Σπίτι > iOS > Παράδειγμα ρύθμισης θυρών dmz. Τι είναι το DMZ και πώς να το ρυθμίσετε στο δρομολογητή. Βίντεο σχετικά με τη ρύθμιση του DMZ Host σε δρομολογητή


Παράδειγμα ρύθμισης θυρών dmz. Τι είναι το DMZ και πώς να το ρυθμίσετε στο δρομολογητή. Βίντεο σχετικά με τη ρύθμιση του DMZ Host σε δρομολογητή





Kivshenko Alexey, 1880

Αυτό το άρθρο περιέχει μια επισκόπηση πέντεεπιλογές για την επίλυση του προβλήματος της οργάνωσης της πρόσβασης σε υπηρεσίες εταιρικού δικτύου από το Διαδίκτυο. Η ανασκόπηση παρέχει μια ανάλυση επιλογών ασφάλειας και σκοπιμότητας, η οποία θα βοηθήσει τόσο τους αρχάριους όσο και τους πιο έμπειρους ειδικούς να κατανοήσουν την ουσία του ζητήματος, να ανανεώσουν και να συστηματοποιήσουν τις γνώσεις τους. Τα υλικά του άρθρου μπορούν να χρησιμοποιηθούν για να δικαιολογήσουν τις σχεδιαστικές σας αποφάσεις.

Όταν εξετάζετε τις επιλογές, ας πάρουμε ως παράδειγμα το δίκτυο στο οποίο θέλετε να δημοσιεύσετε:

  1. Διακομιστής εταιρικής αλληλογραφίας (Web-mail).
  2. Διακομιστής τερματικών επιχειρήσεων (RDP).
  3. Υπηρεσία Extranet για αντισυμβαλλόμενους (Web-API).

Επιλογή 1: Επίπεδο δίκτυο

Σε αυτήν την επιλογή, όλοι οι κόμβοι του εταιρικού δικτύου περιέχονται σε ένα κοινό δίκτυο για όλους («Εσωτερικό δίκτυο»), εντός του οποίου οι επικοινωνίες μεταξύ τους δεν περιορίζονται. Το δίκτυο συνδέεται στο Διαδίκτυο μέσω δρομολογητή συνόρων/τείχους προστασίας (εφεξής IFW).

Οι κεντρικοί υπολογιστές έχουν πρόσβαση στο Διαδίκτυο μέσω NAT και πρόσβαση σε υπηρεσίες από το Διαδίκτυο μέσω της προώθησης θύρας.

Πλεονεκτήματα της επιλογής:

  1. Ελάχιστες απαιτήσεις λειτουργικότητας IFW(μπορεί να γίνει σχεδόν σε οποιοδήποτε ρούτερ, ακόμα και σε οικιακό δρομολογητή).
  2. Ελάχιστες απαιτήσεις γνώσεων για τον ειδικό που εφαρμόζει την επιλογή.
Μειονεκτήματα της επιλογής:
  1. Ελάχιστο επίπεδο ασφάλειας. Σε περίπτωση hack κατά την οποία ο εισβολέας αποκτά τον έλεγχο ενός από τους διακομιστές που δημοσιεύονται στο Διαδίκτυο, όλοι οι άλλοι κόμβοι και τα κανάλια επικοινωνίας του εταιρικού δικτύου γίνονται διαθέσιμα σε αυτόν για περαιτέρω επιθέσεις.
Αναλογία με την πραγματική ζωή
Ένα τέτοιο δίκτυο μπορεί να συγκριθεί με μια εταιρεία όπου το προσωπικό και οι πελάτες βρίσκονται σε ένα κοινό δωμάτιο (ανοιχτός χώρος)


hrmaximum.ru

Επιλογή 2. DMZ

Για να εξαλειφθεί το προαναφερθέν μειονέκτημα, οι κόμβοι δικτύου που είναι προσβάσιμοι από το Διαδίκτυο τοποθετούνται σε ένα ειδικά καθορισμένο τμήμα - μια αποστρατιωτικοποιημένη ζώνη (DMZ). Το DMZ οργανώνεται χρησιμοποιώντας τείχη προστασίας που το χωρίζουν από το Διαδίκτυο ( IFW) και από το εσωτερικό δίκτυο ( DFW).


Σε αυτήν την περίπτωση, οι κανόνες φιλτραρίσματος τείχους προστασίας μοιάζουν με αυτό:
  1. Από το εσωτερικό δίκτυο μπορείτε να ξεκινήσετε συνδέσεις με το DMZ και το WAN (Δίκτυο ευρείας περιοχής).
  2. Από το DMZ μπορείτε να ξεκινήσετε συνδέσεις στο WAN.
  3. Από το WAN μπορείτε να ξεκινήσετε συνδέσεις με το DMZ.
  4. Απαγορεύεται η εκκίνηση συνδέσεων από το WAN και το DMZ στο εσωτερικό δίκτυο.


Πλεονεκτήματα της επιλογής:
  1. Αυξημένη ασφάλεια δικτύου κατά της εισβολής μεμονωμένων υπηρεσιών. Ακόμα κι αν ένας από τους διακομιστές παραβιαστεί, ο εισβολέας δεν θα μπορεί να έχει πρόσβαση σε πόρους που βρίσκονται στο εσωτερικό δίκτυο (για παράδειγμα, εκτυπωτές δικτύου, συστήματα παρακολούθησης βίντεο κ.λπ.).
Μειονεκτήματα της επιλογής:
  1. Η μετακίνηση διακομιστών στο DMZ από μόνη της δεν αυξάνει την ασφάλειά τους.
  2. Απαιτείται ένα πρόσθετο τείχος προστασίας για τον διαχωρισμό του DMZ από το εσωτερικό δίκτυο.
Αναλογία με την πραγματική ζωή
Αυτή η έκδοση της αρχιτεκτονικής δικτύου είναι παρόμοια με την οργάνωση των περιοχών εργασίας και πελατών σε μια εταιρεία, όπου οι πελάτες μπορούν να βρίσκονται μόνο στην περιοχή πελατών και το προσωπικό μπορεί να βρίσκεται τόσο στον πελάτη όσο και στον τομέα εργασίας. Το τμήμα DMZ είναι ακριβώς ένα ανάλογο της ζώνης πελάτη.


autobam.ru

Επιλογή 3. Διαίρεση υπηρεσιών σε Front-End και Back-End

Όπως αναφέρθηκε προηγουμένως, η τοποθέτηση ενός διακομιστή σε ένα DMZ δεν βελτιώνει σε καμία περίπτωση την ασφάλεια της ίδιας της υπηρεσίας. Μία από τις επιλογές για τη διόρθωση της κατάστασης είναι να χωρίσετε τη λειτουργικότητα της υπηρεσίας σε δύο μέρη: Front-End και Back-End. Επιπλέον, κάθε τμήμα βρίσκεται σε ξεχωριστό διακομιστή, μεταξύ του οποίου οργανώνεται η αλληλεπίδραση δικτύου. Οι διακομιστές Front-End, οι οποίοι υλοποιούν τη λειτουργικότητα της αλληλεπίδρασης με πελάτες που βρίσκονται στο Διαδίκτυο, τοποθετούνται στο DMZ και οι διακομιστές Back-End, οι οποίοι υλοποιούν την υπόλοιπη λειτουργικότητα, αφήνονται στο εσωτερικό δίκτυο. Για την αλληλεπίδραση μεταξύ τους DFWδημιουργήστε κανόνες που επιτρέπουν την εκκίνηση των συνδέσεων από το Front-End στο Back-End.

Για παράδειγμα, εξετάστε μια εταιρική υπηρεσία email που εξυπηρετεί πελάτες τόσο μέσα από το δίκτυο όσο και από το Διαδίκτυο. Οι πελάτες από το εσωτερικό χρησιμοποιούν το POP3/SMTP και οι πελάτες από το Διαδίκτυο εργάζονται μέσω της διεπαφής Ιστού. Συνήθως, στο στάδιο της υλοποίησης, οι εταιρείες επιλέγουν την απλούστερη μέθοδο ανάπτυξης της υπηρεσίας και τοποθετούν όλα τα στοιχεία της σε έναν διακομιστή. Στη συνέχεια, καθώς γίνεται αντιληπτή η ανάγκη διασφάλισης της ασφάλειας των πληροφοριών, η λειτουργικότητα της υπηρεσίας χωρίζεται σε μέρη και το τμήμα που είναι υπεύθυνο για την εξυπηρέτηση πελατών από το Διαδίκτυο (Front-End) μεταφέρεται σε ξεχωριστό διακομιστή, ο οποίος αλληλεπιδρά μέσω του δικτύου με τον διακομιστή που υλοποιεί την υπόλοιπη λειτουργικότητα (Back -End). Σε αυτήν την περίπτωση, το Front-End τοποθετείται στο DMZ και το Back-End παραμένει στο εσωτερικό τμήμα. Για επικοινωνία μεταξύ Front-End και Back-End on DFWδημιουργήστε έναν κανόνα που επιτρέπει την εκκίνηση των συνδέσεων από το Front-End στο Back-End.

