منطقه غیرنظامی (رایانش)

از ویکی‌پدیا، دانشنامهٔ آزاد

در امنیت رایانه یک منطقه غیر نظامی (به انگلیسی: DMZ) (گاهی اوقات به شبکه‌بندی محیطی اشاره دارد)، یک زیرشبکهٔ منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در معرض یک شبکهٔ نامطمئن بزرگتر که معمولاً اینترنت است قرار می‌دهد. هدف از یک DMZ، اضافه کردن یک لایهٔ امنیتی بیشتر به شبکهٔ محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمت‌های شبکه، تنها به تجهیزاتی که در DMZ هستند دسترسی دارد.این نام از اصطلاح "منطقه غیرنظامی" مشتق شده است، منطقه‌ای بین دولت‌هایا ملی که در آن اقدام نظامی مجاز نیست.

دلیل وجود[ویرایش]

در یک شبکه کامپیوتری، میزبان‌هایی که بیشترین آسییب پذیری نسبت به حملات دارند، آن‌هایی هستند که برای کاربرانی خارج از شبکهٔ محلی، خدماتی را فراهم می‌کنند، مانند پست الکترونیکی، کارسازهای وب و سامانه نام دامنه. به خاطر پتانسیل رو به افزایش مصالحهٔ این میزبان‌ها، اگر متجاوز در حمله کردن به هر یک از آن‌ها موفق شد، به منظور حفاظت از بقیه شبکه، آن‌ها در زیرشبکهٔ خودشان قرار داده می‌شوند. میزبان‌هایی که در DMZ هستند ارتباط محدودی با میزبانهای خاصی در شبکهٔ داخلی دارند، اگرچه ارتباط با سایر میزبان‌ها در DMZ و شبکهٔ خارجی مجاز است. این به میزبان‌های DMZ اجازه می‌دهد که خدماتی را هم به شبکه داخلی و هم شبکه خارجی فراهم کنند، در حالی که دخالت دیوار آتش، ترافیک بین کارسازهای DMZ و کارخواههای شبکهٔ داخلی را کنترل می‌کنند. تنظیمات DMZ معمولاً امنیت در برابر حملات خارجی را فراهم می‌کند، اما معمولاً تأثیری بر حملات داخلی نظیر شنود ارتباطات از طریق یک تحلیلگر بسته یا تقلب کردن مانند رایانامه‌نگاری متقلبانه ندارند.

خدمات در DMZ[ویرایش]

هرگونه خدماتی که برای کاربران شبکهٔ خارجی فراهم می‌شود می‌تواند در DMZ قرار بگیرد. رایج‌ترین این خدمات عبارتند از :

کارسازهای وبی که با یک پایگاه دادهٔ داخلی ارتباط برقرار می‌کنند، نیازمند دسترسی به یک کارساز پایگاه داده دارند که ممکن است در دسترس عموم نبوده و شامل اطلاعات حساسی باشد. کارسازهای وب می‌توانند با کارسازهای پایگاه داده چه مستقیم و چه از طریق یک نرم‌افزار دیوار آتش برای دلایل امنیتی ارتباط برقرار کنند. پیام‌های پست الکترونیکی و به ویژه پایگاه داده کاربر اطلاعات محرمانه هستند، بنابراین معمولاً روی کارسازهایی ذخیره می‌شوند که از اینترنت نمی‌توان به آن‌ها دسترسی داشت(حداقل در یک حالت ناامن)، اما از طریق کارسازهای قرارداد ساده نامه‌رسانی که در معرض اینترنت هستند می‌توان به آن‌ها دسترسی داشت. کارساز پست الکترونیکی داخل DMZ، پست‌های الکترونیکی دریافتی را به سمت کارسازهای پست الکترونیکی امن/داخلی عبور می‌دهند. همچنین پست‌های الکترونیکی ارسالی را اداره می‌کند. برای دلایل امنیتی، الزامات قانونی و نظارت، در یک محیط کسب و کار، برخی از شرکت‌ها یک پراکسی سرور در DMZ نصب می‌کنند. که نتایج زیر را در بر دارد : کاربران داخلی (معمولاً کارمندان) برای دسترسی به اینترنت، ملزم به استفاده از پراکسی هستند. به شرکت اجازه می‌دهد پهنای باند مورد نیاز دسترسی به اینترنت را کاهش دهد چرا که برخی از محتوای وب ممکن است توسط پراکسی سرور کش شود. ضبط و نظارت بر فعالیت‌های کاربران را ساده کرده و محتوایی که ناقض سیاست‌های استفاده ی قابل قبول است را بلوکه می‌کند. یک پراکسی سرور معکوس، مانند یک پراکسی سرور، یک واسطه است، اما از راه دیگری استفاده می‌شود. به جای ارائهٔ خدمات به کاربرانی که مایل به دسترسی به یک شبکه خارجی هستند، برای شبکه خارجی (معمولاً اینترنت) دسترسی غیرمستقیم به منابع داخلی را فراهم میکند. برای مثال، نرم‌افزار دسترسی به شرکت، مثلاً یک سیستم پست الکترونیکی، می‌تواند برای کاربران خارجی فراهم شود(برای خواندن پست‌های الکترونیکی هنگامی که خارج از شرکت هستیم) اما کاربر راه دور، به کارساز پست الکترونیکی‌اش دسترسی مستقیم نخواهد داشت. تنها پراکسی سرور معکوس می‌تواند به‌طور فیزیکی به کارساز پست الکترونیکی داخلی دسترسی داشته باشد. این یک لایه اضافهٔ امنیتی است، که به ویژه هنگامی توصیه می‌شود که منابع داخلی نیاز به دسترسی از خارج دارند. معمولاً چنین مکانیزم پراکسی معکوسی با استفاده از یک دیوار آتش لایهٔ کاربرد فراهم می‌شود، چرا که آن‌ها روی شکل خاصی از ترافیک تمرکز می‌کنند به جای کنترل دسترسی روی پورتهای خاص TCP و UDP همانطور که دیوار آتش فیلتر بسته انجام می‌دهد.

