DMZ в роутере - это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера. Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером. Особенно часто DMZ применяется для доступа из любой точки интернета к IP камерам или видеорегистратору, т.е. для видеонаблюдения.

Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые.

DMZ - это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:

1. Ввести в настройках DMZ роутера IP видеорегистратора
2. Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS

Почему для DMZ требуется именно постоянный IP адрес, и почему его можно заменить DDNS?

Тут всё просто. Если вашему роутеру будут присваиваться провайдером разные IP-адреса, то узнать какой IP сейчас у вашего роутера можно будет с помощью сервиса DDNS. А вам необходимо знать этот самый IP адрес, чтобы подсоединиться удалённо к вашему устройству. DDNS - позволяет пользователям получить субдомен, который будет привязан к пользовательскому устройству. Зная этот субдомен, вам будет не нужно беспокоиться, его вы и будете использовать вместо IP. Однако, постоянный IP от провайдера, и проще, и безопаснее, но дороже:)

Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.

Проброс портов через роутер

Буквально два слова про проброс портов вцелом. Проброс портов можно было бы назвать частным случаем DMZ если бы не то, что DMZ в том виде, в котором он реализован на домашних роутерах не появился бы позже термина проброс порта. Многие пользователи не понимают смысла слова порт. Можно, если угодно расценивать порт, как цифровую метку (в виде цифры) на пакетах, помогающую сортировать информационные пакеты по назначению. Своего рода дополнительное средство маршрутизации. Как правило в настройках роутера присутствует пункт переадресация портов. Для этого следует указать IP устройства в сети роутера, порт(т.е. ту самую метку) по которому это устройство доступно по управлению, внешний порт - это порт который будет привязан к указанным порту и IP устройства.

Вывод:
DMZ по сути является пробросом портов на конкретный IP в локальной сети маршрутизатора(роутера) из внешней сети. Отличие от проброса портов, в том, что в случае DMZ для указанного IP открываются все возможные порты одновременно. Это не эффективно с точки зрения безопасности, однако, значительно облегчает настройку удалённого доступа к какому-либо устройству за роутером. Обычно эта возможность применяется в видеонаблюдении.

ДЕМИЛИТАРИЗОВАННАЯ (DMZ) ЗОНА

Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей - там располагаются только серверы. Демилитаризованная зона, как правило, служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью, защищенной (или отделенной) от публичных и корпоративных сетей межсетевыми экранами.

Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется отдельная машина. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность, выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана - один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети. Именно такую схему будем использовать для организации демилитаризованной зоны корпорации CorpUTY.

В DMZ вынесем почтовый, web- и FTP-серверы, а также внешний DNS и сервер удаленного доступа RAS.

Cеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим - от локальной сети. При этом на внешнем межсетевом экране должен быть реализован доступ «снаружи» к нужным ресурсам

Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй - в DMZ и третий - в локальную сеть.

Сетевой адаптер, подключенный к Интернету, будем называть WAN, интерфейс, подключенный к демилитаризованной зоне, - DMZ, а к локальной сети - LAN.

На рис. 8 изображены два варианта подключения межсетевого экрана. В случае «а» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй - к DMZ и LAN, в случае «б» - один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.

Рисунок 8. Варианты развертывания межсетевого экрана и демилитаризованной зоны

При реализации второго варианта необходимо обратить внимание на его недостатки. Прежде всего, это общее снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям. Например, если у вас в сети один почтовый сервер и он находится в демилитаризованной зоне, то при отключении межсетевого экрана он будет недоступен, и у пользователей в почтовом клиенте начнут появляться сообщения об ошибке соединения. Как следствие - поток звонков и жалоб системному администратору на неработоспособность сети.

Другой недостаток использования одного сервера - это то, что в случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна.

И наконец, пожалуй, самый важный недостаток такой топологии, в случае если злоумышленнику удастся проникнуть на сервер, он сможет получить доступ как в DMZ, так и локальную сеть.

Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «а» можно превратить в вариант «б», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.

Для создания промежуточной DMZ, использующей два брандмауэра на базе ISA Server, понадобится два сервера, две копии Windows 2000 или 2003, две копии ISA Server, четыре сетевых интерфейса (по два на каждый сервер) и коммутатор для DMZ. Часто такие затраты оказываются слишком большими для компании.