Πλεονεκτήματα της επιλογής:

  1. Γενικά, οι επιθέσεις που στρέφονται κατά της προστατευμένης υπηρεσίας μπορεί να «σκοντάψουν» πάνω από το Front-End, κάτι που θα εξουδετερώσει ή θα μειώσει σημαντικά πιθανή ζημιά. Για παράδειγμα, επιθέσεις όπως το TCP SYN Flood ή η αργή ανάγνωση http που στοχεύουν σε μια υπηρεσία θα οδηγήσουν στο γεγονός ότι ο διακομιστής Front-End μπορεί να μην είναι διαθέσιμος, ενώ το Back-End θα συνεχίσει να λειτουργεί κανονικά και να εξυπηρετεί τους χρήστες.
  2. Γενικά, ο διακομιστής Back-End ενδέχεται να μην έχει πρόσβαση στο Διαδίκτυο, το οποίο, εάν παραβιαστεί (για παράδειγμα, εκτελώντας τοπικά κακόβουλο κώδικα), θα είναι δύσκολη η απομακρυσμένη διαχείρισή του από το Διαδίκτυο.
  3. Το Front-End είναι κατάλληλο για τη φιλοξενία ενός τείχους προστασίας σε επίπεδο εφαρμογής (για παράδειγμα, ενός τείχους προστασίας εφαρμογών Web) ή ενός συστήματος πρόληψης εισβολής (IPS, για παράδειγμα, snort).
Μειονεκτήματα της επιλογής:
  1. Για επικοινωνία μεταξύ Front-End και Back-End on DFWδημιουργείται ένας κανόνας που επιτρέπει την έναρξη μιας σύνδεσης από το DMZ στο εσωτερικό δίκτυο, το οποίο δημιουργεί απειλές που σχετίζονται με τη χρήση αυτού του κανόνα από άλλους κόμβους στο DMZ (για παράδειγμα, μέσω της υλοποίησης επιθέσεων πλαστογράφησης IP, δηλητηρίασης ARP, και τα λοιπά.)
  2. Δεν μπορούν να χωριστούν όλες οι υπηρεσίες σε Front-End και Back-End.
  3. Η εταιρεία πρέπει να εφαρμόσει επιχειρηματικές διαδικασίες για την ενημέρωση των κανόνων του τείχους προστασίας.
  4. Η εταιρεία πρέπει να εφαρμόσει μηχανισμούς για την προστασία από επιθέσεις από εισβολείς που έχουν αποκτήσει πρόσβαση σε διακομιστή στο DMZ.
Σημειώσεις
  1. Στην πραγματική ζωή, ακόμη και χωρίς τη διαίρεση των διακομιστών σε Front-End και Back-End, οι διακομιστές από το DMZ χρειάζεται πολύ συχνά πρόσβαση σε διακομιστές που βρίσκονται στο εσωτερικό δίκτυο, επομένως τα αναφερόμενα μειονεκτήματα αυτής της επιλογής θα ισχύουν και για την προηγούμενη εξεταζόμενη επιλογή.
  2. Εάν λάβουμε υπόψη την προστασία των εφαρμογών που εκτελούνται μέσω της διεπαφής Ιστού, τότε ακόμη και αν ο διακομιστής δεν υποστηρίζει τον διαχωρισμό των λειτουργιών σε Front-End και Back-End, η χρήση ενός http reverse server proxy (για παράδειγμα, nginx) ως Το Front-End θα ελαχιστοποιήσει τους κινδύνους που σχετίζονται με επιθέσεις για άρνηση υπηρεσίας. Για παράδειγμα, οι επιθέσεις πλημμύρας SYN μπορούν να καταστήσουν τον αντίστροφο διακομιστή μεσολάβησης http μη διαθέσιμο ενώ το Back-End συνεχίζει να λειτουργεί.
Αναλογία με την πραγματική ζωή
Αυτή η επιλογή είναι ουσιαστικά παρόμοια με την οργάνωση της εργασίας, στην οποία χρησιμοποιούνται βοηθοί - γραμματείς - για εργάτες με μεγάλο φορτίο. Τότε το Back-End θα είναι το ανάλογο ενός πολυάσχολου υπαλλήλου και το Front-End θα είναι το ανάλογο ενός γραμματέα.


εκατ.kz

Επιλογή 4: Ασφαλίστε το DMZ

Το DMZ είναι μέρος του δικτύου προσβάσιμο από το Διαδίκτυο και, ως εκ τούτου, υπόκειται στον μέγιστο κίνδυνο παραβίασης του κεντρικού υπολογιστή. Ο σχεδιασμός του DMZ και οι προσεγγίσεις που χρησιμοποιούνται σε αυτό θα πρέπει να παρέχουν μέγιστη επιβίωση σε συνθήκες όπου ο εισβολέας έχει αποκτήσει τον έλεγχο ενός από τους κόμβους του DMZ. Ως πιθανές επιθέσεις, ας εξετάσουμε τις επιθέσεις στις οποίες είναι ευαίσθητα σχεδόν όλα τα συστήματα πληροφοριών που λειτουργούν με προεπιλεγμένες ρυθμίσεις:

Προστασία από επιθέσεις DHCP

Παρά το γεγονός ότι το DHCP προορίζεται για την αυτοματοποίηση της διαμόρφωσης διευθύνσεων IP για σταθμούς εργασίας, σε ορισμένες εταιρείες υπάρχουν περιπτώσεις όπου οι διευθύνσεις IP για διακομιστές εκδίδονται μέσω DHCP, αλλά αυτό είναι μια μάλλον κακή πρακτική. Ως εκ τούτου, για να προστατεύσετε από το Rogue DHCP Server, DHCP starvation, συνιστάται η πλήρης απενεργοποίηση του DHCP στο DMZ.

Προστασία από πλημμύρες MAC

Για προστασία από πλημμύρα MAC, οι θύρες μεταγωγέα έχουν ρυθμιστεί ώστε να περιορίζουν τη μέγιστη ένταση της κυκλοφορίας μετάδοσης (καθώς αυτές οι επιθέσεις συνήθως δημιουργούν κίνηση εκπομπής). Οι επιθέσεις που περιλαμβάνουν τη χρήση συγκεκριμένων (unicast) διευθύνσεων δικτύου θα αποκλειστούν από το φιλτράρισμα MAC, το οποίο συζητήσαμε νωρίτερα.

Προστασία από πλημμύρες UDP

Η προστασία έναντι αυτού του τύπου επίθεσης είναι παρόμοια με την προστασία από πλημμύρα MAC, με τη διαφορά ότι το φιλτράρισμα πραγματοποιείται σε επίπεδο IP (L3).

Προστασία από επιθέσεις πλημμύρας TCP SYN

Για προστασία από αυτήν την επίθεση, είναι δυνατές οι ακόλουθες επιλογές:
  1. Προστασία στον κόμβο δικτύου με χρήση της τεχνολογίας Cookie TCP SYN.
  2. Προστασία σε επίπεδο τείχους προστασίας (με την επιφύλαξη υποδικτύωσης του DMZ) περιορίζοντας την ένταση της κίνησης που περιέχει αιτήματα TCP SYN.

Προστασία από επιθέσεις σε υπηρεσίες δικτύου και διαδικτυακές εφαρμογές

Δεν υπάρχει καθολική λύση σε αυτό το πρόβλημα, αλλά καθιερωμένη πρακτική είναι η εφαρμογή διαδικασιών διαχείρισης ευπάθειας λογισμικού (για παράδειγμα αναγνώριση, εγκατάσταση ενημερώσεων κώδικα κ.λπ.), καθώς και η χρήση συστημάτων ανίχνευσης και πρόληψης εισβολών (IDS/IPS).

Προστασία από επιθέσεις παράκαμψης ελέγχου ταυτότητας

Όπως και στην προηγούμενη περίπτωση, δεν υπάρχει καθολική λύση σε αυτό το πρόβλημα.
Συνήθως, σε περίπτωση μεγάλου αριθμού αποτυχημένων προσπαθειών εξουσιοδότησης, οι λογαριασμοί μπλοκάρονται για να αποφευχθεί η εικασία των δεδομένων ελέγχου ταυτότητας (για παράδειγμα, ένας κωδικός πρόσβασης). Αλλά αυτή η προσέγγιση είναι αρκετά αμφιλεγόμενη, και να γιατί.
Πρώτον, ο εισβολέας μπορεί να πραγματοποιήσει την επιλογή των πληροφοριών επαλήθευσης ταυτότητας με ένταση που δεν οδηγεί σε αποκλεισμό λογαριασμών (υπάρχουν περιπτώσεις που ο κωδικός πρόσβασης επιλέχθηκε σε αρκετούς μήνες με ένα διάστημα μεταξύ των προσπαθειών πολλών δεκάδων λεπτών).
Δεύτερον, αυτή η δυνατότητα μπορεί να χρησιμοποιηθεί για επιθέσεις άρνησης υπηρεσίας, στις οποίες ο εισβολέας θα κάνει σκόπιμα μεγάλο αριθμό προσπαθειών εξουσιοδότησης προκειμένου να αποκλείσει λογαριασμούς.
Η πιο αποτελεσματική επιλογή ενάντια σε επιθέσεις αυτής της κατηγορίας θα είναι η χρήση συστημάτων IDS/IPS, τα οποία, κατά τον εντοπισμό προσπαθειών εικασίας κωδικού πρόσβασης, θα μπλοκάρουν όχι τον λογαριασμό, αλλά την πηγή από την οποία προκύπτει αυτή η εικασία (για παράδειγμα, μπλοκάρει τη διεύθυνση IP του ο εισβολέας).

