یک لایه واسط ایمن

شبکه‌ DMZ چیست و چگونه پیاده‌سازی می‌شود

23/04/1400 - 13:20
فناوری شبکه
ماهنامه شبکه 241
شبکه‌ DMZ چیست و چگونه پیاده‌سازی می‌شود
در دنیای شبکه‌های کامپیوتری یک منطقه غیر‌نظامی (DMZ) سرنام Demilitarized Zone یک زیرشبکه منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در تعامل با یک شبکه غیر‌مطمئن مثل اینترنت ارائه می‌دهد. به بیان دقیق‌تر DMZ شبکه محافظت شده‌ای است که میان یک شبکه غیر‌مطمئن مثل اینترنت و شبکه داخلی ایمن قرار می‌گیرد. هدف از یک DMZ اضافه کردن یک لایه امنیتی بیشتر به شبکه محلی سازمانی است تا هکرها به جای آن‌که به سراغ بخش‌های مختلف یک شبکه بروند، تنها به نقطه خاصی که سازمان مشخص کرده هدایت شوند. در بیشتر سازمان‌ها ترکیبی از فناوری‌های مختلف مثل دیوارآتش، فیلترهای بسته، پروکسی‌سرورها و بازررسی دارای حالت (Inspect Stateful) را در تعامل با DMZ استفاده می‌کنند تا به شکل دقیق‌تری از زیرساخت‌ها محافظت کنند. بر مبنای این تعریف متوجه می‌شویم که DMZ یک شبکه کوچک و ایزوله میان اینترنت و شبکه خصوصی است.

DMZ چیست؟

قبل از آن‌که به واکاوی این موضوع بپردازیم که عملکرد DMZ چیست و چگونه باید آن‌را پیاد‌ه‌سازی کرد، بهتر است با مفهوم این واژه آشنا شویم. DMZ سرنام Demilitarized Zone به معنای منطقه غیر‌نظامی است. در حالی که DMZ به هیچ یک از شبکه‌های محصور تعلق ندارد، با این‌حال برای انجام کارهای نظامی یا حساس مناسب نیست، زیرا همواره احتمال نفوذ به آن وجود دارد. DMZ یک دروازه برای اینترنت عمومی است و به همین دلیل به اندازه شبکه داخلی امنیت ندارد، اما به اندازه اینترنت عمومی نیز غیر‌ایمن نیست. میزبان‌های درون DMZ تنها مجاز به داشتن کانال‌های ارتباطی محدود به برخی میزبان‌های خاص در شبکه داخلی هستند، زیرا محتوای DMZ به اندازه شبکه داخلی امنیت ندارد. به‌طور مشابه، ارتباط میان میزبان‌ها در DMZ و ارتباط با شبکه خارجی نیز محدود می‌شود تا امنیت بیشتری بر این منطقه حکم‌فرما شود و امکان ارائه سرویس‌های خاص وجود داشته باشد. به همین ترتیب، میزبان‌های داخلی DMZ می‌توانند با شبکه‌های داخلی و خارجی در تعامل باشند، در حالی که یک دیوارآتش یکپارچه امنیت ترافیک میان سرورهای DMZ و کلاینت‌های شبکه داخلی را تامین می‌کند در همان زمان دیوارآتش دیگری سطوحی از کنترل را برای حفاظت از DMZ اعمال می‌کند. 

آشنایی با معماری منطقه غیر نظامی 

‌برای آن‌که شناخت دقیق‌تری در ارتباط با DMZ به دست آورید، ابتدا باید معماری DMZ در شبکه را بررسی کنیم. روش‌های مختلفی برای طراحی یک شبکه با الگوی DMZ وجود دارد. دو روش اصلی به‌کارگیری یک یا دو دیوارآتش است، هرچند بیشتر DMZهای مدرن با دو دیوارآتش طراحی می‌شوند. رویکرد فوق را می‌توان به‌گونه‌ای گسترش داد که معماری‌های پیچیده‌تری را نیز پیاده‌سازی کرد. یک دیوارآتش منفرد حداقل با سه رابط شبکه قادر است برای ساخت یک معماری شبکه مبتنی بر DMZ استفاده شود. شبکه بیرونی با اتصال به اینترنت عمومی از طریق شرکت ارائه‌دهنده خدمات اینترنتی (ISP) به دیوارآتش در اولین رابط شبکه متصل می‌شود. شبکه داخلی با اتصال به رابط دوم شبکه و خود شبکه DMZ که به رابط سوم شبکه متصل شود پیاده‌سازی می‌شود. شکل 1 معماری یک شبکه مبتنی بر DMZ را نشان می‌دهد. 

