DMZ (rețele)

În rețelele de calculatoare, o DMZ (zonă demilitarizată), cunoscută uneori și sub denumirea de rețea perimetrală sau subrețea ecranată, este o subrețea fizică sau logică care separă o rețea locală internă (LAN) de alte rețele nesigure – de obicei internetul public. Serverele, resursele și serviciile orientate spre exterior sunt localizate în DMZ. Prin urmare, acestea sunt accesibile de pe internet, dar restul LAN-ului intern rămâne inaccesibil. Acest lucru oferă un nivel suplimentar de securitate pentru LAN, deoarece limitează capacitatea unui hacker de a accesa direct serverele și datele interne prin intermediul internetului.

Care serviciu furnizat utilizatorilor pe internetul public ar trebui să fie plasat în rețeaua DMZ. Unele dintre cele mai comune dintre aceste servicii includ serverele web și serverele proxy, precum și serverele pentru e-mail, sistemul de nume de domeniu (DNS), protocolul de transfer de fișiere (FTP) și vocea pe IP (VoIP).

Hackerii și infractorii cibernetici din întreaga lume pot ajunge la sistemele care rulează aceste servicii pe serverele DMZ, care trebuie să fie întărite pentru a rezista la atacuri constante. Termenul DMZ provine de la zona tampon geografică stabilită între Coreea de Nord și Coreea de Sud la sfârșitul Războiului din Coreea.

Arhitectura rețelelor DMZ

Există diverse moduri de a proiecta o rețea cu o DMZ. Cele două metode de bază sunt de a folosi fie unul, fie două firewall-uri, deși majoritatea DMZ-urilor moderne sunt proiectate cu două firewall-uri. Această abordare de bază poate fi extinsă pentru a crea arhitecturi mai complexe.

Pentru a crea o arhitectură de rețea care conține o DMZ se poate folosi un singur firewall cu cel puțin trei interfețe de rețea. Rețeaua externă este formată prin conectarea internetului public – prin intermediul conexiunii furnizorului de servicii de internet (ISP) – la firewall pe prima interfață de rețea. Rețeaua internă este formată din cea de-a doua interfață de rețea, iar rețeaua DMZ propriu-zisă este conectată la cea de-a treia interfață de rețea.

Diferite seturi de reguli de firewall pentru monitorizarea traficului între internet și DMZ, LAN și DMZ și LAN și internet controlează strict ce porturi și ce tipuri de trafic sunt permise în DMZ dinspre internet, limitează conectivitatea la anumite gazde din rețeaua internă și împiedică conexiunile nesolicitate fie la internet, fie la LAN internă din DMZ.

Abordarea mai sigură pentru crearea unei rețele DMZ este o configurație cu două firewall-uri, în care sunt implementate două firewall-uri cu rețeaua DMZ poziționată între ele. Primul firewall – numit și firewall de perimetru – este configurat pentru a permite doar traficul extern destinat DMZ. Cel de-al doilea, sau firewall intern, permite doar traficul dinspre DMZ către rețeaua internă. Acest lucru este considerat mai sigur deoarece două dispozitive trebuie să fie compromise înainte ca un atacator să poată accesa rețeaua locală internă.

Controalele de securitate pot fi reglate în mod specific pentru fiecare segment de rețea. De exemplu, un sistem de detectare și prevenire a intruziunilor în rețea situat într-o DMZ ar putea fi configurat să blocheze tot traficul, cu excepția cererilor HTTPS către portul TCP 443.

Cum funcționează DMZ-urile

DMZ-urile sunt menite să funcționeze ca un fel de zonă tampon între internetul public și rețeaua privată. Implementarea DMZ între două firewall-uri înseamnă că toate pachetele de intrare în rețea sunt filtrate cu ajutorul unui firewall sau al unui alt dispozitiv de securitate înainte de a ajunge la serverele pe care organizația le găzduiește în DMZ.

