DMZ (síťování)

V počítačových sítích je DMZ (demilitarizovaná zóna), někdy také známá jako obvodová síť nebo stíněná podsíť, fyzická nebo logická podsíť, která odděluje vnitřní místní síť (LAN) od ostatních nedůvěryhodných sítí – obvykle veřejného internetu. V DMZ jsou umístěny servery, prostředky a služby směřující ven. Jsou tedy přístupné z internetu, ale zbytek vnitřní sítě LAN zůstává nedostupný. To poskytuje další vrstvu zabezpečení sítě LAN, protože omezuje možnost hackera přímo přistupovat k interním serverům a datům prostřednictvím internetu.

Všechny služby poskytované uživatelům na veřejném internetu by měly být umístěny v síti DMZ. Mezi nejběžnější z těchto služeb patří webové servery a proxy servery a také servery pro elektronickou poštu, systém doménových jmen (DNS), protokol FTP (File Transfer Protocol) a hlas přes IP (VoIP).

Hackeři a kyberzločinci z celého světa se mohou dostat k systémům provozujícím tyto služby na serverech DMZ, které musí být zabezpečeny proti neustálým útokům. Termín DMZ pochází z geografické nárazníkové zóny, která byla zřízena mezi Severní a Jižní Koreou na konci korejské války.

Architektura síťových DMZ

Existují různé způsoby návrhu sítě s DMZ. Dva základní způsoby jsou použití jednoho nebo dvou firewallů, i když většina moderních DMZ je navržena se dvěma firewally. Tento základní přístup lze rozšířit a vytvořit tak složitější architekturu.

Pro vytvoření síťové architektury obsahující DMZ lze použít jeden firewall s nejméně třemi síťovými rozhraními. Vnější síť je vytvořena připojením veřejného internetu — prostřednictvím připojení poskytovatele internetových služeb (ISP) — k bráně firewall na prvním síťovém rozhraní. Vnitřní síť je vytvořena z druhého síťového rozhraní a samotná síť DMZ je připojena ke třetímu síťovému rozhraní.

Různé sady pravidel brány firewall pro sledování provozu mezi internetem a DMZ, sítí LAN a DMZ a sítí LAN a internet přísně kontrolují, které porty a typy provozu jsou do DMZ z internetu povoleny, omezují připojení ke konkrétním hostitelům ve vnitřní síti a zabraňují nevyžádaným připojením buď k internetu, nebo k vnitřní síti LAN z DMZ.

Bezpečnějším přístupem k vytvoření sítě DMZ je konfigurace se dvěma firewally, kdy jsou nasazeny dva firewally a síť DMZ je umístěna mezi nimi. První brána firewall — nazývaná také obvodová brána firewall — je nakonfigurována tak, aby povolovala pouze externí provoz směřující do DMZ. Druhá neboli interní brána firewall povoluje pouze provoz z DMZ do interní sítě. Tento způsob je považován za bezpečnější, protože aby mohl útočník získat přístup do vnitřní sítě LAN, musí být napadena dvě zařízení.

Řízení zabezpečení lze vyladit speciálně pro každý segment sítě. Například systém detekce a prevence narušení sítě umístěný v DMZ může být nakonfigurován tak, aby blokoval veškerý provoz kromě požadavků HTTPS na port TCP 443.

Jak DMZ fungují

DMZ mají fungovat jako jakási nárazníková zóna mezi veřejným internetem a privátní sítí. Nasazení DMZ mezi dvěma firewally znamená, že všechny příchozí síťové pakety jsou před příchodem na servery, které organizace hostuje v DMZ, prověřeny pomocí firewallu nebo jiného bezpečnostního zařízení.

Pokud lépe připravený původce hrozeb projde přes první firewall, musí pak získat neoprávněný přístup k těmto službám, než bude moci napáchat škody, a tyto systémy budou pravděpodobně proti takovým útokům zabezpečeny.

Nakonec, za předpokladu, že se dobře připravenému původci hrozeb podaří prolomit vnější firewall a ovládnout systém hostovaný v DMZ, musí ještě prolomit vnitřní firewall, než se dostane k citlivým podnikovým zdrojům. Přestože odhodlaný útočník může prolomit i nejlépe zabezpečenou architekturu DMZ, napadená DMZ by měla spustit poplach a poskytnout bezpečnostním profesionálům dostatečné varování, aby zabránili úplnému narušení organizace.

Přínosy DMZ

Primárním přínosem DMZ je, že nabízí uživatelům z veřejného internetu přístup k určitým zabezpečeným službám a zároveň zachovává nárazník mezi těmito uživateli a soukromou vnitřní sítí. Bezpečnostní výhody této vyrovnávací paměti se projevují několika způsoby, mimo jiné:

Řízení přístupu pro organizace. Organizace mohou poskytovat uživatelům přístup ke službám umístěným mimo perimetr své sítě prostřednictvím veřejného internetu. Síť DMZ poskytuje přístup k těmto nezbytným službám a současně zavádí úroveň segmentace sítě, která zvyšuje počet překážek, jež musí neoprávněný uživatel obejít, než získá přístup do privátní sítě organizace. V některých případech DMZ zahrnuje proxy server, který centralizuje tok interního – obvykle zaměstnaneckého – internetového provozu a usnadňuje jeho záznam a monitorování.

