> iOS > DMZ 포트 설정의 예. DMZ란 무엇이며 라우터에서 DMZ를 구성하는 방법입니다. 라우터에서 DMZ 호스트 설정에 대한 비디오


DMZ 포트 설정의 예. DMZ란 무엇이며 라우터에서 DMZ를 구성하는 방법입니다. 라우터에서 DMZ 호스트 설정에 대한 비디오





키브셴코 알렉세이, 1880

이 문서에는 개요가 포함되어 있습니다. 다섯인터넷에서 기업 네트워크 서비스에 대한 액세스를 구성하는 문제를 해결하기 위한 옵션입니다. 검토는 초보자와 숙련된 전문가 모두가 문제의 본질을 이해하고 지식을 새로 고치고 체계화하는 데 도움이 되는 안전성과 타당성에 대한 옵션 분석을 제공합니다. 기사의 자료는 귀하의 디자인 결정을 정당화하는 데 사용될 수 있습니다.

옵션을 고려할 때 게시하려는 네트워크를 예로 들어 보겠습니다.

  1. 기업메일서버(웹메일)입니다.
  2. 엔터프라이즈 터미널 서버(RDP).
  3. 상대방을 위한 엑스트라넷 서비스(Web-API).

옵션 1: 플랫 네트워크

이 옵션에서는 기업 네트워크의 모든 노드가 모두에게 공통된 하나의 네트워크(“내부 네트워크”)에 포함되며, 그 안에서 노드 간 통신이 제한되지 않습니다. 네트워크는 보더 라우터/방화벽(이하 '방화벽'이라 함)을 통해 인터넷에 연결됩니다. IFW).

호스트는 NAT를 통해 인터넷에 액세스하고, 포트 포워딩을 통해 인터넷에서 서비스에 액세스합니다.

옵션의 장점:

  1. 최소 기능 요구 사항 IFW(거의 모든 라우터, 심지어 홈 라우터에서도 수행할 수 있습니다).
  2. 옵션을 구현하는 전문가를 위한 최소 지식 요구 사항입니다.
옵션의 단점:
  1. 최소 수준의 보안. 침입자가 인터넷에 게시된 서버 중 하나에 대한 제어권을 획득하는 해킹이 발생하는 경우 침입자는 추가 공격을 위해 회사 네트워크의 다른 모든 노드와 통신 채널을 사용할 수 있게 됩니다.
실제 생활과의 비유
이러한 네트워크는 직원과 고객이 하나의 휴게실(개방 공간)에 있는 회사에 비유될 수 있습니다.


hrmaximum.ru

옵션 2. DMZ

앞서 언급한 단점을 제거하기 위해 인터넷에서 액세스할 수 있는 네트워크 노드는 특별히 지정된 세그먼트인 DMZ(완충 지대)에 배치됩니다. DMZ는 인터넷과 분리된 방화벽을 사용하여 구성됩니다( IFW) 및 내부 네트워크( DFW).


이 경우 방화벽 필터링 규칙은 다음과 같습니다.
  1. 내부 네트워크에서 DMZ 및 WAN(Wide Area Network)에 대한 연결을 시작할 수 있습니다.
  2. DMZ에서 WAN 연결을 시작할 수 있습니다.
  3. WAN에서 DMZ에 대한 연결을 시작할 수 있습니다.
  4. WAN 및 DMZ에서 내부 네트워크로의 연결 시작은 금지됩니다.


옵션의 장점:
  1. 개별 서비스 해킹에 대한 네트워크 보안이 강화되었습니다. 서버 중 하나가 해킹되더라도 침입자는 내부 네트워크(예: 네트워크 프린터, 영상 ​​감시 시스템 등)에 있는 리소스에 접근할 수 없습니다.
옵션의 단점:
  1. 서버를 DMZ로 이동하는 것 자체로는 보안이 강화되지 않습니다.
  2. DMZ를 내부 네트워크와 분리하려면 추가 방화벽이 필요합니다.
실제 생활과의 비유
이 버전의 네트워크 아키텍처는 클라이언트가 클라이언트 영역에만 있을 수 있고 직원이 클라이언트와 작업 영역 모두에 있을 수 있는 회사의 작업 및 클라이언트 영역 구성과 유사합니다. DMZ 세그먼트는 정확히 클라이언트 영역과 유사합니다.


autobam.ru

옵션 3. 서비스를 프런트엔드와 백엔드로 나누기

앞서 언급했듯이 DMZ에 서버를 배치한다고 해서 서비스 자체의 보안이 향상되는 것은 아닙니다. 상황을 해결하는 옵션 중 하나는 서비스 기능을 프런트엔드와 백엔드의 두 부분으로 나누는 것입니다. 또한 각 부분은 별도의 서버에 위치하며 그 사이에 네트워크 상호 작용이 구성됩니다. 인터넷에 있는 클라이언트와의 상호 작용 기능을 구현하는 프런트엔드 서버는 DMZ에 배치되고 나머지 기능을 구현하는 백엔드 서버는 내부 네트워크에 남아 있습니다. 그들 사이의 상호 작용을 위해 DFW프런트엔드에서 백엔드로의 연결 시작을 허용하는 규칙을 만듭니다.

예를 들어, 네트워크 내부와 인터넷 모두에서 클라이언트에게 서비스를 제공하는 기업 이메일 서비스를 생각해 보세요. 내부 클라이언트는 POP3/SMTP를 사용하고, 인터넷 클라이언트는 웹 인터페이스를 통해 작동합니다. 일반적으로 구현 단계에서 회사는 서비스를 배포하는 가장 간단한 방법을 선택하고 모든 구성 요소를 하나의 서버에 배치합니다. 그러다가 정보보안 확보의 필요성이 현실화됨에 따라 서비스의 기능을 여러 부분으로 나누고, 인터넷(프런트엔드)에서 클라이언트에 대한 서비스를 담당하는 부분은 별도의 서버로 이동하여 상호작용하게 됩니다. 나머지 기능(백엔드)을 구현하는 서버와 네트워크를 연결합니다. 이 경우 프런트엔드는 DMZ에 배치되고 백엔드는 내부 세그먼트에 유지됩니다. Front-End와 Back-End 간의 통신을 위해 DFW프런트엔드에서 백엔드로의 연결 시작을 허용하는 규칙을 만듭니다.