Dacă un actor de amenințare mai bine pregătit trece prin primul firewall, trebuie apoi să obțină acces neautorizat la aceste servicii înainte de a putea face pagube, iar aceste sisteme sunt probabil întărite împotriva unor astfel de atacuri.

În cele din urmă, presupunând că un actor de amenințare bine pregătit reușește să treacă de firewall-ul extern și să preia un sistem găzduit în DMZ, acesta trebuie totuși să treacă de firewall-ul intern înainte de a putea ajunge la resursele sensibile ale întreprinderii. În timp ce un atacator hotărât poate încălca chiar și cea mai bine securizată arhitectură DMZ, o DMZ atacată ar trebui să declanșeze alarmele, oferindu-le profesioniștilor din domeniul securității un avertisment suficient pentru a evita o încălcare completă a organizației lor.

Beneficii ale DMZ-urilor

Beneficiul principal al unei DMZ este acela că oferă utilizatorilor de pe internetul public acces la anumite servicii securizate, menținând în același timp un tampon între acești utilizatori și rețeaua internă privată. Beneficiile de securitate ale acestui tampon se manifestă în mai multe moduri, inclusiv:

Controlul accesului pentru organizații. Organizațiile pot asigura accesul utilizatorilor la servicii situate în afara perimetrului rețelei lor prin intermediul internetului public. O rețea DMZ oferă acces la aceste servicii necesare, introducând în același timp un nivel de segmentare a rețelei care mărește numărul de obstacole pe care un utilizator neautorizat trebuie să le ocolească înainte de a avea acces la rețeaua privată a unei organizații. În unele cazuri, o DMZ include un server proxy, care centralizează fluxul de trafic internet intern – de obicei al angajaților – și face mai simplă înregistrarea și monitorizarea acestui trafic.

Împiedicați atacatorii să efectueze recunoașterea rețelei. O DMZ, deoarece acționează ca o zonă tampon, împiedică un atacator să poată cerceta potențialele ținte din cadrul rețelei. Chiar dacă un sistem din cadrul DMZ este compromis, rețeaua privată este în continuare protejată de firewall-ul intern care o separă de DMZ. De asemenea, din același motiv, face mai dificilă recunoașterea externă. Deși serverele din DMZ sunt expuse public, ele sunt susținute de un alt nivel de protecție. Fața publică a DMZ îi împiedică pe atacatori să vadă conținutul rețelei private interne. Dacă atacatorii reușesc să compromită serverele din DMZ, acestea sunt în continuare izolate de rețeaua privată prin bariera internă a DMZ.

Protecție împotriva IP spoofing-ului. În unele cazuri, atacatorii încearcă să ocolească restricțiile de control al accesului prin falsificarea unei adrese IP autorizate pentru a se da drept un alt dispozitiv din rețea. O DMZ poate bloca potențialii falsificatori de IP în timp ce un alt serviciu din rețea verifică legitimitatea adresei IP, testând dacă aceasta este accesibilă.

În fiecare caz, DMZ oferă un nivel de segmentare a rețelei care creează un spațiu în care traficul poate fi organizat, iar serviciile publice pot fi accesate la o distanță sigură față de rețeaua privată.

Pentru ce sunt utilizate rețelele DMZ

Rețelele DMZ au reprezentat o parte importantă a securității rețelelor de întreprindere de aproape la fel de mult timp ca și firewall-urile și, în mare parte, sunt implementate din motive similare: pentru a proteja sistemele și resursele organizaționale sensibile. Rețelele DMZ pot fi utilizate pentru a izola și a menține sistemele țintă potențiale separate de rețelele interne, precum și pentru a reduce și controla accesul la aceste sisteme din afara organizației. Utilizarea unei DMZ a fost mult timp abordarea pentru găzduirea resurselor corporative pentru a face ca cel puțin o parte dintre acestea să fie disponibile pentru utilizatorii externi autorizați.

