DMZ (nätverk)

I datornätverk är en DMZ (demilitariserad zon), ibland även känd som ett perimeternätverk eller ett avskärmat undernätverk, ett fysiskt eller logiskt undernät som separerar ett internt lokalt nätverk (LAN) från andra icke betrodda nätverk – vanligtvis det offentliga internet. Servrar, resurser och tjänster som vetter mot omvärlden finns i DMZ. Därför är de tillgängliga från Internet, men resten av det interna LAN:t är oåtkomligt. Detta ger ytterligare ett säkerhetslager till LAN eftersom det begränsar en hackares möjlighet att direkt komma åt interna servrar och data via internet.

Alla tjänster som tillhandahålls användare på det offentliga internet bör placeras i DMZ-nätverket. Några av de vanligaste av dessa tjänster är webbservrar och proxyservrar samt servrar för e-post, domännamnssystem (DNS), filöverföringsprotokoll (FTP) och röst över IP (VoIP).

Hackerare och cyberkriminella runt om i världen kan nå systemen som kör dessa tjänster på DMZ-servrar, som måste vara härdade för att kunna motstå ständiga attacker. Termen DMZ kommer från den geografiska buffertzon som upprättades mellan Nordkorea och Sydkorea i slutet av Koreakriget.

Arkitektur för DMZ-nätverk

Det finns olika sätt att utforma ett nätverk med en DMZ. De två grundläggande metoderna är att använda antingen en eller två brandväggar, även om de flesta moderna DMZ:er utformas med två brandväggar. Detta grundläggande tillvägagångssätt kan utökas för att skapa mer komplexa arkitekturer.

En enda brandvägg med minst tre nätverksgränssnitt kan användas för att skapa en nätverksarkitektur som innehåller en DMZ. Det externa nätverket bildas genom att ansluta det offentliga Internet — via en internetleverantörsanslutning — till brandväggen på det första nätverksgränssnittet. Det interna nätverket bildas från det andra nätverksgränssnittet och själva DMZ-nätverket ansluts till det tredje nätverksgränssnittet.

Differentierade uppsättningar brandväggsregler för övervakning av trafiken mellan internet och DMZ, LAN och DMZ och LAN och internet kontrollerar noggrant vilka portar och typer av trafik som tillåts in i DMZ från internet, begränsar anslutningen till specifika värdar i det interna nätverket och förhindrar oönskade anslutningar antingen till internet eller det interna LAN från DMZ.

Den säkrare metoden för att skapa ett DMZ-nätverk är en konfiguration med dubbla brandväggar, där två brandväggar installeras med DMZ-nätverket placerat mellan dem. Den första brandväggen – även kallad perimeterbrandväggen – är konfigurerad så att den endast tillåter extern trafik som är avsedd för DMZ-området. Den andra, eller interna, brandväggen tillåter endast trafik från DMZ till det interna nätverket. Detta anses vara säkrare eftersom två enheter måste äventyras innan en angripare kan komma åt det interna LAN:et.

Säkerhetskontroller kan anpassas specifikt för varje nätverkssegment. Till exempel kan ett system för att upptäcka och förhindra intrång i nätverket som finns i en DMZ konfigureras för att blockera all trafik utom HTTPS-förfrågningar till TCP-port 443.

Hur DMZ:er fungerar

DMZ:er är tänkta att fungera som en slags buffertzon mellan det offentliga internet och det privata nätverket. Att placera DMZ mellan två brandväggar innebär att alla inkommande nätverkspaket granskas med hjälp av en brandvägg eller annan säkerhetsutrustning innan de når fram till de servrar som organisationen är värd för i DMZ.

Om en bättre förberedd hotaktör tar sig igenom den första brandväggen måste de sedan få obehörig åtkomst till dessa tjänster innan de kan göra någon skada, och dessa system är troligen härdade mot sådana attacker.

Förutsatt att en hotaktör med goda resurser kan bryta sig igenom den externa brandväggen och ta över ett system som är värd i DMZ, måste de slutligen fortfarande bryta sig igenom den interna brandväggen innan de kan nå känsliga företagsresurser. Även om en bestämd angripare kan bryta sig igenom även den bäst säkrade DMZ-arkitekturen bör en DMZ som attackeras utlösa larm och ge säkerhetspersonal tillräckligt med förvarning för att avvärja ett fullständigt intrång i organisationen.

Fördelar med DMZ:er

Den primära fördelen med en DMZ är att den ger användare från det offentliga internet tillgång till vissa säkra tjänster samtidigt som den upprätthåller en buffert mellan dessa användare och det privata interna nätverket. Säkerhetsfördelarna med denna buffert visar sig på flera sätt, bland annat:

Access Control for Organizations. Organisationer kan ge användarna tillgång till tjänster som ligger utanför deras nätverksgränser via det offentliga internet. Ett DMZ-nätverk ger tillgång till dessa nödvändiga tjänster samtidigt som det introducerar en nivå av nätverkssegmentering som ökar antalet hinder som en obehörig användare måste ta sig förbi innan de kan få tillgång till en organisations privata nätverk. I vissa fall innehåller en DMZ en proxyserver, som centraliserar flödet av intern – vanligen anställdas – internettrafik och gör det enklare att registrera och övervaka denna trafik.