شکل 1

مجموعه خط‌مشی‌های مختلف دیوارآتش برای نظارت بر ترافیک مبادله شده میان اینترنت و شبکه غیر‌نظامی، شبکه محلی و شبکه غیر‌نظامی و شبکه محلی و اینترنت تنظیم می‌شود تا همه چیز تحت نظر قرار گیرد تا مشخص شود کدام پورت‌ها و چه ترافیکی مجاز به ورود به DMZ از طریق اینترنت هستند و به این صورت اتصال میزبان‌های خاص در شبکه محلی محدود می‌شود تا اتصال‌های ناخواسته به اینترنت یا شبکه محلی به وجود نیاید. سازمان‌ها برای برقراری امنیت بیشتر سعی می‌کنند یک شبکه DMZ را میان دو دیوارآتش پیاده‌سازی کنند. دیوارآتش اول که دیوارآتش محیطی (Perimeter Firewall) نام دارد به گونه‌ای پیاده‌سازی و پیکربندی می‌شود که تنها به ترافیک خارجی با مقصد DMZ اجازه عبور می‌دهد. دیوارآتش دوم که دیوارآتش داخلی است، تنها ترافیک از DMZ را به شبکه داخلی مجاز می‌داند. رویکرد فوق امنیت بیشتری را ارائه می‌کند، زیرا برای آن‌که مهاجم بتواند به شبکه محلی داخلی دسترسی پیدا کند باید از دو دستگاه عبور کند. علاوه بر این، کنترل‌های امنیتی باید متناسب با هر یک از بخش‌های شبکه پیکربندی شوند. به‌طور مثال، یک سامانه تشخیص نفوذ به شبکه که درون DMZ قرار می‌گیرد، باید به گونه‌ای تنظیم شود که تمامی ترافیک به جز درخواست‌های HTTPS به پورت 443 را بلوکه کند. 

یک شبکه غیر نظامی چگونه کار می‌کند؟

شبکه‌های غیر‌نظامی به گونه‌ای پیاده‌سازی می‌شوند تا به عنوان حائلی میان اینترنت عمومی و شبکه خصوصی کار کنند. پیاده‌سازی یک شبکه غیر‌نظامی میان دو دیوارآتش به این معنا است که تمامی بسته‌های ورودی شبکه قبل از آن‌که به سرورهای میزبان سازمان در DMZ برسند با استفاده از یک دیوارآتش یا خط‌مشی‌های امنیتی ارزیابی می‌شوند. اگر هکری بتواند از دیوارآتش اول عبور کند باید دسترسی غیر‌مجازی به سرویس‌ها کسب کند تا قادر به انجام عملیات مخرب باشد، با این‌حال، سامانه‌های مستقر در چنین شبکه‌هایی آماده مقابله با چنین تهدیداتی هستند. با این وجود، اگر هکری بتواند از سد دیوارآتش خارجی عبور کند و کنترل سامانه‌ای میزبانی شده در DMZ را به دست گیرد، بازهم باید از مکانیزم‌های دفاعی دیوارآتش داخلی عبور کند تا بتواند به منابع حساس سازمانی دسترسی پیدا کند. هنگامی که یک هکر تصمیم بگیرد از تمامی مکانیزم‌های امنیتی منطقه غیرنظامی عبور کند، بازهم DMZ هشدارهایی در ارتباط با تحرکات غیر‌طبیعی صادر می‌کند تا متخصصان گزارش‌های تولید شده را بررسی کنند.