Mai recent, întreprinderile au optat pentru utilizarea mașinilor virtuale (VM) sau a containerelor pentru a izola părți ale rețelei sau aplicații specifice de restul mediului corporativ. Tehnologiile cloud au eliminat în mare măsură necesitatea ca multe organizații să aibă servere web interne. Multe dintre infrastructurile orientate spre exterior, care altădată se aflau în DMZ-ul întreprinderii, au migrat acum în cloud, cum ar fi aplicațiile software-as-a-service (SaaS).

Exemple de DMZ-uri

Câteva servicii cloud, cum ar fi Microsoft Azure, implementează o abordare de securitate hibridă în care este implementată o DMZ între rețeaua locală a unei organizații și rețeaua virtuală. Această abordare hibridă este utilizată, de obicei, în situațiile în care aplicațiile organizației rulează parțial la fața locului și parțial în rețeaua virtuală. Este, de asemenea, utilizată în situații în care traficul de ieșire trebuie auditat sau în care este necesar un control granular al traficului între rețeaua virtuală și centrul de date local.

O DMZ poate fi, de asemenea, utilă într-o rețea domestică în care computerele și alte dispozitive sunt conectate la internet cu ajutorul unui router în bandă largă și configurate într-o rețea locală. Unele routere casnice includ o funcție de gazdă DMZ, care poate fi comparată cu subrețeaua DMZ implementată mai frecvent în organizații cu mult mai multe dispozitive decât cele care s-ar găsi într-o casă. Funcția de gazdă DMZ desemnează un dispozitiv din rețeaua casnică pentru a funcționa în afara firewall-ului, unde acționează ca DMZ, în timp ce restul rețelei casnice se află în interiorul firewall-ului. În unele cazuri, o consolă de jocuri este aleasă să fie gazda DMZ, astfel încât firewall-ul să nu interfereze cu jocurile. De asemenea, consola este un bun candidat pentru o gazdă DMZ deoarece probabil că deține informații mai puțin sensibile decât un PC.

În afară de utilizarea selectivă în casă și în cloud, DMZ-urile oferă o soluție potențială la riscurile de securitate reprezentate de convergența tot mai mare a IT și OT (tehnologie operațională). Echipamentele industriale, cum ar fi motoarele cu turbină sau sistemele de control industrial, sunt îmbinate cu tehnologiile IT, ceea ce face ca mediile de producție să fie mai inteligente și mai eficiente, dar creează, de asemenea, o suprafață de amenințare mai mare. O mare parte din echipamentele OT care se conectează la internet nu sunt concepute pentru a face față atacurilor în același mod în care sunt concepute dispozitivele IT.

OT compromisă este potențial mai periculoasă decât o breșă IT, de asemenea. Breșele OT pot duce la o defecțiune a infrastructurii critice, la o întrerupere a timpului prețios de producție și pot amenința chiar siguranța oamenilor, în timp ce o breșă IT are ca rezultat compromiterea informațiilor. De asemenea, infrastructura IT se poate recupera de obicei în urma atacurilor cibernetice cu o simplă copie de rezervă, spre deosebire de infrastructura OT, care adesea nu are nicio modalitate de a recupera timpul de producție pierdut sau daunele fizice.

De exemplu, în 2016, o companie de electricitate cu sediul în SUA a fost atacată de un ransomware care i-a afectat dispozitivele OT și a împiedicat mulți dintre clienții săi să primească energie electrică. Compania nu avea o DMZ stabilită între dispozitivele sale IT și OT, iar dispozitivele sale OT nu erau bine echipate pentru a gestiona ransomware-ul odată ce acesta a ajuns la ele. Această breșă a afectat profund infrastructura companiei de electricitate și multitudinea de clienți care se bazau pe serviciile lor.

O DMZ ar fi asigurat o segmentare sporită a rețelei (atât în cadrul rețelei OT în sine, cât și între rețelele OT și IT) și ar fi putut, eventual, să limiteze pagubele de propagare pe care ransomware-ul le-a provocat mediului industrial.

.