Förhindra angripare från att utföra nätverksrekognoscering. Eftersom en DMZ fungerar som en buffert hindrar den en angripare från att spana efter potentiella mål i nätverket. Även om ett system inom DMZ:n äventyras är det privata nätverket fortfarande skyddat av den interna brandvägg som skiljer det från DMZ:n. Det försvårar också extern spaning av samma anledning. Även om servrarna i DMZ är offentligt exponerade har de ytterligare ett skyddslager. DMZ:s offentliga sida hindrar angripare från att se innehållet i det interna privata nätverket. Om angripare lyckas äventyra servrarna i DMZ är de fortfarande isolerade från det privata nätverket genom DMZ:s interna barriär.

Skydd mot IP-spoofing. I vissa fall försöker angripare kringgå restriktioner för åtkomstkontroll genom att förvränga en auktoriserad IP-adress för att utge sig för att vara en annan enhet i nätverket. En DMZ kan stoppa potentiella IP-förfalskare medan en annan tjänst i nätverket kontrollerar IP-adressens legitimitet genom att testa om den är nåbar.

I varje fall ger DMZ en nivå av nätverkssegmentering som skapar ett utrymme där trafiken kan organiseras och offentliga tjänster kan nås på ett säkert avstånd från det privata nätverket.

Vad DMZ används till

DMZ-nätverk har varit en viktig del av säkerheten i företagsnätverk nästan lika länge som brandväggar har använts och används till stor del av liknande skäl: för att skydda känsliga organisatoriska system och resurser. DMZ-nätverk kan användas för att isolera och hålla potentiella målsystem åtskilda från interna nätverk, samt för att minska och kontrollera åtkomsten till dessa system utanför organisationen. Att använda en DMZ har länge varit ett tillvägagångssätt för att hysa företagsresurser för att göra åtminstone en del av dem tillgängliga för auktoriserade externa användare.

På senare tid har företag valt att använda virtuella maskiner (VM:s) eller behållare för att isolera delar av nätverket eller specifika program från resten av företagsmiljön. Molnteknik har i stort sett tagit bort behovet för många organisationer att ha interna webbservrar. Många av de externa infrastrukturer som tidigare fanns i företagets DMZ har nu flyttats till molnet, t.ex. programvaruapplikationer (SaaS).

Exempel på DMZ

Vissa molntjänster, t.ex. Microsoft Azure, implementerar en hybrid säkerhetsstrategi där en DMZ implementeras mellan en organisations lokala nätverk och det virtuella nätverket. Denna hybridmetod används vanligtvis i situationer där organisationens applikationer körs delvis på plats och delvis i det virtuella nätverket. Den används också i situationer där utgående trafik måste granskas eller där granulär trafikstyrning krävs mellan det virtuella nätverket och det lokala datacentret.

En DMZ kan också vara användbar i ett hemmanätverk där datorer och andra enheter är anslutna till internet med hjälp av en bredbandsrouter och konfigurerade till ett lokalt nätverk. Vissa hemroutrar innehåller en DMZ-värdfunktion, som kan jämföras med det DMZ-undernätverk som är vanligare i organisationer med många fler enheter än vad som finns i ett hem. Med funktionen DMZ-värd utses en enhet i hemnätet att fungera utanför brandväggen där den fungerar som DMZ medan resten av hemnätet ligger innanför brandväggen. I vissa fall väljer man en spelkonsol som DMZ-värd så att brandväggen inte stör spelandet. Konsolen är också en bra kandidat för en DMZ-värd eftersom den sannolikt innehåller mindre känslig information än en dator.

Bortsett från den selektiva användningen i hemmet och i molnet utgör DMZ:er en potentiell lösning på de säkerhetsrisker som den ökande konvergensen mellan IT och OT (operational technology) medför. Industriell utrustning som turbinmotorer eller industriella styrsystem slås samman med IT-teknik, vilket gör produktionsmiljöerna smartare och effektivare, men skapar också en större hotyta. En stor del av OT-utrustningen som ansluts till internet är inte utformad för att hantera attacker på samma sätt som it-utrustning.

En komprometterad OT är potentiellt farligare än en IT-överträdelse också. OT-överträdelser kan leda till ett sammanbrott av kritisk infrastruktur, ett bortfall av värdefull produktionstid och kan till och med hota människors säkerhet, medan en IT-överträdelse resulterar i komprometterad information. IT-infrastruktur kan också vanligtvis återhämta sig från cyberattacker med en enkel säkerhetskopia, till skillnad från OT-infrastruktur, som ofta inte har något sätt att återhämta förlorad produktionstid eller fysisk skada.

Till exempel angreps 2016 ett amerikanskt elbolag av utpressningstrojaner som påverkade dess OT-enheter och gjorde att många av kunderna inte fick ström. Företaget hade ingen etablerad DMZ mellan sina IT- och OT-enheter, och dess OT-enheter var inte väl utrustade för att hantera utpressningstrojaner när de väl nådde dem. Detta intrång påverkade kraftbolagets infrastruktur och mängder av kunder som var beroende av deras tjänster.

En DMZ skulle ha gett ökad nätverkssegmentering (både inom själva OT-nätverket och mellan OT- och IT-nätverken) och skulle potentiellt ha kunnat dämpa de spillover-skador som ransomware orsakade i den industriella miljön.