Ο τελικός κατάλογος των προστατευτικών μέτρων για αυτήν την επιλογή:

  1. Το DMZ χωρίζεται σε υποδίκτυα IP με ξεχωριστό υποδίκτυο για κάθε κόμβο.
  2. Οι διευθύνσεις IP εκχωρούνται με μη αυτόματο τρόπο από τους διαχειριστές. Το DHCP δεν χρησιμοποιείται.
  3. Στις διεπαφές δικτύου στις οποίες είναι συνδεδεμένοι οι κόμβοι DMZ, ενεργοποιείται το φιλτράρισμα MAC και IP, οι περιορισμοί στην ένταση της κυκλοφορίας μετάδοσης και η κίνηση που περιέχει αιτήματα TCP SYN.
  4. Η αυτόματη διαπραγμάτευση των τύπων θυρών είναι απενεργοποιημένη στους διακόπτες και η χρήση εγγενούς VLAN απαγορεύεται.
  5. Ένα TCP SYN Cookie έχει ρυθμιστεί σε κόμβους DMZ και διακομιστές εσωτερικού δικτύου στους οποίους συνδέονται αυτοί οι κόμβοι.
  6. Η διαχείριση ευπάθειας λογισμικού εφαρμόζεται για κόμβους DMZ (και κατά προτίμηση για το υπόλοιπο δίκτυο).
  7. Τα συστήματα ανίχνευσης και πρόληψης εισβολών IDS/IPS εφαρμόζονται στο τμήμα DMZ.
Πλεονεκτήματα της επιλογής:
  1. Υψηλός βαθμός ασφάλειας.
Μειονεκτήματα της επιλογής:
  1. Αυξημένες απαιτήσεις για τη λειτουργικότητα του εξοπλισμού.
  2. Κόστος εργασίας για υλοποίηση και υποστήριξη.
Αναλογία με την πραγματική ζωή
Εάν συγκρίναμε προηγουμένως το DMZ με μια περιοχή πελατών εξοπλισμένη με καναπέδες και οθωμανούς, τότε ένα ασφαλές DMZ θα μοιάζει περισσότερο με μια θωρακισμένη ταμειακή μηχανή.


valmax.com.ua

Επιλογή 5. Πίσω σύνδεση

Τα μέτρα προστασίας που εξετάστηκαν στην προηγούμενη έκδοση βασίστηκαν στο γεγονός ότι υπήρχε μια συσκευή στο δίκτυο (διακόπτης / δρομολογητής / τείχος προστασίας) ικανή να τα εφαρμόσει. Αλλά στην πράξη, για παράδειγμα, όταν χρησιμοποιείτε μια εικονική υποδομή (οι εικονικοί διακόπτες έχουν συχνά πολύ περιορισμένες δυνατότητες), μια τέτοια συσκευή μπορεί να μην υπάρχει.

Υπό αυτές τις συνθήκες, πολλές από τις επιθέσεις που συζητήθηκαν προηγουμένως γίνονται διαθέσιμες στον παραβάτη, οι πιο επικίνδυνες από τις οποίες θα είναι:

  • επιθέσεις που σας επιτρέπουν να παρακολουθείτε και να τροποποιείτε την κυκλοφορία (Δηλητηρίαση ARP, υπερχείλιση πίνακα CAM + εισβολή περιόδων σύνδεσης TCP, κ.λπ.).
  • επιθέσεις που σχετίζονται με την εκμετάλλευση τρωτών σημείων σε διακομιστές εσωτερικού δικτύου στους οποίους μπορούν να ξεκινήσουν οι συνδέσεις από το DMZ (κάτι που είναι δυνατό με παράκαμψη κανόνων φιλτραρίσματος DFWλόγω πλαστογράφησης IP και MAC).
Το επόμενο σημαντικό χαρακτηριστικό, το οποίο δεν έχουμε εξετάσει προηγουμένως, αλλά δεν παύει να είναι λιγότερο σημαντικό, είναι ότι οι αυτοματοποιημένοι σταθμοί εργασίας (AWS) των χρηστών μπορούν επίσης να είναι πηγή (για παράδειγμα, όταν έχουν μολυνθεί με ιούς ή Trojans) επιβλαβών επιπτώσεων σε διακομιστές.

Έτσι, βρισκόμαστε αντιμέτωποι με το καθήκον να προστατεύσουμε τους διακομιστές του εσωτερικού δικτύου από επιθέσεις από τον εισβολέα τόσο από το DMZ όσο και από το εσωτερικό δίκτυο (η μόλυνση του σταθμού εργασίας με έναν Trojan μπορεί να ερμηνευθεί ως ενέργειες του εισβολέα από το εσωτερικό δίκτυο ).

Η προσέγγιση που προτείνεται παρακάτω στοχεύει στη μείωση του αριθμού των καναλιών μέσω των οποίων ένας εισβολέας μπορεί να επιτεθεί σε διακομιστές, και υπάρχουν τουλάχιστον δύο τέτοια κανάλια. Ο πρώτος είναι ο κανόνας DFW, που επιτρέπει την πρόσβαση στον εσωτερικό διακομιστή δικτύου από το DMZ (ακόμα και αν περιορίζεται από διευθύνσεις IP) και το δεύτερο είναι μια ανοιχτή θύρα δικτύου στον διακομιστή στην οποία αναμένονται αιτήματα σύνδεσης.

Μπορείτε να κλείσετε αυτά τα κανάλια εάν ο ίδιος ο εσωτερικός διακομιστής δικτύου δημιουργεί συνδέσεις με τον διακομιστή στο DMZ και το κάνει αυτό χρησιμοποιώντας κρυπτογραφικά ασφαλή πρωτόκολλα δικτύου. Τότε δεν θα υπάρχει ούτε ανοιχτή θύρα ούτε κανόνας DFW.

Αλλά το πρόβλημα είναι ότι οι συνηθισμένες υπηρεσίες διακομιστή δεν ξέρουν πώς να λειτουργούν με αυτόν τον τρόπο και για την εφαρμογή αυτής της προσέγγισης είναι απαραίτητο να χρησιμοποιήσετε τη σήραγγα δικτύου, που υλοποιείται, για παράδειγμα, χρησιμοποιώντας SSH ή VPN, και εντός των σηράγγων επιτρέπονται οι συνδέσεις από τον διακομιστή στο DMZ στον εσωτερικό διακομιστή δικτύου.

Το γενικό σχήμα λειτουργίας αυτής της επιλογής έχει ως εξής:

  1. Ένας διακομιστής SSH/VPN είναι εγκατεστημένος στον διακομιστή στο DMZ και ένας πελάτης SSH/VPN είναι εγκατεστημένος στον διακομιστή στο εσωτερικό δίκτυο.
  2. Ο εσωτερικός διακομιστής δικτύου ξεκινά την κατασκευή μιας σήραγγας δικτύου στον διακομιστή στο DMZ. Η σήραγγα είναι κατασκευασμένη με αμοιβαίο έλεγχο ταυτότητας πελάτη και διακομιστή.
  3. Ο διακομιστής από το DMZ, μέσα στο κατασκευασμένο τούνελ, ξεκινά μια σύνδεση με τον διακομιστή στο εσωτερικό δίκτυο, μέσω του οποίου μεταδίδονται τα προστατευμένα δεδομένα.
  4. Ένα τοπικό τείχος προστασίας έχει ρυθμιστεί στον εσωτερικό διακομιστή δικτύου για να φιλτράρει την κίνηση που διέρχεται από τη σήραγγα.

Η χρήση αυτής της επιλογής στην πράξη έχει δείξει ότι είναι βολικό να δημιουργείτε τούνελ δικτύου χρησιμοποιώντας το OpenVPN, καθώς έχει τις ακόλουθες σημαντικές ιδιότητες:

  • Cross-platform. Μπορείτε να οργανώσετε την επικοινωνία σε διακομιστές με διαφορετικά λειτουργικά συστήματα.
  • Δυνατότητα κατασκευής τούνελ με αμοιβαίο έλεγχο ταυτότητας πελάτη και διακομιστή.
  • Δυνατότητα χρήσης πιστοποιημένης κρυπτογραφίας.
Με την πρώτη ματιά, μπορεί να φαίνεται ότι αυτό το σχήμα είναι αδικαιολόγητα περίπλοκο και ότι, δεδομένου ότι εξακολουθείτε να χρειάζεται να εγκαταστήσετε ένα τοπικό τείχος προστασίας στον εσωτερικό διακομιστή δικτύου, θα ήταν ευκολότερο να κάνετε τον διακομιστή από το DMZ, ως συνήθως, να συνδεθεί στο εσωτερικό δίκτυο διακομιστή, αλλά κάντε το με κρυπτογραφημένη σύνδεση. Πράγματι, αυτή η επιλογή θα λύσει πολλά προβλήματα, αλλά δεν θα είναι σε θέση να παρέχει το κύριο πράγμα - προστασία από επιθέσεις σε ευπάθειες διακομιστή εσωτερικού δικτύου που πραγματοποιούνται με παράκαμψη του τείχους προστασίας χρησιμοποιώντας πλαστογράφηση IP και MAC.