옵션의 장점:

  1. 일반적으로 보호되는 서비스에 대한 공격은 프런트 엔드에서 "실패"할 수 있으며, 이로 인해 가능한 피해가 무력화되거나 크게 줄어듭니다. 예를 들어 서비스를 겨냥한 TCP SYN Flood 또는 느린 http 읽기와 같은 공격으로 인해 프런트엔드 서버를 사용할 수 없게 되는 반면 백엔드는 계속 정상적으로 작동하여 사용자에게 서비스를 제공하게 됩니다.
  2. 일반적으로 백엔드 서버는 인터넷에 접속할 수 없기 때문에 해킹을 당할 경우(예: 로컬에서 악성 코드를 실행하는 경우) 인터넷에서 원격으로 관리하기가 어렵습니다.
  3. 프런트엔드는 애플리케이션 수준 방화벽(예: 웹 애플리케이션 방화벽) 또는 침입 방지 시스템(IPS, 예: snort)을 호스팅하는 데 매우 적합합니다.
옵션의 단점:
  1. Front-End와 Back-End 간의 통신을 위해 DFW DMZ에서 내부 네트워크로의 연결 시작을 허용하는 규칙이 생성되어 DMZ의 다른 노드에서 이 규칙의 사용과 관련된 위협이 생성됩니다(예: IP 스푸핑 공격, ARP 중독, 등.)
  2. 모든 서비스를 Front-End와 Back-End로 나눌 수는 없습니다.
  3. 회사는 방화벽 규칙을 업데이트하기 위한 비즈니스 프로세스를 구현해야 합니다.
  4. 회사는 DMZ의 서버에 대한 액세스 권한을 얻은 침입자의 공격으로부터 보호하기 위한 메커니즘을 구현해야 합니다.
노트
  1. 실제로 서버를 프런트엔드와 백엔드로 나누지 않더라도 DMZ의 서버는 내부 네트워크에 있는 서버에 액세스해야 하는 경우가 많기 때문에 이 옵션의 표시된 단점은 이전에 고려한 옵션에도 적용됩니다.
  2. 웹 인터페이스를 통해 실행되는 애플리케이션의 보호를 고려하면 서버가 프런트엔드와 백엔드 기능 분리를 지원하지 않더라도 http 역방향 프록시 서버(예: nginx)를 프런트엔드는 서비스 거부 공격과 관련된 위험을 최소화합니다. 예를 들어, SYN 플러드 공격으로 인해 백엔드가 계속 작동하는 동안 http 역방향 프록시를 사용할 수 없게 될 수 있습니다.
실제 생활과의 비유
이 옵션은 업무량이 많은 직원에게 보조자(비서)를 사용하는 작업 조직과 본질적으로 유사합니다. 그러면 백엔드는 바쁜 직원의 아날로그가 되고 프런트 엔드는 비서의 아날로그가 될 것입니다.


mln.kz

옵션 4: DMZ 보안

DMZ는 인터넷에서 액세스할 수 있는 네트워크의 일부이므로 호스트 손상 위험이 최대화됩니다. DMZ의 설계와 여기에 사용된 접근 방식은 침입자가 DMZ의 노드 중 하나를 제어할 수 있는 조건에서 최대의 생존 가능성을 제공해야 합니다. 가능한 공격으로서 기본 설정으로 작동하는 거의 모든 정보 시스템이 취약한 공격을 고려해 보겠습니다.

DHCP 공격으로부터 보호

DHCP는 워크스테이션의 IP 주소 구성을 자동화하기 위한 것이지만, 일부 회사에서는 서버의 IP 주소가 DHCP를 통해 발급되는 경우가 있지만 이는 다소 나쁜 관행입니다. 따라서 Rogue DHCP 서버, DHCP 고갈로부터 보호하려면 DMZ에서 DHCP를 완전히 비활성화하는 것이 좋습니다.

MAC 플러드 공격으로부터 보호

MAC 플러드로부터 보호하기 위해 스위치 포트는 브로드캐스트 트래픽의 최대 강도를 제한하도록 구성됩니다(이러한 공격은 일반적으로 브로드캐스트 트래픽을 생성하므로). 특정(유니캐스트) 네트워크 주소 사용과 관련된 공격은 앞서 설명한 MAC 필터링을 통해 차단됩니다.

UDP 플러드 공격으로부터 보호

이러한 유형의 공격에 대한 보호는 필터링이 IP(L3) 수준에서 수행된다는 점을 제외하면 MAC 플러드에 대한 보호와 유사합니다.

TCP SYN 플러드 공격으로부터 보호

이 공격으로부터 보호하기 위해 다음 옵션이 가능합니다.
  1. TCP SYN 쿠키 기술을 사용하여 네트워크 노드를 보호합니다.
  2. TCP SYN 요청이 포함된 트래픽 강도를 제한하여 방화벽 수준 보호(DMZ 서브넷 적용)

네트워크 서비스 및 웹 애플리케이션에 대한 공격으로부터 보호

이 문제에 대한 보편적인 해결책은 없지만 소프트웨어 취약점 관리 프로세스(예: 식별, 패치 설치 등)를 구현하고 침입 탐지 및 방지 시스템(IDS/IPS)을 사용하는 것이 확립된 관행입니다.

인증 우회 공격으로부터 보호

이전 사례와 마찬가지로 이 문제에 대한 보편적인 해결책은 없습니다.
일반적으로 인증 시도 실패 횟수가 많은 경우 인증 데이터(예: 비밀번호)를 추측하는 것을 방지하기 위해 계정이 차단됩니다. 그러나 이 접근 방식은 논란의 여지가 많으며 그 이유는 다음과 같습니다.
첫째, 침입자는 계정 차단으로 이어지지 않는 강도로 인증 정보 선택을 수행할 수 있습니다(수십 분의 시도 간격으로 수개월에 걸쳐 비밀번호를 선택하는 경우가 있음).
둘째, 이 기능은 공격자가 계정을 차단하기 위해 의도적으로 많은 수의 인증 시도를 하는 서비스 거부 공격에 사용될 수 있습니다.
이 클래스의 공격에 대한 가장 효과적인 옵션은 IDS/IPS 시스템을 사용하는 것입니다. 이 시스템은 비밀번호 추측 시도를 탐지할 때 계정이 아니라 추측이 발생하는 소스를 차단합니다(예: IP 주소 차단). 침입자).