Zabraňte útočníkům v provádění průzkumu sítě. Protože DMZ funguje jako vyrovnávací paměť, brání útočníkovi v tom, aby mohl v síti prozkoumat potenciální cíle. I když je systém uvnitř DMZ napaden, soukromá síť je stále chráněna vnitřní bránou firewall, která ji od DMZ odděluje. Ze stejného důvodu také ztěžuje vnější průzkum. Přestože jsou servery v DMZ veřejně přístupné, jsou chráněny další vrstvou ochrany. Veřejná tvář DMZ brání útočníkům vidět obsah vnitřní privátní sítě. Pokud se útočníkům podaří kompromitovat servery v DMZ, jsou stále izolovány od privátní sítě vnitřní bariérou DMZ.

Ochrana proti IP spoofingu. V některých případech se útočníci pokoušejí obejít omezení řízení přístupu podvržením autorizované IP adresy, aby se vydávali za jiné zařízení v síti. DMZ může potenciální podvrhovatele IP zdržet, zatímco jiná služba v síti ověří legitimitu IP adresy tím, že otestuje, zda je dosažitelná.

V každém případě DMZ poskytuje určitou úroveň segmentace sítě, která vytváří prostor, kde lze organizovat provoz, a veřejné služby jsou přístupné v bezpečné vzdálenosti od soukromé sítě.

K čemu se DMZ používají

Sítě DMZ jsou důležitou součástí zabezpečení podnikových sítí téměř stejně dlouho jako firewally a z velké části jsou nasazovány z podobných důvodů: k ochraně citlivých systémů a zdrojů organizace. Sítě DMZ lze použít k izolaci a oddělení potenciálních cílových systémů od interních sítí a také k omezení a řízení přístupu k těmto systémům mimo organizaci. Použití DMZ je již dlouhou dobu přístupem k hostování podnikových zdrojů s cílem zpřístupnit alespoň některé z nich autorizovaným externím uživatelům.

V poslední době se podniky rozhodly používat virtuální počítače (VM) nebo kontejnery k izolaci částí sítě nebo konkrétních aplikací od zbytku podnikového prostředí. Cloudové technologie do značné míry odstranily potřebu mnoha organizací mít vlastní webové servery. Mnohé z externě orientovaných infrastruktur, které se dříve nacházely v podnikové DMZ, se nyní přesunuly do cloudu, například aplikace typu SaaS (software jako služba).

Příklady DMZ

Některé cloudové služby, například Microsoft Azure, implementují hybridní přístup k zabezpečení, kdy je mezi lokální sítí organizace a virtuální sítí implementována DMZ. Tento hybridní přístup se obvykle používá v situacích, kdy aplikace organizace běží částečně v lokální a částečně ve virtuální síti. Používá se také v situacích, kdy je třeba auditovat odchozí provoz nebo kdy je vyžadováno granulární řízení provozu mezi virtuální sítí a lokálním datovým centrem.

DMZ může být užitečná také v domácí síti, ve které jsou počítače a další zařízení připojeny k internetu pomocí širokopásmového směrovače a nakonfigurovány do místní sítě. Některé domácí směrovače obsahují funkci hostitele DMZ, což lze postavit do kontrastu s dílčí sítí DMZ, která je častěji implementována v organizacích s mnohem větším počtem zařízení, než by se nacházelo v domácnosti. Funkce hostitele DMZ určuje jedno zařízení v domácí síti, které funguje mimo bránu firewall, kde funguje jako DMZ, zatímco zbytek domácí sítě leží uvnitř brány firewall. V některých případech je jako hostitel DMZ zvolena herní konzole, aby brána firewall nezasahovala do hraní her. Konzole je také vhodným kandidátem na hostitele DMZ, protože pravděpodobně obsahuje méně citlivých informací než počítač.

Kromě selektivního použití v domácnosti a v cloudu představují DMZ potenciální řešení bezpečnostních rizik, která představuje rostoucí konvergence IT a OT (provozní technologie). Průmyslová zařízení, jako jsou turbínové motory nebo průmyslové řídicí systémy, se spojují s IT technologiemi, což činí výrobní prostředí inteligentnějším a efektivnějším, ale také vytváří větší plochu hrozeb. Velká část zařízení OT připojených k internetu není navržena tak, aby zvládala útoky stejným způsobem jako zařízení IT.

Kompromitace OT je potenciálně nebezpečnější než narušení IT také. Narušení OT může vést k výpadku kritické infrastruktury, výpadku cenného výrobního času a může dokonce ohrozit bezpečnost lidí, zatímco narušení IT vede k ohrožení informací. IT infrastruktura se také obvykle může z kybernetických útoků zotavit pomocí jednoduchého zálohování, na rozdíl od OT infrastruktury, která často nemá možnost obnovit ztracený výrobní čas nebo fyzické škody.

V roce 2016 byla například jedna americká energetická společnost napadena ransomwarem, který zasáhl její OT zařízení a zabránil mnoha zákazníkům v odběru elektřiny. Společnost neměla vytvořenou DMZ mezi svými IT a OT zařízeními a její OT zařízení nebyla dobře vybavena, aby si poradila s ransomwarem, jakmile se k nim dostal. Toto narušení hluboce ovlivnilo infrastrukturu energetické společnosti a množství zákazníků, kteří se spoléhali na její služby.

Zóna DMZ by zajistila větší segmentaci sítě (jak v rámci samotné sítě OT, tak mezi sítěmi OT a IT) a mohla by potenciálně omezit škody, které ransomware způsobil v průmyslovém prostředí.

.