Πλεονεκτήματα της επιλογής:

  1. Αρχιτεκτονική μείωση του αριθμού των διανυσμάτων επίθεσης στον προστατευμένο εσωτερικό διακομιστή δικτύου.
  2. Διασφάλιση ασφάλειας απουσία φιλτραρίσματος κίνησης δικτύου.
  3. Προστασία δεδομένων που μεταδίδονται μέσω του δικτύου από μη εξουσιοδοτημένη προβολή και τροποποίηση.
  4. Η δυνατότητα επιλεκτικής αύξησης του επιπέδου ασφάλειας των υπηρεσιών.
  5. Η δυνατότητα υλοποίησης ενός συστήματος προστασίας δύο κυκλωμάτων, όπου το πρώτο κύκλωμα παρέχεται με χρήση τείχους προστασίας και το δεύτερο οργανώνεται με βάση αυτήν την επιλογή.
Μειονεκτήματα της επιλογής:
  1. Η εφαρμογή και η συντήρηση αυτής της επιλογής προστασίας απαιτεί πρόσθετο κόστος εργασίας.
  2. Ασυμβατότητα με συστήματα εντοπισμού και πρόληψης εισβολών στο δίκτυο (IDS/IPS).
  3. Πρόσθετος υπολογιστικός φόρτος σε διακομιστές.
Αναλογία με την πραγματική ζωή
Το κύριο νόημα αυτής της επιλογής είναι ότι το έμπιστο πρόσωπο δημιουργεί μια σύνδεση με το μη αξιόπιστο άτομο, κάτι που μοιάζει με την κατάσταση όταν, όταν εκδίδουν δάνεια, οι ίδιες οι τράπεζες καλούν τον πιθανό δανειολήπτη για να ελέγξουν τα δεδομένα. Προσθέστε ετικέτες

Γίνεται όλο και πιο δύσκολο να φανταστεί κανείς μια εταιρεία που δεν έχει τοπικό δίκτυο και δεν έχει πρόσβαση στο Διαδίκτυο. Μια κοινή τεχνολογία που βοηθά στη βελτίωση της εργασίας, στην παροχή γρήγορης πρόσβασης σε πληροφορίες, στην ανταλλαγή εγγράφων και δεδομένων. Αυτό είναι από τη μια πλευρά. Από την άλλη, με την ευρεία χρήση του Διαδικτύου, υπάρχει ανάγκη να λυθεί το πρόβλημα της προστασίας των πληροφοριών και του τοπικού δικτύου συνολικά. Αυτό το ζήτημα προκύπτει ιδιαίτερα σημαντικά όταν μια εταιρεία διαθέτει δημόσια προσβάσιμες υπηρεσίες Διαδικτύου (διακομιστές web και ftp, υπηρεσίες email, ηλεκτρονικά καταστήματα), οι οποίες βρίσκονται σε ένα κοινό τοπικό δίκτυο.

Η πρόσβαση σε τέτοιους διακομιστές παρέχεται τις περισσότερες φορές ελεύθερα, δηλαδή, οποιοσδήποτε χρήστης μπορεί, χωρίς έλεγχο ταυτότητας με χρήση σύνδεσης και κωδικού πρόσβασης, να αποκτήσει πρόσβαση σε έναν πόρο που φιλοξενείται σε έναν διακομιστή web, σε τμήματα ενός διακομιστή ftp, ο διακομιστής αλληλογραφίας θα δέχεται αλληλογραφία από άλλους παρόμοιους διακομιστές αλληλογραφίας. Και δεν υπάρχει καμία εγγύηση ότι ο κακόβουλος κώδικας δεν θα καταλήξει στον διακομιστή μαζί με την αλληλογραφία και ότι μεταξύ εκατοντάδων χρηστών δεν θα υπάρχει κάποιος που, για οποιονδήποτε λόγο, θέλει να αποκτήσει πρόσβαση όχι μόνο σε δημόσιες υπηρεσίες, αλλά και σε τοπικό δίκτυο του οργανισμού. Και αν το δίκτυο είναι χτισμένο σε απλούς συγκεντρωτές (hubs), και όχι σε διακόπτες (διακόπτες), τότε θα εκτεθεί σε μεγάλο κίνδυνο.

Χακάροντας έναν από τους υπολογιστές, ένας χάκερ μπορεί να αποκτήσει πρόσβαση σε ολόκληρο το δίκτυο

Τι είναι αυτό? Έχοντας αποκτήσει πρόσβαση σε τουλάχιστον έναν υπολογιστή στο τοπικό δίκτυο, ένας χάκερ μπορεί να αποκτήσει κωδικούς πρόσβασης μέχρι τον κωδικό πρόσβασης διαχειριστή, που θα του επιτρέψουν να αποκτήσει πρόσβαση σε οποιαδήποτε πληροφορία που κυκλοφορεί ή είναι αποθηκευμένη στο δίκτυο, αλλάζει τους κωδικούς πρόσβασης με τέτοιο τρόπο ώστε Οι βάσεις δεδομένων θα είναι απρόσιτες ή απλώς θα αφαιρεθούν εκτός λειτουργίας. Επιπλέον, έχοντας αποκτήσει πρόσβαση σε έναν διακομιστή ιστού, μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων DoS, οι οποίες μπορούν να εμποδίσουν τη λειτουργικότητα όλων των εσωτερικών εταιρικών πόρων.

Επομένως, η προσέγγιση για την κατασκευή συστημάτων που περιλαμβάνουν δημόσιους διακομιστές θα πρέπει να είναι διαφορετική από την προσέγγιση για την κατασκευή συστημάτων που βασίζονται σε εσωτερικούς διακομιστές. Αυτό υπαγορεύεται από συγκεκριμένους κινδύνους που προκύπτουν λόγω της δημόσιας διαθεσιμότητας του διακομιστή. Η λύση είναι να χωρίσετε το τοπικό δίκτυο και τους δημόσιους διακομιστές σε ξεχωριστά μέρη. Αυτή στην οποία θα βρίσκονται οι δημόσιες υπηρεσίες ονομάζεται «αποστρατιωτικοποιημένη ζώνη» ( DMZ - Αποστρατιωτικοποιημένη Ζώνη).

DMZ - ζώνη ειδικής προσοχής

Η ουσία του DMZ είναι ότι δεν περιλαμβάνεται άμεσα ούτε στο εσωτερικό ούτε στο εξωτερικό δίκτυο και η πρόσβαση σε αυτό μπορεί να πραγματοποιηθεί μόνο σύμφωνα με προκαθορισμένους κανόνες τείχους προστασίας. Δεν υπάρχουν χρήστες στο DMZ - μόνο διακομιστές βρίσκονται εκεί. Μια αποστρατιωτικοποιημένη ζώνη συνήθως χρησιμεύει για να εμποδίζει την πρόσβαση από το εξωτερικό δίκτυο σε κεντρικούς υπολογιστές στο εσωτερικό δίκτυο μεταφέροντας όλες τις υπηρεσίες που απαιτούν πρόσβαση από το εξωτερικό από το τοπικό δίκτυο σε μια ειδική ζώνη. Στην πραγματικότητα, αποδεικνύεται ότι αυτή η ζώνη θα είναι ένα ξεχωριστό υποδίκτυο με δημόσιες διευθύνσεις, προστατευμένες (ή διαχωρισμένες) από δημόσια και εταιρικά δίκτυα με τείχη προστασίας.

Κατά τη δημιουργία μιας τέτοιας ζώνης, οι διαχειριστές εταιρικού δικτύου αντιμετωπίζουν πρόσθετες εργασίες. Είναι απαραίτητο να διασφαλιστεί η διαφοροποίηση της πρόσβασης σε πόρους και διακομιστές που βρίσκονται στο DMZ, να διασφαλιστεί η εμπιστευτικότητα των πληροφοριών που μεταδίδονται όταν οι χρήστες εργάζονται με αυτούς τους πόρους και να παρακολουθούνται οι ενέργειες των χρηστών. Όσον αφορά τις πληροφορίες που ενδέχεται να βρίσκονται στους διακομιστές, μπορούμε να πούμε τα εξής. Λαμβάνοντας υπόψη ότι οι δημόσιες υπηρεσίες μπορούν να παραβιαστούν, οι λιγότερο σημαντικές πληροφορίες θα πρέπει να βρίσκονται σε αυτές και κάθε πολύτιμη πληροφορία θα πρέπει να βρίσκεται αποκλειστικά στο τοπικό δίκτυο, το οποίο δεν θα είναι προσβάσιμο από δημόσιους διακομιστές.

Στους διακομιστές που βρίσκονται στο DMZ δεν πρέπει να υπάρχουν πληροφορίες σχετικά με τους χρήστες, τους πελάτες της εταιρείας ή άλλες εμπιστευτικές πληροφορίες, δεν πρέπει να υπάρχουν προσωπικά γραμματοκιβώτια υπαλλήλων - όλα αυτά θα πρέπει να είναι "κρυμμένα" με ασφάλεια σε ένα προστατευμένο τμήμα του τοπικού δικτύου. Και για τις πληροφορίες που θα είναι διαθέσιμες στους δημόσιους διακομιστές, είναι απαραίτητο να προβλεφθεί η αρχειοθέτηση αντιγράφων ασφαλείας με τη μικρότερη δυνατή συχνότητα. Επιπλέον, συνιστάται στους διακομιστές αλληλογραφίας να χρησιμοποιούν τουλάχιστον ένα μοντέλο υπηρεσίας δύο διακομιστών και στους διακομιστές ιστού να παρακολουθούν συνεχώς την κατάσταση των πληροφοριών για τον έγκαιρο εντοπισμό και την εξάλειψη των συνεπειών της εισβολής.

