Cuprins:
Video: Honeynet and DMZ (Noiembrie 2024)
Cel mai bun exemplu de zonă demilitarizată (DMZ) este astăzi o fâșie de pământ puternic păzită în Coreea. Este zona de pe ambele părți ale graniței dintre Coreea de Nord și Coreea de Sud care este menită să împiedice fiecare națiune să înceapă accidental un război cu cealaltă. În calcul, un DMZ este similar în ceea ce privește conceptul, deoarece oferă un loc care menține lumea neîncredere a internetului în afara rețelei interne a organizației dvs., oferind în același timp servicii pentru lumea exterioară. Pentru o lungă perioadă de timp, orice clădire profesională IT aproape orice fel de rețea conectată la internet a pus la punct un DMZ ca de fapt. Dar norul a schimbat toate astea.
Întreprinderi măsuri suplimentare de securitate luate în 2017
Dacă mai aveți un DMZ în funcțiune, veți găsi că este un exemplu tipic de segmentare a rețelei. Uită-te atent și în general vei găsi o combinație de firewall-uri și routere. În cele mai multe cazuri, DMZ va fi creat de un dispozitiv de securitate de margine (de obicei un firewall), care este apoi susținut de un alt router sau firewall care păstrează porțile către rețeaua internă.
Deși majoritatea organizațiilor nu mai au nevoie de un DMZ pentru a se proteja de lumea exterioară, conceptul de separare a bunătăților digitale valoroase de restul rețelei dvs. este încă o strategie puternică de securitate. Dacă aplicați mecanismul DMZ pe o bază completă internă, există încă cazuri de utilizare care să aibă sens. Un exemplu este protejarea accesului la depozite de date valoroase, liste de control de acces sau alte comode similare; veți dori ca orice potențiali utilizatori neautorizați să treacă prin cât mai multe cercuri suplimentare înainte de a obține acces.
Cum funcționează un DMZ
Un DMZ funcționează astfel: Va exista un firewall de margine care se confruntă cu ororile internetului deschis. După aceea va fi DMZ-ul și un alt firewall care vă protejează rețeaua locală a companiei. În spatele acestui firewall va fi rețeaua dvs. internă. Adăugând această rețea intermediară suplimentară, puteți implementa niveluri suplimentare de securitate pe care trebuie să le învingă malcontenții înainte de a putea ajunge la rețeaua dvs. internă reală - unde se presupune că totul este acoperit nu numai de controale de acces la rețea, dar și de apartamente de protecție a punctelor finale.
Între primul firewall și al doilea, în mod normal, veți găsi un comutator care oferă o conexiune de rețea la serverele și dispozitivele care trebuie să fie disponibile pentru internet. Comutatorul oferă și o conexiune la al doilea firewall.
Primul firewall trebuie configurat pentru a permite doar traficul care trebuie să ajungă la LAN-ul intern și la serverele din DMZ. Firewallul intern ar trebui să permită traficul numai prin anumite porturi care sunt necesare pentru funcționarea rețelei dvs. interne.
În DMZ, ar trebui să configurați serverele dvs. pentru a accepta doar traficul pe anumite porturi și pentru a accepta doar protocoale specifice. De exemplu, veți dori să limitați traficul pe Port 80 la HyperText Transfer Protocol (HTTP). De asemenea, veți dori să configurați serverele astfel încât să ruleze numai serviciile necesare pentru ca acestea să funcționeze. De asemenea, poate doriți să aveți un sistem de monitorizare a sistemului de detectare a intruziunilor (IDS) pe serverele din DMZ, astfel încât un atac malware care îl face prin firewall să poată fi detectat și oprit.
Firewall-ul intern ar trebui să fie un firewall de generație următoare (NGFW) care efectuează inspecții ale traficului dvs. care trece prin porturile deschise din firewall-ul dvs. și, de asemenea, caută indicii de intruziuni sau malware. Acesta este firewall-ul care protejează bijuteriile coroanei din rețeaua dvs., astfel încât nu este locul unde să păcăliți. Producătorii de NGFW includ Barracude, Check Point, Cisco, Fortinet, ienupăr și Palo Alto, printre altele.
