منطقه غیرنظامی (رایانش)
در امنیت رایانه یک منطقه غیر نظامی (به انگلیسی: DMZ) (گاهی اوقات به شبکهبندی محیطی اشاره دارد)، یک زیرشبکهٔ منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در معرض یک شبکهٔ نامطمئن بزرگتر که معمولاً اینترنت است قرار میدهد. هدف از یک DMZ، اضافه کردن یک لایهٔ امنیتی بیشتر به شبکهٔ محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمتهای شبکه، تنها به تجهیزاتی که در DMZ هستند دسترسی دارد.این نام از اصطلاح "منطقه غیرنظامی" مشتق شده است، منطقهای بین دولتهایا ملی که در آن اقدام نظامی مجاز نیست.
دلیل وجود
[ویرایش]در یک شبکه کامپیوتری، میزبانهایی که بیشترین آسییب پذیری نسبت به حملات دارند، آنهایی هستند که برای کاربرانی خارج از شبکهٔ محلی، خدماتی را فراهم میکنند، مانند پست الکترونیکی، کارسازهای وب و سامانه نام دامنه. به خاطر پتانسیل رو به افزایش مصالحهٔ این میزبانها، اگر متجاوز در حمله کردن به هر یک از آنها موفق شد، به منظور حفاظت از بقیه شبکه، آنها در زیرشبکهٔ خودشان قرار داده میشوند. میزبانهایی که در DMZ هستند ارتباط محدودی با میزبانهای خاصی در شبکهٔ داخلی دارند، اگرچه ارتباط با سایر میزبانها در DMZ و شبکهٔ خارجی مجاز است. این به میزبانهای DMZ اجازه میدهد که خدماتی را هم به شبکه داخلی و هم شبکه خارجی فراهم کنند، در حالی که دخالت دیوار آتش، ترافیک بین کارسازهای DMZ و کارخواههای شبکهٔ داخلی را کنترل میکنند. تنظیمات DMZ معمولاً امنیت در برابر حملات خارجی را فراهم میکند، اما معمولاً تأثیری بر حملات داخلی نظیر شنود ارتباطات از طریق یک تحلیلگر بسته یا تقلب کردن مانند رایانامهنگاری متقلبانه ندارند.
خدمات در DMZ
[ویرایش]هرگونه خدماتی که برای کاربران شبکهٔ خارجی فراهم میشود میتواند در DMZ قرار بگیرد. رایجترین این خدمات عبارتند از :
- کارسازهای وب
- کارسازهای پست الکترونیکی
- کارسازهای FTP
- کارسازهای صدا روی پروتکل اینترنت
کارسازهای وبی که با یک پایگاه دادهٔ داخلی ارتباط برقرار میکنند، نیازمند دسترسی به یک کارساز پایگاه داده دارند که ممکن است در دسترس عموم نبوده و شامل اطلاعات حساسی باشد. کارسازهای وب میتوانند با کارسازهای پایگاه داده چه مستقیم و چه از طریق یک نرمافزار دیوار آتش برای دلایل امنیتی ارتباط برقرار کنند. پیامهای پست الکترونیکی و به ویژه پایگاه داده کاربر اطلاعات محرمانه هستند، بنابراین معمولاً روی کارسازهایی ذخیره میشوند که از اینترنت نمیتوان به آنها دسترسی داشت(حداقل در یک حالت ناامن)، اما از طریق کارسازهای قرارداد ساده نامهرسانی که در معرض اینترنت هستند میتوان به آنها دسترسی داشت. کارساز پست الکترونیکی داخل DMZ، پستهای الکترونیکی دریافتی را به سمت کارسازهای پست الکترونیکی امن/داخلی عبور میدهند. همچنین پستهای الکترونیکی ارسالی را اداره میکند. برای دلایل امنیتی، الزامات قانونی و نظارت، در یک محیط کسب و کار، برخی از شرکتها یک پراکسی سرور در DMZ نصب میکنند. که نتایج زیر را در بر دارد : کاربران داخلی (معمولاً کارمندان) برای دسترسی به اینترنت، ملزم به استفاده از پراکسی هستند. به شرکت اجازه میدهد پهنای باند مورد نیاز دسترسی به اینترنت را کاهش دهد چرا که برخی از محتوای وب ممکن است توسط پراکسی سرور کش شود. ضبط و نظارت بر فعالیتهای کاربران را ساده کرده و محتوایی که ناقض سیاستهای استفاده ی قابل قبول است را بلوکه میکند. یک پراکسی سرور معکوس، مانند یک پراکسی سرور، یک واسطه است، اما از راه دیگری استفاده میشود. به جای ارائهٔ خدمات به کاربرانی که مایل به دسترسی به یک شبکه خارجی هستند، برای شبکه خارجی (معمولاً اینترنت) دسترسی غیرمستقیم به منابع داخلی را فراهم میکند. برای مثال، نرمافزار دسترسی به شرکت، مثلاً یک سیستم پست الکترونیکی، میتواند برای کاربران خارجی فراهم شود(برای خواندن پستهای الکترونیکی هنگامی که خارج از شرکت هستیم) اما کاربر راه دور، به کارساز پست الکترونیکیاش دسترسی مستقیم نخواهد داشت. تنها پراکسی سرور معکوس میتواند بهطور فیزیکی به کارساز پست الکترونیکی داخلی دسترسی داشته باشد. این یک لایه اضافهٔ امنیتی است، که به ویژه هنگامی توصیه میشود که منابع داخلی نیاز به دسترسی از خارج دارند. معمولاً چنین مکانیزم پراکسی معکوسی با استفاده از یک دیوار آتش لایهٔ کاربرد فراهم میشود، چرا که آنها روی شکل خاصی از ترافیک تمرکز میکنند به جای کنترل دسترسی روی پورتهای خاص TCP و UDP همانطور که دیوار آتش فیلتر بسته انجام میدهد.