이 옵션에 대한 최종 보호 조치 목록은 다음과 같습니다.

  1. DMZ는 각 노드마다 별도의 서브넷이 있는 IP 서브넷으로 구분됩니다.
  2. IP 주소는 관리자가 수동으로 할당합니다. DHCP는 사용되지 않습니다.
  3. DMZ 노드가 연결된 네트워크 인터페이스에서는 MAC 및 IP 필터링, 브로드캐스트 트래픽 강도 및 TCP SYN 요청이 포함된 트래픽에 대한 제한이 활성화됩니다.
  4. 스위치에서 포트 유형의 자동 협상이 비활성화되어 있으며 기본 VLAN 사용이 금지됩니다.
  5. TCP SYN 쿠키는 DMZ 노드와 이러한 노드가 연결되는 내부 네트워크 서버에 구성됩니다.
  6. 소프트웨어 취약성 관리는 DMZ 노드(그리고 바람직하게는 나머지 네트워크)에 대해 구현됩니다.
  7. DMZ 구간에는 IDS/IPS 침입 탐지 및 예방 시스템이 구현되고 있습니다.
옵션의 장점:
  1. 높은 수준의 보안.
옵션의 단점:
  1. 장비 기능에 대한 요구 사항이 증가했습니다.
  2. 구현 및 지원을 위한 인건비.
실제 생활과의 비유
이전에 DMZ를 소파와 오토만이 갖춰진 고객 공간과 비교했다면 안전한 DMZ는 무장된 금전 등록기와 비슷할 것입니다.


valmax.com.ua

옵션 5. 다시 연결

이전 버전에서 고려된 보호 조치는 이를 구현할 수 있는 장치가 네트워크(스위치/라우터/방화벽)에 있다는 사실을 기반으로 했습니다. 그러나 실제로 가상 인프라(가상 스위치의 기능은 매우 제한적임)를 사용하는 경우 이러한 장치가 존재하지 않을 수 있습니다.

이러한 조건에서 이전에 논의된 공격 중 다수가 위반자에게 제공되며 그 중 가장 위험한 공격은 다음과 같습니다.

  • 트래픽을 가로채고 수정할 수 있는 공격(ARP 중독, CAM 테이블 오버플로 + TCP 세션 하이재킹 등)
  • DMZ에서 연결이 시작될 수 있는 내부 네트워크 서버의 취약점 악용과 관련된 공격(필터링 규칙을 우회하여 가능함) DFW IP 및 MAC 스푸핑으로 인해).
이전에 고려하지 않았지만 계속 중요성이 줄어들고 있는 다음 중요한 기능은 사용자의 자동화된 워크스테이션(AWS)이 유해한 영향의 소스(예: 바이러스 또는 트로이 목마에 감염된 경우)가 될 수도 있다는 것입니다. 서버에서.

따라서 우리는 DMZ와 내부 네트워크 모두에서 침입자의 공격으로부터 내부 네트워크의 서버를 보호해야 하는 작업에 직면해 있습니다(워크스테이션이 트로이 목마에 감염되는 것은 내부 네트워크에서 침입자의 활동으로 해석될 수 있음). ).

아래 제안된 접근 방식은 침입자가 서버를 공격할 수 있는 채널 수를 줄이는 것을 목표로 하며 이러한 채널은 최소 2개 이상 있습니다. 첫 번째는 다음과 같은 규칙입니다. DFW, DMZ에서 내부 네트워크 서버에 대한 액세스를 허용합니다(IP 주소로 제한되는 경우에도). 두 번째는 연결 요청이 예상되는 서버의 개방형 네트워크 포트입니다.

내부 네트워크 서버 자체가 DMZ의 서버에 대한 연결을 구축하고 암호화된 보안 네트워크 프로토콜을 사용하여 이를 수행하는 경우 이러한 채널을 닫을 수 있습니다. 그러면 열린 포트나 규칙이 없을 것입니다. DFW.

그러나 문제는 일반 서버 서비스가 이러한 방식으로 작동하는 방법을 모른다는 것입니다. 이 접근 방식을 구현하려면 SSH 또는 VPN 등을 사용하여 구현된 네트워크 터널링을 사용해야 하며 터널 내에서 서버로부터의 연결을 허용해야 합니다. DMZ에서 내부 네트워크 서버로.

이 옵션의 일반적인 작동 방식은 다음과 같습니다.

  1. SSH/VPN 서버는 DMZ의 서버에 설치되고, SSH/VPN 클라이언트는 내부 네트워크의 서버에 설치됩니다.
  2. 내부 네트워크 서버는 DMZ의 서버에 대한 네트워크 터널 구축을 시작합니다. 터널은 클라이언트와 서버의 상호 인증을 통해 구축됩니다.
  3. 구성된 터널 내 DMZ의 서버는 보호된 데이터가 전송되는 내부 네트워크의 서버에 대한 연결을 시작합니다.
  4. 터널을 통과하는 트래픽을 필터링하기 위해 내부 네트워크 서버에 로컬 방화벽이 구성됩니다.

실제로 이 옵션을 사용하면 다음과 같은 중요한 속성이 있기 때문에 OpenVPN을 사용하여 네트워크 터널을 구축하는 것이 편리하다는 것을 알 수 있습니다.

  • 크로스 플랫폼. 다양한 운영 체제를 사용하는 서버에서 통신을 구성할 수 있습니다.
  • 클라이언트와 서버의 상호 인증을 통해 터널 구축이 가능합니다.
  • 인증된 암호화 사용 가능성.
언뜻 보면 이 방식은 불필요하게 복잡하고 내부 네트워크 서버에 로컬 방화벽을 설치해야 하기 때문에 평소처럼 DMZ의 서버를 내부 네트워크에 연결하는 것이 더 쉬울 것 같습니다. 하지만 암호화된 연결을 통해 수행하세요. 실제로 이 옵션은 많은 문제를 해결하지만 IP 및 MAC 스푸핑을 사용하여 방화벽을 우회하여 수행되는 내부 네트워크 서버 취약점에 대한 공격으로부터 보호하는 주요 기능을 제공할 수는 없습니다.

