ДЕМІЛІТАРІЗІРОВАНАЯ ЗОНА

DMZ (англ. Demilitarized Zone - демілітаризована зона) - сегмент мережі, що містить загальнодоступні сервіси і відокремлює їх від приватних. Як загальнодоступного може виступати, наприклад, веб-сервіс: забезпечує його сервер, який фізично розміщений в локальної мережі, повинен відповідати на будь-які запити з зовнішньої мережі, при цьому інші локальні ресурси (наприклад, файлові сервери, робочі станції) необхідно ізолювати від зовнішнього доступу.Мета ДМЗ - додати додатковий рівень безпеки в локальній мережі, що дозволяє мінімізувати збиток в разі атаки на один із загальнодоступних сервісів: зовнішній зловмисник має прямий доступ тільки до обладнання в ДМЗ 

При формуванні DMZ створюється дві фізично розділені мережі: одна - для загальнодоступних серверів, інша - для внутрішніх серверів і робочих станцій. Залежно від типу DMZ і числа використовуваних брандмауерів, застосовується та чи інша політика маршрутизації для кожної з мереж і жорстко контролюється доступ між:
  1. Internet і DMZ
  2. Internet та внутрішня мережа
  3. DMZ та внутрішня мережа
Головна перевага використання DMZ замість простого брандмауера полягає в тому, що при атаці на загальнодоступний сервер ризик компрометації внутрішніх серверів знижується, оскільки загальнодоступні і внутрішні сервери відокремлені один від одного. Якщо скомпрометований сервер знаходиться в DMZ, зловмисник не зможе безпосередньо атакувати інші, більш важливі сервери, розташовані у внутрішній мережі.
Брандмауер блокує будь-які спроби комп'ютерів з DMZ під'єднатися до комп'ютерів внутрішньої мережі, за винятком спеціально дозволених з'єднань. Наприклад, можна налаштувати брандмауер так, щоб дозволити Web-сервера, що знаходиться в DMZ, приєднуватися до внутрішньої системи з Microsoft SQL через спеціальний TCP-порт. Якщо зловмисник захопить Web-сервер, він зможе організувати атаку на систему SQL Server через цей порт. Однак зловмисник не зможе атакувати інші служби і порти системи з SQL Server, так само як і інші комп'ютери у внутрішній мережі. Застосування DMZ дає ще деякі переваги:

  • Забезпечується можливість виявлення вторгнень, фільтрації вмісту і моніторингу на рівні додатків. Таким чином брандмауер забезпечує захист внутрішньої мережі від атак не тільки з Internet, але і з зазнали нападу комп'ютерів з DMZ. Якщо скомпрометований комп'ютер знаходиться в DMZ, а не у внутрішній мережі, атакуючий спробує пройти брандмауер знову для отримання доступу до внутрішньої мережі.

  • DMZ забезпечує додатковий рівень захисту від атак, при яких зловмисники намагаються отримати доступ через будь-які порти, які непередбачливо були залишені відкритими на загальнодоступних серверах.

  • DMZ дозволить контролювати вихідний трафік так, що можна буде зупинити поширення різних черв'яків, які використовують Web-сервер для злому інших комп'ютерів, і атакуючі не зможуть задіяти Trivial FTP (TFTP) на Web-сервері.

  • DMZ дозволяє обмежити доступ до адміністративних службам, таким, наприклад, як термінальна служба Windows 2000 Server.

  • DMZ захищає сервери від атак типу підміни адрес (spoofing) з використанням протоколу Address Resolution Protocol (ARP).
Якщо у компанії є кошти на додатковий сервер і ліцензію ISA Server, можна створити DMZ проміжного типу. Такий тип DMZ передбачає наявність однієї системи з встановленим на ній ISA Server (зовнішній брандмауер), з'єднаної з Internet і мережею DMZ, і інший системи з ISA Server, що з'єднує DMZ і внутрішню мережу. DMZ проміжного типу включає в себе два брандмауера, які доведеться подолати зловмисникові, тому даний тип DMZ забезпечує більш високий рівень захисту внутрішньої мережі в порівнянні з DMZ трехдомного типу. Інші відмінності між двома типами DMZ складаються в рівні захисту загальнодоступних серверів і вартості. Деякі технічні проблеми з IP-адресацією і сертифікатами також можуть вплинути на вибір типу DMZ.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Лінії Зв'язку

Изображение
Лінія зв'язку  — сукупність технічних пристроїв і фізичного середовища, що забезпечують передавання електричних сигналів одного, двох або багатьох  каналів зв'язку  на віддаль. Найпоширеніші електричні лінії передачі поділяють на проводові ( кабельні  лінії зв'язку, повітряні лінії зв'язку) та безпроводові — радіотехнічні (наприклад, лінії  радіорелейного зв'язку ). Крім того, є лінії зв'язку звукові ( гідроакустичний зв'язок ) та  оптичні . Для одночасного і незалежного передавання сигналів вдаються до  ущільнення  лінії зв'язку. Повітряна лінія зв'язку  Двопровідна лінія відрізняється від звичайного з'єднання за допомогою двох проводів тим, що її довжина може бути більше довжини хвилі, що розповсюджується вздовж неї. Повітряна лінія зв'язку проходить по проводах, підвішених у повітрі до опор за допомогою ізоляторів і спеціальної арматури. Для цього застосовують неізольовані сталеві, мідні або біметалеві (сталеві, покриті міддю) про...
Далее...

Види мережевих атак, та їх захист

  Види атак на їнформацію та спосіб її захисту Поняття інформації та атаки на неї Разом з розширенням посівів будь-якої сільськогосподарської культури завжди збільшується і чисельність комах-шкідників цієї самої культури. Так і з розвитком інформаційних технологій і проникненням їх в усі сфери сучасного життя росте число зловмисників, які активно ці технології використовують  Інформація з'являється на основі подій навколишнього світу. Інформація результат двох речей - сприйнятих подій (даних) і команд, необхідних для інтерпретації даних і зв'язування з ними значення.Тим не менше, що ми можемо робити з інформацією і як швидко ми можемо це робити, залежить від технології  .В даний час під словосполученням «атака» розуміється «замах на систему безпеки.Атака в широкому сенсі слова (початковий зміст) - мозковий штурм, спрямований на знаходження шляху вирішення складних завдань. У результаті мозкового штурму можуть бути придумані нетрадиційні методи вирішення проблеми або...
Далее...

Ознайомлення з CISCO PACKET TRACER

Изображение
Cisco Packet Tracer - це багатофункціональна програма моделювання мереж, яка дозволяє студентам експериментувати з поведінкою мережі і оцінювати можливі сценарії. Будучи невід'ємною частиною комплексної середовища навчання мережевої академії, Packet Tracer надає функції моделювання, візуалізації, авторської розробки, атестації та спільної співпраці, а також полегшує викладання і вивчення складних технологічних принципів. Відко програми( як вона виглядає ) Основні компоненти Ці елементи: створити файл, відкрити файл, зберегти. надрукувати, менеджер активності, скопіювати, вставити, тому, виконати попередні дії, збільшити зображення, оновити, зменшити, панель малювання, діалог пристроїв. Нижче знаходиться перемикач логічного і фізичного уявлень. З правого боку є панель інструментів. На ній знаходяться кнопки: виділення елементів, додати замітку, видалення елемента, наближення, малювання полігону, зміна розміру фігури, формування довільного пакету. Справа з...
Далее...