DMZ (sieci)

W sieciach komputerowych, DMZ (strefa zdemilitaryzowana), czasami znana również jako sieć obwodowa lub ekranowana podsieć, jest fizyczną lub logiczną podsiecią, która oddziela wewnętrzną sieć lokalną (LAN) od innych niezaufanych sieci – zazwyczaj publicznego Internetu. Serwery, zasoby i usługi wychodzące na zewnątrz znajdują się w DMZ. Dlatego są one dostępne z Internetu, ale pozostała część wewnętrznej sieci LAN pozostaje nieosiągalna. Zapewnia to dodatkową warstwę bezpieczeństwa sieci LAN, ponieważ ogranicza zdolność hakera do bezpośredniego dostępu do wewnętrznych serwerów i danych przez Internet.

Każda usługa świadczona użytkownikom w publicznym Internecie powinna być umieszczona w sieci DMZ. Niektóre z najbardziej powszechnych usług obejmują serwery WWW i serwery proxy, a także serwery poczty elektronicznej, systemu nazw domen (DNS), protokołu transferu plików (FTP) i głosu przez IP (VoIP).

Hakerzy i cyberprzestępcy na całym świecie mogą dotrzeć do systemów obsługujących te usługi na serwerach DMZ, które muszą być utwardzone, aby wytrzymać ciągłe ataki. Termin DMZ pochodzi od geograficznej strefy buforowej, która została utworzona między Koreą Północną a Koreą Południową pod koniec wojny koreańskiej.

Architektura sieciowych DMZ

Istnieją różne sposoby projektowania sieci z DMZ. Dwie podstawowe metody to użycie jednego lub dwóch firewalli, chociaż większość nowoczesnych DMZ jest zaprojektowana z dwoma firewallami. To podstawowe podejście może być rozszerzone w celu stworzenia bardziej złożonych architektur.

Pojedynczy firewall z co najmniej trzema interfejsami sieciowymi może być użyty do stworzenia architektury sieci zawierającej DMZ. Sieć zewnętrzna jest tworzona przez podłączenie publicznego Internetu — poprzez połączenie z dostawcą usług internetowych (ISP) — do zapory na pierwszym interfejsie sieciowym. Sieć wewnętrzna jest tworzona z drugiego interfejsu sieciowego, a sama sieć DMZ jest podłączona do trzeciego interfejsu sieciowego.

Różne zestawy reguł zapory sieciowej do monitorowania ruchu między Internetem a DMZ, siecią LAN a DMZ oraz siecią LAN a Internetem ściśle kontrolują, które porty i typy ruchu są dopuszczane do DMZ z Internetu, ograniczają łączność z określonymi hostami w sieci wewnętrznej i zapobiegają nieproszonym połączeniom albo do Internetu, albo do wewnętrznej sieci LAN z DMZ.

Najbezpieczniejszym podejściem do tworzenia sieci DMZ jest konfiguracja dual-firewall, w której dwie zapory są rozmieszczone z siecią DMZ umieszczoną między nimi. Pierwsza zapora – zwana również zaporą obwodową – jest skonfigurowana tak, aby zezwalać na ruch zewnętrzny przeznaczony tylko dla DMZ. Drugi, wewnętrzny firewall, zezwala na ruch z DMZ tylko do sieci wewnętrznej. Jest to uważane za bezpieczniejsze, ponieważ dwa urządzenia muszą zostać naruszone, aby atakujący mógł uzyskać dostęp do wewnętrznej sieci LAN.

Kontrole bezpieczeństwa mogą być dostrojone specjalnie dla każdego segmentu sieci. Na przykład, sieciowy system wykrywania i zapobiegania włamaniom znajdujący się w DMZ może być skonfigurowany do blokowania całego ruchu z wyjątkiem żądań HTTPS na porcie TCP 443.

Jak działają DMZ

DMZ mają funkcjonować jako rodzaj strefy buforowej między publicznym Internetem a siecią prywatną. Rozmieszczenie DMZ pomiędzy dwoma firewallami oznacza, że wszystkie przychodzące pakiety sieciowe są sprawdzane za pomocą firewalla lub innego urządzenia zabezpieczającego, zanim dotrą do serwerów hostowanych przez organizację w DMZ.