При проектировании корпоративной сети CorpUTY будем использовать вариант «а», но в качестве внутреннего межсетевого экрана будет использоваться ISA Server 2004, а в качестве внешнего - маршрутизатор Сisco Catalyst 3800.

Продолжая использовать продукты компании Сisco, выберем в качестве пограничного маршрутизатора между внешним межсетевым экраном и Internet маршрутизатор Сisco Catalyst 3800. Это устройство поддерживает различные интерфейсные модули WAN и обеспечивает поддержку высокопроизводительной маршрутизации на скорости носителя, а также предоставляет встроенные функции защиты и возможности конвергенции, что позволяет надёжно защитить связь между филиалами компаний и одновременно реализовать централизованное управление из главного офиса. Кроме того, выбранный маршрутизатор поддерживает функции межсетевого экрана с учётом состояний, а также механизм защиты от атак Cyber Attack Defense Engine, приостанавливающий типичные атаки на сети, обеспечивая высокий уровень доступности критически важных Интернет- приложений. Кроме того, межсетевой экран поддерживает механизм адресации NAT и возможность переадресации портов.

Поскольку в выбранный маршрутизатор встроен так называемый packet filter, то необходимость в использовании отдельного (standalone) межсетевого экрана для отделения DMZ от Internet отпадает.

Протокол NAT

Большинство современных маршрутизаторов поддерживают протокол NAT (Network Address Translation), базирующийся на сеансовом уровне и по сути представляющий собой протокол трансляции сетевых адресов. NAT позволяет реализовать множественный доступ компьютеров локальной (частной) сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети.

Протокол NAT решает две главные задачи:

помогает справиться с дефицитом IP-адресов, который становится все более острым по мере роста количества компьютеров;

обеспечивает безопасность внутренней сети -- компьютеры локальной сети, защищенные маршрутизатором с активированным NAT-протоколом (устройством NAT), становятся недоступными из внешней сети.

Хотя протокол NAT не заменяет брандмауэр, он все же является важным элементом безопасности.

Принцип работы протокола NAT достаточно прост. Когда клиент внутренней сети устанавливает связь с сервером внешней сети, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, то IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера и портсервера.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставления портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер. Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт.

Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Было принято решение использовать программный межсетевой экран. Для этого необходимо выделить отдельную довольно мощную машину с несколькими интерфейсами. В качестве программного файрволла предполагается использовать Microsoft ISA Server 2004 Standard Edition.

К одному из интерфейсов компьютера с программным межсетевым экраном подключается внутренняя сеть здания A (inside). К другому - коммутатор для объединения серверов, вынесенных в DMZ-зону (выберем Cisco Catalyst 2960). При выборе данного коммутатора останется запас портов, поэтому добавление серверов в DMZ-зону в будущем не составит труда.

Microsoft Internet Security and Acceleration (ISA) Server выполняет функции защитного экрана масштаба предприятия и Web-кэша. ISA Server может быть установлен в трех режимах: либо в качестве кэширующего сервера (proxy-сервера), либо в качестве брандмауэра, либо в интегральном режиме (этот режим обеспечивает как функции кэширования, так и функции защитного экрана). Поскольку мы используем ISA Server в качестве брандмауэра, необходимо будет выбрать либо режим Firewall, либо Integrated. С помощью ISA Server можно отслеживать процессы доступа клиентов внутренней сети к ресурсам Internet.

Внутренняя сеть задается вводом соответствующего диапазона IP-адресов в таблицу локальных адресов Local Address Table (LAT) на ISA Server. Поскольку ISA Server позволяет вести только одну LAT, можно будет обеспечить полноценную защиту лишь одной сети (внутренней).

Для настройки политик использования входящего и исходящего трафика на ISA Server применяются правила доступа к сайтам и типу содержимого, правила использования протоколов, фильтры IP-пакетов, правила Web-публикаций и правила публикации серверов. Правила доступа к сайтам и типу содержимого управляют доступом и временем доступа внутренних пользователей к определенным внешним сайтам или их содержимому по типу этого содержимого. Правила протоколов управляют тем, какими протоколами могут пользоваться внутренние клиенты для доступа к компьютерам в Internet. Фильтры пакетов IP позволяют управлять тем, какие типы пакетов ISA Server будет принимать из Internet, а какие -- от внутренних компьютеров. Например, можно использовать IP-фильтр, чтобы разрешить прохождение пакетов Ping или PPTP. Правила Web-публикаций позволят сделать внутренние Web-серверы доступными внешним клиентам из Internet. С помощью этих правил можно управлять входящими Web-запросами в зависимости от соответствующих учетных записей, адресов клиентов, целевых адресов и пути. При помощи правил публикации серверов можно будет сделать доступными для внешнего мира другие серверы (например, SMTP-серверы). Правила публикации серверов позволят управлять входящими запросами к этим серверам в зависимости от IP-адреса клиента.

Когда внутренний клиент пытается подсоединиться к компьютеру в Internet, ISA Server проверяет запрос на соответствие правилам использования протоколов. Если этот запрос является HTTP или HTTP Secure (HTTPS), ISA Server дополнительно проверяет его на соответствие правилам доступа к сайтам и по типу содержимого сайтов. Когда ISA Server принимает входящий запрос с клиента Internet, ISA Server проверяет его на соответствие фильтру IP-пакетов. Если запрос является запросом HTTP или HTTPS, ISA Server дополнительно проверяет его на соответствие правилам Web-публикации; в других случаях ISA Server проверяет запрос на соответствие правилам публикации серверов.

В этой статье я расскажу, что такое DMZ хост или сервер на роутере. А также как открыть порты с помощью функции DMZ. Раз вы уже читаете эту статью, то наверняка вы уже знаете, что такое виртуальный сервер и для чего это нужно делать. Если нет, то . Если коротко — то открыть порт на роутере нужно в том случае, когда вы с компьютера обмениваетесь файлами с другими пользователями интернета. Например, для работы запущенного на домашнем ПК FTP-сервера, либо торрент-клиента, либо сетевой игры. В этой статье мы научимся открывать сразу все порты при помощи так называемого DMZ-хоста на примере роутеров TP-Link, Asus, Zyxel Keenetic и Tenda

DMZ («демилиторизованная зона») — это технология, с помощью которой можно открыть абсолютно все порты на одном конкретном устройстве

Как использовать сервер DMZ на маршрутизаторе?

С помощью описанного выше методы мы с помощью роутера открываем лишь один порт для одного устройства в сети. Через DMZ-хост можно открыть сразу несколько портов. Однако, делать это нужно лишь в крайних случаях, так как в таком случае устройство оказывается абсолютно открытым для доступа из интернета. Однако иногда это делать необходимо, например, для настроек просмотра камер видеонаблюдения, подключенных через регистратор, или для организации игрового сервера.

Приведу пример — часто при подключении регистратора видеонаблюдения по умолчанию используется порт 80 и поменять его в настройках просто невозможно. В то же самое время на маршрутизаторе этот порт также занят и перенаправить его не получится. В этом случае на помощь приходит DMZ-хост на роутере.

Виртуальный сервер DMZ на роутере Tenda

В wifi роутерах Tenda функция открытия портов называется «Виртуальный сервер «. В админке ее можно найти в разделе «Дополнительные настройки — Виртуальный сервер»

Но сначала необходимо назначить статический IP адрес для компьютера, на который вы хотите сделать перенаправление портов, иначе при следующем включении по DHCP роутер может присвоить ему другой адрес и все наши настройки собьются. Как это сделать, читайте .

Когда за компьютером зарезервирован определенный адрес, вписываем его в разделе «Виртуальный сервер» в ячейке «Внутренний IP адрес».

• Порт локальной сети — выбираем из списка наиболее подходящий под наши нужды из выпадающего списка — ftp, http, pop3, SMTP и так далее…
• WAN порт — указываем тот же, что и в предыдущем случае
• Протокол — ставим TCP&UDP

И нажимаем кнопку «Добавить»

После сохранения настроек, порт через роутер Tenda откроется и мы сможем без проблем предоставить доступ из интернета к тем или иным ресурсам на компьютере.

Активация DMZ хоста на wifi роутере Tenda находится в «Дополнительных настройках». Здесь все просто — переводим тумблер во включенное положение и вписываем IP адрес компьютера или иного устройства, на котором мы хотим открыть все порты

Настройка DMZ на роутере TP-Link

Функция DMZ на роутере TP-Link в новой версии веб-интерфейса находится в «Дополнительных настройках» в разделе «NAT переадресация — DMZ «. Здесь все просто — включаем его галочкой и указываем IP адрес компьютера, на котором откроются все порты.

DMZ-хост на роутере Asus

На маршрутизаторе Asus настройка DMZ хоста идентична, а находится она в основном разделе меню «Интернет »

Настройка DMZ Zyxel Keenetic

На роутере Zyxel Keenetic тоже имеется подобная функция, но она не называется DMZ, а скрыта в разделе «Безопасность — Межсетевой экран «.

