Demilitarizált zóna (informatika)

A Wikipédiából, a szabad enciklopédiából

Az informatikai biztonság területén a katonai használatra utaló nevű demilitarizált zóna (DMZ), más néven demarkációs zóna vagy határhálózat egy olyan fizikai vagy logikai alhálózat, ami egy szervezet belső szolgáltatásait tartalmazza és tárja fel egy nagyobb, nem megbízható hálózatnak, általában az internetnek.

A DMZ célja[szerkesztés | forrásszöveg szerkesztése]

A DMZ célja, hogy egy plusz biztonsági réteget biztosítson a szervezet helyi hálózatának (LAN). Így egy külső támadónak csak a DMZ-ben található berendezésekhez lehet hozzáférése, nem az egész hálózathoz.

Egy hálózatban azok a hostok a legsebezhetőbbek, amelyek a LAN-on kívüli felhasználóknak nyújtanak szolgáltatásokat, úgy mint az email-, web- és DNS szerverek. Ezeket a hostokat a megnövekedett fenyegetettség miatt egy saját alhálózatba helyezik. Ezzel védik a hálózat többi részét abban az esetben, ha valakinek sikerülne behatolnia. A DMZ-ben lévő hostoknak csak jól szabályozott, korlátozott kapcsolatban szabad lenniük a belső hálózatba tartozó gépekkel. A kommunikáció másik hostokkal a DMZ-n belül és a külső hálózatba viszont engedélyezett. Ez teszi lehetővé, hogy a DMZ-n belüli hostok szolgáltatást nyújthassanak mind a belső, mind a külső hálózatba. A forgalmat pedig egy közbenső tűzfal irányítja a DMZ-ben levő szerverek és a belső hálózat kliensei közt.

A DMZ szolgáltatásai[szerkesztés | forrásszöveg szerkesztése]

Alapjában minden szolgáltatást, ami a külső hálózat felhasználóit látja el, a DMZ-n belülre kellene helyezni. A leggyakoribbak ezek közül a web-, mail-, ftp- és DNS-szerverek. Néhány helyzetben további lépéseket kell alkalmazni, hogy biztonságos szolgáltatásokat nyújthassunk.

Webszerverek[szerkesztés | forrásszöveg szerkesztése]

A webszervereknek ahhoz, hogy néhány különleges szolgáltatást nyújthassanak, sokszor egy belső adatbázissal is kommunikálniuk kell. Mivel az adatbázisszerver nem publikusan elérhető, és érzékeny információkat tartalmazhat, ezért nem szabad, hogy a DMZ-be kerüljön. Tehát egyáltalán nem jó ötlet engedélyezni, hogy a webszerver közvetlenül kommunikálhasson a belső adatbázisszerverrel. Ehelyett egy alkalmazásszervert lehet használni, hogy a webszerver és az adatbázisszerver között kommunikáljon. Ez komplikáltabb, de egy újabb biztonsági szintet nyújt.

E-mailszerver[szerkesztés | forrásszöveg szerkesztése]

Az e-maileket bizalmas voltukból adódóan a DMZ helyett egy belső e-mailszerveren lenne ajánlott tárolni. A DMZ-ben található mailszervernek át kell küldenie a bejövő maileket a belső mailszerverhez és a belső mailszervernek át kell küldenie a kimenő maileket a külső mailszerverhez. Ideális esetben minden kommunikációt a belső mailszervernek kellene kezdeményeznie.

Proxy szerver[szerkesztés | forrásszöveg szerkesztése]

Az üzleti környezetben a törvényesség betartása, valamint biztonsági és ellenőrzési szempontokból ajánlott egy proxy szerver használata a DMZ-ben. Ennek a következő előnyei vannak:

  • Kötelezi a belső felhasználókat, hogy ezt a különleges proxyt használják az internet használatához. Nem engedélyezett, hogy az internetet közvetlenül használják és megkerüljék a DMZ védelmét.
  • Lehetővé teszi a vállalatnak az internet sávszélességével való gazdálkodást, mert a web néhány tartalmát cache-elheti a proxy szerver.
  • Lehetővé teszi a rendszeradminisztrátornak, hogy ellenőrizze és rögzítse a felhasználói aktivitásokat és biztosítsa, hogy az alkalmazottak semmilyen illegális tartalmat ne töltsenek le vagy fel. Ez azért fontos, mert sok EU-s országban a cégek vezetői felelősek az alkalmazottak internetes aktivitásáért.

Fordított proxy szerver[szerkesztés | forrásszöveg szerkesztése]

A fordított proxy szerver ugyanazt csinálja, mint a proxy szerver, csak a másik irányba. Ahelyett, hogy szolgáltatásokkal látná el a belső felhasználókat, a külső hálózatnak (Internet) szolgáltat indirekt hozzáférést a belső erőforrásokhoz. Egy irodán kívüli alkalmazás – mint például az e-mail rendszer – külső felhasználóknak is elérhető (e-mailek olvasására a vállalaton kívül) úgy, hogy a távoli felhasználónak nincs közvetlen hozzáférése a belső mailszerverhez. Ez egy extra biztonsági réteg, ami különösen ajánlott, amikor belső forrásokhoz kell kívülről hozzáférni. Általában az alkalmazás szintű tűzfal használata kínál ilyen fordított proxy-mechanizmusokat. Ez inkább a meghatározott formájú és/vagy tartalmú forgalomra koncentrál, a klasszikus tűzfalakkal ellentétben, melyek kijelölt TCP/UDP port(ok)on keresztül engedélyezik a forgalmat.

Hivatkozások[szerkesztés | forrásszöveg szerkesztése]