معماری
[ویرایش]راههای متفاوتی برای طراحی یک شبکه با استفاده از یک DMZ وجود دارد. دو تا از ابتداییترین روشها، دیوار آتش یگانه که با نام مدل سه پا نیز شناخته میشود و با دیوار آتش دوگانه. این معماری میتواند به ایجاد معماریهای بسیار پیچیده بسته به الزامات شبکه گسترش یابد.
دیوار آتش یگانه
[ویرایش]یک دیوار آتش یگانه با حداقل 3 رابط شبکهای میتواند برای ایجاد یک معماری شبکه که شامل DMZ است استفاده شود. شبکه ی خارجی از شرکت خدمات اینترنتی (به انگلیسی: ISP) تا دیوار آتشِ اولین رابط شبکه تشکیل شده است، شبکه داخلی از دومین رابط شبکه تشکیل شده است، و DMZ از سومین رابط شبکه تشکیل شدهاست. دیوار آتش یک نقطه خرابی مرکزی برای شبکه میشود و باید همانند شبکهٔ داخلی، قادر به اداره کردن تمام ترافیکی که به DMZ میرود، باشد. مناطق معمولاً با رنگهایی مشخص شده اند؛ برای مثال، ارغوانی برای شبکهٔ محلی، سبز برای DMZ، قرمز برای اینترنت (مناطق بی سیم اغلب با رنگ دیگری نمایش داده میشود).
دیوار آتش دوگانه
[ویرایش]رویکرد امن تر، استفاده از دو دیوار آتش برای ساختن DMZ است. اولین دیوار آتش (دیوار آتش "بخش جلویی" نیز گفته میشود) باید برای اجازه به ترافیکهای منتهی به DMZ پیکربندی شود. دیوار آتش دوم (دیوار آتش "بخش عقبی" نیز گفته میشود) فقط به ترافیک DMZ به سمت شبکه داخلی اجازه عبور میدهد. این طرز قرارگیری امن تر است، چرا که نیاز به مصالحه با دو وسیله است. حتی در صورتی که دو دیوار آتش توسط دو شرکت تجهیزات کامپیوتری متفاوت تهیه شده باشد، حفاظت بیشتری خواهیم داشت، چرا که احتمال آسیب دیدن هر دو دستگاه از یک آسیبپذیری امنیتی یکسان را کاهش میدهد. برای مثال، تنظیمات تصادفاً اشتباهی، با احتمال کمتری از یک روش یکسانی، آن هم از طریق دو رابط پیکربندی از دو شرکت سازندهٔ متفاوت اتفاق می افتد و یک حفرهٔ امنیتی اگر در سیستم ساخت یک شرکت پیدا شود، احتمال کمتری دارد تا در سیستم ساخت شرکت دیگر پیدا شود. البته این معماری مستلزم هزینهٔ بیشتری است. در عمل استفاده از دیوار آتشهای متفاوت از شرکتهای سازندهٔ متفاوت، گاهی اوقات به عنوان جزئی از یک استراتژی امنیتی دفاع در عمق توصیف میشود.
میزبان DMZ
[ویرایش]برخی مسیریابهای خانگی به یک میزبان DMZ نسبت داده میشوند.یک میزبان DMZ مسیریاب خانگی، میزبانی در شبکهٔ داخلی است که در معرض تمام پورتها به جز آن پورتهایی است که فرستاده میشوند. با این تعریف، این یک واقعی نمیباشد، چرا که به تنهایی میزبان را از شبکه داخلی جدا نمیکند. به عبارت دیگر میزبان DMZ قادر به ارتباط برقرار کردن با میزبانهای شبکهٔ داخلی است، در حالیکه میزبانهای یک DMZ واقعی، از ارتباط برقرار کردن با شبکه داخلی توسط دیوار آتشی که آنها را از هم جدا میکند، منع شدهاند، مگر اینکه دیوار آتش اجازهٔ ارتباط را صادر کند. یک دیوار آتش در صورتی این اجازه را میدهد که در ابتدا یک میزبان در شبکه داخلی، درخواست یک ارتباط با یک میزبان در DMZ داشته باشد. میزبان DMZ هیچکدام از مزایای امنیتی که یک زیرشبکه فراهم میکند را ارائه نمیکند و اغلب به عنوان یک روش آسان برای ارسال پورتها به یک وسیلهٔ دیوار آتش یا (به انگلیسی: NAT) دیگر میباشد.
منابع
[ویرایش]- SolutionBase: Strengthen network defenses by using a DMZ by Deb Shinder at TechRepublic.
- Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
- Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson