DMZ i routeren - dette er en funktion, der giver dig mulighed for at åbne alt eksterne porte for en specifik IP fra routerens lokale netværk. Anvendes typisk til at implementere fjernadgang til en bestemt enhed placeret bag en router. DMZ bruges især ofte til adgang fra evt point Internetforbindelse til IP-kameraer eller DVR'er, de der. til videoovervågning.

Mange Wi-Fi-routere har den funktion at give adgang fra et eksternt netværk til enheder på deres lokale netværk (DMZ-værtstilstand, også kendt som eksponeret vært). I denne tilstand har enheden (computer, DVR, IP-kamera osv.) alle porte åbne på det lokale netværk. Dette svarer ikke helt til den kanoniske definition af en DMZ, da en enhed med åbne porte er ikke adskilt fra det interne netværk. Det vil sige, at DMZ-værten frit kan oprette forbindelse til ressourcer på det interne netværk, mens forbindelser til det interne netværk fra den kanoniske DMZ blokeres af firewallen, der adskiller dem, dvs. Ud fra et sikkerhedsmæssigt synspunkt er løsningen ikke den bedste. Det skal huskes, at dette kun er én måde at organisere adgang til en enhed på et andet lokalt netværk. Enkel port forwarding er også populær. Den understøttes også af næsten enhver moderne og knap så moderne router. Men der er én væsentlig forskel. Ethvert skolebarn kan klare at opsætte en DMZ, men port forwarding er ikke så let for en person, der gør dette for første gang.

DMZ er en kompleks løsning og kræver flere enkle trin at bruge det. Ved implementering af f.eks. adgang fra internettet til en DVR kræves følgende:

1. Indtast IP DVR'en i routerens DMZ-indstillinger
2. Routeren skal modtage en permanent IP fra udbyderen eller skal bruge DDNS

Hvorfor kræver DMZ en permanent IP-adresse, og hvorfor kan den erstattes af DDNS?

Alt er enkelt her. Hvis din router er tildelt forskellige IP-adresser, så kan du finde ud af, hvilken IP din router bruger i øjeblikket DDNS-tjeneste. Og du skal kende den samme IP-adresse for at kunne oprette fjernforbindelse til din enhed. DDNS - giver brugerne mulighed for at få et underdomæne, der vil være knyttet til brugerenheden. Når du kender dette underdomæne, behøver du ikke bekymre dig; du vil bruge det i stedet for IP. En permanent IP fra udbyderen er dog både enklere og mere sikker, men dyrere :)

Se hvor enkelt det er. Dette er bekvemmeligheden ved DMZ. En anden fordel er muligheden for at konfigurere en router uden at vide, hvilken port der skal vælges til f.eks. en DVR. Og som en konsekvens, en yderligere ændring af adgangsporten, uanset routerens indstillinger.

Videresendelse af porte gennem en router

Bogstaveligt talt to ord om port forwarding generelt. Port forwarding kunne kaldes et særligt tilfælde af DMZ, hvis ikke for det faktum, at DMZ i den form, det er implementeret i på hjemmeroutere, ikke ville være opstået senere end begrebet port forwarding. Mange brugere forstår ikke betydningen af ​​ordet port. Du kan, hvis du vil, betragte porten som et digitalt mærke (i form af et nummer) på pakker, der hjælper med at sortere informationspakker efter deres destination. Venlig yderligere afhjælpning routing Som regel har routerindstillingerne mulighed for portvideresendelse. For at gøre dette skal du angive IP-adressen for enheden på routerens netværk, den port (dvs. selve etiketten), hvorigennem denne enhed er tilgængelig for administration, den eksterne port er den port, der vil være bundet til den angivne port og enhedens IP.

Konklusion:
DMZ er i det væsentlige portvideresendelse til en specifik IP på det lokale netværk af en router fra et eksternt netværk. Forskellen fra port forwarding er, at i tilfælde af DMZ åbnes alle mulige porte samtidigt for den angivne IP. Dette er ikke effektivt ud fra et sikkerhedssynspunkt, men det forenkler i høj grad opsætningen af ​​fjernadgang til enhver enhed bag routeren. Typisk bruges denne funktion i videoovervågning.

