DMZ (hálózatépítés)

A számítógépes hálózatokban a DMZ (demilitarizált zóna), más néven peremhálózat vagy árnyékolt alhálózat, egy olyan fizikai vagy logikai alhálózat, amely egy belső helyi hálózatot (LAN) elválaszt más, nem megbízható hálózatoktól — általában a nyilvános internettől. A DMZ-ben találhatóak a külvilág felé néző kiszolgálók, erőforrások és szolgáltatások. Ezért ezek elérhetőek az internetről, de a belső LAN többi része elérhetetlen marad. Ez egy további biztonsági réteget biztosít a LAN számára, mivel korlátozza a hackerek lehetőségét arra, hogy az interneten keresztül közvetlenül hozzáférjenek a belső szerverekhez és adatokhoz.

A nyilvános interneten a felhasználóknak nyújtott minden szolgáltatást a DMZ hálózatban kell elhelyezni. A leggyakoribb ilyen szolgáltatások közé tartoznak a webkiszolgálók és a proxy-kiszolgálók, valamint az e-mail, a tartománynévrendszer (DNS), az FTP (File Transfer Protocol) és a VoIP (Voice over IP) kiszolgálói.

A hackerek és a kiberbűnözők világszerte elérhetik a DMZ-kiszolgálókon ezeket a szolgáltatásokat futtató rendszereket, amelyeket keményíteni kell, hogy ellenálljanak a folyamatos támadásoknak. A DMZ kifejezés a földrajzi pufferzónából származik, amelyet Észak-Korea és Dél-Korea között hoztak létre a koreai háború végén.

A hálózati DMZ-k felépítése

Egy hálózat DMZ-vel való kialakításának többféle módja van. A két alapvető módszer egy vagy két tűzfal használata, bár a legtöbb modern DMZ-t két tűzfallal tervezik. Ez az alapvető megközelítés kibővíthető összetettebb architektúrák létrehozásához.

Egyetlen tűzfal legalább három hálózati interfésszel használható egy DMZ-t tartalmazó hálózati architektúra létrehozásához. A külső hálózatot úgy alakítjuk ki, hogy a nyilvános internetet — az internetszolgáltató (ISP) kapcsolatán keresztül — az első hálózati interfészen csatlakoztatjuk a tűzfalhoz. A belső hálózat a második hálózati interfészen keresztül jön létre, maga a DMZ-hálózat pedig a harmadik hálózati interfészhez csatlakozik.

Az internet és a DMZ, a LAN és a DMZ, valamint a LAN és az internet közötti forgalom felügyeletére szolgáló tűzfalszabályok különböző csoportjai szigorúan szabályozzák, hogy mely portok és forgalomtípusok juthassanak be a DMZ-be az internetről, korlátozzák a belső hálózat bizonyos állomásaihoz való kapcsolódást, és megakadályozzák a DMZ-ből az internetre vagy a belső LAN-ra irányuló kéretlen kapcsolatokat.

A DMZ-hálózat létrehozásának biztonságosabb megközelítése a kettős tűzfal-konfiguráció, amelyben két tűzfal kerül telepítésre, és a DMZ-hálózat közöttük helyezkedik el. Az első tűzfal — más néven peremtűzfal — úgy van beállítva, hogy csak a DMZ-be irányuló külső forgalmat engedje. A második vagy belső tűzfal csak a DMZ-ből a belső hálózatra irányuló forgalmat engedélyezi. Ezt azért tartják biztonságosabbnak, mert két eszközt kell kompromittálni ahhoz, hogy a támadó hozzáférhessen a belső LAN-hoz.

A biztonsági vezérléseket kifejezetten az egyes hálózati szegmensekre lehet hangolni. Például egy DMZ-ben található hálózati behatolásérzékelő és -megelőző rendszert úgy lehet beállítani, hogy a 443-as TCP portra érkező HTTPS-kérések kivételével minden forgalmat blokkoljon.

Hogyan működnek a DMZ-k

A DMZ-k célja, hogy egyfajta pufferzónaként működjenek a nyilvános internet és a magánhálózat között. A DMZ két tűzfal közé telepítése azt jelenti, hogy minden bejövő hálózati csomagot tűzfal vagy más biztonsági berendezés segítségével átvizsgálnak, mielőtt azok megérkeznek a szervezet által a DMZ-ben elhelyezett szerverekhez.