Wreszcie, zakładając, że dobrze przygotowany uczestnik zagrożenia jest w stanie przełamać zewnętrzną zaporę i przejąć system hostowany w strefie zdemilitaryzowanej, musi jeszcze przedostać się przez wewnętrzną zaporę, zanim dotrze do wrażliwych zasobów przedsiębiorstwa. Chociaż zdeterminowany napastnik może naruszyć nawet najlepiej zabezpieczoną architekturę DMZ, zaatakowana strefa DMZ powinna uruchomić alarm, dając specjalistom ds. bezpieczeństwa wystarczające ostrzeżenie, aby zapobiec pełnemu naruszeniu ich organizacji.

Korzyści z DMZ

Podstawową korzyścią z DMZ jest to, że oferuje ona użytkownikom z publicznego Internetu dostęp do pewnych bezpiecznych usług, jednocześnie utrzymując bufor między tymi użytkownikami a prywatną siecią wewnętrzną. Korzyści bezpieczeństwa wynikające z tego bufora przejawiają się na kilka sposobów, w tym:

Kontrola dostępu dla organizacji. Organizacje mogą zapewnić użytkownikom dostęp do usług znajdujących się poza granicami ich sieci poprzez publiczny Internet. Sieć DMZ zapewnia dostęp do tych niezbędnych usług, a jednocześnie wprowadza poziom segmentacji sieci, który zwiększa liczbę przeszkód, jakie nieautoryzowany użytkownik musi ominąć, zanim uzyska dostęp do sieci prywatnej organizacji. W niektórych przypadkach DMZ zawiera serwer proxy, który centralizuje przepływ wewnętrznego – zwykle pracowniczego – ruchu internetowego i upraszcza rejestrowanie i monitorowanie tego ruchu.

Uniemożliwienie napastnikom przeprowadzania rozpoznania sieci. DMZ, ponieważ działa jak bufor, uniemożliwia atakującemu rozpoznanie potencjalnych celów w sieci. Nawet jeśli system wewnątrz DMZ zostanie zaatakowany, sieć prywatna jest nadal chroniona przez wewnętrzny firewall oddzielający ją od DMZ. Z tego samego powodu utrudnia to również zwiad z zewnątrz. Mimo że serwery w strefie DMZ są wystawione na widok publiczny, są wspierane przez kolejną warstwę ochrony. Publiczny wygląd DMZ uniemożliwia atakującym wgląd w zawartość wewnętrznej sieci prywatnej. Jeśli atakującym uda się naruszyć serwery w DMZ, są one nadal odizolowane od sieci prywatnej dzięki wewnętrznej barierze DMZ.

Ochrona przed spoofingiem IP. W niektórych przypadkach napastnicy próbują ominąć ograniczenia kontroli dostępu, podszywając się pod autoryzowany adres IP i podszywając się pod inne urządzenie w sieci. DMZ może zatrzymać potencjalnych spooferów IP, podczas gdy inna usługa w sieci weryfikuje legalność adresu IP, testując, czy jest on osiągalny.

W każdym przypadku DMZ zapewnia poziom segmentacji sieci, który tworzy przestrzeń, w której ruch może być zorganizowany, a usługi publiczne mogą być dostępne w bezpiecznej odległości od sieci prywatnej.

Do czego używane są sieci DMZ

Sieci DMZ są ważnym elementem bezpieczeństwa sieci korporacyjnych prawie tak długo, jak zapory sieciowe i w dużej części są wdrażane z podobnych powodów: aby chronić wrażliwe systemy i zasoby organizacyjne. Sieci DMZ mogą być wykorzystywane do izolowania i oddzielania potencjalnych systemów docelowych od sieci wewnętrznych, a także do ograniczania i kontrolowania dostępu do tych systemów spoza organizacji. Korzystanie z DMZ od dawna było podejściem do hostowania zasobów korporacyjnych w celu udostępnienia przynajmniej części z nich autoryzowanym użytkownikom zewnętrznym.

