Meghalt a dmz? nem egészen

A demilitarizált övezet (DMZ) legjobb példája manapság egy erősen őrzött földterület Koreában. Az Észak-Korea és Dél-Korea közötti határ mindkét oldalán található terület célja, hogy megakadályozza, hogy minden nemzet véletlenül háborút kezdjen a másikkal. A számítástechnika területén a DMZ fogalma hasonló, mivel olyan helyet biztosít, amely kiszorítja az internet nem megbízható világát a szervezet belső hálózatán, miközben továbbra is szolgáltatásokat kínál a külvilág számára. Régóta bármilyen informatikai szakember, szinte bármilyen, internethez csatlakoztatott hálózat, önmagában is összeállította a DMZ-t. De a felhő mindent megváltoztatott.

Ennek oka az, hogy a felhő kiküszöbölte a legtöbb vállalat számára a saját webszerver üzemeltetésének szükségességét. A nap folyamán, ha rendelkezne házon belüli webszerverrel, amely nyitott volt a nyilvánosság számára, akkor azt szeretné, ha a szerver a DMZ-ben él. Hasonlóképpen, ott volna az e-mail szervere, és bármilyen más, kifelé néző szerver, például távoli elérési átjáró, hitelesítő szerver, proxy szerver, vagy talán Telnet szerver. Ezek mind olyan eszközök, amelyeknek elérhetővé kell válniuk az internetről, de amelyek szolgáltatásaikat nyújtják a szervezetétől. Ma természetesen a legtöbb vállalat otthont adó e-mail szolgáltatókat használ, valamint a szoftverként szolgáltatásként történő telepítés (SaaS) alkalmazások telepítését, amelyek szükségtelenné teszik az adatszekrény külső felületű webszervereinek elhelyezését.

Vállalati kiegészítő biztonsági intézkedések 2017-ben

Ha továbbra is működik egy DMZ, akkor ez egy tipikus példa a hálózati szegmentálásra. Vizsgálja meg alaposan, és általában megtalálja a tűzfalak és az útválasztók valamilyen kombinációját. A legtöbb esetben a DMZ-t egy élvédő eszköz (általában egy tűzfal) hozza létre, amelyet egy másik útválasztó vagy tűzfal támaszkodik, amely a belső hálózat kapuját védi.

Noha a legtöbb szervezetnek már nincs szüksége DMZ-re, hogy megvédje magát a külvilágtól, az értékes digitális javak és a hálózat többi részének elválasztása továbbra is hatékony biztonsági stratégia. Ha a DMZ mechanizmust teljesen belső alapon alkalmazza, akkor még mindig vannak olyan esetek, amelyeknek van értelme. Az egyik példa az értékes adattárakhoz, a hozzáférés-ellenőrzési listákhoz vagy hasonló kincstárhoz való hozzáférés védelme; azt szeretné, ha a potenciális jogosulatlan felhasználók a lehető legtöbb további karikán mennének át, mielőtt hozzáférnének.

Hogyan működik a DMZ?

A DMZ így működik: Lesz egy szélső tűzfal, amely szembe kell néznie a nyílt internet szörnyűségeivel. Ezt követően lesz a DMZ és egy másik tűzfal, amely megvédi a vállalat helyi hálózatát (LAN). A tűzfal mögött lesz a belső hálózat. Ha hozzáadja ezt az extra hálózaton belüli rendszert, akkor további biztonsági rétegeket valósíthat meg, amelyeket a rosszindulatú tartalmaknak le kell győzniük, mielőtt elérnék a tényleges belső hálózatát - ahol minden valószínűleg nemcsak a hálózati hozzáférés-vezérlőkkel, hanem a végpont-védőkészletekkel is lefedi a mindent.

Az első tűzfal és a második között általában talál egy kapcsolót, amely hálózati kapcsolatot biztosít a kiszolgálókkal és eszközökkel, amelyeknek rendelkezniük kell az internettel. A kapcsoló kapcsolatot is biztosít a második tűzfallal.

Az első tűzfalat úgy kell konfigurálni, hogy csak a belső LAN-ot és a DMZ kiszolgálóit elérő forgalom legyen lehetővé. A belső tűzfalnak csak olyan portokon keresztül kell engedélyeznie a forgalmat, amelyek a belső hálózat működéséhez szükségesek.

A DMZ-ben úgy kell konfigurálnia a kiszolgálóit, hogy csak a meghatározott portok forgalmát fogadják el, és csak meghatározott protokollokat fogadjanak el. Például korlátozni akarja a 80-as porton a forgalmat csak a HyperText Transfer Protocol (HTTP) protokollra. A kiszolgálókat úgy is konfigurálnia kell, hogy csak a működésükhöz szükséges szolgáltatásokat futtassák. Érdemes lehet egy behatolás-érzékelő rendszer (IDS) figyelési tevékenysége is a DMZ szerverein, hogy a tűzfalon áthaladó malware támadás észlelhető és leállítható.