چرا باید از مکانیزم منطقه غیر نظامی استفاده کنیم؟

اصلی‌ترین مزیت به‌کارگیری DMZ این است که به کاربران فضای مجازی اجازه می‌دهد به برخی سرویس‌های خاص دسترسی پیدا کنند، در حالی که یک سد دفاعی مطمئن میان کاربران و شبکه داخلی خصوصی پدید آمده است. با این‌حال از مزایای بالقوه منطقه غیر‌نظامی باید به موارد زیر اشاره کرد:

کنترل دسترسی برای سازمان

سازمان‌ها می‌توانند به کاربران خارج از شبکه خصوصی اجازه دهند به سرویس‌های مختلف سازمان که تجاری یا غیر‌تجاری هستند دسترسی داشته باشند. دسترسی به سرویس‌های ایمیلی نظیر جی‌میل بر مبنای این قاعده انجام می‌شود. شبکه DMZ با ارائه مکانیزم‌های دفاعی مختلف مانع از آن می‌شود تا کاربران غیر‌مجاز به شبکه خصوصی دسترسی پیدا کنند. در بیشتر موارد، منطقه غیر‌نظامی یک سرور پراکسی است که گردش ترافیک داخلی را متمرکز می‌کند و باعث تسهیل در نظارت و ثبت ترافیک می‌شود.

پیشگیری از بروز حمله‌های شناسایی شبکه

با توجه به این‌که DMZ نقش یک بافر را دارند، اجازه نمی‌دهد حمله‌های اکتشافی و شناسایی با موفقیت به سرانجام برسند. حتا اگر سامانه‌ای در DMZ به خطر بیافتد، شبکه خصوصی به دلیل دیوارآتش داخلی که شبکه خصوصی را از DMZ تفکیک کرده محافظت می‌شود. علاوه بر این، DMZ پیاده‌سازی موفقیت‌آمیز حملات به شبکه‌ها را برای هکرها سخت‌تر می‌کند. در شرایطی که سرورهای DMZ در معرض دید کاربران قرار دارند، اما یک لایه حفاظتی ناپیدا از آن‌ها محافظت می‌کند. در چنین شرایطی اگر هکرها بتوانند سرورهای درون منطقه غیر‌نظامی را با چالش جدی روبرو کنند، بازهم به شبکه خصوصی دسترسی ندارند، زیرا یک لایه حفاظتی از منطقه غیرنظامی محافظت می‌کند. 

محافظت در برابر حمله جعل آدرس آی‌پی

گاهی اوقات هکرها سعی می‌کنند برخی محدودیت‌های کنترل دسترسی توسط جعل آدرس آی‌پی را دور بزنند تا مجوز دسترسی را به دست آورند. در چنین شرایطی منطقه غیرنظامی می‌تواند در کار هکرها تاخیر بیاندازند یا در موارد پیشرفته‌تر به سرویس‌های شبکه اجازه دهد بر مبنای آدرس‌های آی‌پی معتبر خدمات را ارائه کنند. منطقه غیرنظامی با ارائه سطحی از طبقه‌بندی شبکه مکانیزمی دقیق برای مدیریت ترافیک به وجود می‌آورد تا سرویس‌ها به شکل عمومی در دسترس کاربران قرار بگیرد، اما شبکه خصوصی در امنیت کامل قرار داشته باشد. 

چرا شبکه غیرنظامی استفاده می‌شود؟

شبکه‌های غیر‌نظامی یکی از مکانیزم‌های مهمی هستند که تیم‌های امنیت و شبکه در اختیار دارند. شبکه‌های غیر‌نظامی برای تفکیک و دور نگه داشتن سامانه‌های هدف و شبکه‌های داخلی از دسترس هکرها استفاده می‌شوند. مکانیزم DMZ یک راه‌حل قدیمی برای میزبانی منابع سازمانی به گونه‌‌ای است که سازمان‌ها بتوانند با خیال آسوده دسترسی را برای کاربران امکان‌پذیر کنند و در همان زمان به فکر درآمدزایی باشند. در چند سال گذشته، سازمان‌ها به شکل گسترده‌ای به سراغ ماشین‌های مجازی و کانتینرها برای جداسازی بخش‌های مختلف شبکه و برنامه‌های خاص از سایر بخش‌های سازمانی رفته‌اند. علاوه بر این، فناوری‌های ابرمحور وابستگی سازمان‌ها به وب‌سرورهای داخلی را به میزان قابل توجهی کاهش داده‌اند. 