Η χρήση τείχους προστασίας είναι υποχρεωτική κατά τη δημιουργία ενός DMZ

Τα τείχη προστασίας χρησιμοποιούνται για την προστασία της διείσδυσης μέσω της αποστρατιωτικοποιημένης ζώνης στο εταιρικό δίκτυο. Υπάρχουν οθόνες λογισμικού και υλικού. Τα προγράμματα λογισμικού απαιτούν μηχάνημα με UNIX ή Windows NT/2000. Για να εγκαταστήσετε ένα τείχος προστασίας υλικού, χρειάζεται μόνο να το συνδέσετε στο δίκτυο και να εκτελέσετε ελάχιστη διαμόρφωση. Συνήθως, οι οθόνες λογισμικού χρησιμοποιούνται για την προστασία μικρών δικτύων όπου δεν χρειάζεται να γίνουν πολλές ρυθμίσεις που σχετίζονται με την ευέλικτη κατανομή του εύρους ζώνης και τους περιορισμούς κυκλοφορίας ανά πρωτόκολλο για τους χρήστες. Εάν το δίκτυο είναι μεγάλο και απαιτείται υψηλή απόδοση, καθίσταται πιο κερδοφόρο να χρησιμοποιείτε τείχη προστασίας υλικού. Σε πολλές περιπτώσεις, χρησιμοποιούνται όχι ένα, αλλά δύο τείχη προστασίας - το ένα προστατεύει την αποστρατιωτικοποιημένη ζώνη από εξωτερική επιρροή, το δεύτερο τη χωρίζει από το εσωτερικό τμήμα του εταιρικού δικτύου.

Αλλά εκτός από το γεγονός ότι η μετακίνηση των δημόσιων διακομιστών σε μια αποστρατιωτικοποιημένη ζώνη προστατεύει το εταιρικό δίκτυο σε κάποιο βαθμό, είναι απαραίτητο να σκεφτούμε καλά και να διασφαλίσουμε την προστασία για το ίδιο το DMZ. Σε αυτήν την περίπτωση, είναι απαραίτητο να επιλυθούν ζητήματα όπως:

  • προστασία από επιθέσεις σε διακομιστές και εξοπλισμό δικτύου·
  • προστασία μεμονωμένων διακομιστών·
  • έλεγχος ηλεκτρονικού ταχυδρομείου και άλλου περιεχομένου·
  • έλεγχος των ενεργειών των χρηστών.

Πώς μπορούν να επιλυθούν αυτά τα ζητήματα; Συνιστάται να «χωρίσετε» τον διακομιστή αλληλογραφίας, ο οποίος χρησιμοποιείται τόσο για εξωτερική αλληλογραφία όσο και για εσωτερική εταιρική αλληλογραφία, σε δύο στοιχεία - το δημόσιο, που θα είναι στην πραγματικότητα διακομιστής αναμετάδοσης και θα βρίσκεται στο DMZ και το κύριο ένα, που βρίσκεται εντός του εταιρικού δικτύου. Το κύριο εξάρτημα διασφαλίζει την κυκλοφορία της εσωτερικής αλληλογραφίας, λαμβάνει εξωτερική αλληλογραφία από τον επαναλήπτη και τη στέλνει σε αυτόν.

Μία από τις κύριες προκλήσεις είναι η διασφάλιση ασφαλούς πρόσβασης σε δημόσιους πόρους και εφαρμογές από το εταιρικό intranet. Αν και ένα τείχος προστασίας είναι εγκατεστημένο μεταξύ αυτού και της αποστρατιωτικοποιημένης ζώνης, πρέπει να είναι «διαφανές» για να λειτουργήσει. Υπάρχουν πολλές επιλογές για την παροχή αυτής της ευκαιρίας στους χρήστες. Το πρώτο είναι η χρήση της πρόσβασης τερματικού. Με αυτήν την οργάνωση αλληλεπίδρασης μεταξύ του πελάτη και του διακομιστή, δεν μεταδίδεται κανένας κώδικας προγράμματος μέσω της εγκατεστημένης σύνδεσης, η οποία θα μπορούσε να περιλαμβάνει ιούς και άλλα κακόβουλα εγκλείσματα. Από τον τερματικό πελάτη στον διακομιστή υπάρχει μια ροή κωδικών των πατημένων πλήκτρων του πληκτρολογίου και των καταστάσεων του ποντικιού του χρήστη, και πίσω, από τον διακομιστή στον πελάτη, δυαδικές εικόνες των οθονών της περιόδου λειτουργίας διακομιστή του προγράμματος περιήγησης ή του προγράμματος-πελάτη αλληλογραφίας του χρήστη είναι έλαβε. Μια άλλη επιλογή είναι να χρησιμοποιήσετε ένα VPN (Virtual Private Network). Χάρη στον έλεγχο πρόσβασης και την κρυπτοπροστασία των πληροφοριών, ένα VPN έχει την ασφάλεια ενός ιδιωτικού δικτύου και ταυτόχρονα εκμεταλλεύεται όλα τα πλεονεκτήματα ενός δημόσιου δικτύου.

Η ασφάλεια των διακομιστών και του εξοπλισμού σε ένα DMZ πρέπει να προσεγγίζεται με ιδιαίτερη προσοχή

Για την προστασία από επιθέσεις σε διακομιστές και εξοπλισμό δικτύου, χρησιμοποιούνται ειδικά συστήματα ανίχνευσης εισβολών. Ο υπολογιστής στον οποίο είναι εγκατεστημένο ένα τέτοιο σύστημα γίνεται ο πρώτος στη διαδρομή ροής πληροφοριών από το Διαδίκτυο στο DMZ. Τα συστήματα έχουν ρυθμιστεί έτσι ώστε όταν εντοπίζονται επιθέσεις, να μπορούν να ρυθμίσουν εκ νέου το τείχος προστασίας σε σημείο που να εμποδίζουν πλήρως την πρόσβαση. Για σκοπούς πρόσθετου, αλλά όχι μόνιμου ελέγχου, χρησιμοποιείται ειδικό λογισμικό - σαρωτές ασφαλείας που ελέγχουν την ασφάλεια του δικτύου, των διακομιστών και των υπηρεσιών και των βάσεων δεδομένων. Για προστασία από ιούς, εγκαθίστανται λογισμικό προστασίας από ιούς και εργαλεία ελέγχου περιεχομένου στην αποστρατιωτικοποιημένη ζώνη.

Λογισμικό και τεχνικές λύσεις για την οργάνωση και την προστασία του DMZ προσφέρονται από διάφορες εταιρείες. Αυτά είναι και ξένα και ρωσικά. Μεταξύ αυτών είναι, για παράδειγμα, Computer Associates, D-Link, Informzashita, Trend Micro και πολλοί άλλοι.

Με την ευρεία χρήση του Διαδικτύου, υπάρχει ανάγκη να λυθεί το πρόβλημα της προστασίας των πληροφοριών και του τοπικού δικτύου συνολικά. Αυτό το ζήτημα προκύπτει ιδιαίτερα σημαντικά όταν μια εταιρεία διαθέτει δημόσια προσβάσιμες υπηρεσίες Διαδικτύου (διακομιστές web και ftp, υπηρεσίες email, ηλεκτρονικά καταστήματα), οι οποίες βρίσκονται σε ένα κοινό τοπικό δίκτυο.

Η πρόσβαση σε τέτοιους διακομιστές παρέχεται τις περισσότερες φορές ελεύθερα, δηλαδή, οποιοσδήποτε χρήστης μπορεί, χωρίς έλεγχο ταυτότητας με χρήση σύνδεσης και κωδικού πρόσβασης, να αποκτήσει πρόσβαση σε έναν πόρο που φιλοξενείται σε έναν διακομιστή web, σε τμήματα ενός διακομιστή ftp, ο διακομιστής αλληλογραφίας θα δέχεται αλληλογραφία από άλλους παρόμοιους διακομιστές αλληλογραφίας. Και δεν υπάρχει καμία εγγύηση ότι ο κακόβουλος κώδικας δεν θα καταλήξει στον διακομιστή μαζί με την αλληλογραφία και ότι μεταξύ εκατοντάδων χρηστών δεν θα υπάρχει κάποιος που, για οποιονδήποτε λόγο, θέλει να αποκτήσει πρόσβαση όχι μόνο σε δημόσιες υπηρεσίες, αλλά και σε τοπικό δίκτυο του οργανισμού. Και αν το δίκτυο είναι χτισμένο σε απλούς συγκεντρωτές (hubs), και όχι σε διακόπτες (διακόπτες), τότε θα εκτεθεί σε μεγάλο κίνδυνο.

Χακάροντας έναν από τους υπολογιστές, ένας χάκερ μπορεί να αποκτήσει πρόσβαση σε ολόκληρο το δίκτυο

Τι είναι αυτό? Έχοντας αποκτήσει πρόσβαση σε τουλάχιστον έναν υπολογιστή στο τοπικό δίκτυο, ένας χάκερ μπορεί να αποκτήσει κωδικούς πρόσβασης μέχρι τον κωδικό πρόσβασης διαχειριστή, που θα του επιτρέψουν να αποκτήσει πρόσβαση σε οποιαδήποτε πληροφορία που κυκλοφορεί ή είναι αποθηκευμένη στο δίκτυο, αλλάζει τους κωδικούς πρόσβασης με τέτοιο τρόπο ώστε Οι βάσεις δεδομένων θα είναι απρόσιτες ή απλώς θα αφαιρεθούν εκτός λειτουργίας. Επιπλέον, έχοντας αποκτήσει πρόσβαση σε έναν διακομιστή ιστού, μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων DoS, οι οποίες μπορούν να εμποδίσουν τη λειτουργικότητα όλων των εσωτερικών εταιρικών πόρων.

Επομένως, η προσέγγιση για την κατασκευή συστημάτων που περιλαμβάνουν δημόσιους διακομιστές θα πρέπει να είναι διαφορετική από την προσέγγιση για την κατασκευή συστημάτων που βασίζονται σε εσωτερικούς διακομιστές. Αυτό υπαγορεύεται από συγκεκριμένους κινδύνους που προκύπτουν λόγω της δημόσιας διαθεσιμότητας του διακομιστή. Η λύση είναι να χωρίσετε το τοπικό δίκτυο και τους δημόσιους διακομιστές σε ξεχωριστά μέρη. Αυτή στην οποία θα βρίσκονται οι δημόσιες υπηρεσίες ονομάζεται «αποστρατιωτικοποιημένη ζώνη» ( DMZ - Αποστρατιωτικοποιημένη Ζώνη).

