DMZ (netværk)

I computernetværk er en DMZ (demilitariseret zone), også undertiden kendt som et perimeternetværk eller et afskærmet undernetværk, et fysisk eller logisk undernet, der adskiller et internt lokalnetværk (LAN) fra andre ikke-troværdige netværk – normalt det offentlige internet. Servere, ressourcer og tjenester, der vender udad, er placeret i DMZ’en. Derfor er de tilgængelige fra internettet, men resten af det interne LAN kan ikke nås. Dette giver et ekstra lag af sikkerhed til LAN’et, da det begrænser en hackers mulighed for at få direkte adgang til interne servere og data via internettet.

Alle tjenester, der leveres til brugere på det offentlige internet, bør placeres i DMZ-netværket. Nogle af de mest almindelige af disse tjenester omfatter webservere og proxyservere samt servere til e-mail, DNS (Domain Name System), FTP (File Transfer Protocol) og VoIP (Voice over IP).

Hackere og cyberkriminelle i hele verden kan nå de systemer, der kører disse tjenester på DMZ-servere, som skal være hærdede for at kunne modstå konstante angreb. Udtrykket DMZ stammer fra den geografiske bufferzone, der blev oprettet mellem Nordkorea og Sydkorea i slutningen af Korea-krigen.

Arkitektur af netværks-DMZ’er

Der er forskellige måder at designe et netværk med en DMZ på. De to grundlæggende metoder er at bruge enten én eller to firewalls, selv om de fleste moderne DMZ’er er designet med to firewalls. Denne grundlæggende fremgangsmåde kan udvides til at skabe mere komplekse arkitekturer.

En enkelt firewall med mindst tre netværksgrænseflader kan bruges til at skabe en netværksarkitektur, der indeholder en DMZ. Det eksterne netværk dannes ved at forbinde det offentlige internet — via internetudbyderens (ISP) forbindelse — med firewallen på den første netværksgrænseflade. Det interne netværk dannes fra den anden netværksgrænseflade, og selve DMZ-netværket forbindes med den tredje netværksgrænseflade.

Differente sæt firewallregler til overvågning af trafikken mellem internettet og DMZ, LAN og DMZ og LAN og internettet styrer nøje, hvilke porte og typer trafik der tillades ind i DMZ fra internettet, begrænser forbindelsen til bestemte værter i det interne netværk og forhindrer uopfordrede forbindelser enten til internettet eller det interne LAN fra DMZ.

Den mere sikre tilgang til oprettelse af et DMZ-netværk er en konfiguration med to firewalls, hvor der opstilles to firewalls med DMZ-netværket placeret mellem dem. Den første firewall — også kaldet perimeterfirewall — er konfigureret til kun at tillade ekstern trafik, der er bestemt til DMZ-området. Den anden, eller interne, firewall tillader kun trafik fra DMZ til det interne netværk. Dette anses for at være mere sikkert, fordi to enheder skal kompromitteres, før en angriber kan få adgang til det interne LAN.

Sikkerhedskontroller kan indstilles specifikt for hvert netværkssegment. F.eks. kan et system til registrering og forebyggelse af netværksindtrængen, der er placeret i en DMZ, konfigureres til at blokere al trafik undtagen HTTPS-forespørgsler til TCP-port 443.

Hvordan DMZ’er fungerer

DMZ’er er beregnet til at fungere som en slags bufferzone mellem det offentlige internet og det private netværk. Udrulning af DMZ’en mellem to firewalls betyder, at alle indgående netværkspakker screenes ved hjælp af en firewall eller et andet sikkerhedsapparat, før de når frem til de servere, som organisationen er vært for i DMZ’en.

Hvis en bedre forberedt trusselsaktør kommer igennem den første firewall, skal de derefter få uautoriseret adgang til disse tjenester, før de kan gøre skade, og disse systemer er sandsynligvis hærdede mod sådanne angreb.

Såfremt en trusselsaktør med gode ressourcer er i stand til at bryde igennem den eksterne firewall og overtage et system, der er hostet i DMZ’en, skal de endelig stadig bryde igennem den interne firewall, før de kan nå frem til følsomme virksomhedsressourcer. Selv om en målrettet angriber kan bryde selv den bedst sikrede DMZ-arkitektur, bør en DMZ under angreb udløse alarmer og give sikkerhedsfolk tilstrækkelig advarsel til at afværge et fuldstændigt brud på deres organisation.

Fordelene ved DMZ’er

Den primære fordel ved en DMZ er, at den giver brugere fra det offentlige internet adgang til visse sikre tjenester, samtidig med at den opretholder en buffer mellem disse brugere og det private, interne netværk. Sikkerhedsfordelene ved denne buffer viser sig på flere måder, bl.a.:

Adgangskontrol for organisationer. Organisationer kan give brugerne adgang til tjenester, der befinder sig uden for deres netværksgrænser, via det offentlige internet. Et DMZ-netværk giver adgang til disse nødvendige tjenester, samtidig med at der indføres et niveau af netværkssegmentering, der øger antallet af forhindringer, som en uautoriseret bruger skal omgå, før han kan få adgang til en organisations private netværk. I nogle tilfælde omfatter en DMZ en proxyserver, som centraliserer strømmen af intern – normalt medarbejdernes – internettrafik og gør det nemmere at registrere og overvåge denne trafik.