Ostatnio przedsiębiorstwa zdecydowały się na wykorzystanie maszyn wirtualnych (VM) lub kontenerów w celu odizolowania części sieci lub konkretnych aplikacji od reszty środowiska korporacyjnego. Technologie chmurowe w dużej mierze wyeliminowały potrzebę posiadania przez wiele organizacji własnych serwerów internetowych. Wiele z zewnętrznych elementów infrastruktury, które kiedyś znajdowały się w korporacyjnej strefie DMZ, zostało przeniesionych do chmury, np. aplikacje typu oprogramowanie jako usługa (SaaS).

Przykłady DMZ

Niektóre usługi w chmurze, takie jak Microsoft Azure, wdrażają hybrydowe podejście do bezpieczeństwa, w którym DMZ jest zaimplementowany między siecią on-premises organizacji a siecią wirtualną. To hybrydowe podejście jest zazwyczaj stosowane w sytuacjach, w których aplikacje organizacji działają częściowo w siedzibie firmy, a częściowo w sieci wirtualnej. Jest ono również stosowane w sytuacjach, gdy ruch wychodzący musi być kontrolowany lub gdy wymagana jest granularna kontrola ruchu między siecią wirtualną a centrum danych on-premises.

A DMZ może być również przydatna w sieci domowej, w której komputery i inne urządzenia są podłączone do Internetu za pomocą routera szerokopasmowego i skonfigurowane do sieci lokalnej. Niektóre routery domowe zawierają funkcję hosta DMZ, która może być przeciwstawiona podsieci DMZ częściej wdrażanej w organizacjach z większą liczbą urządzeń niż w domu. Funkcja hosta DMZ wyznacza jedno urządzenie w sieci domowej do funkcjonowania poza zaporą ogniową, gdzie działa jako DMZ, podczas gdy reszta sieci domowej leży wewnątrz zapory ogniowej. W niektórych przypadkach, konsola do gier jest wybierana jako host DMZ, aby firewall nie przeszkadzał w graniu. Ponadto, konsola jest dobrym kandydatem na hosta DMZ, ponieważ prawdopodobnie przechowuje mniej poufnych informacji niż komputer PC.

Oprócz selektywnego wykorzystania w domu i w chmurze, DMZ stanowią potencjalne rozwiązanie zagrożeń bezpieczeństwa stwarzanych przez rosnącą konwergencję IT i OT (technologii operacyjnej). Urządzenia przemysłowe, takie jak silniki turbinowe lub przemysłowe systemy sterowania, są łączone z technologiami IT, co sprawia, że środowiska produkcyjne stają się bardziej inteligentne i wydajne, ale również tworzy większą powierzchnię zagrożeń. Duża część sprzętu OT łączącego się z Internetem nie jest zaprojektowana do radzenia sobie z atakami w taki sam sposób, jak urządzenia IT.

Skompromitowany sprzęt OT jest potencjalnie bardziej niebezpieczny niż naruszenie IT. Naruszenia OT mogą prowadzić do awarii infrastruktury krytycznej, skrócenia cennego czasu produkcji, a nawet zagrażać bezpieczeństwu ludzi, podczas gdy naruszenie IT skutkuje narażeniem informacji. Infrastruktura IT może również zazwyczaj odzyskać sprawność po cyberatakach za pomocą prostej kopii zapasowej, w przeciwieństwie do infrastruktury OT, która często nie ma możliwości odzyskania utraconego czasu produkcji lub uszkodzeń fizycznych.

Na przykład w 2016 r. firma energetyczna z siedzibą w Stanach Zjednoczonych została zaatakowana przez oprogramowanie ransomware, które wpłynęło na jej urządzenia OT i uniemożliwiło wielu jej klientom otrzymanie energii. Firma nie miała ustanowionego DMZ między swoimi urządzeniami IT i OT, a jej urządzenia OT nie były dobrze wyposażone, aby poradzić sobie z ransomware, gdy już do nich dotrze. To naruszenie głęboko dotknęło infrastrukturę firmy energetycznej i rzesze klientów polegających na jej usługach.

DEMZ zapewniłby większą segmentację sieci (zarówno w samej sieci OT, jak i między sieciami OT i IT) i mógłby potencjalnie ograniczyć szkody uboczne, które ransomware wyrządziło w środowisku przemysłowym.

DEMZ może być również źródłem poważnych problemów w środowisku przemysłowym.