Сначала выбираем здесь тип сети, в которую хотим разрешить доступ — это Home Network (Домашняя сеть)
И далее нажимаем на кнопку «Добавить правило»

Далее оставляем все по умолчанию, кроме одного пункта — «IP адрес назначения». Здесь нужно выбрать «Один» и в текстовом поле написать IP адрес компьютера, на котором надо открыть все порты. Обратите внимание, что в графе «Протокол» сейчас выбираем TCP.

Делаем все, как на картинке ниже:

На обновленной линейке Keenetic DMZ настраивается тоже в рубрике «Межсетевой экран «. Жмем тут «Добавить правило»

Включаем его галочкой и прописываем все то же самое, как и в старой версии Zyxel

Для расширения кругозора также советую прочитать инструкцию от компании Зайксель.

Видео по настройке DMZ Host на маршрутизаторе

Представить какую-либо компанию, у которой отсутствует локальная сеть и нет доступа к Интернету становится все сложнее и сложнее. Обычная технология, помогающая улучшить работу, обеспечить быстрый доступ к информации, обмену документами, данными. Это — с одной стороны. С другой стороны при широком использовании сети Интернет возникает необходимость решения проблемы защиты информации и локальной сети в целом. Особенно существенно этот вопрос встает тогда, когда компания имеет общедоступные (публичные) интернет-сервисы (веб- и ftp-серверы, почтовые сервисы, онлайновые магазины), которые размещены в общей локальной сети.

К таким серверам доступ чаще всего предоставляется свободный, то есть любой пользователь может без выполнения аутентификации по логину и паролю получить доступ к размещенному на веб-сервере ресурсу, к разделам ftp-сервера, почтовый сервер будет принимать почту от иных аналогичных почтовых серверов. И нет никакой гарантии в том, что вместе с почтой не попадет на сервер вредоносный код, что среди сотен пользователей не окажется такого, кто захочет из каких-либо побуждений получить доступ не только к публичным сервисам, но и к локальной сети организации. И если сеть построена на простых концентраторах (хабах), а не на коммутаторах (свитчах), то она будет подвержена большой опасности.

Взломав один из компьютеров, хакер сможет получить доступ ко всей сети

В чем это заключается? Получив доступ к хотя бы одному компьютеру локальной сети, хакер может получить пароли вплоть до пароля администратора, что позволит ему получить доступ к любой информации, циркулирующей или хранящейся в сети, изменить пароли доступа таким образом, что окажутся недоступными базы данных, либо просто будут выведены из строя. Кроме того, получив доступ к веб-серверу, его могут использовать для проведения DoS-атак, что может заблокировать работоспособность всех внутрикорпоративных ресурсов.

Поэтому подход к построению систем, включающих в себя публичные серверы, должен быть иным, нежели подход к построению систем на базе внутренних серверов. Диктуется это специфическими рисками, которые возникают из-за публичной доступности сервера. Решение заключается в разделении локальной сети и публичных серверов на отдельные части. Та, в которой будут размещены публичные сервисы, называется "демилитаризованной зоной" (DMZ — Demilitarized Zone ).

DMZ — зона особого внимания

Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей — там располагаются только серверы. Демилитаризованная зона как правило служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью с публичными адресами, защищенной (или — отделенной) от публичных и корпоративных сетей межсетевыми экранами.

При создании такой зоны перед администраторами корпоративной сети возникают дополнительные задачи. Необходимо обеспечить разграничение доступа к ресурсам и серверам, расположенным в DMZ, обеспечить кофиденциальность информации, передаваемой при работе пользователей с этими ресурсами, вести конроль за действиями пользователей. В отношении информации, которая может находиться на серверах, можно сказать следующее. Учитывая, что публичные сервисы могут быть взломаны, на них должна находиться наименее важная информация, а любая ценная информация должна размещаться исключительно в локальной сети, которая не будет доступна с публичных серверов.

На серверах, размещенных в DMZ, не должно быть никакой информации о пользователях, клиентах компании, иной конфиденциальной информации, не должно быть личных почтовых ящиков сотрудников — это все должно быть надежно "спрятано" в защищенной части локальной сети. А для той информации, которая будет доступна на публичных серверах, необходимо предусмотреть проведение резервного архивирования с возможно меньшей периодичностью. Кроме этого рекомендуется для почтовых серверов применять как минимум двухсерверную модель обслуживания, а для веб-серверов вести постоянный мониторинг состояния информации для своевременного обнаружения и устранения последствий взлома.

