DMZ ( anglicky Demilitarized Zone - demilitarized zone, DMZ) je segment sítě obsahující veřejné služby a oddělující je od soukromých [1] . Například webová služba může fungovat jako veřejná služba : server , který ji poskytuje a který je fyzicky umístěn v místní síti ( intranet ), musí odpovídat na jakékoli požadavky z vnější sítě ( internet ), zatímco ostatní místní zdroje ( např. například souborové servery , pracovní stanice ) musí být izolovány od vnějšího přístupu.
Účelem DMZ je přidat další vrstvu zabezpečení do místní sítě , která umožňuje minimalizovat škody v případě útoku na některou z veřejných služeb: externí útočník má přímý přístup pouze k zařízení v DMZ [2 ] .
Název pochází z vojenského výrazu " demilitarizovaná zóna " - území mezi válčícími státy, na kterém nejsou povoleny vojenské operace. Jinými slovy, přístup do DMZ je otevřený pro obě strany za předpokladu, že návštěvník nemá nekalý úmysl. Analogicky koncept DMZ (například při budování brány k veřejnému internetu) spočívá v tom, že v místní síti je přidělena oblast, která není bezpečná jako zbytek sítě (interní) a není nebezpečná jako veřejná (externí). ) [3] [4] [5] .
Systémy otevřené přímému přístupu z externích sítí jsou obvykle hlavním cílem útočníků a jsou potenciálně vystaveny hrozbám. V důsledku toho nelze těmto systémům plně důvěřovat. Proto je nutné omezit přístup těchto systémů na počítače umístěné uvnitř sítě [6] .
Zatímco poskytuje ochranu proti vnějším útokům, DMZ obecně nemá nic společného s interními útoky, jako je odposlechy dopravy [5] [7] .
Oddělení segmentů a řízení provozu mezi nimi jsou zpravidla realizovány specializovanými zařízeními - firewally . Hlavní úkoly takového zařízení jsou [8] :
V některých případech stačí k organizaci DMZ router nebo dokonce proxy server [2] .
Servery v DMZ mohou mít podle potřeby omezenou možnost připojení k jednotlivým hostitelům ve vnitřní síti [K 1] . Komunikace v DMZ mezi servery a s vnější sítí je také omezena, aby byla DMZ pro hostování určitých služeb bezpečnější než internet.[ co? ] . Na serverech v DMZ by se měly spouštět pouze nezbytné programy , nepotřebné jsou zakázány nebo zcela odstraněny [8] .
Existuje mnoho různých možností architektury sítě DMZ. Dva hlavní - s jedním firewallem a se dvěma firewally [2] [9] . Na základě těchto metod je možné vytvářet jak zjednodušené, tak velmi složité konfigurace, které odpovídají možnostem použitého zařízení a bezpečnostním požadavkům v konkrétní síti [5] .
Pro vytvoření sítě s DMZ lze použít jeden firewall, který má alespoň tři síťová rozhraní: jedno pro připojení k poskytovateli ( WAN ), druhé - k vnitřní síti ( LAN ), třetí - k DMZ. Takové schéma je jednoduché na implementaci, ale klade zvýšené požadavky na vybavení a administraci : firewall musí zpracovávat veškerý provoz směřující jak do DMZ, tak do vnitřní sítě. Zároveň se stává jediným bodem selhání a v případě hacknutí (nebo chyby v nastavení) bude vnitřní síť zranitelná přímo z vnější [3] .
Bezpečnějším přístupem je použití dvou firewallů k vytvoření DMZ: jeden z nich řídí připojení z externí sítě do DMZ, druhý - z DMZ do vnitřní sítě. V tomto případě musí být pro úspěšný útok na vnitřní zdroje kompromitována dvě zařízení [2] . Kromě toho lze na vnější obrazovce konfigurovat pomalejší pravidla filtrování na aplikační vrstvě , což poskytuje zvýšenou ochranu místní sítě bez negativního dopadu na výkon vnitřního segmentu [3] .
Ještě vyšší úroveň ochrany lze zajistit použitím dvou firewallů od dvou různých výrobců a (nejlépe) odlišné architektury – tím se snižuje pravděpodobnost, že obě zařízení budou mít stejnou zranitelnost [10] . Například náhodná chybná konfigurace je méně pravděpodobná v konfiguraci rozhraní od dvou různých výrobců; bezpečnostní díra nalezená v systému jednoho dodavatele je méně pravděpodobné, že skončí v systému jiného dodavatele. Nevýhodou této architektury je vyšší cena [11] .
Některé routery SOHO třídy mají funkci poskytování přístupu z externí sítě k interním serverům ( DMZ host nebo exponovaný hostitelský režim ). V tomto režimu se jedná o hostitele , který má všechny porty otevřené (nechráněné), kromě těch, které jsou přeloženy jiným způsobem. To zcela nesplňuje definici skutečné DMZ, protože server s otevřenými porty není oddělen od vnitřní sítě. To znamená, že hostitel DMZ se může volně připojovat ke zdrojům ve vnitřní síti, zatímco připojení k vnitřní síti ze skutečné DMZ jsou blokována firewallem, který je odděluje, pokud neexistuje speciální pravidlo povolení [K 1] . Hostitel DMZ neposkytuje žádnou z bezpečnostních výhod, které poskytuje podsíť, a často se používá jako jednoduchá metoda přesměrování všech portů na jiný firewall nebo zařízení [5] [11] .