DEMILITARISERET (DMZ) ZONE

Essensen af ​​DMZ er, at den ikke er direkte inkluderet i hverken det interne eller eksterne netværk, og adgang til den kan kun udføres i henhold til foruddefinerede firewall-regler. Der er ingen brugere i DMZ - kun servere er placeret der. En demilitariseret zone tjener som regel til at forhindre adgang fra det eksterne netværk til værter på det interne netværk ved at flytte alle tjenester, der kræver adgang udefra, fra det lokale netværk til en særlig zone. Faktisk viser det sig, at denne zone vil være et separat undernet, beskyttet (eller adskilt) fra offentlige netværk og firmanetværk af firewalls.

Firewalls bruges til at beskytte penetration gennem den demilitariserede zone ind i virksomhedens netværk. Der er software- og hardwareskærme. Softwareprogrammer kræver en separat maskine. For at installere en hardware-firewall behøver du kun at tilslutte den til netværket og udføre minimal konfiguration. Som regel programskærme bruges til at beskytte netværk, hvor der ikke er behov for at lave en masse indstillinger relateret til fleksibel fordeling af båndbredde og trafikbegrænsninger efter protokol for brugere. Hvis netværket er stort, og der kræves høj ydeevne, bliver det mere rentabelt at bruge hardware-firewalls. I mange tilfælde bruges ikke én, men to firewalls – den ene beskytter den demilitariserede zone mod ydre påvirkning, den anden adskiller den indefra virksomhedens netværk. Dette er præcis den ordning, vi vil bruge til at organisere den demilitariserede zone af CorpUTY-selskabet.

Vi vil placere mail-, web- og FTP-servere i DMZ'en, samt ekstern DNS og server fjernadgang RAS.

En organisations netværk indeholder undernet, og derfor er servere, der har brug for adgang både udefra og indefra, placeret i ét undernet (også kaldet en DMZ, demilitariseret zone), og brugere og lokale ressourcer er placeret i andre undernet. Med denne topologi skal servere placeret i DMZ være adskilt af en firewall fra internettet og en anden fra det lokale netværk. Samtidig på det ydre firewall adgang skal implementeres "udefra" til de nødvendige ressourcer

Dog ikke alle, især små virksomheder, har råd til at bruge to servere til at beskytte netværket. Derfor tyr de ofte til en billigere mulighed: at bruge en server med tre netværksgrænseflader. Derefter "ser" den ene grænseflade på internettet, den anden på DMZ og den tredje på lokalt netværk.

Vi kalder netværksadapteren, der er forbundet til internettet, WAN, grænsefladen forbundet til den demilitariserede zone - DMZ, og grænsefladen, der er forbundet til det lokale netværk - LAN.

I fig. Figur 8 viser to muligheder for tilslutning af en firewall. I tilfælde af "a", bruges to firewalls, en tilsluttet til WAN og DMZ, og den anden til DMZ og LAN, i tilfælde "b" - en firewall forbundet til både WAN, LAN og DMZ.

Figur 8. Installationsmuligheder for firewall og demilitariseret zone

Når du implementerer den anden mulighed, skal du være opmærksom på dens ulemper. Først og fremmest er dette et generelt fald i netværkets pålidelighed. Hvis serveren hænger eller genstarter, vil ressourcer i DMZ midlertidigt være utilgængelige for brugerne. For eksempel, hvis du har én mailserver på dit netværk, og den er placeret i en demilitariseret zone, så vil den være utilgængelig, når firewallen er slukket, og brugere i mailklienten vil begynde at modtage forbindelsesfejlmeddelelser. Som følge heraf en strøm af opkald og klager systemadministrator for netværksfejl.

En anden ulempe ved at bruge én server er, at hvis den fejler, vil organisationens lokale netværk praktisk talt være ubrugeligt, al den tid du bruger på at udskifte den.

Og endelig er den måske vigtigste ulempe ved denne topologi, at hvis en angriber formår at trænge ind på serveren, vil han være i stand til at få adgang til både DMZ'en og det lokale netværk.

Hvis der bruges to firewalls, kan alle disse mangler helt eller delvist elimineres. Hvis en af ​​dem fejler inden for få minutter, kan netværket fra mulighed "a" omdannes til mulighed "b" ved at tilføje et andet til serveren netværkskort og foretage de relevante ændringer i indstillingerne. Derudover øges netværkssikkerheden ved brug af to firewalls. For eksempel, hvis en angriber formåede at trænge ind i en server forbundet til WAN og DMZ, så vil han ikke have adgang til lokale netværksressourcer.