Использование межсетевых экранов является обязательным при создании DMZ

Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется машина, работающая под UNIX или Windows NT/2000. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность — выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана — один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети.

Но кроме того, что вынесение публичных серверов в демилитаризованную зону в определенной степени защищает корпоративную сеть, необходимо продумать и обеспечить защиту и самой DMZ. При этом необходимо решить такие вопросы, как:

• защита от атак на серверы и сетевое оборудование;
• защита отдельных серверов;
• контроль почтового и иного контента;
• аудит действий пользователей.

Каким образом могут решаться эти вопросы? Почтовый сервер, который используется как для внешней переписки, так и для внутрикорпоративной, желательно "разделить" на две составляющие — публичную, которая фактически будет сервером-ретранслятором и будет размещаться в DMZ, и основную, размещенную внутри корпоративной сети. Основная составляющая обеспечивает обращение внутренней почты, принимает с ретранслятора и отправляет на него внешнюю корреспонденцию.

Одной из основных проблем является обеспечение безопасного доступа к публичным ресурсам и приложениям из корпоративной внутренней сети. Хотя между нею и демилитаризованной зоной устанавливают межсетевой экран, но он должен быть "прозрачен" для работы. Есть несколько вариантов предоставления такой возможности пользователям. Первый — использование терминального доступа. При такой организации взаимодействия клиента и сервера через установленное соединение не передается какой-либо программный код, среди которого могли бы быть и вирусы и иные вредоносные включения. От терминального клиента к серверу следует поток кодов нажатых клавиш клавиатуры и состояний мыши пользователя, а обратно, от сервера клиенту, поступают бинарные образы экранов серверной сессии браузера или почтового клиента пользователя. Другой вариант — использование VPN (Virtual Private Network). Благодаря контролю доступа и криптозащите информации VPN обладает защищенностью частной сети, и в то же время использует все преимущества сети общего пользования.

К защите серверов и оборудования в DMZ нужно подходить с особой тщательностью

Для защиты от атак на серверы и сетевое оборудование используют специальные системы обнаружения вторжения (Intrusion Detection). Компьютер, на котором устанавливают такую систему, становится первым на пути информационного потока из Интернета в DMZ. Системы настраивают таким образом, чтобы при обнаружении атак они могли выполнить переконфигурирование межсетевого экрана вплоть до полного блокирования доступа. С целью дополнительного, но не постоянного контроля, используют специальное программное обеспечение — сканеры безопасности, проверяющие защищенность сети, серверов и сервисов, баз данных. Для защиты от вирусов в демилитаризованной зоне устанавливается антивирусное ПО, а также средства контроля контента.

Программные и технические решения для организации и защиты DMZ предлагают различные компании. Это и зарубежные, и российские. Среди них можно, к примеру, назвать Computer Associates, D-Link, "Информзащита", Trend Micro и многие другие.

В эру облачных вычислений DMZ (Demilitarized Zone, демилитаризованная зона, ДМЗ — физический или логический сегмент сети, содержащий и предоставляющий организации общедоступные сервисы, а также отделяющий их от остальных участков локальной сети, что позволяет обеспечить внутреннему информационному пространству дополнительную защиту от внешних атак) стала намного более важной — и одновременно более уязвимой, — чем когда-либо могли себе это представить ее первоначальные архитекторы.

Десять или двадцать лет назад, когда большинство конечных точек все еще находились во внутренней сети компании, DMZ зона была всего лишь дополнительной пристройкой к сети. Пользователи, находящиеся за пределами локальной вычислительной сети, очень редко запрашивали доступ к внутренним сервисам, и наоборот, необходимость в доступе локальных пользователей к общедоступным сервисам также возникала не часто, поэтому в то время DMZ мало что решала в деле обеспечения информационной безопасности. Что же стало с ее ролью сейчас?

Сегодня вы либо софтверная компания, либо вы работаете с огромным количеством поставщиков SaaS-сервисов (Software as а service, программное обеспечение как услуга). Так или иначе, но вам постоянно приходится предоставлять доступ пользователям, находящимися за пределами вашей LAN, либо запрашивать доступ к сервисам, расположенным в облаке. В результате ваша DMZ «забита под завязку» различными приложениями. И хотя DMZ, как изначально предполагалось, должна служить своеобразной контрольной точкой вашего периметра, в наши дни ее функция всё больше напоминает внешнюю рекламную вывеску для киберпреступников.

