DMZ (networking)

In computernetwerken is een DMZ (demilitarized zone), soms ook bekend als een perimeter netwerk of een afgeschermd subnetwerk, een fysiek of logisch subnet dat een intern lokaal netwerk (LAN) scheidt van andere niet-vertrouwde netwerken — meestal het openbare internet. Extern gerichte servers, bronnen en diensten bevinden zich in de DMZ. Ze zijn dus toegankelijk vanaf het internet, maar de rest van het interne LAN blijft onbereikbaar. Dit biedt een extra beveiligingslaag voor het LAN, omdat het de mogelijkheid van een hacker beperkt om direct toegang te krijgen tot interne servers en gegevens via het internet.

Elke dienst die aan gebruikers op het publieke internet wordt geleverd, moet in het DMZ-netwerk worden geplaatst. Enkele van de meest voorkomende van deze diensten zijn webservers en proxyservers, evenals servers voor e-mail, domeinnaamsysteem (DNS), File Transfer Protocol (FTP) en voice over IP (VoIP).

Hackers en cybercriminelen over de hele wereld kunnen de systemen bereiken waarop deze diensten worden uitgevoerd op DMZ-servers, die moeten worden gehard om bestand te zijn tegen constante aanvallen. De term DMZ komt van de geografische bufferzone die werd ingesteld tussen Noord-Korea en Zuid-Korea aan het einde van de Koreaanse Oorlog.

Architectuur van netwerk DMZ’s

Er zijn verschillende manieren om een netwerk met een DMZ te ontwerpen. De twee basismethoden zijn het gebruik van één of twee firewalls, hoewel de meeste moderne DMZ’s zijn ontworpen met twee firewalls. Deze basis aanpak kan uitgebreid worden om meer complexe architecturen te creëren.

Een enkele firewall met tenminste drie netwerk interfaces kan gebruikt worden om een netwerk architectuur te creëren die een DMZ bevat. Het externe netwerk wordt gevormd door het openbare internet — via een internet service provider (ISP) verbinding — te verbinden met de firewall op de eerste netwerkinterface. Het interne netwerk wordt gevormd vanaf de tweede netwerkinterface en het DMZ-netwerk zelf wordt verbonden met de derde netwerkinterface.

Differente sets van firewall regels voor het monitoren van verkeer tussen het internet en de DMZ, de LAN en de DMZ, en de LAN en het internet regelen strak welke poorten en soorten verkeer worden toegestaan in de DMZ vanaf het internet, beperken connectiviteit tot specifieke hosts in het interne netwerk en voorkomen ongevraagde verbindingen naar het internet of de interne LAN vanuit de DMZ.

De veiligere aanpak om een DMZ netwerk te creëren is een dual-firewall configuratie, waarbij twee firewalls worden ingezet met het DMZ netwerk ertussen gepositioneerd. De eerste firewall — ook perimeter firewall genoemd — is geconfigureerd om alleen extern verkeer toe te laten dat bestemd is voor de DMZ. De tweede, of interne, firewall laat alleen verkeer toe van de DMZ naar het interne netwerk. Dit wordt als veiliger beschouwd omdat twee apparaten gecompromitteerd moeten zijn voordat een aanvaller toegang kan krijgen tot het interne LAN.

Beveiligingscontroles kunnen specifiek voor elk netwerksegment worden afgestemd. Zo kan een netwerk-inbraakdetectie- en -preventiesysteem in een DMZ worden geconfigureerd om alle verkeer te blokkeren, behalve HTTPS-aanvragen op TCP-poort 443.

Hoe DMZ’s werken

DMZ’s zijn bedoeld om te functioneren als een soort bufferzone tussen het openbare internet en het privénetwerk. Het inzetten van de DMZ tussen twee firewalls betekent dat alle inkomende netwerkpakketten worden gescreend met behulp van een firewall of ander beveiligingsapparaat voordat ze aankomen op de servers die de organisatie host in de DMZ.

Als een beter voorbereide bedreiger door de eerste firewall komt, moet hij ongeautoriseerde toegang tot die diensten krijgen voordat hij schade kan aanrichten, en die systemen zijn waarschijnlijk tegen dergelijke aanvallen gehard.