옵션의 장점:

  1. 보호되는 내부 네트워크 서버의 공격 벡터 수를 구조적으로 줄입니다.
  2. 네트워크 트래픽 필터링이 없을 때 보안을 보장합니다.
  3. 네트워크를 통해 전송된 데이터를 무단 보기 및 수정으로부터 보호합니다.
  4. 서비스 보안 수준을 선택적으로 높이는 기능입니다.
  5. 첫 번째 회로는 방화벽을 사용하여 제공되고 두 번째 회로는 이 옵션을 기반으로 구성되는 2회로 보호 시스템을 구현하는 기능입니다.
옵션의 단점:
  1. 이 보호 옵션을 구현하고 유지 관리하려면 추가 인건비가 필요합니다.
  2. 네트워크 침입 탐지 및 예방 시스템(IDS/IPS)과의 비호환성.
  3. 서버의 추가 컴퓨팅 부하.
실제 생활과의 비유
이 옵션의 주요 의미는 신뢰할 수 있는 사람이 신뢰할 수 없는 사람과 연결을 설정한다는 것입니다. 이는 대출을 발행할 때 은행이 잠재적인 차용인에게 다시 전화하여 데이터를 확인하는 상황과 유사합니다. 태그 추가

로컬 네트워크가 없고 인터넷에 접속할 수 없는 회사를 상상하는 것이 점점 더 어려워지고 있습니다. 업무 개선, 정보에 대한 빠른 액세스 제공, 문서 및 데이터 교환에 도움이 되는 공통 기술입니다. 이것은 한편입니다. 한편, 인터넷의 대중화로 인해 정보 보호 문제와 로컬 네트워크 전반의 문제를 해결해야 할 필요성이 대두되고 있다. 이 문제는 회사가 공용 로컬 네트워크에 위치하여 공개적으로 액세스 가능한 인터넷 서비스(웹 및 FTP 서버, 이메일 서비스, 온라인 상점)를 보유하고 있는 경우 특히 심각하게 발생합니다.

이러한 서버에 대한 액세스는 대부분 무료로 제공됩니다. 즉, 모든 사용자는 로그인 및 비밀번호를 사용한 인증 없이 웹 서버에서 호스팅되는 리소스, FTP 서버 섹션에 액세스할 수 있으며 메일 서버는 다음에서 보낸 메일을 허용합니다. 다른 유사한 메일 서버. 그리고 악성 코드가 메일과 함께 서버에 도착하지 않을 것이라는 보장도 없으며 수백 명의 사용자 중에 어떤 이유로든 공공 서비스뿐만 아니라 조직의 로컬 네트워크. 그리고 네트워크가 스위치(스위치)가 아닌 단순한 집중 장치(허브)에 구축되면 큰 위험에 처하게 됩니다.

해커는 컴퓨터 중 하나를 해킹하여 전체 네트워크에 액세스할 수 있습니다.

그것은 무엇입니까? 해커는 로컬 네트워크에 있는 적어도 한 대의 컴퓨터에 접근함으로써 관리자 비밀번호까지의 비밀번호를 얻을 수 있으며, 이를 통해 네트워크에 유통되거나 저장된 모든 정보에 접근할 수 있고 액세스 비밀번호를 변경할 수 있습니다. 데이터베이스에 액세스할 수 없거나 단순히 서비스에서 제거됩니다. 또한 웹 서버에 대한 액세스 권한을 얻으면 모든 내부 기업 리소스의 기능을 차단할 수 있는 DoS 공격을 수행하는 데 사용될 수 있습니다.

따라서 공용 서버를 포함하는 시스템 구축에 대한 접근 방식은 내부 서버 기반의 시스템 구축에 대한 접근 방식과 달라야 합니다. 이는 서버의 공개 가용성으로 인해 발생하는 특정 위험에 따라 결정됩니다. 해결책은 로컬 네트워크와 공용 서버를 별도의 부분으로 분리하는 것입니다. 공공 서비스가 위치할 곳을 "비무장지대"( DMZ - 비무장지대).

DMZ - 특별주의 구역

DMZ의 본질은 내부망이나 외부망에 직접적으로 포함되지 않으며, 미리 정의된 방화벽 규칙에 따라서만 접근이 가능하다는 점이다. DMZ에는 사용자가 없으며 서버만 있습니다. 비무장지대는 일반적으로 로컬 네트워크 외부에서 접근이 필요한 모든 서비스를 특수 구역으로 이동시켜 외부 네트워크에서 내부 네트워크의 호스트로의 접근을 방지하는 역할을 합니다. 실제로 이 영역은 공용 주소가 있는 별도의 서브넷이 되며 방화벽을 통해 공용 및 기업 네트워크로부터 보호(또는 분리)됩니다.

이러한 영역을 생성할 때 기업 네트워크 관리자는 추가 작업에 직면하게 됩니다. DMZ에 위치한 리소스와 서버에 대한 액세스를 차별화하고, 사용자가 이러한 리소스를 사용할 때 전송되는 정보의 기밀성을 보장하고, 사용자 작업을 모니터링하는 것이 필요합니다. 서버에 있을 수 있는 정보에 관해서는 다음과 같이 말할 수 있습니다. 공공 서비스는 해킹될 수 있다는 점을 고려하여 가장 중요하지 않은 정보는 공공 서비스에 위치해야 하며, 중요한 정보는 공공 서버에서 접근할 수 없는 로컬 네트워크에만 위치해야 합니다.

DMZ에 위치한 서버에는 사용자, 회사 클라이언트 또는 기타 기밀 정보에 대한 정보가 있어서는 안 되며 직원의 개인 사서함이 있어서는 안 됩니다. 이 모든 것은 로컬 네트워크의 보호되는 부분에 안전하게 "숨겨져" 있어야 합니다. 그리고 공용 서버에서 사용할 수 있는 정보의 경우 가능한 한 최소한의 빈도로 백업 보관을 제공해야 합니다. 또한, 메일 서버는 최소한 2개 서버 서비스 모델을 사용하고, 웹 서버는 정보 상태를 지속적으로 모니터링하여 해킹의 결과를 적시에 감지하고 제거하는 것이 좋습니다.