Forhindrer angribere i at udføre netværksrekognoscering. En DMZ forhindrer, fordi den fungerer som en buffer, en angriber i at kunne udforske potentielle mål i netværket. Selv hvis et system inden for DMZ’en bliver kompromitteret, er det private netværk stadig beskyttet af den interne firewall, der adskiller det fra DMZ’en. Det gør også ekstern rekognoscering vanskeligere af samme grund. Selv om serverne i DMZ’en er offentligt eksponeret, er de understøttet af endnu et beskyttelseslag. DMZ’ens offentlige ansigt forhindrer angribere i at se indholdet af det interne private netværk. Hvis det lykkes angribere at kompromittere serverne i DMZ’en, er de stadig isoleret fra det private netværk af DMZ’ens interne barriere.

Beskyttelse mod IP-spoofing. I nogle tilfælde forsøger angribere at omgå adgangskontrolrestriktioner ved at forfalske en autoriseret IP-adresse for at udgive sig for at være en anden enhed på netværket. En DMZ kan afholde potentielle IP-spoofere, mens en anden tjeneste på netværket verificerer IP-adressens legitimitet ved at teste, om den kan nås.

I hvert tilfælde giver DMZ et niveau af netværkssegmentering, der skaber et rum, hvor trafikken kan organiseres, og hvor offentlige tjenester kan tilgås på sikker afstand fra det private netværk.

Hvad DMZ’er bruges til

DMZ-netværk har været en vigtig del af virksomhedens netværkssikkerhed næsten lige så længe, som firewalls har været i brug, og i vid udstrækning anvendes de af samme årsager: for at beskytte følsomme organisatoriske systemer og ressourcer. DMZ-netværk kan bruges til at isolere og holde potentielle målsystemer adskilt fra interne netværk og til at reducere og kontrollere adgangen til disse systemer uden for organisationen. Brug af en DMZ har længe været fremgangsmåden for hosting af virksomhedens ressourcer for at gøre i det mindste nogle af dem tilgængelige for autoriserede eksterne brugere.

På det seneste har virksomheder valgt at bruge virtuelle maskiner (VM’er) eller containere til at isolere dele af netværket eller specifikke programmer fra resten af virksomhedens miljø. Cloud-teknologier har stort set fjernet behovet for mange organisationer for at have interne webservere. Mange af de eksterne infrastrukturer, der tidligere var placeret i virksomhedens DMZ, er nu flyttet til skyen, f.eks. software-as-a-service (SaaS)-apps.

Eksempler på DMZ’er

Nogle cloud-tjenester, f.eks. Microsoft Azure, implementerer en hybrid sikkerhedstilgang, hvor der implementeres en DMZ mellem en organisations lokale netværk og det virtuelle netværk. Denne hybride tilgang anvendes typisk i situationer, hvor organisationens applikationer kører delvist på stedet og delvist på det virtuelle netværk. Den bruges også i situationer, hvor udgående trafik skal revideres, eller hvor der er behov for granulær trafikstyring mellem det virtuelle netværk og det lokale datacenter.

En DMZ kan også være nyttig i et hjemmenetværk, hvor computere og andre enheder er forbundet til internettet ved hjælp af en bredbåndsrouter og konfigureret til et lokalt netværk. Nogle hjemme-routere indeholder en DMZ-værtsfunktion, som kan sammenlignes med det DMZ-subnetværk, der er mere almindeligt implementeret i organisationer med mange flere enheder, end der findes i et hjem. Med DMZ-værtsfunktionen udpeges en enhed på hjemmenetværket til at fungere uden for firewallen, hvor den fungerer som DMZ, mens resten af hjemmenetværket ligger inden for firewallen. I nogle tilfælde vælges en spillekonsol til at være DMZ-vært, så firewallen ikke forstyrrer spillet. Desuden er konsollen en god kandidat til en DMZ-vært, fordi den sandsynligvis indeholder mindre følsomme oplysninger end en pc.

Ud over den selektive brug i hjemmet og i skyen udgør DMZ’er en potentiel løsning på de sikkerhedsrisici, som den stigende konvergens mellem IT og OT (driftsteknologi) udgør. Industrielt udstyr som f.eks. turbinemotorer eller industrielle styresystemer smelter sammen med it-teknologier, hvilket gør produktionsmiljøerne smartere og mere effektive, men skaber også en større trusselsflade. Meget af det OT-udstyr, der er forbundet til internettet, er ikke designet til at håndtere angreb på samme måde som it-udstyr.

En kompromitteret OT er potentielt også farligere end et it-brud. OT-brud kan føre til et sammenbrud i kritisk infrastruktur, et sammenbrud i værdifuld produktionstid og kan endda true menneskers sikkerhed, mens et it-brud resulterer i kompromitterede oplysninger. IT-infrastruktur kan også typisk genoprette sig fra cyberangreb med en simpel backup i modsætning til OT-infrastruktur, som ofte ikke har mulighed for at genoprette tabt produktionstid eller fysiske skader.

For eksempel blev et amerikansk energiselskab i 2016 angrebet af ransomware, som påvirkede dets OT-enheder og forhindrede mange af dets kunder i at få strøm. Virksomheden havde ikke en etableret DMZ mellem sine it- og OT-enheder, og dens OT-enheder var ikke godt rustet til at håndtere ransomware, når først den nåede dem. Dette brud påvirkede dybt energiselskabets infrastruktur og de mange kunder, der var afhængige af deres service.

En DMZ ville have givet øget netværkssegmentering (både inden for selve OT-netværket og mellem OT- og IT-netværket) og kunne potentielt have bremset de afsmittende skader, som ransomware forårsagede på det industrielle miljø.