For at oprette en mellemliggende DMZ, der bruger to ISA Server-baserede firewalls, skal du bruge to servere, to kopier af Windows 2000 eller 2003, to kopier af ISA Server, fire netværksgrænseflader (to til hver server) og en switch til DMZ. Ofte viser sådanne omkostninger sig at være for meget for virksomheden.

Når vi designer CorpUTY-virksomhedsnetværket, vil vi bruge mulighed "a", men ISA Server 2004 vil blive brugt som den interne firewall, og Cisco Catalyst 3800-routeren vil blive brugt som den eksterne firewall.

Hvis vi fortsætter med at bruge Cisco-produkter, vil vi vælge Cisco Catalyst 3800-routeren som grænserouter mellem den eksterne firewall og internettet. Denne enhed understøtter forskellige WAN-interface-moduler og understøtter højtydende routing ved operatørhastighed og giver også indbygget- i sikkerhedsfunktioner og konvergensfunktioner, som giver mulighed for pålideligt at beskytte kommunikation mellem virksomhedens filialer og samtidig implementere centraliseret styring fra hovedkontoret. Derudover understøtter den valgte router stateful firewall-funktioner samt en Cyber ​​​​Attack Defence Engine, der stopper almindelige angreb på netværk, hvilket sikrer højt niveau tilgængelighed af kritiske Internet applikationer. Derudover understøtter firewallen NAT-adresseringsmekanismen og muligheden for at videresende porte.

Da det såkaldte pakkefilter er indbygget i den valgte router, er det ikke nødvendigt at bruge en separat (standalone) firewall til at adskille DMZ'en fra internettet.

NAT protokol

De fleste moderne routere understøtter NAT-protokollen (Network Address Translation), som er baseret på sessionslaget og i det væsentlige er en oversættelsesprotokol netværksadresser. NAT giver dig mulighed for at implementere flere computeradgange på et lokalt (privat) netværk (som hver har sin egen interne IP-adresse) til internettet ved hjælp af kun én ekstern IP-adresse på routerens WAN-port. I dette tilfælde bliver alle computere i det interne lokale netværk usynlige udefra, men for hver af dem er det eksterne netværk tilgængeligt. NAT-protokollen tillader kun data fra internettet at komme ind på netværket, der blev modtaget som følge af en anmodning fra en computer på det lokale netværk.

NAT-protokollen løser to hovedproblemer:

hjælper med at klare manglen på IP-adresser, som bliver mere akut i takt med at antallet af computere vokser;

sikrer det interne netværks sikkerhed - lokale netværkscomputere beskyttet af en router med en aktiveret NAT-protokol (NAT-enhed) bliver utilgængelige fra det eksterne netværk.

Selvom NAT ikke erstatter en firewall, er den det stadig vigtigt element sikkerhed.

Princippet for driften af ​​NAT-protokollen er ret simpelt. Når en intern netværksklient etablerer en forbindelse med en ekstern netværksserver, åbnes en socket, defineret af kilde-IP-adressen, kildeporten, destinations-IP-adressen, destinationsporten og netværksprotokol. Når et program sender data over denne socket, indsættes kildens IP-adresse og kildeporten i pakken i felterne med kildeparametre. Destinationsindstillingsfelterne vil indeholde server- og portserverens IP-adresse.

NAT-enheden (routeren) opsnapper pakken, der stammer fra det interne netværk og indtaster i sin interne tabel en kortlægning af pakkens kilde- og destinationsporte ved hjælp af destinations-IP-adressen, destinationsporten, NAT-enhedens eksterne IP-adresse, ekstern port , netværksprotokol og interne IP'er - klientadresse og port. NAT-enheden oversætter derefter pakken og transformerer kildefelterne i pakken: klientens interne IP-adresse og port erstattes med NAT-enhedens eksterne IP-adresse og port.

Den konverterede pakke sendes over det eksterne netværk og når i sidste ende den angivne server. Efter at have modtaget pakken vil serveren videresende svarpakker til den eksterne IP-adresse og port på NAT-enheden (routeren), og angive sin egen IP-adresse og port i kildefelterne.

NAT-enheden modtager disse pakker fra serveren og analyserer deres indhold baseret på dens portmappingstabel. Hvis der findes en porttilknytning i tabellen, hvor kilde-IP-adressen, kildeporten, destinationsporten og netværksprotokol fra den indgående pakke svarer til IP-adressen på den eksterne vært, fjernport og netværksprotokollen specificeret i portmappingen, udfører NAT den omvendte oversættelse: den erstatter den eksterne IP-adresse og den eksterne port i pakkens destinationsfelter med IP-adressen og den interne port på den interne netværksklient. Men hvis der ikke er nogen match i portmapping-tabellen, så indgående pakke afvises og forbindelsen afbrydes.