DMZ 생성 시 방화벽 사용은 필수

방화벽은 비무장지대를 통해 기업 네트워크로의 침투를 보호하는 데 사용됩니다. 소프트웨어 및 하드웨어 화면이 있습니다. 소프트웨어 프로그램에는 UNIX 또는 Windows NT/2000을 실행하는 시스템이 필요합니다. 하드웨어 방화벽을 설치하려면 네트워크에 연결하고 최소한의 구성만 수행하면 됩니다. 일반적으로 소프트웨어 화면은 사용자를 위한 프로토콜별 유연한 대역폭 할당 및 트래픽 제한과 관련하여 많은 설정을 할 필요가 없는 소규모 네트워크를 보호하는 데 사용됩니다. 네트워크 규모가 크고 고성능이 필요한 경우 하드웨어 방화벽을 사용하는 것이 더 수익성이 높습니다. 많은 경우 하나가 아닌 두 개의 방화벽이 사용됩니다. 하나는 비무장지대를 외부 영향으로부터 보호하고, 두 번째는 이를 기업 네트워크의 내부 부분과 분리합니다.

하지만 공용 서버를 비무장지대로 옮기면 기업 네트워크가 어느 정도 보호된다는 점 외에도 DMZ 자체에 대한 보호도 충분히 고민하고 보장해야 합니다. 이 경우 다음과 같은 문제를 해결해야 합니다.

  • 서버 및 네트워크 장비에 대한 공격으로부터 보호;
  • 개별 서버 보호;
  • 이메일 및 기타 콘텐츠 통제
  • 사용자 작업 감사.

이러한 문제를 어떻게 해결할 수 있습니까? 외부 서신과 기업 내부 서신 모두에 사용되는 메일 서버를 두 개의 구성 요소로 "분할"하는 것이 좋습니다. 공용 서버는 실제로 중계 서버가 되고 DMZ에 위치하며, 메인 서버는 하나는 회사 네트워크 내부에 있습니다. 주요 구성 요소는 내부 메일의 순환을 보장하고 중계기로부터 외부 서신을 받아 이를 보냅니다.

주요 과제 중 하나는 기업 인트라넷에서 공용 리소스 및 애플리케이션에 대한 보안 액세스를 보장하는 것입니다. 비무장지대와 비무장지대 사이에는 방화벽이 설치되어 있지만, 방화벽이 작동하려면 '투명'해야 합니다. 사용자에게 이 기회를 제공하기 위한 몇 가지 옵션이 있습니다. 첫 번째는 터미널 액세스를 사용하는 것입니다. 클라이언트와 서버 간의 이러한 상호 작용 구성을 사용하면 바이러스 및 기타 악성 포함을 포함할 수 있는 프로그램 코드가 설정된 연결을 통해 전송되지 않습니다. 터미널 클라이언트에서 서버로 사용자가 누른 키보드 키와 마우스 상태에 대한 코드 스트림이 있으며, 다시 서버에서 클라이언트로 사용자 브라우저 또는 메일 클라이언트의 서버 세션 화면의 바이너리 이미지가 있습니다. 받았다. 또 다른 옵션은 VPN(가상 사설망)을 사용하는 것입니다. 액세스 제어 및 정보 암호화 보호 덕분에 VPN은 개인 네트워크의 보안을 유지하는 동시에 공용 네트워크의 모든 이점을 활용합니다.

DMZ의 서버 및 장비 보안은 특별한 주의를 기울여 접근해야 합니다.

서버 및 네트워크 장비에 대한 공격으로부터 보호하기 위해 특수 침입 탐지 시스템이 사용됩니다. 이러한 시스템이 설치된 컴퓨터는 인터넷에서 DMZ로 정보가 이동하는 첫 번째 경로가 됩니다. 공격이 감지되면 방화벽을 재구성하여 접근을 완전히 차단할 수 있도록 시스템이 구성되어 있습니다. 영구적이지는 않지만 추가 제어를 위해 네트워크, 서버 및 서비스, 데이터베이스의 보안을 확인하는 보안 스캐너와 같은 특수 소프트웨어가 사용됩니다. 바이러스로부터 보호하기 위해 비무장지대에는 바이러스 백신 소프트웨어와 콘텐츠 제어 도구가 설치됩니다.

DMZ를 구성하고 보호하기 위한 소프트웨어 및 기술 솔루션은 다양한 회사에서 제공됩니다. 이들은 외국과 러시아입니다. 예를 들어 Computer Associates, D-Link, Informzashita, Trend Micro 등이 있습니다.

인터넷의 광범위한 사용으로 인해 정보 및 로컬 네트워크 전체의 보호 문제를 해결할 필요가 있습니다. 이 문제는 회사가 공용 로컬 네트워크에 위치하여 공개적으로 액세스 가능한 인터넷 서비스(웹 및 FTP 서버, 이메일 서비스, 온라인 상점)를 보유하고 있는 경우 특히 심각하게 발생합니다.

이러한 서버에 대한 액세스는 대부분 무료로 제공됩니다. 즉, 모든 사용자는 로그인 및 비밀번호를 사용한 인증 없이 웹 서버에서 호스팅되는 리소스, FTP 서버 섹션에 액세스할 수 있으며 메일 서버는 다음에서 보낸 메일을 허용합니다. 다른 유사한 메일 서버. 그리고 악성 코드가 메일과 함께 서버에 도착하지 않을 것이라는 보장도 없으며 수백 명의 사용자 중에 어떤 이유로든 공공 서비스뿐만 아니라 조직의 로컬 네트워크. 그리고 네트워크가 스위치(스위치)가 아닌 단순한 집중 장치(허브)에 구축되면 큰 위험에 처하게 됩니다.

해커는 컴퓨터 중 하나를 해킹하여 전체 네트워크에 액세스할 수 있습니다.

그것은 무엇입니까? 해커는 로컬 네트워크에 있는 적어도 한 대의 컴퓨터에 접근함으로써 관리자 비밀번호까지의 비밀번호를 얻을 수 있으며, 이를 통해 네트워크에 유통되거나 저장된 모든 정보에 접근할 수 있고 액세스 비밀번호를 변경할 수 있습니다. 데이터베이스에 액세스할 수 없거나 단순히 서비스에서 제거됩니다. 또한 웹 서버에 대한 액세스 권한을 얻으면 모든 내부 기업 리소스의 기능을 차단할 수 있는 DoS 공격을 수행하는 데 사용될 수 있습니다.