معماری[ویرایش]

راه‌های متفاوتی برای طراحی یک شبکه با استفاده از یک DMZ وجود دارد. دو تا از ابتدایی‌ترین روش‌ها، دیوار آتش یگانه که با نام مدل سه پا نیز شناخته می‌شود و با دیوار آتش دوگانه. این معماری می‌تواند به ایجاد معماری‌های بسیار پیچیده بسته به الزامات شبکه گسترش یابد.

دیوار آتش یگانه[ویرایش]

Diagram of a typical network employing DMZ using a three-legged firewall

یک دیوار آتش یگانه با حداقل 3 رابط شبکه‌ای می‌تواند برای ایجاد یک معماری شبکه که شامل DMZ است استفاده شود. شبکه ی خارجی از شرکت خدمات اینترنتی (به انگلیسی: ISP) تا دیوار آتشِ اولین رابط شبکه تشکیل شده است، شبکه داخلی از دومین رابط شبکه تشکیل شده است، و DMZ از سومین رابط شبکه تشکیل شده‌است. دیوار آتش یک نقطه خرابی مرکزی برای شبکه می‌شود و باید همانند شبکهٔ داخلی، قادر به اداره کردن تمام ترافیکی که به DMZ می‌رود، باشد. مناطق معمولاً با رنگ‌هایی مشخص شده اند؛ برای مثال، ارغوانی برای شبکهٔ محلی، سبز برای DMZ، قرمز برای اینترنت (مناطق بی سیم اغلب با رنگ دیگری نمایش داده می‌شود).

دیوار آتش دوگانه[ویرایش]

Diagram of a typical network employing DMZ using dual firewalls

رویکرد امن تر، استفاده از دو دیوار آتش برای ساختن DMZ است. اولین دیوار آتش (دیوار آتش "بخش جلویی" نیز گفته می‌شود) باید برای اجازه به ترافیک‌های منتهی به DMZ پیکربندی شود. دیوار آتش دوم (دیوار آتش "بخش عقبی" نیز گفته می‌شود) فقط به ترافیک DMZ به سمت شبکه داخلی اجازه عبور می‌دهد. این طرز قرارگیری امن تر است، چرا که نیاز به مصالحه با دو وسیله است. حتی در صورتی که دو دیوار آتش توسط دو شرکت تجهیزات کامپیوتری متفاوت تهیه شده باشد، حفاظت بیشتری خواهیم داشت، چرا که احتمال آسیب دیدن هر دو دستگاه از یک آسیب‌پذیری امنیتی یکسان را کاهش می‌دهد. برای مثال، تنظیمات تصادفاً اشتباهی، با احتمال کمتری از یک روش یکسانی، آن هم از طریق دو رابط پیکربندی از دو شرکت سازندهٔ متفاوت اتفاق می افتد و یک حفرهٔ امنیتی اگر در سیستم ساخت یک شرکت پیدا شود، احتمال کمتری دارد تا در سیستم ساخت شرکت دیگر پیدا شود. البته این معماری مستلزم هزینهٔ بیشتری است. در عمل استفاده از دیوار آتش‌های متفاوت از شرکت‌های سازندهٔ متفاوت، گاهی اوقات به عنوان جزئی از یک استراتژی امنیتی دفاع در عمق توصیف می‌شود.

میزبان DMZ[ویرایش]

برخی مسیریابهای خانگی به یک میزبان DMZ نسبت داده می‌شوند.یک میزبان DMZ مسیریاب خانگی، میزبانی در شبکهٔ داخلی است که در معرض تمام پورتها به جز آن پورت‌هایی است که فرستاده می‌شوند. با این تعریف، این یک واقعی نمی‌باشد، چرا که به تنهایی میزبان را از شبکه داخلی جدا نمی‌کند. به عبارت دیگر میزبان DMZ قادر به ارتباط برقرار کردن با میزبان‌های شبکهٔ داخلی است، در حالیکه میزبان‌های یک DMZ واقعی، از ارتباط برقرار کردن با شبکه داخلی توسط دیوار آتشی که آن‌ها را از هم جدا می‌کند، منع شده‌اند، مگر اینکه دیوار آتش اجازهٔ ارتباط را صادر کند. یک دیوار آتش در صورتی این اجازه را می‌دهد که در ابتدا یک میزبان در شبکه داخلی، درخواست یک ارتباط با یک میزبان در DMZ داشته باشد. میزبان DMZ هیچ‌کدام از مزایای امنیتی که یک زیرشبکه فراهم می‌کند را ارائه نمی‌کند و اغلب به عنوان یک روش آسان برای ارسال پورت‌ها به یک وسیلهٔ دیوار آتش یا (به انگلیسی: NAT) دیگر می‌باشد.

منابع[ویرایش]