Εικόνα 13.2 – Σχέδιο τοπικού δικτύου με αποστρατιωτικοποιημένη ζώνη

Η ουσία του DMZ είναι ότι δεν περιλαμβάνεται άμεσα ούτε στο εσωτερικό ούτε στο εξωτερικό δίκτυο και η πρόσβαση σε αυτό μπορεί να πραγματοποιηθεί μόνο σύμφωνα με προκαθορισμένους κανόνες τείχους προστασίας. Δεν υπάρχουν χρήστες στο DMZ - μόνο διακομιστές βρίσκονται εκεί. Μια αποστρατιωτικοποιημένη ζώνη συνήθως χρησιμεύει για να εμποδίζει την πρόσβαση από το εξωτερικό δίκτυο σε κεντρικούς υπολογιστές στο εσωτερικό δίκτυο μεταφέροντας όλες τις υπηρεσίες που απαιτούν πρόσβαση από το εξωτερικό από το τοπικό δίκτυο σε μια ειδική ζώνη. Στην πραγματικότητα, αποδεικνύεται ότι αυτή η ζώνη θα είναι ένα ξεχωριστό υποδίκτυο με δημόσιες διευθύνσεις, προστατευμένες (ή διαχωρισμένες) από δημόσια και εταιρικά δίκτυα με τείχη προστασίας.



Κατά τη δημιουργία μιας τέτοιας ζώνης, οι διαχειριστές εταιρικού δικτύου αντιμετωπίζουν πρόσθετες εργασίες. Είναι απαραίτητο να διασφαλιστεί η διαφοροποίηση της πρόσβασης σε πόρους και διακομιστές που βρίσκονται στο DMZ, να διασφαλιστεί η εμπιστευτικότητα των πληροφοριών που μεταδίδονται όταν οι χρήστες εργάζονται με αυτούς τους πόρους και να παρακολουθούνται οι ενέργειες των χρηστών. Όσον αφορά τις πληροφορίες που ενδέχεται να βρίσκονται στους διακομιστές, μπορούμε να πούμε τα εξής. Λαμβάνοντας υπόψη ότι οι δημόσιες υπηρεσίες μπορούν να παραβιαστούν, οι λιγότερο σημαντικές πληροφορίες θα πρέπει να βρίσκονται σε αυτές και κάθε πολύτιμη πληροφορία θα πρέπει να βρίσκεται αποκλειστικά στο τοπικό δίκτυο, το οποίο δεν θα είναι προσβάσιμο από δημόσιους διακομιστές.

Σε διακομιστές που βρίσκονται στο DMZ δεν πρέπει να υπάρχουν πληροφορίες σχετικά με τους χρήστες, τους πελάτες της εταιρείας ή άλλες εμπιστευτικές πληροφορίες, δεν θα πρέπει να υπάρχουν προσωπικά γραμματοκιβώτια υπαλλήλων - όλα αυτά θα πρέπει να είναι "κρυμμένα" με ασφάλεια σε ένα ασφαλές μέρος του τοπικού δικτύου. Και για τις πληροφορίες που θα είναι διαθέσιμες στους δημόσιους διακομιστές, είναι απαραίτητο να προβλεφθεί η αρχειοθέτηση αντιγράφων ασφαλείας με τη μικρότερη δυνατή συχνότητα. Επιπλέον, συνιστάται στους διακομιστές αλληλογραφίας να χρησιμοποιούν τουλάχιστον ένα μοντέλο υπηρεσίας δύο διακομιστών και στους διακομιστές ιστού να παρακολουθούν συνεχώς την κατάσταση των πληροφοριών για τον έγκαιρο εντοπισμό και την εξάλειψη των συνεπειών της εισβολής.

Η χρήση τείχους προστασίας είναι υποχρεωτική κατά τη δημιουργία ενός DMZ

Τα τείχη προστασίας χρησιμοποιούνται για την προστασία της διείσδυσης μέσω της αποστρατιωτικοποιημένης ζώνης στο εταιρικό δίκτυο. Υπάρχουν οθόνες λογισμικού και υλικού. Τα προγράμματα λογισμικού απαιτούν μηχάνημα με UNIX ή Windows NT/2000. Για να εγκαταστήσετε ένα τείχος προστασίας υλικού, χρειάζεται μόνο να το συνδέσετε στο δίκτυο και να εκτελέσετε ελάχιστη διαμόρφωση. Συνήθως, οι οθόνες λογισμικού χρησιμοποιούνται για την προστασία μικρών δικτύων όπου δεν χρειάζεται να γίνουν πολλές ρυθμίσεις που σχετίζονται με την ευέλικτη κατανομή του εύρους ζώνης και τους περιορισμούς κυκλοφορίας ανά πρωτόκολλο για τους χρήστες. Εάν το δίκτυο είναι μεγάλο και απαιτείται υψηλή απόδοση, καθίσταται πιο κερδοφόρο να χρησιμοποιείτε τείχη προστασίας υλικού. Σε πολλές περιπτώσεις, χρησιμοποιούνται όχι ένα, αλλά δύο τείχη προστασίας - το ένα προστατεύει την αποστρατιωτικοποιημένη ζώνη από εξωτερική επιρροή, το δεύτερο τη χωρίζει από το εσωτερικό τμήμα του εταιρικού δικτύου.



Αλλά εκτός από το γεγονός ότι η μετακίνηση των δημόσιων διακομιστών σε μια αποστρατιωτικοποιημένη ζώνη προστατεύει το εταιρικό δίκτυο σε κάποιο βαθμό, είναι απαραίτητο να σκεφτούμε καλά και να διασφαλίσουμε την προστασία για το ίδιο το DMZ. Σε αυτήν την περίπτωση, είναι απαραίτητο να επιλυθούν ζητήματα όπως:

· προστασία από επιθέσεις σε διακομιστές και εξοπλισμό δικτύου.

· προστασία μεμονωμένων διακομιστών.

· Έλεγχος email και άλλου περιεχομένου.

· έλεγχος των ενεργειών των χρηστών.

Πώς μπορούν να επιλυθούν αυτά τα ζητήματα; Συνιστάται να «χωρίσετε» τον διακομιστή αλληλογραφίας, ο οποίος χρησιμοποιείται τόσο για εξωτερική αλληλογραφία όσο και για εσωτερική εταιρική αλληλογραφία, σε δύο στοιχεία - το δημόσιο, που θα είναι στην πραγματικότητα διακομιστής αναμετάδοσης και θα βρίσκεται στο DMZ και το κύριο ένα, που βρίσκεται εντός του εταιρικού δικτύου. Το κύριο εξάρτημα διασφαλίζει την κυκλοφορία της εσωτερικής αλληλογραφίας, λαμβάνει εξωτερική αλληλογραφία από τον επαναλήπτη και τη στέλνει σε αυτόν.

Μία από τις κύριες προκλήσεις είναι η διασφάλιση ασφαλούς πρόσβασης σε δημόσιους πόρους και εφαρμογές από το εταιρικό intranet. Αν και ένα τείχος προστασίας είναι εγκατεστημένο μεταξύ αυτού και της αποστρατιωτικοποιημένης ζώνης, πρέπει να είναι «διαφανές» για να λειτουργήσει. Υπάρχουν πολλές επιλογές για την παροχή αυτής της ευκαιρίας στους χρήστες. Το πρώτο είναι η χρήση της πρόσβασης τερματικού. Με αυτήν την οργάνωση αλληλεπίδρασης μεταξύ του πελάτη και του διακομιστή, δεν μεταδίδεται κανένας κώδικας προγράμματος μέσω της εγκατεστημένης σύνδεσης, η οποία θα μπορούσε να περιλαμβάνει ιούς και άλλα κακόβουλα εγκλείσματα. Από τον τερματικό πελάτη στον διακομιστή υπάρχει μια ροή κωδικών των πατημένων πλήκτρων του πληκτρολογίου και των καταστάσεων του ποντικιού του χρήστη, και πίσω, από τον διακομιστή στον πελάτη, δυαδικές εικόνες των οθονών της περιόδου λειτουργίας διακομιστή του προγράμματος περιήγησης ή του προγράμματος-πελάτη αλληλογραφίας του χρήστη είναι έλαβε. Μια άλλη επιλογή είναι να χρησιμοποιήσετε ένα VPN (Virtual Private Network). Χάρη στον έλεγχο πρόσβασης και την κρυπτοπροστασία των πληροφοριών, ένα VPN έχει την ασφάλεια ενός ιδιωτικού δικτύου και ταυτόχρονα εκμεταλλεύεται όλα τα πλεονεκτήματα ενός δημόσιου δικτύου.