Det blev besluttet at bruge en software firewall. For at gøre dette skal du tildele en separat, ret kraftfuld maskine med flere grænseflader. Microsoft ISA Server 2004 Standard Edition formodes at blive brugt som en software firewall.

Det interne netværk i bygning A (indvendigt) er forbundet med en af ​​computerens grænseflader med en software-firewall. Den anden er en switch til at kombinere servere placeret i en DMZ-zone (vi vælger Cisco Catalyst 2960). Når du vælger denne switch, vil der være en forsyning af porte, så det vil ikke være svært at tilføje servere til DMZ-zonen i fremtiden.

Microsoft internetsikkerhed og Acceleration (ISA) Server udfører funktionerne beskyttende skærm virksomhedsskala og webcache. ISA Server kan installeres i tre tilstande: enten som en cachingserver (proxyserver), som en firewall eller i integreret tilstand (denne tilstand giver både caching- og firewallfunktioner). Da vi bruger ISA Server som firewall, skal vi vælge enten Firewall eller Integreret tilstand. Ved hjælp af ISA Server kan du overvåge interne netværksklienters adgang til internetressourcer.

Det interne netværk specificeres ved at indtaste det passende interval af IP-adresser i tabellen lokale adresser Lokal adressetabel (LAT) på ISA Server. Da ISA Server kun tillader én LAT, vil det være muligt at give fuld beskyttelse til kun ét netværk (internt).

For at konfigurere politikker for brug af indgående og udgående trafik ISA Server anvender regler for websted og indholdstype, protokolregler, IP-pakkefiltre, regler for webudgivelse og regler for serverudgivelse. Adgangsregler for websted og indholdstype styrer, hvordan interne brugere kan få adgang til og få adgang til specifikke eksterne websteder eller deres indhold efter indholdstype. Protokolregler styrer, hvilke protokoller interne klienter kan bruge til at få adgang til computere på internettet. IP-pakkefiltre giver dig mulighed for at kontrollere, hvilke typer pakker ISA Server accepterer fra internettet, og hvilke fra interne computere. For eksempel kan du bruge et IP-filter til at tillade Ping- eller PPTP-pakker at passere igennem. Regler for webpublicering vil gøre interne webservere tilgængelige for eksterne klienter fra internettet. Disse regler kan bruges til at kontrollere indgående webanmodninger baseret på relevante konti, klientadresser, destinationsadresser og sti. Ved hjælp af serverudgivelsesregler vil det være muligt at gøre andre servere (for eksempel SMTP-servere) tilgængelige for omverdenen. Serverudgivelsesregler giver dig mulighed for at administrere indgående anmodninger til disse servere afhængigt af klientens IP-adresse.

Når en intern klient forsøger at oprette forbindelse til en computer på internettet, kontrollerer ISA Server anmodningen for at se, om den overholder protokolreglerne. Hvis anmodningen er HTTP eller HTTP Secure (HTTPS), kontrollerer ISA Server den desuden i forhold til reglerne for webstedsadgang og webstedets indholdstype. Når ISA Server modtager en indgående anmodning fra en internetklient, kontrollerer ISA Server anmodningen mod IP-pakkefilteret. Hvis anmodningen er HTTP-anmodning eller HTTPS, ISA Server kontrollerer desuden, at den overholder reglerne for webpublicering; i andre tilfælde kontrollerer ISA Server anmodningen i forhold til serverudgivelsesregler.

I denne artikel vil jeg fortælle dig, hvad det er DMZ vært eller en server på routeren. Og også hvordan man åbner porte ved hjælp af DMZ-funktionen. Da du allerede læser denne artikel, ved du sikkert allerede, hvad en virtuel server er, og hvorfor du skal gøre det. Hvis ikke, så. Kort sagt skal du åbne en port på routeren, når du udveksler filer fra din computer med andre internetbrugere. For eksempel at betjene en FTP-server, der kører på en hjemme-pc, eller en torrent-klient, eller netværk spil. I denne artikel lærer vi, hvordan du åbner alle porte på én gang ved hjælp af den såkaldte DMZ-vært ved hjælp af et eksempel TP-Link routere,Asus, Zyxel Keenetic og Tenda

DMZ("demilitariseret zone") er en teknologi, hvormed du kan åbne absolut alle porte på én bestemt enhed

Hvordan bruger man en DMZ-server på en router?