نگاهی به چند مورد از DMZهای معروف و شناخته شده

برخی شرکت‌های فعال در زمینه ارائه خدمات ابری مثل مایکروسافت (Microsoft Azure) یک مکانیزم امنیت ترکیبی را به کار گرفته‌اند که در آن یک DMZ میان شبکه داخلی سازمان و شبکه مجازی قرار می‌گیرد. رویکرد فوق در بخش‌هایی استفاده می‌شود که برنامه‌های سازمانی باید درون سازمان اجرا شوند و بخشی از قابلیت‌های برنامه کاربردی باید روی شبکه مجازی قرار بگیرد. چنین مکانیزمی زمانی استفاده می‌شود که ترافیک خارجی نیازمند بازبینی است یا کنترل ترافیک متفاوتی میان شبکه مجازی و مرکز داده داخلی نیاز است. در سویی دیگر، DMZ در شبکه‌های خانگی که کامپیوترها و سایر دستگاه‌ها از طریق روتر به اینترنت وصل می‌شوند و در یک شبکه محلی پیکربندی شده‌اند عملکرد خوبی دارد. برخی روترهای خانگی قابلیت میزبانی DMZ را دارند که با زیرشبکه DMZ پیاده‌سازی شده توسط سازمان‌ها تفاوت محسوسی دارند، زیرا در یک سازمان تعداد دستگا‌ه‌های متصل به شبکه بیشتر از خانه‌ها است. قابلیت میزبانی DMZ باعث می‌شود که یک دستگاه در شبکه خانگی بتواند خارج از دیوارآتش و به عنوان DMZ فعالیت کند، در حالی که سایر بخش‌های شبکه خانگی درون دیوارآتش قرار بگیرند. گاهی اوقات، یک کنسول بازی به عنوان میزبان DMZ انتخاب می‌شود تا دیوارآتش مشکلی در استریم آنلاین بسته‌ها به وجود نیاورد. علاوه بر این، کنسول بازی گزینه خوبی برای میزبانی DMZ است، زیرا اطلاعات حساس کمتری نسبت به یک کامپیوتر دارد. علاوه بر این، DMZ در ارتباط با کاربردهایی نظیر ابر، یک راهکار قدرتمند برای کاهش ریسک‌های امنیتی در ارتباط با فناوری عملیاتی (Operational Technology) به وجود می‌آورد. تجهیزات صنعتی مثل موتورهای توربین یا سامانه‌های اسکادا به‌طور کامل با فناوری‌ اطلاعات ادغام شده‌اند تا محیط‌های عملیاتی هوشمندتر و کارآمدتر شوند، اما به همان نسبت تهدیدات نیز افزایش پیدا کرده‌اند. بیشتر تجهیزات فناوری عملیاتی متصل به اینترنت به‌گونه‌ای طراحی نشده‌اند که همانند تجهیزات مرسوم دنیای شبکه قادر به مدیریت حمله‌ها باشند. بنابراین به خطر افتادن فناوری عملیات می‌تواند به هکرها اجازه دهد به شکل ساده‌تری به بخش‌های حساس یک واحد تولیدی وارد شوند، باعث از کار افتادن تجهیزات شوند یا آسیب‌های جدی به زیرساخت‌های حیاتی وارد کنند. در سال جاری میلادی (2021)، بخش‌هایی از خطوط انتقال نفت ایالات متحده مورد حمله باج‌افزاری قرار گرفت و در نتیجه از کار افتادن تجهیزات عملیات انتقال نفت و تزریق خوراک پالایشگاه‌ها قطع شد. پس از این حمله سایبری و کمبود بنزین در جایگاه‌های تحویل سوخت و افزایش قیمت، تعدادی از رانندگان در مناطق جنوب شرق آمریکا به خرید و ذخیره‌سازی بنزین مبادرت کرده‌اند. در همین ارتباط انجمن اتومبیلرانی آمریکا اعلام کرد در نتیجه کمبود بنزین، متوسط قیمت بنزین در روز سه‌شنبه 11 می 2021 به هر گالن ۲ دلار و ۹۸ سنت رسید که بالاترین قیمت از نوامبر ۲۰۱۴ بوده است. به خاطر کمبود سوخت خودرو، در ایالت‌های کارولینای شمالی، ویرجینیا و فلوریدا وضعیت اضطراری اعلام شد. در ادامه وب‌سایت شرکت به صورت متناوب از دسترس خارج شد تا هکرها موفق نشوند حمله دیگری را پیاده‌سازی کنند. شرکت کلنیال در واکنش به این اقدامات اعلام کرد مشکل مربوط به وبسایت ربطی به حمله سایبری ندارد، اما بدیهی است به خاطر ترس از حمله سایبری، ارتباط شبکه کامپپوتری خود با کاربران خارج از ایالات متحده را مسدود کرد. به سختی می‌توان علت دقیق بروز این حمله باج‌افزاری را تشریح کرد و دست‌کم چند ماه یا حتا یک سال زمان می‌برد که چگونگی پیاده‌سازی موفقیت‌آمیز این حمله را بررسی کرد، اما کارشناسان بر این باور هستند که شاید شرکت فعال در زمینه پیاده‌سازی مکانیزم‌های حفاظتی به درستی از DMZ میان دستگاه‌های فناوری‌اطلاعات و فناوری عملیات استفاده نکرده تا دستگاه‌های فناوری عملیات قابلیت مقابله با باج‌افزار را داشته باشند. هدف از به‌کارگیری DMZ  طبقه‌بندی و تفکیک شبکه‌ها است تا خسارت و آسیب ناشی از حمله‌های هکری کاهش پیدا کند. به‌طوری که همچون مثال بالا، شرکت‌ها مجبور به پرداخت باج‌های میلیون دلاری نشوند.