Η ασφάλεια των διακομιστών και του εξοπλισμού σε ένα DMZ πρέπει να προσεγγίζεται με ιδιαίτερη προσοχή

Για την προστασία από επιθέσεις σε διακομιστές και εξοπλισμό δικτύου, χρησιμοποιούνται ειδικά συστήματα ανίχνευσης εισβολών. Ο υπολογιστής στον οποίο είναι εγκατεστημένο ένα τέτοιο σύστημα γίνεται ο πρώτος στη διαδρομή ροής πληροφοριών από το Διαδίκτυο στο DMZ. Τα συστήματα έχουν ρυθμιστεί έτσι ώστε όταν εντοπίζονται επιθέσεις, να μπορούν να ρυθμίσουν εκ νέου το τείχος προστασίας σε σημείο που να εμποδίζουν πλήρως την πρόσβαση. Για σκοπούς πρόσθετου, αλλά όχι μόνιμου ελέγχου, χρησιμοποιείται ειδικό λογισμικό - σαρωτές ασφαλείας που ελέγχουν την ασφάλεια του δικτύου, των διακομιστών και των υπηρεσιών και των βάσεων δεδομένων. Για προστασία από ιούς, εγκαθίστανται λογισμικό προστασίας από ιούς και εργαλεία ελέγχου περιεχομένου στην αποστρατιωτικοποιημένη ζώνη.


Παγκόσμια Δίκτυα

Τα δίκτυα ευρείας περιοχής (WAN), που ονομάζονται επίσης εδαφικά δίκτυα υπολογιστών, χρησιμεύουν για να παρέχουν τις υπηρεσίες τους σε μεγάλο αριθμό τελικών συνδρομητών που είναι διάσπαρτοι σε μια μεγάλη περιοχή - σε μια περιοχή, περιοχή, χώρα, ήπειρο ή σε ολόκληρη την υδρόγειο. Λόγω του μεγάλου μήκους των καναλιών επικοινωνίας, η κατασκευή ενός παγκόσμιου δικτύου απαιτεί πολύ μεγάλο κόστος, το οποίο περιλαμβάνει το κόστος των καλωδίων και την εργασία για την εγκατάστασή τους, το κόστος του εξοπλισμού μεταγωγής και του εξοπλισμού ενδιάμεσης ενίσχυσης που παρέχει το απαραίτητο εύρος ζώνης καναλιού, καθώς και τη λειτουργία κόστος για τη συνεχή διατήρηση ενός διάσπαρτου δικτύου σε κατάσταση λειτουργίας σε μια μεγάλη περιοχή του εξοπλισμού του δικτύου.

Τυπικοί συνδρομητές ενός παγκόσμιου δικτύου υπολογιστών είναι τοπικά δίκτυα επιχειρήσεων που βρίσκονται σε διαφορετικές πόλεις και χώρες που πρέπει να ανταλλάσσουν δεδομένα μεταξύ τους. Οι μεμονωμένοι υπολογιστές χρησιμοποιούν επίσης τις υπηρεσίες παγκόσμιων δικτύων.

Τα WAN δημιουργούνται συνήθως από μεγάλες εταιρείες τηλεπικοινωνιών για την παροχή υπηρεσιών επί πληρωμή στους συνδρομητές. Τέτοια δίκτυα ονομάζονται δημόσια ή δημόσια. Υπάρχουν επίσης έννοιες όπως χειριστής δικτύου και πάροχος υπηρεσιών δικτύου. Διαχειριστής δικτύου είναι η εταιρεία που διατηρεί την κανονική λειτουργία του δικτύου. Ένας πάροχος υπηρεσιών, που συχνά ονομάζεται επίσης πάροχος υπηρεσιών, είναι μια εταιρεία που παρέχει υπηρεσίες επί πληρωμή σε συνδρομητές δικτύου. Ο ιδιοκτήτης, ο χειριστής και ο πάροχος υπηρεσιών μπορεί να είναι μία εταιρεία ή μπορεί να εκπροσωπούν διαφορετικές εταιρείες.

Πολύ λιγότερο συχνά, ένα παγκόσμιο δίκτυο δημιουργείται πλήρως από κάποια μεγάλη εταιρεία για τις εσωτερικές της ανάγκες. Σε αυτήν την περίπτωση, το δίκτυο ονομάζεται ιδιωτικό. Πολύ συχνά υπάρχει μια ενδιάμεση επιλογή - ένα εταιρικό δίκτυο χρησιμοποιεί τις υπηρεσίες ή τον εξοπλισμό ενός δημόσιου δικτύου ευρείας περιοχής, αλλά συμπληρώνει αυτές τις υπηρεσίες ή εξοπλισμό με το δικό του.

Ανάλογα με τα εξαρτήματα που πρέπει να ενοικιαστούν, είναι συνηθισμένο να γίνεται διάκριση μεταξύ δικτύων που δημιουργούνται χρησιμοποιώντας:

Αποκλειστικά κανάλια.

Εναλλαγή κυκλώματος;

Αλλαγή πακέτων.

Η τελευταία περίπτωση αντιστοιχεί στο καλύτερο σενάριο, όπου ένα δίκτυο μεταγωγής πακέτων είναι διαθέσιμο σε όλες τις γεωγραφικές τοποθεσίες που πρέπει να συνδυαστούν σε ένα κοινό εταιρικό δίκτυο. Οι δύο πρώτες περιπτώσεις απαιτούν πρόσθετη εργασία για την κατασκευή ενός δικτύου μεταγωγής πακέτων με βάση τα μισθωμένα κεφάλαια.

Αποκλειστικά κανάλια

Τα αποκλειστικά (ή μισθωμένα) κυκλώματα μπορούν να ληφθούν από εταιρείες τηλεπικοινωνιών, οι οποίες διαθέτουν κυκλώματα μεγάλων αποστάσεων, ή από εταιρείες τηλεφωνίας, οι οποίες συνήθως μισθώνουν κυκλώματα εντός μιας πόλης ή περιοχής.

Μπορείτε να χρησιμοποιήσετε τις μισθωμένες γραμμές με δύο τρόπους. Το πρώτο είναι να οικοδομήσουμε με τη βοήθειά τους ένα εδαφικό δίκτυο μιας συγκεκριμένης τεχνολογίας, για παράδειγμα το Frame Relay, στο οποίο οι μισθωμένες μισθωμένες γραμμές χρησιμεύουν για τη σύνδεση ενδιάμεσων, γεωγραφικά κατανεμημένων μεταγωγέων πακέτων.

Η δεύτερη επιλογή είναι να συνδέσετε μόνο τα τοπικά δίκτυα που συνδέονται μέσω αποκλειστικών γραμμών, χωρίς να εγκαταστήσετε μεταγωγείς πακέτων διαμετακόμισης που λειτουργούν με την παγκόσμια τεχνολογία δικτύου. Η δεύτερη επιλογή είναι η απλούστερη από τεχνική άποψη, καθώς βασίζεται στη χρήση δρομολογητών ή απομακρυσμένων γεφυρών σε διασυνδεδεμένα τοπικά δίκτυα και στην απουσία παγκόσμιων τεχνολογικών πρωτοκόλλων όπως το X.25 ή το Frame Relay. Τα ίδια πακέτα δικτύου ή επιπέδου σύνδεσης μεταδίδονται μέσω παγκόσμιων καναλιών όπως και στα τοπικά δίκτυα.

Είναι η δεύτερη μέθοδος χρήσης παγκόσμιων καναλιών που έλαβε την ειδική ονομασία «dedicated channel services», αφού πραγματικά δεν χρησιμοποιεί τίποτα άλλο από τις τεχνολογίες των πραγματικών παγκόσμιων δικτύων με μεταγωγή πακέτων.

Τα αποκλειστικά κανάλια χρησιμοποιήθηκαν πολύ ενεργά στο πολύ πρόσφατο παρελθόν και χρησιμοποιούνται σήμερα, ειδικά όταν δημιουργούνται κρίσιμες συνδέσεις κορμού μεταξύ μεγάλων τοπικών δικτύων, καθώς αυτή η υπηρεσία εγγυάται την απόδοση του μισθωμένου καναλιού. Ωστόσο, με μεγάλο αριθμό γεωγραφικά απομακρυσμένων σημείων και ένα έντονο μικτό πρόγραμμα μεταξύ τους, η χρήση αυτής της υπηρεσίας οδηγεί σε υψηλό κόστος λόγω του μεγάλου αριθμού μισθωμένων καναλιών.

Σήμερα, υπάρχει μεγάλη ποικιλία αποκλειστικών καναλιών - από αναλογικά κανάλια φωνητικής συχνότητας με εύρος ζώνης 3,1 kHz έως ψηφιακά κανάλια τεχνολογίας SDN με απόδοση 155 και 622 Mbit/s.

Η συντομογραφία DMZ σημαίνει Demilitarized Zone, δηλαδή «Αποστρατιωτικοποιημένη Ζώνη». Είναι απροσδόκητο και ασαφές τι σχέση έχει αυτό με το δρομολογητή. Ωστόσο, στην πραγματικότητα, αυτό είναι ένα πολύ χρήσιμο πράγμα σε πολλές περιπτώσεις. Αυτό θα συζητηθεί σε αυτό το άρθρο.

Σκοπός και χρήση του DMZ

Το DMZ είναι ένα τμήμα δικτύου που δημιουργήθηκε για υπηρεσίες και προγράμματα που απαιτούν άμεση πρόσβαση στο Διαδίκτυο. Η άμεση πρόσβαση είναι απαραίτητη για torrents, instant messengers, διαδικτυακά παιχνίδια και ορισμένα άλλα προγράμματα. Και δεν μπορείτε να το κάνετε χωρίς αυτό εάν θέλετε να εγκαταστήσετε μια κάμερα παρακολούθησης βίντεο και να έχετε πρόσβαση σε αυτήν μέσω του Διαδικτύου.