Ved at bruge metoden beskrevet ovenfor bruger vi routeren til kun at åbne én port for én enhed på netværket. Gennem en DMZ-vært kan du åbne flere porte på én gang. Dette bør dog kun gøres i ekstreme tilfælde, da enheden i dette tilfælde er fuldstændig åben for adgang fra internettet. Men nogle gange er det nødvendigt at gøre dette, for eksempel for at se indstillinger for CCTV-kameraer tilsluttet via en optager, eller for at organisere spilserver.

Lad mig give dig et eksempel: ofte, når du tilslutter en videoovervågningsoptager, bruges port 80 som standard, og det er simpelthen umuligt at ændre det i indstillingerne. Samtidig er denne port også optaget på routeren, og det vil ikke være muligt at omdirigere den. I dette tilfælde kommer DMZ-værten på routeren til undsætning.

Virtuel DMZ-server på Tenda-router

I wifi routere Tenda portåbningsfunktion kaldes " Virtuel server". I administratorpanelet kan den findes i afsnittet "Avancerede indstillinger - Virtuel server".

Men først skal du tildele en statisk IP-adresse til den computer, som du vil videresende porte til, ellers næste gang du tænder den via DHCP, kan routeren tildele den en anden adresse, og alle vores indstillinger vil gå tabt. Læs hvordan du gør dette.

Når en specifik adresse er reserveret til en computer, skal du indtaste den i afsnittet "Virtuel server" i cellen "Intern IP-adresse".

• Lokal netværksport - vælg den, der passer bedst til vores behov fra rullelisten - ftp, http, pop3, SMTP og så videre...
• WAN port— angive det samme som i det foregående tilfælde
• Protokol - sæt TCP&UDP

Og klik på knappen "Tilføj".

Efter at have gemt indstillingerne, åbnes porten gennem Tenda-routeren, og vi kan nemt give adgang fra internettet til bestemte ressourcer på computeren.

Aktivering af DMZ-værten på Tenda wifi-routeren er i " Yderligere indstillinger" Alt er enkelt her - flyt vippekontakten til tændt position og indtast IP-adressen på computeren eller anden enhed, som vi vil åbne alle porte på

Opsætning af DMZ på en TP-Link router

DMZ-funktion på en TP-Link-router ny version webgrænsefladen er placeret i "Avancerede indstillinger" i " NAT-videresendelse - DMZ". Alt er enkelt her - tænd det med et flueben og angiv IP-adressen på den computer, hvor alle porte åbnes.

DMZ-vært på Asus-router

På Asus router værtens DMZ-indstilling er identisk, og den er placeret i hovedmenusektionen " Internettet»

Opsætning af DMZ Zyxel Keenetic

Zyxel Keenetic routeren har også en lignende funktion, men den hedder ikke DMZ, men er skjult i " Sikkerhed - Firewall«.

Først skal du her vælge den type netværk, som vi ønsker at tillade adgang til - dette er hjemmenetværk.
Og klik derefter på knappen "Tilføj regel".

Dernæst forlader vi alt som standard, bortset fra ét element - "Destinations IP-adresse". Her skal du vælge "En" og i tekstfeltet skrive IP-adressen på den computer, som du skal åbne alle porte på. Bemærk venligst, at i kolonnen "Protokol" vælger vi nu TCP.

Vi gør alt som på billedet nedenfor:

På den opdaterede Keenetic DMZ-linje er den også konfigureret i " Firewall". Klik her "Tilføj regel"

Vi tænder den med et flueben og skriver alt det samme som i gammel version Zyxel

For at udvide din horisont råder jeg dig også til at læse instruktionerne fra Seixel-firmaet.

Video om opsætning af DMZ Host på en router

Det bliver mere og mere vanskeligt at forestille sig enhver virksomhed, der ikke har et lokalt netværk og ingen adgang til internettet. Fælles teknologi, der hjælper med at forbedre ydeevnen, sikre hurtig adgang til information, udveksling af dokumenter, data. Dette er på den ene side. På den anden side, hvornår udbredt brug På internettet er der behov for at løse problemet med at beskytte information og det lokale netværk som helhed. Dette problem opstår især, når virksomheden har offentligt tilgængelige internettjenester (web- og ftp-servere, posttjenester, netbutikker), som er placeret på et fælles lokalt netværk.

