Čo je DMZ sieť?
DMZ (demilitarizovaná zóna) je perimeterová sieť, ktorá chráni a poskytuje dodatočnú vrstvu zabezpečenia pre internú lokálnu sieť (LAN) organizácie pred nedôveryhodnou prevádzkou.
Cieľom DMZ siete je umožniť organizácii bezpečný prístup k nedôveryhodným sieťam, ako je internet, pričom súkromná interná sieť (LAN) zostáva chránená. Organizácie zvyčajne v DMZ ukladajú služby a zdroje vystavené vonkajšiemu svetu, ako sú servery pre DNS (Domain Name System), FTP (File Transfer Protocol), poštové servery, proxy servery, VoIP (Voice over Internet Protocol) a webové servery.
Tieto servery a služby sú izolované a majú obmedzený prístup k internej LAN sieti. Vďaka tomu je sťažené, aby sa útočník dostal priamo k interným údajom alebo serverom cez internet. Takýmto spôsobom organizácia minimalizuje zraniteľnosti svojej LAN a vytvára prostredie bezpečné voči hrozbám, pričom zároveň umožňuje zamestnancom efektívne komunikovať a zdieľať informácie cez bezpečné pripojenie.
Ako funguje DMZ sieť?
Firmy, ktoré prevádzkujú verejný webový server dostupný zákazníkom, musia zabezpečiť jeho prístupnosť cez internet. Na ochranu internej LAN je tento server umiestnený oddelene od interných zdrojov. DMZ umožňuje komunikáciu medzi chránenými firemnými systémami, ako sú databázy, a legitímnou prevádzkou prichádzajúcou z internetu.
DMZ sieť poskytuje "buffer" medzi internetom a internou sieťou organizácie. Je izolovaná pomocou bezpečnostnej brány, napríklad firewallu, ktorý filtruje prevádzku medzi DMZ a LAN. DMZ server je zároveň chránený ďalšou bezpečnostnou bránou, ktorá kontroluje prichádzajúcu externú prevádzku.
Optimálne sa DMZ nachádza medzi dvoma firewallmi. Táto architektúra zabezpečuje, že prichádzajúce dátové pakety sú najprv analyzované firewallom alebo inými bezpečnostnými nástrojmi, skôr než sa dostanú k serverom v DMZ. Aj keď sa útočníkovi podarí prekonať prvý firewall, stále musí prekonať zabezpečené služby v DMZ, aby mohol spôsobiť škodu.
Ak útočník prenikne cez externý firewall a kompromituje systém v DMZ, stále musí prekonať aj interný firewall, aby získal prístup k citlivým firemným údajom. Kvalitne nastavený monitoring v DMZ zároveň zaznamená podozrivú aktivitu a spustí včasné varovanie pred prienikom.
Organizácie, ktoré musia dodržiavať regulácie ako HIPAA, často inštalujú do DMZ proxy server. To im umožňuje centralizovať monitorovanie a zaznamenávanie používateľskej aktivity, filtrovať webový obsah a zabezpečiť, aby zamestnanci používali systém na prístup k internetu bezpečne.
Výhody používania DMZ
Hlavným prínosom DMZ je poskytovanie pokročilej vrstvy zabezpečenia pre internú sieť, a to obmedzením prístupu k citlivým údajom a serverom. DMZ umožňuje návštevníkom webu získať prístup k určitým službám, pričom medzi nimi a súkromnou sieťou vytvára bezpečný "oddeľovací priestor".
Ďalšie bezpečnostné výhody DMZ:
Riadenie prístupu: Firmy môžu poskytovať služby dostupné cez verejný internet, pričom pomocou segmentácie siete obmedzujú prístup neautorizovaným používateľom do vnútornej siete. DMZ môže obsahovať aj proxy server, ktorý centralizuje internú prevádzku a zjednodušuje jej sledovanie.
Prevencia sieťového prieskumu (network reconnaissance): DMZ slúži ako ochranný priestor, ktorý bráni útočníkom v zisťovaní štruktúry internej siete. Servery v DMZ sú síce verejne dostupné, no firewall im bráni v ďalšom prenikaní. Aj ak dôjde ku kompromitácii DMZ, interný firewall chráni LAN.
Zablokovanie IP spoofingu: Útočníci sa často snažia získať prístup falšovaním IP adries. V DMZ môže byť nasadený mechanizmus, ktorý overuje legitimitu IP adries a odhaľuje spoofing. Zároveň DMZ poskytuje sieťovú segmentáciu, čím zabezpečuje oddelenie verejných služieb od privátnej siete.
Služby nachádzajúce sa v DMZ:
-DNS servery
-FTP servery
-Mail servery
-Proxy servery
-Web servery
Návrh a architektúra DMZ
Hoci je DMZ považovaná za „otvorenú sieť“, existuje viacero spôsobov, ako ju bezpečne navrhnúť. Bežné architektúry siahajú od použitia jedného firewallu až po riešenia s viacerými firewallmi. Väčšina moderných DMZ používa model s dvoma firewallmi, ktorý je možné ďalej rozšíriť.
Jeden firewall: Tento dizajn vyžaduje tri alebo viac sieťových rozhraní – externé (internet), interné (LAN) a prepojenie s DMZ. Pravidlá firewallu kontrolujú prístup k DMZ a obmedzujú komunikáciu s LAN. Dva firewally: Bezpečnejšia alternatíva. Prvý firewall povoľuje iba prístup z internetu do DMZ.
Druhý firewall povoľuje len preverenú komunikáciu z DMZ do LAN. Útočník musí prelomiť oba firewally, aby sa dostal k interným systémom.
Zabezpečenie je možné ďalej doladiť pomocou IDS/IPS systémov v DMZ, ktoré napríklad povolia len HTTPS prevádzku na TCP port 443.
Význam DMZ sietí: Ako sa využívajú?
DMZ siete sú dlhodobo kľúčovým prvkom bezpečnosti podnikových sietí. Chránia citlivé údaje, systémy a zdroje tým, že oddeľujú interné siete od komponentov vystavených útokom. Umožňujú zároveň riadiť a obmedzovať prístup k týmto systémom.
Dnešné podniky čoraz častejšie využívajú kontajnery a virtuálne stroje (VM) na izoláciu aplikácií alebo celých sietí. Vďaka rozvoju cloudových služieb už mnohé firmy nepotrebujú vlastné webové servery – svoje infraštruktúry presúvajú do cloudu pomocou SaaS riešení.
Napríklad cloudová platforma Microsoft Azure umožňuje hybridné nasadenie, kde DMZ slúži ako medzivrstva medzi on-premises aplikáciami a virtuálnymi sieťami (VPN). Tento model je vhodný aj na auditovanie výstupnej prevádzky alebo kontrolu komunikácie medzi dátovým centrom a cloudom.
DMZ siete sú zároveň čoraz dôležitejšie pri zabezpečení IoT zariadení a OT systémov, ktoré sa používajú v priemysle a výrobe. OT technológie neboli pôvodne navrhnuté s ohľadom na kybernetickú bezpečnosť, čo vytvára výrazné riziká pre kritickú infraštruktúru. DMZ poskytuje sieťovú segmentáciu, ktorá znižuje riziko útoku a zamedzuje poškodeniu priemyselných systémov.