따라서 공용 서버를 포함하는 시스템 구축에 대한 접근 방식은 내부 서버 기반의 시스템 구축에 대한 접근 방식과 달라야 합니다. 이는 서버의 공개 가용성으로 인해 발생하는 특정 위험에 따라 결정됩니다. 해결책은 로컬 네트워크와 공용 서버를 별도의 부분으로 분리하는 것입니다. 공공 서비스가 위치할 곳을 "비무장지대"( DMZ - 비무장지대).

그림 13.2 - 비무장지대가 있는 로컬 네트워크 구성

DMZ의 본질은 내부망이나 외부망에 직접적으로 포함되지 않으며, 미리 정의된 방화벽 규칙에 따라서만 접근이 가능하다는 점이다. DMZ에는 사용자가 없으며 서버만 있습니다. 비무장지대는 일반적으로 로컬 네트워크 외부에서 접근이 필요한 모든 서비스를 특수 구역으로 이동시켜 외부 네트워크에서 내부 네트워크의 호스트로의 접근을 방지하는 역할을 합니다. 실제로 이 영역은 공용 주소가 있는 별도의 서브넷이 되며 방화벽을 통해 공용 및 기업 네트워크로부터 보호(또는 분리)됩니다.



이러한 영역을 생성할 때 기업 네트워크 관리자는 추가 작업에 직면하게 됩니다. DMZ에 위치한 리소스와 서버에 대한 액세스를 차별화하고, 사용자가 이러한 리소스를 사용할 때 전송되는 정보의 기밀성을 보장하고, 사용자 작업을 모니터링하는 것이 필요합니다. 서버에 있을 수 있는 정보에 관해서는 다음과 같이 말할 수 있습니다. 공공 서비스는 해킹될 수 있다는 점을 고려하여 가장 중요하지 않은 정보는 공공 서비스에 위치해야 하며, 중요한 정보는 공공 서버에서 접근할 수 없는 로컬 네트워크에만 위치해야 합니다.

DMZ에 위치한 서버에는 사용자, 회사 고객 또는 기타 기밀 정보에 대한 정보가 있어서는 안 되며, 직원의 개인 사서함이 있어서는 안 됩니다. 이 모든 것은 로컬 네트워크의 안전한 부분에 안전하게 "숨겨져" 있어야 합니다. 그리고 공용 서버에서 사용할 수 있는 정보의 경우 가능한 한 최소한의 빈도로 백업 보관을 제공해야 합니다. 또한, 메일 서버는 최소한 2개 서버 서비스 모델을 사용하고, 웹 서버는 정보 상태를 지속적으로 모니터링하여 해킹의 결과를 적시에 감지하고 제거하는 것이 좋습니다.

DMZ 생성 시 방화벽 사용은 필수

방화벽은 비무장지대를 통해 기업 네트워크로의 침투를 보호하는 데 사용됩니다. 소프트웨어 및 하드웨어 화면이 있습니다. 소프트웨어 프로그램에는 UNIX 또는 Windows NT/2000을 실행하는 시스템이 필요합니다. 하드웨어 방화벽을 설치하려면 네트워크에 연결하고 최소한의 구성만 수행하면 됩니다. 일반적으로 소프트웨어 화면은 사용자를 위한 프로토콜별 유연한 대역폭 할당 및 트래픽 제한과 관련하여 많은 설정을 할 필요가 없는 소규모 네트워크를 보호하는 데 사용됩니다. 네트워크 규모가 크고 고성능이 필요한 경우 하드웨어 방화벽을 사용하는 것이 더 수익성이 높습니다. 많은 경우 하나가 아닌 두 개의 방화벽이 사용됩니다. 하나는 비무장지대를 외부 영향으로부터 보호하고, 두 번째는 이를 기업 네트워크의 내부 부분과 분리합니다.



하지만 공용 서버를 비무장지대로 옮기면 기업 네트워크가 어느 정도 보호된다는 점 외에도 DMZ 자체에 대한 보호도 충분히 고민하고 보장해야 합니다. 이 경우 다음과 같은 문제를 해결해야 합니다.

· 서버 및 네트워크 장비에 대한 공격으로부터 보호합니다.

· 개별 서버 보호;

· 이메일 및 기타 콘텐츠의 통제;

· 사용자 작업 감사.

이러한 문제를 어떻게 해결할 수 있습니까? 외부 서신과 기업 내부 서신 모두에 사용되는 메일 서버를 두 개의 구성 요소로 "분할"하는 것이 좋습니다. 공용 서버는 실제로 중계 서버가 되고 DMZ에 위치하며, 메인 서버는 하나는 회사 네트워크 내부에 있습니다. 주요 구성 요소는 내부 메일의 순환을 보장하고 중계기로부터 외부 서신을 받아 이를 보냅니다.

주요 과제 중 하나는 기업 인트라넷에서 공용 리소스 및 애플리케이션에 대한 보안 액세스를 보장하는 것입니다. 비무장지대와 비무장지대 사이에는 방화벽이 설치되어 있지만, 방화벽이 작동하려면 '투명'해야 합니다. 사용자에게 이 기회를 제공하기 위한 몇 가지 옵션이 있습니다. 첫 번째는 터미널 액세스를 사용하는 것입니다. 클라이언트와 서버 간의 이러한 상호 작용 구성을 사용하면 바이러스 및 기타 악성 포함을 포함할 수 있는 프로그램 코드가 설정된 연결을 통해 전송되지 않습니다. 터미널 클라이언트에서 서버로 사용자가 누른 키보드 키와 마우스 상태에 대한 코드 스트림이 있으며, 다시 서버에서 클라이언트로 사용자 브라우저 또는 메일 클라이언트의 서버 세션 화면의 바이너리 이미지가 있습니다. 받았다. 또 다른 옵션은 VPN(가상 사설망)을 사용하는 것입니다. 액세스 제어 및 정보 암호화 보호 덕분에 VPN은 개인 네트워크의 보안을 유지하는 동시에 공용 네트워크의 모든 이점을 활용합니다.

DMZ의 서버 및 장비 보안은 특별한 주의를 기울여 접근해야 합니다.