Ha egy jobban felkészült fenyegető szereplő áthatol az első tűzfalon, akkor jogosulatlan hozzáférést kell szereznie ezekhez a szolgáltatásokhoz, mielőtt kárt tudna okozni, és ezek a rendszerek valószínűleg edzettek az ilyen támadások ellen.

Végezetül, feltételezve, hogy egy jól felkészült fenyegető szereplő képes áttörni a külső tűzfalat és átvenni egy DMZ-ben elhelyezett rendszer irányítását, még mindig át kell törnie a belső tűzfalat, mielőtt elérheti az érzékeny vállalati erőforrásokat. Bár egy elszánt támadó még a legjobban védett DMZ-architektúrát is képes áttörni, egy megtámadott DMZ-nek riasztást kell adnia, ami elegendő figyelmeztetést ad a biztonsági szakembereknek ahhoz, hogy elkerüljék a szervezetük teljes betörését.

A DMZ-k előnyei

A DMZ elsődleges előnye, hogy a nyilvános internet felhasználóinak hozzáférést biztosít bizonyos biztonságos szolgáltatásokhoz, miközben puffert tart fenn e felhasználók és a privát belső hálózat között. Ennek a puffernek a biztonsági előnyei többféle módon nyilvánulnak meg, többek között:

Hozzáférés-ellenőrzés szervezetek számára. A szervezetek a nyilvános interneten keresztül hozzáférést biztosíthatnak a felhasználóknak a hálózatuk peremén kívül eső szolgáltatásokhoz. A DMZ hálózat hozzáférést biztosít ezekhez a szükséges szolgáltatásokhoz, miközben egyidejűleg olyan szintű hálózati szegmentációt vezet be, amely növeli azon akadályok számát, amelyeket egy illetéktelen felhasználónak meg kell kerülnie, mielőtt hozzáférhetne a szervezet magánhálózatához. Egyes esetekben a DMZ magában foglal egy proxy-kiszolgálót, amely központosítja a belső – általában alkalmazotti – internetes forgalom áramlását, és egyszerűbbé teszi a forgalom rögzítését és felügyeletét.

Megakadályozza, hogy a támadók hálózati felderítést végezzenek. A DMZ, mivel pufferként működik, megakadályozza, hogy a támadó felderítse a hálózaton belüli potenciális célpontokat. Még ha a DMZ-n belüli rendszert veszélyeztetik is, a magánhálózatot akkor is védi a DMZ-től elválasztó belső tűzfal. Ugyanezen okból a külső felderítést is megnehezíti. Bár a DMZ-ben lévő kiszolgálók nyilvánosan hozzáférhetőek, egy másik védelmi réteg is védi őket. A DMZ nyilvános arca megakadályozza, hogy a támadók lássák a belső magánhálózat tartalmát. Ha a támadóknak mégis sikerül kompromittálniuk a DMZ-n belüli szervereket, a DMZ belső gátja továbbra is elszigeteli őket a magánhálózattól.

Védelem az IP hamisítás ellen. Bizonyos esetekben a támadók úgy próbálják meg kijátszani a hozzáférés-szabályozási korlátozásokat, hogy egy engedélyezett IP-címet meghamisítva egy másik eszköznek adják ki magukat a hálózaton. A DMZ feltartóztathatja a potenciális IP-hamisítókat, amíg a hálózat egy másik szolgáltatása ellenőrzi az IP-cím jogszerűségét azáltal, hogy teszteli, hogy az elérhető-e.

A DMZ minden esetben a hálózat szegmentálásának egy olyan szintjét biztosítja, amely olyan teret hoz létre, ahol a forgalom megszervezhető, és a nyilvános szolgáltatások a magánhálózattól biztonságos távolságban érhetők el.

Mire használják a DMZ-ket

A DMZ-hálózatok majdnem olyan régóta fontos részét képezik a vállalati hálózatok biztonságának, mint amióta a tűzfalakat használják, és nagyrészt hasonló okokból telepítik őket: az érzékeny szervezeti rendszerek és erőforrások védelme érdekében. A DMZ-hálózatok felhasználhatók a potenciális célrendszerek elszigetelésére és a belső hálózatoktól való elkülönítésére, valamint a szervezeten kívüli rendszerekhez való hozzáférés csökkentésére és ellenőrzésére. A DMZ használata régóta bevett megközelítés a vállalati erőforrások elhelyezésére, hogy azok legalább egy részét elérhetővé tegyék az engedélyezett külső felhasználók számára.