In de veronderstelling dat een goed toegeruste bedreiger door de externe firewall kan breken en een systeem kan overnemen dat in de DMZ wordt gehost, moet hij ten slotte nog steeds door de interne firewall breken voordat hij gevoelige bedrijfsmiddelen kan bereiken. Hoewel een vastberaden aanvaller zelfs de best beveiligde DMZ-architectuur kan doorbreken, zou een DMZ die wordt aangevallen alarm moeten slaan, zodat beveiligingsprofessionals voldoende worden gewaarschuwd om een volledige inbreuk op hun organisatie af te wenden.

Voordelen van DMZ’s

Het belangrijkste voordeel van een DMZ is dat het gebruikers van het openbare internet toegang biedt tot bepaalde beveiligde diensten, terwijl er toch een buffer blijft bestaan tussen die gebruikers en het besloten interne netwerk. De veiligheidsvoordelen van deze buffer manifesteren zich op verschillende manieren, waaronder:

Toegangscontrole voor organisaties. Organisaties kunnen gebruikers via het openbare internet toegang verschaffen tot diensten die zich buiten hun netwerkperimeters bevinden. Een DMZ-netwerk biedt toegang tot deze noodzakelijke diensten en introduceert tegelijkertijd een niveau van netwerksegmentatie dat het aantal hindernissen verhoogt dat een onbevoegde gebruiker moet omzeilen voordat hij toegang kan krijgen tot het privénetwerk van een organisatie. In sommige gevallen omvat een DMZ een proxyserver, die de stroom van intern – meestal werknemers – internetverkeer centraliseert en het vastleggen en controleren van dat verkeer eenvoudiger maakt.

Voorkomen dat aanvallers netwerkverkenningen uitvoeren. Een DMZ, omdat het als buffer fungeert, voorkomt dat een aanvaller potentiële doelen binnen het netwerk kan verkennen. Zelfs als een systeem binnen de DMZ wordt gecompromitteerd, is het privé netwerk nog steeds beschermd door de interne firewall die het scheidt van de DMZ. Het maakt ook externe verkenning moeilijker om dezelfde reden. Hoewel de servers in de DMZ publiekelijk blootgesteld zijn, worden ze ondersteund door een andere laag van bescherming. Het publieke gezicht van de DMZ weerhoudt aanvallers ervan de inhoud van het interne privénetwerk te zien. Als aanvallers erin slagen om de servers in de DMZ te compromitteren, zijn ze nog steeds geïsoleerd van het prive-netwerk door de interne DMZ barrière.

Bescherming tegen IP spoofing. In sommige gevallen proberen aanvallers toegangscontrole beperkingen te omzeilen door een geautoriseerd IP-adres te spoofen om zich voor te doen als een ander apparaat op het netwerk. Een DMZ kan potentiële IP-spoofers ophouden terwijl een andere dienst op het netwerk de legitimiteit van het IP-adres verifieert door te testen of het bereikbaar is.

In elk geval biedt de DMZ een niveau van netwerksegmentatie dat een ruimte creëert waar verkeer kan worden georganiseerd, en openbare diensten kunnen worden benaderd op een veilige afstand van het privé-netwerk.

Waarvoor DMZ’s worden gebruikt

DMZ-netwerken zijn al bijna net zo lang een belangrijk onderdeel van de beveiliging van bedrijfsnetwerken als firewalls in gebruik zijn en worden voor een groot deel om vergelijkbare redenen ingezet: om gevoelige organisatorische systemen en bronnen te beschermen. DMZ-netwerken kunnen worden gebruikt om potentiële doelsystemen te isoleren en gescheiden te houden van interne netwerken, en om de toegang tot die systemen buiten de organisatie te beperken en te controleren. Het gebruik van een DMZ is lang de aanpak geweest voor het hosten van bedrijfsbronnen om ten minste een deel ervan beschikbaar te maken voor geautoriseerde externe gebruikers.