서버 및 네트워크 장비에 대한 공격으로부터 보호하기 위해 특수 침입 탐지 시스템이 사용됩니다. 이러한 시스템이 설치된 컴퓨터는 인터넷에서 DMZ로 정보가 이동하는 첫 번째 경로가 됩니다. 공격이 감지되면 액세스를 완전히 차단하는 지점까지 방화벽을 재구성할 수 있도록 시스템이 구성되어 있습니다. 영구적이지는 않지만 추가 제어를 위해 네트워크, 서버 및 서비스, 데이터베이스의 보안을 확인하는 보안 스캐너와 같은 특수 소프트웨어가 사용됩니다. 바이러스로부터 보호하기 위해 비무장지대에는 바이러스 백신 소프트웨어와 콘텐츠 제어 도구가 설치됩니다.


글로벌 네트워크

영토 컴퓨터 네트워크라고도 하는 WAN(광역 네트워크)은 지역, 지역, 국가, 대륙 또는 전 세계의 넓은 지역에 분산된 수많은 최종 가입자에게 서비스를 제공하는 역할을 합니다. 통신 채널의 길이가 길기 때문에 글로벌 네트워크를 구축하려면 케이블 비용 및 설치 작업 비용, 필요한 채널 대역폭을 제공하는 스위칭 장비 및 중간 증폭 장비 비용, 운영 비용 등 매우 많은 비용이 필요합니다. 넓은 영역의 네트워크 장비에 걸쳐 분산된 네트워크를 지속적으로 유지하는 데 드는 비용.

글로벌 컴퓨터 네트워크의 일반적인 가입자는 서로 데이터를 교환해야 하는 여러 도시와 국가에 위치한 기업의 로컬 네트워크입니다. 개별 컴퓨터도 글로벌 네트워크의 서비스를 사용합니다.

WAN은 일반적으로 대규모 통신 회사에서 가입자에게 유료 서비스를 제공하기 위해 만들어집니다. 이러한 네트워크를 공용 또는 공용이라고 합니다. 네트워크 운영자 및 네트워크 서비스 제공자와 같은 개념도 있습니다. 네트워크 사업자는 네트워크의 정상적인 운영을 유지하는 회사입니다. 서비스 제공자라고도 불리는 서비스 제공자는 네트워크 가입자에게 유료 서비스를 제공하는 회사입니다. 소유자, 운영자 및 서비스 제공자는 하나의 회사일 수도 있고 서로 다른 회사를 대표할 수도 있습니다.

훨씬 덜 자주, 글로벌 네트워크는 내부 요구에 따라 일부 대기업에 의해 완전히 생성됩니다. 이 경우 네트워크를 비공개라고 합니다. 중간 옵션이 있는 경우가 많습니다. 기업 네트워크는 공용 광역 네트워크의 서비스나 장비를 사용하지만 이러한 서비스나 장비를 자체적으로 보완합니다.

임대해야 하는 구성 요소에 따라 다음을 사용하여 구축된 네트워크를 구별하는 것이 일반적입니다.

전용 채널

회로 전환;

패킷 스위칭.

후자의 경우는 공통 기업 네트워크로 결합해야 하는 모든 지리적 위치에서 패킷 교환 네트워크를 사용할 수 있는 최상의 시나리오에 해당합니다. 처음 두 가지 경우에는 임대 자금을 기반으로 패킷 교환 네트워크를 구축하기 위해 추가 작업이 필요합니다.

전용 채널

전용(또는 임대) 회선은 장거리 회선을 소유한 통신 회사나 일반적으로 도시나 지역 내에서 회선을 임대하는 전화 회사에서 구할 수 있습니다.

임대회선은 두 가지 방법으로 사용할 수 있습니다. 첫 번째는 임대 임대 회선이 지리적으로 분산된 중간 패킷 스위치를 연결하는 역할을 하는 프레임 릴레이와 같은 특정 기술의 영토 네트워크를 그들의 도움으로 구축하는 것입니다.

두 번째 옵션은 글로벌 네트워크 기술을 사용하여 작동하는 전송 패킷 스위치를 설치하지 않고 전용선으로 연결되는 로컬 네트워크만 연결하는 것입니다. 두 번째 옵션은 상호 연결된 로컬 네트워크에서 라우터 또는 원격 브리지를 사용하고 X.25 또는 프레임 릴레이와 같은 글로벌 기술 프로토콜이 없기 때문에 기술적 관점에서 가장 간단합니다. 동일한 네트워크 또는 링크 계층 패킷이 로컬 네트워크에서와 마찬가지로 글로벌 채널을 통해 전송됩니다.

패킷 교환을 통한 실제 글로벌 네트워크의 기술 중 아무것도 사용하지 않기 때문에 "전용 채널 서비스"라는 특별한 이름을받은 글로벌 채널을 사용하는 두 번째 방법입니다.

전용 채널은 아주 최근까지 매우 활발하게 사용되었으며 오늘날에도 특히 대규모 로컬 네트워크 간에 중요한 백본 연결을 구축할 때 사용됩니다. 이 서비스가 임대 채널의 처리량을 보장하기 때문입니다. 그러나 지리적으로 멀리 떨어져 있는 지점이 많고, 그 지점 간 집중적인 혼합 일정이 있는 경우, 이 서비스를 이용하면 임대 채널 수가 많아 높은 비용이 발생합니다.

오늘날에는 대역폭이 3.1kHz인 아날로그 음성 주파수 채널부터 처리량이 155 및 622Mbit/s인 SDN 기술의 디지털 채널에 이르기까지 다양한 전용 채널이 있습니다.

약어 DMZ는 DeMilitarized Zone, 즉 “비무장지대”를 의미합니다. 이것이 라우터와 어떤 관련이 있는지는 예상치 못한 일이며 불분명합니다. 그러나 실제로 이것은 여러 경우에 매우 유용한 것입니다. 이 기사에서는 이에 대해 논의할 것입니다.

DMZ의 목적과 이용

DMZ는 인터넷에 직접 액세스해야 하는 서비스 및 프로그램을 위해 생성된 네트워크 세그먼트입니다. 토렌트, 인스턴트 메신저, 온라인 게임 및 기타 프로그램에는 직접 액세스가 필요합니다. 비디오 감시 카메라를 설치하고 인터넷을 통해 액세스하려면 그것 없이는 할 수 없습니다.

프로그램이 실행되는 컴퓨터가 라우터를 우회하여 인터넷에 직접 연결되면 DMZ를 사용할 필요가 없습니다. 그러나 라우터를 통해 연결되면 모든 요청이 라우터에 의해 수신되고 로컬 네트워크 내부로 전달되지 않기 때문에 인터넷에서 프로그램에 "접속"할 수 없습니다.