A belső tűzfalnak egy következő generációs tűzfalnak (NGFW) kell lennie, amely ellenőrzi a forgalmat, amely a tűzfalat nyitott portjain megy keresztül, és behatolásokra vagy rosszindulatú programokra utal. Ez a tűzfal védi a hálózat korona ékszereit, tehát nem ez az a hely, ahol megpróbálhatja. Az NGFW gyártók között szerepel többek között a Barracude, a Check Point, a Cisco, a Fortinet, a Juniper és a Palo Alto.

Ethernet portok, mint DMZ portok

Kisebb szervezetek számára van még egy olcsóbb megközelítés, amely továbbra is biztosítja a DMZ-t. Számos otthoni és kisvállalati útválasztó tartalmaz egy olyan funkciót, amely lehetővé teszi az Ethernet-portok egyikének DMZ-portként történő kijelölését. Ez lehetővé teszi egy eszköz, például egy webszerver felhelyezését arra a portra, ahol megoszthatja az IP-címét, de elérhetővé válik a külvilág számára is. Mondanom sem kell, hogy ennek a szervernek a lehető lezártnak kell lennie, és csak feltétlenül szükséges szolgáltatásokkal kell működnie. A szegmens pontosabbá tételéhez külön kapcsolót csatlakoztathat ehhez a porthoz, és a DMZ-ben egynél több eszköz is lehet.

Az ilyen kijelölt DMZ port használatának hátránya, hogy csak egy hibás pont van. Annak ellenére, hogy a legtöbb ilyen útválasztó beépített tűzfalat is tartalmaz, általában nem tartalmazzák az NGFW teljes szolgáltatáskészletét. Ezenkívül, ha a router megsérül, akkor a hálózat is így van.

Bár a router alapú DMZ működik, valószínűleg nem olyan biztonságos, mint szeretné. Legalább érdemes megfontolni egy második tűzfal hozzáadását mögötte. Ez kicsit többletbe kerül, de szinte annyira nem fog kerülni, mint egy adat megsértése. Az ilyen beállítás másik fő következménye az, hogy bonyolultabb az adminisztráció, és tekintettel arra, hogy a kisebb cégek, amelyek ezt a megközelítést alkalmazhatják, általában nem rendelkeznek informatikai személyzettel, érdemes tanácsadót bevonni a beállításhoz, majd a menedzsmenthez. időről időre.

Requiem a DMZ számára

• A legjobb VPN-szolgáltatások 2019-ig A legjobb VPN-szolgáltatások 2019-re
• A legjobb üzemeltetett végpont-védelmi és biztonsági szoftver 2019-ig A legjobb üzemeltetett végpont-védelmi és biztonsági szoftver 2019-re
• A legjobb hálózati megfigyelő szoftver 2019-re A legjobb hálózati megfigyelő szoftver 2019-re

Mint korábban említettük, nem fog túl sok DMZ-t még mindig vadon futtatni. Ennek oka az, hogy a DMZ célja egy olyan funkció betöltése, amelyet manapság a felhőben kezelnek az üzleti funkciók túlnyomó többsége számára. Minden telepített SaaS alkalmazás, valamint az összes kiszolgáló, amelyben otthont ad, a külső oldalra néző infrastruktúrát az adatközpontról a felhőbe mozgatja, és a DMZ-k elindultak. Ez azt jelenti, hogy kiválaszthat egy felhőalapú szolgáltatást, elindíthat egy webkiszolgálót tartalmazó példányt, és megvédheti azt a felhő-szolgáltató tűzfalával, és Ön készen áll. Nem szükséges külön konfigurált hálózati szegmenst hozzáadnia a belső hálózatához, mivel mindenesetre máshol történik. Ráadásul azok a többi funkció, amelyeket a DMZ-vel használhat, szintén rendelkezésre állnak a felhőben, és ha így mennek, akkor még biztonságosabbá válnak.

Ennek ellenére általános biztonsági taktikaként egy teljesen életképes intézkedés. A tűzfal mögött egy DMZ-stílusú hálózati szegmens létrehozása ugyanazokat az előnyöket nyújtja, mint amikor a LAN és az internet között egyet próbáltál: egy másik szegmens nagyobb védelmet jelent, mivel arra kényszerítheti a rossz fiúkat, hogy behatoljanak, mielőtt eljutnának amit igazán akarnak. És minél jobban kell dolgozniuk, annál hosszabb ideig kell Önnek vagy a fenyegetés-felismerő és -kezelő rendszernek észlelnie és reagálnia.