Adgang til sådanne servere gives oftest frit, det vil sige, at enhver bruger kan uden godkendelse ved hjælp af login og adgangskode få adgang til en ressource hostet på en webserver, til dele af en ftp-server, mailserveren vil modtage mail fra andre lignende mailservere. Og der er ingen garanti for, at den ikke kommer til serveren sammen med mailen. ondsindet kode at der blandt hundredvis af brugere ikke vil være nogen, der af en eller anden grund ønsker at få adgang ikke kun til offentlige tjenester, men også til organisationens lokale netværk. Og hvis netværket er bygget på simple koncentratorer (hubs), og ikke på switches (switches), så vil det være udsat for stor fare.

Ved at hacke en af ​​computerne kan en hacker få adgang til hele netværket

Hvad er det? Efter at have fået adgang til mindst én computer på det lokale netværk, kan en hacker få adgangskoder op til administratoradgangskoden, som vil give ham adgang til enhver information, der cirkulerer eller lagres på netværket, ændre adgangsadgangskoder på en sådan måde, at databaser vil være utilgængelige eller vil simpelthen blive fjernet ud af drift. Derudover kan den, efter at have fået adgang til en webserver, bruges til at udføre DoS-angreb, som kan blokere funktionaliteten af ​​alle interne virksomhedsressourcer.

Derfor bør tilgangen til at bygge systemer, der inkluderer offentlige servere, være anderledes end tilgangen til at bygge systemer baseret på interne servere. Dette er dikteret af specifikke risici, der opstår på grund af serverens offentlige tilgængelighed. Løsningen er at adskille det lokale netværk og offentlige servere i separate dele. Den, hvor offentlige tjenester vil blive placeret, kaldes den "demilitariserede zone" ( DMZ - Demilitariseret zone).

DMZ - særlig opmærksomhedszone

Essensen af ​​DMZ er, at den ikke er direkte inkluderet i hverken det interne eller eksterne netværk, og adgang til den kan kun udføres i henhold til foruddefinerede firewall-regler. Der er ingen brugere i DMZ - kun servere er placeret der. En demilitariseret zone tjener normalt til at forhindre adgang fra det eksterne netværk til værter på det interne netværk ved at flytte alle tjenester, der kræver adgang udefra, fra det lokale netværk til en særlig zone. Faktisk viser det sig, at denne zone vil være et separat undernet med offentlige adresser, beskyttet (eller adskilt) fra offentlige og virksomhedsnetværk af firewalls.

Når du opretter en sådan zone, står virksomhedens netværksadministratorer over for yderligere opgaver. Det er nødvendigt at sikre differentiering af adgangen til ressourcer og servere placeret i DMZ, for at sikre fortroligheden af ​​de oplysninger, der overføres, når brugere arbejder med disse ressourcer, og for at overvåge brugerhandlinger. Med hensyn til de oplysninger, der måtte være placeret på serverne, kan følgende siges. I betragtning af at offentlige tjenester kan hackes, bør de indeholde mindst muligt vigtig information, og evt værdifuld information skal udelukkende være placeret på et lokalt netværk, som ikke vil være tilgængeligt fra offentlige servere.

Servere placeret i DMZ bør ikke indeholde nogen information om brugere, firmaklienter osv. fortrolige oplysninger bør ikke være personlig postkasser medarbejdere - alt dette skal være sikkert "gemt" i en sikker del af det lokale netværk. Og for de oplysninger, der vil være tilgængelige på offentlige servere, er det nødvendigt at sørge for backup arkivering med så lidt hyppighed som muligt. Derudover anbefales det, at mailservere bruger mindst en to-server servicemodel, og at webservere konstant overvåger informationsstatus for rettidigt at opdage og eliminere konsekvenserne af hacking.

Brugen af ​​firewalls er obligatorisk, når du opretter en DMZ

Firewalls bruges til at beskytte penetration gennem den demilitariserede zone ind i virksomhedens netværk. Der er software- og hardwareskærme. Softwareprogrammer kræver en maskine, der kører UNIX eller Windows NT/2000. For at installere en hardware-firewall behøver du kun at tilslutte den til netværket og udføre minimal konfiguration. Typisk bruges softwareskærme til at beskytte små netværk, hvor der ikke er behov for at lave en masse indstillinger relateret til fleksibel fordeling af båndbredde og trafikbegrænsninger efter protokol for brugere. Hvis netværket er stort, og der kræves høj ydeevne, bliver det mere rentabelt at bruge hardware-firewalls. I mange tilfælde bruges ikke en, men to firewalls - den ene beskytter den demilitariserede zone mod ekstern påvirkning, den anden adskiller den fra den interne del af virksomhedens netværk.