Meer recentelijk hebben ondernemingen ervoor gekozen virtuele machines (VM’s) of containers te gebruiken om delen van het netwerk of specifieke toepassingen te isoleren van de rest van de bedrijfsomgeving. Cloudtechnologieën hebben de noodzaak voor veel organisaties om in-house webservers te hebben grotendeels weggenomen. Veel van de naar buiten gerichte infrastructuur die zich ooit in de DMZ van de onderneming bevond, is nu naar de cloud gemigreerd, zoals software-as-a-service (SaaS) apps.

Voorbeelden van DMZ’s

Sommige clouddiensten, zoals Microsoft Azure, implementeren een hybride beveiligingsaanpak waarbij een DMZ wordt geïmplementeerd tussen het on-premises netwerk van een organisatie en het virtuele netwerk. Deze hybride aanpak wordt meestal gebruikt in situaties waarin de applicaties van de organisatie deels op locatie en deels op het virtuele netwerk draaien. Het wordt ook gebruikt in situaties waar uitgaand verkeer moet worden gecontroleerd, of waar granulaire verkeerscontrole nodig is tussen het virtuele netwerk en het on-premises datacenter.

Een DMZ kan ook nuttig zijn in een thuisnetwerk waarin computers en andere apparaten zijn aangesloten op het internet met behulp van een breedbandrouter en geconfigureerd in een lokaal gebiedsnetwerk. Sommige thuisrouters bevatten een DMZ-hostfunctie, die kan worden afgezet tegen het DMZ-subnetwerk dat vaker wordt geïmplementeerd in organisaties met veel meer apparaten dan in een huis zouden worden aangetroffen. De DMZ host functie wijst één apparaat op het thuisnetwerk aan om buiten de firewall te functioneren waar het als DMZ fungeert terwijl de rest van het thuisnetwerk binnen de firewall ligt. In sommige gevallen wordt een spelconsole gekozen als DMZ host zodat de firewall niet interfereert met het gamen. Ook is de console een goede kandidaat voor een DMZ-host omdat deze waarschijnlijk minder gevoelige informatie bevat dan een PC.

Naast selectief gebruik in huis en in de cloud bieden DMZ’s een potentiële oplossing voor de veiligheidsrisico’s die ontstaan door de toenemende convergentie van IT en OT (operationele technologie). Industriële apparatuur zoals turbinemotoren of industriële controlesystemen worden samengevoegd met IT-technologieën, wat de productieomgevingen slimmer en efficiënter maakt, maar ook een groter bedreigingsoppervlak creëert. Veel van de OT-apparatuur die met het internet in verbinding staat, is niet ontworpen om aanvallen op dezelfde manier af te handelen als IT-apparatuur.

Gecompromitteerde OT is potentieel ook gevaarlijker dan een IT-inbreuk. Inbreuken op OT kunnen leiden tot het uitvallen van kritieke infrastructuur, het verstrijken van kostbare productietijd en kunnen zelfs de veiligheid van mensen in gevaar brengen, terwijl een inbreuk op IT resulteert in gecompromitteerde informatie. IT-infrastructuur kan doorgaans ook herstellen van cyberaanvallen met een eenvoudige back-up, in tegenstelling tot OT-infrastructuur, die vaak geen manier heeft om verloren productietijd of fysieke schade te herstellen.

In 2016 werd bijvoorbeeld een in de VS gevestigd energiebedrijf aangevallen door ransomware die zijn OT-apparaten aantastte en ervoor zorgde dat veel van zijn klanten geen stroom kregen. Het bedrijf had geen gevestigde DMZ tussen zijn IT- en OT-apparaten, en zijn OT-apparaten waren niet goed uitgerust om de ransomware aan te pakken zodra deze hen bereikte. Deze inbreuk had grote gevolgen voor de infrastructuur van het energiebedrijf en voor een groot aantal klanten die afhankelijk waren van hun service.

Een DMZ zou voor meer netwerksegmentatie hebben gezorgd (zowel binnen het OT-netwerk zelf als tussen het OT- en IT-netwerk) en zou de spillover-schade die de ransomware in de industriële omgeving veroorzaakte, mogelijk hebben kunnen beperken.