이 문제를 해결하기 위해 일반적으로 라우터에서는 포트 전달을 사용합니다. 이에 대한 정보는 당사 웹사이트에 있습니다. 그러나 이것이 항상 편리한 것은 아니며 어떤 사람들은 DMZ를 설정하는 것을 선호합니다. 라우터에 DMZ를 설정하고 여기에 원하는 네트워크 노드(예: 게임 서버를 실행하는 PC 또는 IP 카메라가 연결된 DVR)를 추가하면 이 노드가 외부 네트워크에서 마치 마치 인터넷에 직접 연결되어 있었습니다. 네트워크의 나머지 장치에는 아무것도 변경되지 않습니다. 이전과 동일하게 작동합니다..

이러한 모든 설정에 주의해야 합니다. 포트 포워딩과 DMZ 모두 잠재적인 보안 허점이기 때문입니다. 보안을 강화하기 위해 대기업에서는 DMZ용으로 별도의 네트워크를 만드는 경우가 많습니다. DMZ 네트워크에서 다른 컴퓨터로의 액세스를 차단하기 위해 추가 라우터가 사용됩니다.

라우터에서 DMZ 설정

라우터는 DMZ에 하나의 장치만 추가할 수 있도록 허용합니다. 라우터는 "화이트" IP 주소를 받아야 합니다. 이 경우에만 글로벌 네트워크에서 액세스할 수 있습니다.. 이에 대한 정보는 인터넷 제공업체로부터 얻을 수 있습니다. 일부 공급자는 외부 IP 주소를 무료로 제공하지만 이 서비스에는 추가 비용이 필요한 경우가 많습니다.

고정 IP 주소 설정

고정 IP 주소를 가진 컴퓨터만 DMZ에 추가할 수 있습니다. 그러므로 우리가 가장 먼저 해야 할 일은 그것을 바꾸는 것입니다. 이렇게 하려면 네트워크 연결 속성을 열고 TCP/IP 설정에서 네트워크 주소 범위에 고정 IP 주소를 설정하세요. 예를 들어, 라우터의 IP가 192.168.0.1인 경우 컴퓨터에 192.168.0.10을 지정할 수 있습니다. 표준 서브넷 마스크는 255.255.255.0입니다. 그리고 "게이트웨이" 필드에는 라우터 주소를 표시해야 합니다.

컴퓨터에 할당된 IP 주소는 배포된 주소 범위에 있어서는 안 됩니다.

이 시점에서 컴퓨터 설정이 완료되었으며 라우터 설정을 진행할 수 있습니다.

라우터 설정

첫 번째 단계는 라우터에서 DMZ를 활성화하는 것입니다. DMZ는 기본적으로 항상 비활성화되어 있기 때문입니다.

장치의 웹 인터페이스에서 해당 메뉴 항목 찾기:

  • Asus 라우터에서는 필수 탭을 DMZ라고 합니다.
  • TP-Link 라우터에서 "전달" 항목을 열면 DMZ 하위 항목이 있습니다.
  • D-Link에서 "방화벽" 항목을 찾으세요.

어쨌든 설정 탭에서 "활성화" 상자를 선택해야 합니다. 그 옆에 "DMZ 호스트 주소" 또는 "표시 스테이션 주소"라는 필드를 찾습니다(라우터 모델에 따라 다른 옵션이 있을 수 있음). 이 필드에는 DMZ에 추가해야 하는 컴퓨터 또는 기타 장치의 고정 주소를 입력합니다. 우리의 경우에는 192.168.0.10입니다.

설정을 저장하고 라우터를 다시 시작하십시오. 그게 전부입니다. 선택한 PC의 모든 포트가 열려 있습니다. 들어오는 연결을 사용하는 모든 프로그램은 네트워크에 직접 액세스하고 있다고 생각합니다. 다른 모든 프로그램은 정상적으로 작동합니다.

아래는 영어 인터페이스로 라우터를 설정하는 예입니다.

DMZ를 만드는 것은 필요한 프로그램의 작업을 단순화하는 편리한 방법이지만 PC에 공개적으로 액세스하면 네트워크 공격 및 바이러스 감염의 위험이 높아진다는 점을 명심해야 합니다.

따라서 DMZ 호스트로 사용되는 장치에는 방화벽 및 바이러스 백신 프로그램을 설치해야 합니다.

설명

비무장지대(DMZ)는 화이트 라벨 주소가 지정된 네트워크 세그먼트로, 방화벽으로 인터넷 및 조직의 로컬 네트워크와 분리되어 있습니다. 메일이나 웹 서버 등 인터넷에서 접근해야 하는 서버는 일반적으로 DMZ에 배치됩니다. DMZ 네트워크의 서버는 방화벽으로 로컬 네트워크와 분리되어 있기 때문에 해킹을 당하더라도 공격자는 로컬 네트워크 리소스에 접근할 수 없다.

설정

비무장지대는 "공급자 및 네트워크" 모듈에서 생성됩니다. 이를 생성할 때 인터넷 제어 서버의 IP 주소와 DMZ 네트워크 마스크를 지정하고 DMZ에 대한 네트워크 인터페이스도 선택해야 합니다. 보안상의 이유로 일반적으로 DMZ에는 별도의 네트워크 인터페이스가 사용됩니다.

기본적으로 DMZ에 위치한 서버는 인터넷 및 로컬 네트워크에 대한 액세스 권한이 없으므로 방화벽 규칙을 사용하여 해당 서버에 대한 액세스를 구성해야 합니다.

"로컬 네트워크의 NAT" 확인란을 사용하면 로컬 주소를 DMZ 네트워크로 변환하는 것을 제어할 수 있습니다. 기본적으로는 비활성화되어 있습니다. DMZ 네트워크 인터페이스에 대한 NAT 서비스가 작동하지 않고 주소가 변경 없이 변환됩니다.

중요: DMZ 네트워크에 대한 NAT 자체는 ICS의 외부 인터페이스에서 비활성화되어 있으므로 "화이트" IP 주소를 사용하여 이를 해결해야 합니다. "화이트" IP 주소가 있는 로컬 네트워크의 서버에 대한 외부 액세스를 제어해야 하는 경우 DMZ 네트워크를 설정하는 것이 좋습니다. 다른 모든 경우에는 일반 로컬 네트워크가 구성됩니다.