Men udover at flytning af offentlige servere til en demilitariseret zone til en vis grad beskytter virksomhedsnetværket, er det nødvendigt at tænke igennem og sikre beskyttelse af selve DMZ. I dette tilfælde er det nødvendigt at løse problemer som:

• beskyttelse mod angreb på servere og netværkshardware;
• beskyttelse separate servere;
• kontrol af e-mail og andet indhold;
• revision af brugerhandlinger.

Hvordan kan disse problemer løses? Mail server, som bruges både til ekstern korrespondance og til intern virksomhedskorrespondance, er det tilrådeligt at "opdele" i to komponenter - den offentlige, som faktisk vil være en relæserver og vil være placeret i DMZ, og den vigtigste, der er placeret inde i virksomhedens netværk. Hovedkomponenten sikrer cirkulationen af ​​intern post, modtager ekstern korrespondance fra repeateren og sender den til den.

En af hovedudfordringerne er at sikre sikker adgang til offentlige ressourcer og applikationer fra virksomhedens intranet. Selvom der er installeret en firewall mellem den og den demilitariserede zone, skal den være "gennemsigtig" for at fungere. Der er flere muligheder for at give brugerne denne mulighed. Den første er brugen af ​​terminaladgang. Med denne organisering af interaktion mellem klient og server igennem etableret forbindelse overføres ikke nogen programkode, som kunne omfatte vira og andre skadelige indeslutninger. Fra terminalklienten til serveren følger en strøm af koder af nedtrykte tastaturtaster og musetilstande for brugeren, og tilbage, fra serveren til klienten, binære billeder af skærmbillederne i serverbrowsersessionen eller mail klient bruger. En anden mulighed er at bruge en VPN (Virtual Private Network). Takket være adgangskontrol og kryptobeskyttelse af information er VPN sikker privat netværk, og samtidig udnytter det offentlige netværk fuldt ud.

Sikring af servere og udstyr i en DMZ skal behandles med særlig omhu

For at beskytte mod angreb på servere og netværksudstyr anvendes specielle systemer til registrering af indtrængen. Computeren, som et sådant system er installeret på, bliver den første på vej informationsflow fra internettet til DMZ. Systemer er konfigureret således, at når angreb opdages, kan de omkonfigurere firewallen til fuldstændigt at blokere adgangen. Med henblik på yderligere, men ikke permanent kontrol, skal du bruge en speciel software— sikkerhedsscannere, der kontrollerer sikkerheden på netværket, servere og tjenester og databaser. For at beskytte mod virus er antivirussoftware og indholdskontrolværktøjer installeret i den demilitariserede zone.

Software og tekniske løsninger til organisation og DMZ beskyttelse udbydes af forskellige virksomheder. Disse er både udenlandske og russiske. Blandt dem er for eksempel Computer Associates, D-Link, Informzashita, Trend Micro og mange andre.

I æraen skyen DMZ (Demilitarized Zone, demilitarized zone, DMZ - et fysisk eller logisk netværkssegment, der indeholder og leverer offentlige tjenester til en organisation, og som også adskiller dem fra andre sektioner af det lokale netværk, hvilket giver mulighed for intern informationsrum yderligere beskyttelse fra eksterne angreb) er blevet meget vigtigere – og samtidig mere sårbare – end dets oprindelige arkitekter nogensinde havde forestillet sig.

For ti-tyve år siden, hvor de fleste endepunkter stadig var på virksomhedens interne netværk, var DMZ-zonen blot en ekstra udvidelse til netværket. Brugere uden for det lokale computer netværk, meget sjældent anmodet om adgang til interne tjenester, og omvendt behovet for adgang lokale brugere adgang til offentlige tjenester opstod heller ikke ofte, så på det tidspunkt løste DMZ kun lidt i spørgsmålet om at sikre informationssikkerhed. Hvad skete der med hendes rolle nu?