Каждый сервис, который вы запускаете в DMZ зоне, является еще одним информационным сообщением для потенциальных хакеров о том, сколько у вас пользователей, где вы храните свою критически важную деловую информацию, и содержат ли эти данные то, что злоумышленник может захотеть украсть. Ниже представлены четыре лучшие практики, которые позволят вам включить и настроить DMZ так, что пресечь весь этот бардак.

1. Сделайте DMZ действительно отдельным сегментом сети

Основная идея, лежащая в основе DMZ, состоит в том, что она должна быть действительно отделена от остальной LAN. Поэтому вам необходимо включить отличающиеся между собой политики IP-маршрутизации и безопасности для DMZ и остальной части вашей внутренней сети. Это на порядок усложнит жизнь нападающим на вас киберпреступникам, ведь даже если они разберутся с вашей DMZ, эти знания они не смогут использовать для атаки на вашу LAN.

2. Настройте сервисы внутри и вне DMZ зоны

В идеале все сервисы, которые находятся за пределами вашей DMZ, должны устанавливать прямое подключение только к самой DMZ зоне. Сервисы, расположенные внутри DMZ, должны подключаться к внешнему миру только через прокси-серверы. Сервисы, находящиеся внутри DMZ, более безопасны, чем расположенные вне ее. Сервисы, которые лучше защищены, должны взять на себя роль клиента при осуществлении запроса из менее защищенных областей.

3. Используйте два межсетевых экрана для доступа к DMZ

Хотя можно включить DMZ, используя только один файрвол с тремя или более сетевыми интерфейсами, настройка, использующая два межсетевых экрана предоставит вам более надежные средства сдерживания киберпреступников. Первый брандмауэр используется на внешнем периметре и служит только для направления трафика исключительно на DMZ. Второй — внутренний межсетевой экран — обслуживает трафик из DMZ во внутреннюю сеть. Такой подход считается более безопасным, так как он создает два отдельных независимых препятствия на пути хакера, решившего атаковать вашу сеть.

4. Внедрите технологию Reverse Access

Подход от компании Safe-T — технология Reverse Access — сделает DMZ еще более безопасной. Эта технология, основанная на использовании двух серверов, устраняет необходимость открытия любых портов в межсетевом экране, в то же самое время обеспечивая безопасный доступ к приложениям между сетями (через файрвол). Решение включает в себя:

• Внешний сервер — устанавливается в DMZ / внешнем / незащищенном сегменте сети.
• Внутренний сервер — устанавливается во внутреннем / защищенном сегменте сети.

Роль внешнего сервера, расположенного в DMZ организации (на месте или в облаке), заключается в поддержании клиентской стороны пользовательского интерфейса (фронтенда, front-end) к различным сервисам и приложениям, находящимися во Всемирной сети. Он функционирует без необходимости открытия каких-либо портов во внутреннем брандмауэре и гарантирует, что во внутреннюю локальную сеть могут попасть только легитимные данные сеанса. Внешний сервер выполняет разгрузку TCP, позволяя поддерживать работу с любым приложением на основе TCP без необходимости расшифровывать данные трафика криптографического протокола SSL (Secure Sockets Layer, уровень защищенных cокетов).

Роль внутреннего сервера заключается в том, чтобы провести данные сеанса во внутреннюю сеть с внешнего узла SDA (Software-Defined Access, программно-определяемый доступ), и, если только сеанс является легитимным, выполнить функциональность прокси-сервера уровня 7 (разгрузка SSL, переписывание URL-адресов, DPI (Deep Packet Inspection, подробный анализ пакетов) и т. д.) и пропустить его на адресованный сервер приложений.

Технология Reverse Access позволяет аутентифицировать разрешение на доступ пользователям еще до того, как они смогут получить доступ к вашим критически-важным приложениям. Злоумышленник, получивший доступ к вашим приложениям через незаконный сеанс, может исследовать вашу сеть, пытаться проводить атаки инъекции кода или даже передвигаться по вашей сети. Но лишенный возможности позиционировать свою сессию как легитимную, атакующий вас злоумышленник лишается большей части своего инструментария, становясь значительно более ограниченным в средствах.

Вечный параноик, Антон Кочуков.