چگونه DMZ را روی سرورها نصب کنیم؟

قبل از آ‌ن‌که تصمیم به پیکربندی یک DMZ بگیرید باید مشخص کنید که روی هر سرور چه سرویس‌هایی باید اجرا شوند. به‌طور معمول، سرور DMZ روی یک بخش متفاوت از شبکه به لحاظ فیزیکی و منطقی اجرا می‌شود. این حرف بدان معنا است که باید از یک سرور مجزا برای میزبانی سرویس‌هایی که قرار است عمومی باشند نظیر سامانه نام دامنه، وب، ایمیل و غیره استفاده کرد. به لحاظ عملکردی، بهتر است منطقه غیرنظامی روی زیرشبکه‌ای متفاوت از شبکه محلی پیاده‌سازی شود. برای ساخت یک شبکه منطقه غیر‌نظامی باید یک دیوارآتش با سه رابط شبکه داشته باشید که یکی برای شبکه‌های غیرقابل اعتماد، دیگری برای منطقه غیر‌نظامی و دیگری برای شبکه داخلی استفاده شود. تمامی سرورهایی که قرار است به شبکه بیرونی متصل شوند باید در شبکه منطقه غیر نظامی قرار بگیرند و تمامی سرورهایی که داده‌های حساس دارند پشت دیوارآتش قرار بگیرند. در زمان پیکربندی دیوارآتش باید محدودیت‌های دقیقی روی ترافیکی که قرار است به شبکه داخلی وارد شود اعمال کرد. در ادامه باید NAT را برای کامپیوترهایی که روی شبکه محلی قرار دارند آماده کرد تا بتوان برای میزبان‌های کلاینت دسترسی به اینترنت را به وجود آورد. علاوه بر این، باید به کلاینت‌ها امکان اتصال به سرورهای DMZ را داد. شکل 2 چگونگی تنظیم و پیکربندی یک شبکه منطقه غیر نظامی را نشان می‌دهد. برای بهبود سطح امنیت بهتر است از دو دیوارآتش استفاده کرد. در معماری فوق، یکی از دیوارهای آتش تنها به ترافیک با مقصد DMZ اجازه عبور می‌دهند، در حالی که دیوارآتش دوم به ترافیک با مقصد DMZ از سمت شبکه داخلی اجازه عبور می‌دهند. در این حالت یک لایه امنیتی اضافه به وجود می‌آید، زیرا اگر هکری بتواند به شبکه داخلی دسترسی پیدا کند باید از سد دو مکانیزم امنیتی عبور کند. شبکه سه معماری شبکه DMZ با دو دیوارآتش را نشان می‌دهد. 

شکل 2

شکل 3

برای آن‌که سامانه‌های درون یک شبکه DMZ در امنیت بهتری قرار بگیرند و به راحتی قربانی حمله‌های هکری نشوند بهتر است تمامی سرویس‌ها و dæmon‌های غیرضروری غیر فعال شوند، سرویس‌ها در حد امکان به صورت chroot اجرا شوند، حذف یا غیر فعال‌سازی حساب‌های کاربری فراموش نشود، پیکربندی گزارش‌ها و بررسی مرتب گزارش‌ها و استفاده از خط‌مشی امنیت دیوارآتش و قابلیت‌های ضد جعل آدرس آی‌پی به دقت بررسی شوند

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.
منبع: 
axigen
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