I dag er du enten en softwarevirksomhed, eller du arbejder med et kæmpe beløb udbydere af SaaS-tjenester (Software as a service, software as a service). På den ene eller anden måde skal du konstant give adgang til brugere, der befinder sig uden for dit LAN, eller anmode om adgang til tjenester, der er placeret i skyen. Som et resultat er din DMZ fyldt til sidste plads med forskellige applikationer. Og selvom DMZ, som det oprindeligt var meningen, skulle fungere som en slags kontrolpunkt din omkreds, i disse dage minder dens funktion mere og mere om et eksternt reklameskilt for cyberkriminelle.

Hver tjeneste du kører i DMZ er en anden informationsmeddelelse til potentielle hackere om, hvor mange brugere du har, hvor du gemmer dine kritiske forretningsoplysninger, og om disse data indeholder noget, som en angriber måtte ønske at stjæle. Nedenfor er fire bedste praksis, som giver dig mulighed for at aktivere og konfigurere DMZ, så du kan stoppe alt dette rod.

1. Gør DMZ til et virkelig separat netværkssegment

Den grundlæggende idé bag en DMZ er, at den virkelig skal være adskilt fra resten af ​​LAN. Derfor skal du aktivere forskellige IP-routing- og sikkerhedspolitikker for DMZ'en og resten af ​​dit interne netværk. Dette vil gøre livet meget sværere for de cyberkriminelle, der angriber dig, for selvom de forstår din DMZ, vil de ikke være i stand til at bruge denne viden til at angribe dit LAN.

2. Konfigurer tjenester i og uden for DMZ-zonen

Ideelt set bør alle tjenester, der er uden for din DMZ, kun etablere en direkte forbindelse til selve DMZ'en. Tjenester placeret inde i DMZ bør kun oprette forbindelse til omverdenen via proxyservere. Tjenester placeret inde i DMZ er mere sikre end dem, der er placeret uden for den. Tjenester, der er bedre beskyttet, bør påtage sig rollen som klienten, når de fremsætter anmodninger fra mindre sikre områder.

3. Brug to firewalls til at få adgang til DMZ

Selvom det er muligt at aktivere DMZ ved kun at bruge én firewall med tre eller flere netværksgrænseflader, vil en opsætning, der bruger to firewalls, give dig et mere robust middel til at afskrække cyberkriminelle. Den første firewall bruges på den ydre perimeter og tjener kun til at dirigere trafik udelukkende til DMZ. Den anden, en intern firewall, betjener trafik fra DMZ til internt netværk. Denne tilgang anses for at være mere sikker, fordi den skaber to separate, uafhængige forhindringer i vejen for en hacker, der beslutter sig for at angribe dit netværk.

4. Implementer Reverse Access-teknologi

Safe-T's Reverse Access-teknologi vil gøre DMZ endnu mere sikker. Denne dual-server teknologi eliminerer behovet for at åbne alle porte på firewallen, samtidig med at den giver sikker adgang til applikationer mellem netværk (via en firewall). Løsningen omfatter:

• Ekstern server - installeret i DMZ / ekstern / ubeskyttet netværkssegment.
• Intern server - installeret i det interne/beskyttede netværkssegment.

Rollen for en ekstern server placeret i organisationens DMZ (on-premises eller i skyen) er at vedligeholde klientsiden brugergrænseflade(frontend, frontend) til forskellige tjenester og applikationer placeret i Internettet. Den fungerer uden behov for at åbne nogen porte på den interne firewall og sikrer, at kun legitime sessionsdata kan komme ind i det interne LAN. En ekstern server udfører TCP-offload, så du kan understøtte enhver applikation på TCP baseret uden behov for at dekryptere kryptografiske trafikdata SSL protokol(Secure Sockets Layer, niveau af sikre sockets).

Rolle intern server er at skubbe sessionsdata ind i det interne netværk fra en ekstern SDA (Software-Defined Access) node, og, hvis sessionen er legitim, udføre Layer 7 proxy-funktionalitet (SSL-aflastning, URL-omskrivning, DPI (Deep Packet Inspection, detaljeret pakkeanalyse) ), osv.), og send den til den adresserede applikationsserver.

Reverse Access-teknologi giver dig mulighed for at autentificere brugernes adgangstilladelse, før de kan få adgang til dine missionskritiske applikationer. En angriber, der får adgang til dine applikationer gennem en useriøs session, kan undersøge dit netværk, forsøge at angribe med kodeinjektion eller endda flytte rundt på dit netværk. Men uden evnen til at placere deres session som legitim, mister angriberen, der angriber dig, de fleste af sine værktøjer og bliver væsentligt mere begrænsede i ressourcer.

Evig paranoid, Anton Kochukov.