надходять бінарні образи екранів серверної сесії браузера або поштового клієнта користувача. Інший варіант - використання VPN (Virtual Private Network). Завдяки контролю доступу та криптозахисті інформації VPN володіє захищеністю приватної мережі, і в той же час використовує всі переваги мережі загального користування.
Для захисту від атак на сервери та мережеве обладнання використовують спеціальні системи виявлення вторгнення (Intrusion Detection). Комп'ютер, на якому встановлюють таку систему, стає першим на шляху розповсюдження інформації з Інтернету в DMZ. Системи налаштовують таким чином, щоб при виявленні атак вони могли виконати переконфігуруванні брандмауера аж до повного блокування доступу. З метою додаткового, але не постійного контролю, використовують спеціальне програмне забезпечення - сканери безпеки, перевіряючі захищеність мережі, серверів і сервісів, баз даних. Для захисту від вірусів в демілітаризованій зоні встановлюється антивірусне ПЗ, а також засоби контролю контенту.
• захист від атак на сервери та мережеве обладнання;
• захист окремих серверів;
• контроль поштового та іншого контенту;
• аудит дій користувачів.
Яким чином можуть вирішуватися ці питання? Поштовий сервер, який використовується як для зовнішньої переписки, так і для внутрішньокорпоративної, бажано "розділити" на дві складові - публічну, яка фактично буде сервером-ретранслятором і буде розміщуватися в DMZ, і основну, розміщену всередині корпоративної мережі. Основна складова забезпечує звернення внутрішньої пошти, приймає з ретранслятора і відправляє на нього зовнішню кореспонденцію.
Однією з основних проблем є забезпечення безпечного доступу до публічних ресурсів і додатків з корпоративної внутрішньої мережі. Хоча між нею і демілітаризованою зоною встановлюють міжмережевий екран, але він повинен бути "прозорий" для роботи. Є кілька варіантів надання такої можливості користувачам. Перший - використання термінального доступу. При такій організації взаємодії клієнта і сервера через встановлене з'єднання не передається будь-якої програмний код, серед якого могли б бути і віруси і інші шкідливі включення. Від термінального клієнта до сервера слід потік кодів натиснутих клавіш клавіатури і станів миші користувача, а назад, від сервера клієнту, надходять бінарні образи екранів серверної сесії браузера або поштового клієнта користувача. Інший варіант - використання VPN (Virtual Private Network). Завдяки контролю доступу та криптозахисті інформації VPN володіє захищеністю приватної мережі, і в той же час використовує всі переваги мережі загального користування.
Для захисту від атак на сервери та мережеве обладнання використовують спеціальні системи виявлення вторгнення (Intrusion Detection). Комп'ютер, на якому встановлюють таку систему, стає першим на шляху розповсюдження інформації з Інтернету в DMZ. Системи налаштовують таким чином, щоб при виявленні атак вони могли виконати переконфігуруванні брандмауера аж до повного блокування доступу. З метою додаткового, але не постійного контролю, використовують спеціальне програмне забезпечення - сканери безпеки, перевіряючі захищеність мережі, серверів і сервісів, баз даних. Для захисту від вірусів в демілітаризованій зоні встановлюється антивірусне ПЗ, а також засоби контролю контенту.