A közelmúltban a vállalatok virtuális gépek (VM) vagy konténerek használata mellett döntöttek, hogy elszigeteljék a hálózat egyes részeit vagy bizonyos alkalmazásokat a vállalati környezet többi részétől. A felhőtechnológiák nagyrészt megszüntették sok szervezet számára a házon belüli webszerverek szükségességét. Az egykor a vállalati DMZ-ben található, külvilággal szembenéző infrastruktúra nagy része mára a felhőbe költözött, például a SaaS-alkalmazások (software-as-a-service).

Példák a DMZ-kre

Egyes felhőszolgáltatások, például a Microsoft Azure, hibrid biztonsági megközelítést valósítanak meg, amelyben DMZ-t valósítanak meg a szervezet helyhez kötött hálózata és a virtuális hálózat között. Ez a hibrid megközelítés jellemzően olyan helyzetekben használatos, amikor a szervezet alkalmazásai részben helyben, részben pedig a virtuális hálózaton futnak. Olyan helyzetekben is alkalmazzák, amikor a kimenő forgalmat auditálni kell, vagy amikor a virtuális hálózat és a helyben lévő adatközpont között granuláris forgalomszabályozásra van szükség.

A DMZ hasznos lehet egy otthoni hálózatban is, ahol a számítógépek és más eszközök szélessávú routerrel csatlakoznak az internethez, és helyi hálózattá vannak konfigurálva. Egyes otthoni útválasztók tartalmaznak DMZ host funkciót, amelyet szembe lehet állítani a DMZ alhálózattal, amelyet általában olyan szervezetekben valósítanak meg, ahol sokkal több eszköz található, mint egy otthonban. A DMZ host funkció az otthoni hálózat egy eszközét jelöli ki a tűzfalon kívülre, ahol DMZ-ként működik, míg az otthoni hálózat többi része a tűzfalon belül van. Egyes esetekben egy játékkonzolt választanak DMZ-gazdának, hogy a tűzfal ne zavarja a játékot. A konzol azért is jó jelölt DMZ-gazdának, mert valószínűleg kevesebb érzékeny információt tárol, mint egy PC.

Az otthoni és a felhőben való szelektív használat mellett a DMZ-k potenciális megoldást jelentenek az IT és az OT (üzemeltetési technológia) növekvő konvergenciája által jelentett biztonsági kockázatokra. Az olyan ipari berendezések, mint a turbinamotorok vagy az ipari vezérlőrendszerek összeolvadnak az IT-technológiákkal, ami intelligensebbé és hatékonyabbá teszi a termelési környezeteket, ugyanakkor nagyobb veszélyfelületet is teremt. Az internetre csatlakozó OT-berendezések nagy részét nem úgy tervezték, hogy ugyanúgy kezeljék a támadásokat, mint az IT-eszközök.

A kompromittált OT potenciálisan veszélyesebb, mint egy IT-betörés is. Az OT sérülések a kritikus infrastruktúra összeomlásához, az értékes termelési idő kieséséhez vezethetnek, és akár az emberi biztonságot is veszélyeztethetik, míg az IT sérülés veszélyeztetett információkat eredményez. Az IT-infrastruktúra emellett jellemzően egyszerű biztonsági mentéssel helyreállítható a kibertámadásokból, ellentétben az OT-infrastruktúrával, amely gyakran nem tudja helyreállítani a kiesett termelési időt vagy a fizikai károkat.

2016-ban például egy amerikai székhelyű áramszolgáltatót zsarolóprogram támadott meg, amely hatással volt az OT-eszközeire, és számos ügyfelét megakadályozta az áramszolgáltatásban. A vállalat nem rendelkezett kialakított DMZ-vel az IT és OT eszközei között, és az OT eszközei nem voltak megfelelően felszerelve a zsarolóprogram kezelésére, amint az elérte őket. Ez a sérülés mélyen érintette az áramszolgáltató infrastruktúráját és a szolgáltatásukra támaszkodó ügyfelek sokaságát.

Egy DMZ nagyobb hálózati szegmentációt biztosított volna (mind magán az OT hálózaton belül, mind az OT és IT hálózatok között), és potenciálisan megfékezhette volna a zsarolóvírus által az ipari környezetben okozott tovagyűrűző károkat.