Демилитаризированая зона

DMZ (англ. Demilitarized Zone — демилитаризованная зона) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети, должен отвечать на любые запросы из внешней сети, при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.

Цель ДМЗ — добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в ДМЗ

При формировании DMZ создается две физически разделенные сети: одна — для общедоступных серверов, другая — для внутренних серверов и рабочих станций. В зависимости от типа DMZ и числа используемых брандмауэров, применяется та или иная политика маршрутизации для каждой из сетей и жестко контролируется доступ между:

• Internet и DMZ;
• Internet и внутренней сетью;
• DMZ и внутренней сетью.

Главное преимущество использования DMZ вместо простого брандмауэра состоит в том, что при атаке на общедоступный сервер риск компрометации внутренних серверов снижается, поскольку общедоступные и внутренние серверы отделены друг от друга. Если скомпрометированный сервер находится в DMZ, злоумышленник не сможет напрямую атаковать другие, более важные серверы, расположенные во внутренней сети. Брандмауэр блокирует любые попытки компьютеров из DMZ подсоединиться к компьютерам внутренней сети, за исключением специально разрешенных соединений. Например, можно настроить брандмауэр так, чтобы разрешить Web-серверу, находящемуся в DMZ, подсоединяться к внутренней системе с Microsoft SQL через специальный TCP-порт. Если злоумышленник захватит Web-сервер, он сможет организовать атаку на систему SQL Server через этот порт. Однако злоумышленник не сможет атаковать другие службы и порты системы с SQL Server, равно как и другие компьютеры во внутренней сети.

Применение DMZ дает еще некоторые преимущества.

• Обеспечивается возможность обнаружения вторжений, фильтрации содержимого и мониторинга на уровне приложений. Таким образом брандмауэр обеспечивает защиту внутренней сети от атак не только из Internet, но и с подвергшихся нападению компьютеров из DMZ. Если скомпрометированный компьютер находится в DMZ, а не во внутренней сети, атакующий попытается пройти брандмауэр вновь для получения доступа к внутренней сети.
• DMZ обеспечивает дополнительный уровень защиты от атак, при которых злоумышленники пытаются получить доступ через любые порты, которые непредусмотрительно были оставлены открытыми на общедоступных серверах.
• DMZ позволит контролировать исходящий трафик так, что можно будет остановить распространение различных червей, которые используют Web-сервер для взлома других компьютеров, и атакующие не смогут задействовать Trivial FTP (TFTP) на Web-сервере.
• DMZ позволяет ограничить доступ к административным службам, таким, например, как терминальная служба Windows 2000 Server.
• DMZ защищает серверы от атак типа подмены адресов (spoofing) с использованием протокола Address Resolution Protocol (ARP).

Хотя преимущества использования DMZ велики, возможно, за них придется заплатить снижением производительности в силу размещения брандмауэра между общедоступными серверами и Internet. Это зависит от многих факторов, таких как пропускная способность канала, загрузка канала, используемое программное обеспечение и т.д. Однако некоторым крупным сайтам не удастся избежать ощутимого снижения производительности, и им придется балансировать между защитой Web-сервера и пассивной системой обнаружения вторжений Intrusion Detection Systems (IDS). Рассмотрим факторы, влияющие на выбор того или иного варианта реализации DMZ. Кроме того, следует знать о некоторых опасностях и технических особенностях при разработке DMZ. В этой статье мы рассмотрим, как создать DMZ на основе Microsoft Internet Security and Acceleration (ISA) Server 2000.

Типы DMZ

Демилитаризованные зоны могут быть двух типов: так называемые трехдомные и промежуточные. DMZ трехдомного типа (с тремя сетевыми интерфейсами) показана на рис. 1. Она состоит из компьютера с установленным на нем ISA Server (т. е. брандмауэром), который имеет три сетевых интерфейса. Интерфейсы соединяют брандмауэр с Internet, с сетью DMZ и с внутренней сетью. Если у компании есть средства на дополнительный сервер и лицензию ISA Server, можно создать DMZ промежуточного типа. Такой тип DMZ предполагает наличие одной системы с установленным на ней ISA Server (наружный брандмауэр), соединенной с Internet и сетью DMZ, и другой системы с ISA Server, соединяющей DMZ и внутреннюю сеть. DMZ промежуточного типа включает в себя два брандмауэра, которые придется преодолеть злоумышленнику, поэтому данный тип DMZ обеспечивает более высокий уровень защиты внутренней сети по сравнению с DMZ трехдомного типа. Другие различия между двумя типами DMZ состоят в уровне защиты общедоступных серверов и стоимости. Некоторые технические проблемы с IP-адресацией и сертификатами также могут повлиять на выбор типа DMZ.