Εάν ο υπολογιστής στον οποίο εκτελείται το πρόγραμμα συνδέεται απευθείας στο Διαδίκτυο, παρακάμπτοντας το δρομολογητή, τότε δεν χρειάζεται να χρησιμοποιήσετε το DMZ. Εάν όμως η σύνδεση γίνει μέσω δρομολογητή, τότε δεν θα είναι δυνατή η «προσέγγιση» του προγράμματος από το Διαδίκτυο, επειδή όλα τα αιτήματα θα λαμβάνονται από τον δρομολογητή και δεν θα προωθούνται εντός του τοπικού δικτύου.

Για την επίλυση αυτού του προβλήματος, η προώθηση θύρας χρησιμοποιείται συνήθως στο δρομολογητή. Υπάρχουν πληροφορίες σχετικά με αυτό στην ιστοσελίδα μας. Ωστόσο, αυτό δεν είναι πάντα βολικό και μερικοί άνθρωποι προτιμούν να δημιουργήσουν ένα DMZ. Εάν ρυθμίσετε ένα DMZ στο δρομολογητή σας και προσθέσετε τον επιθυμητό κόμβο δικτύου σε αυτό, για παράδειγμα, έναν υπολογιστή που εκτελεί έναν διακομιστή παιχνιδιών ή ένα DVR στο οποίο είναι συνδεδεμένη μια κάμερα IP, αυτός ο κόμβος θα είναι ορατός από το εξωτερικό δίκτυο σαν να ήταν απευθείας συνδεδεμένοι στο Διαδίκτυο. Τίποτα δεν θα αλλάξει για τις υπόλοιπες συσκευές στο δίκτυό σας - θα λειτουργούν όπως πριν.

Θα πρέπει να είστε προσεκτικοί με όλες αυτές τις ρυθμίσεις. Δεδομένου ότι τόσο η προώθηση θύρας όσο και το DMZ είναι ένα πιθανό κενό ασφαλείας. Για τη βελτίωση της ασφάλειας, οι μεγάλες εταιρείες δημιουργούν συχνά ένα ξεχωριστό δίκτυο για το DMZ. Για να αποκλειστεί η πρόσβαση από το δίκτυο DMZ σε άλλους υπολογιστές, χρησιμοποιείται ένας πρόσθετος δρομολογητής.

Ρύθμιση του DMZ στο δρομολογητή

Οι δρομολογητές επιτρέπουν την προσθήκη μόνο μιας συσκευής στο DMZ. Ο δρομολογητής πρέπει να λάβει μια "λευκή" διεύθυνση IP. Μόνο σε αυτή την περίπτωση θα είναι δυνατή η πρόσβαση σε αυτό από το παγκόσμιο δίκτυο. Πληροφορίες σχετικά με αυτό μπορείτε να λάβετε από τον πάροχο Internet. Ορισμένοι πάροχοι παρέχουν μια εξωτερική διεύθυνση IP δωρεάν, αλλά αυτή η υπηρεσία απαιτεί συχνά μια πρόσθετη χρέωση.

Ρύθμιση στατικής διεύθυνσης IP

Μόνο ένας υπολογιστής με στατική διεύθυνση IP μπορεί να προστεθεί στο DMZ. Επομένως, το πρώτο πράγμα που κάνουμε είναι να το αλλάξουμε. Για να το κάνετε αυτό, ανοίξτε τις ιδιότητες της σύνδεσης δικτύου και στις ρυθμίσεις TCP/IP ορίστε μια στατική διεύθυνση IP στο εύρος διευθύνσεων του δικτύου σας. Για παράδειγμα, εάν ο δρομολογητής σας έχει IP 192.168.0.1, τότε μπορείτε να καθορίσετε 192.168.0.10 για τον υπολογιστή σας. Η τυπική μάσκα υποδικτύου είναι 255.255.255.0. Και στο πεδίο "Gateway" πρέπει να υποδείξετε τη διεύθυνση του δρομολογητή σας.

Λάβετε υπόψη ότι η διεύθυνση IP που έχει εκχωρηθεί στον υπολογιστή δεν πρέπει να βρίσκεται στο εύρος των διευθύνσεων που διανέμονται.

Σε αυτό το σημείο, η εγκατάσταση του υπολογιστή έχει ολοκληρωθεί και μπορείτε να προχωρήσετε στις ρυθμίσεις του δρομολογητή.

Ρύθμιση του δρομολογητή

Το πρώτο βήμα είναι να ενεργοποιήσετε το DMZ στο δρομολογητή, καθώς είναι πάντα απενεργοποιημένο από προεπιλογή.

Βρείτε το αντίστοιχο στοιχείο μενού στη διεπαφή ιστού της συσκευής:

  • Στους δρομολογητές Asus, η απαιτούμενη καρτέλα ονομάζεται DMZ.
  • Στους δρομολογητές TP-Link, ανοίξτε το στοιχείο "Προώθηση" και θα υπάρχει ένα δευτερεύον στοιχείο DMZ.
  • Στο D-Link, αναζητήστε το στοιχείο "Τείχος προστασίας".

Σε κάθε περίπτωση, στην καρτέλα ρυθμίσεων πρέπει να επιλέξετε το πλαίσιο "Ενεργοποίηση". Και δίπλα του, βρείτε ένα πεδίο που ονομάζεται "DMZ Host Address" ή "Visible Station Address" (ανάλογα με το μοντέλο του δρομολογητή, ενδέχεται να υπάρχουν άλλες επιλογές). Σε αυτό το πεδίο εισάγουμε τη στατική διεύθυνση του υπολογιστή ή άλλης συσκευής που πρέπει να προστεθεί στο DMZ. Στην περίπτωσή μας είναι 192.168.0.10.

Αποθηκεύστε τις ρυθμίσεις και επανεκκινήστε το δρομολογητή. Αυτό είναι όλο: όλες οι θύρες στον επιλεγμένο υπολογιστή είναι ανοιχτές. Οποιοδήποτε πρόγραμμα χρησιμοποιεί εισερχόμενες συνδέσεις θα πιστεύει ότι έχει απευθείας πρόσβαση στο δίκτυο. Όλα τα άλλα προγράμματα θα λειτουργούν κανονικά.

Παρακάτω είναι ένα παράδειγμα ρύθμισης ενός δρομολογητή με αγγλική διεπαφή.

Η δημιουργία ενός DMZ είναι ένας βολικός τρόπος για να απλοποιήσετε την εργασία των απαραίτητων προγραμμάτων, αλλά θα πρέπει να έχετε κατά νου ότι η ανοιχτή πρόσβαση σε έναν υπολογιστή αυξάνει τους κινδύνους επιθέσεων δικτύου και μολύνσεων από ιούς.

Επομένως, είναι απαραίτητο να εγκαταστήσετε ένα τείχος προστασίας και ένα πρόγραμμα προστασίας από ιούς στη συσκευή που χρησιμοποιείται ως κεντρικός υπολογιστής DMZ.

Περιγραφή

Μια αποστρατιωτικοποιημένη ζώνη ή DMZ είναι ένα τμήμα δικτύου με διευθυνσιοδότηση λευκής ετικέτας, που διαχωρίζεται από ένα τείχος προστασίας από το Διαδίκτυο και το τοπικό δίκτυο του οργανισμού. Οι διακομιστές που πρέπει να είναι προσβάσιμοι από το Διαδίκτυο, όπως ένας διακομιστής αλληλογραφίας ή web, συνήθως τοποθετούνται σε ένα DMZ. Εφόσον οι διακομιστές στο δίκτυο DMZ διαχωρίζονται από το τοπικό δίκτυο με ένα τείχος προστασίας, εάν παραβιαστούν, ένας εισβολέας δεν θα μπορεί να αποκτήσει πρόσβαση στους πόρους του τοπικού δικτύου.

Ρυθμίσεις

Η αποστρατιωτικοποιημένη ζώνη δημιουργείται στην ενότητα «πάροχοι και δίκτυα». Κατά τη δημιουργία του, πρέπει να καθορίσετε τη διεύθυνση IP του διακομιστή ελέγχου Internet και τη μάσκα δικτύου DMZ και επίσης να επιλέξετε τη διεπαφή δικτύου για το DMZ. Για λόγους ασφαλείας, χρησιμοποιείται συνήθως μια ξεχωριστή διεπαφή δικτύου για το DMZ.

Από προεπιλογή, οι διακομιστές που βρίσκονται στο DMZ δεν έχουν πρόσβαση στο Διαδίκτυο και στο τοπικό δίκτυο, επομένως η πρόσβαση για αυτούς πρέπει να ρυθμιστεί χρησιμοποιώντας κανόνες τείχους προστασίας.

Το πλαίσιο ελέγχου "NAT από τοπικά δίκτυα" σάς επιτρέπει να ελέγχετε τη μετάφραση των τοπικών διευθύνσεων στο δίκτυο DMZ. Από προεπιλογή είναι απενεργοποιημένο, δηλ. η υπηρεσία NAT για τη διεπαφή δικτύου DMZ δεν λειτουργεί, οι διευθύνσεις μεταφράζονται χωρίς αλλαγές.

Σημαντικό: Το ίδιο το NAT για το δίκτυο DMZ είναι απενεργοποιημένο στις εξωτερικές διεπαφές του ICS, επομένως πρέπει να χρησιμοποιούνται "λευκές" διευθύνσεις IP για τη διεύθυνσή του. Η ρύθμιση ενός δικτύου DMZ έχει νόημα εάν χρειάζεται να ελέγχετε την εξωτερική πρόσβαση σε διακομιστές στο τοπικό δίκτυο που έχουν "λευκές" διευθύνσεις IP. Σε όλες τις άλλες περιπτώσεις, διαμορφώνεται ένα κανονικό τοπικό δίκτυο.