Porturi Ethernet ca porturi DMZ
Pentru organizațiile mai mici, există o altă abordare mai puțin costisitoare, care va oferi în continuare un DMZ. Multe routere de casă și afaceri mici includ o funcție care vă permite să desemnați unul dintre porturile Ethernet ca port DMZ. Acest lucru vă permite să puneți un dispozitiv, cum ar fi un server web pe acel port, unde vă poate partaja adresa IP, dar poate fi disponibil și pentru lumea exterioară. Inutil să spun, acest server ar trebui să fie cât mai închis și să funcționeze doar cu servicii absolut necesare. Pentru a vă extrage segmentul, puteți atașa un comutator separat la acel port și aveți mai multe dispozitive în DMZ.
Dezavantajul folosirii unui astfel de port DMZ desemnat este faptul că aveți un singur punct de eșec. Chiar dacă majoritatea acestor routere includ, de asemenea, un firewall încorporat, în general nu includ setul complet de caracteristici al unui NGFW. În plus, dacă routerul este încălcat, atunci este rețeaua ta.
În timp ce un DMZ bazat pe router funcționează, probabil că nu este atât de sigur pe cât doriți să fie. Cel puțin, poate doriți să luați în considerare adăugarea unui al doilea firewall în spatele acestuia. Acest lucru va costa un pic în plus, dar nu va costa aproape cât va fi o încălcare a datelor. Cealaltă consecință majoră cu o astfel de configurare este că este mai complex de administrat și, având în vedere că companiile mai mici care ar putea utiliza această abordare nu au în mod obișnuit un personal IT, este posibil să doriți să angajați un consultant pentru a configura acest lucru și apoi a gestiona din când în când.
Un Requiem pentru DMZ
- Cele mai bune servicii VPN pentru 2019 Cele mai bune servicii VPN pentru 2019
- Cel mai bun software de protecție și securitate pentru gazdă finalizat pentru 2019 Cel mai bun software de protecție și securitate pentru gazele terminate pentru 2019
- Cel mai bun software de monitorizare a rețelei pentru anul 2019 Cel mai bun software de monitorizare a rețelei pentru 2019
După cum am menționat anterior, nu veți găsi prea multe DMZ care rulează în sălbăticie. Motivul este că DMZ a fost destinată să completeze o funcție care astăzi este gestionată în cloud pentru marea majoritate a funcțiilor de afaceri. Fiecare aplicație SaaS pe care o implementați și fiecare server pe care îl găzduiți deplasează infrastructura orientată spre exterior din centrul de date și în cloud, iar DMZ-urile au mers în deplasare. Înseamnă că puteți alege un serviciu cloud, să lansați o instanță care include un server web și să protejați serverul cu firewall-ul furnizorului de cloud și sunteți setat. Nu este necesar să adăugați un segment de rețea configurat separat la rețeaua dvs. internă, deoarece oricum se întâmplă în altă parte. În plus, celelalte funcții pe care le puteți utiliza cu un DMZ sunt, de asemenea, disponibile în cloud, urmând astfel, veți fi și mai siguri.
Totuși, ca o tactică generală de securitate, este o măsură complet viabilă. Crearea unui segment de rețea în stil DMZ în spatele firewall-ului aduce aceleași avantaje ca și atunci când obișnuiai să-ți gâdilă unul dintre LAN și internet: un alt segment înseamnă mai multă protecție pe care îi poți forța pe cei răi să pătrundă înainte de a putea ajunge la ce vor cu adevărat. Și cu cât trebuie să funcționeze mai mult, cu atât mai mult, trebuie să vă detectați și să reacționați sistemul de detectare și răspuns al amenințărilor.
