Un articol despre motivele pentru care este bine să avem DMZ în cadrul companiei.

La construcția unei rețele de calculatoare găsim termenul de DMZ, sau Zonă Demilitarizată. Definiția spune că această zonă demilitarizată este o sub-rețea delimitaă fizic sau logic de restul rețelei companiei. Scopul principal este de a plasa acolo echipamentele sau serverele expuse, adică cele la care publicul larg are acces. În felul acesta oferim un grad suplimentar rețelei interne de calculatoare prin simplu fapt că de ex dacă cineva rău intenționat ar ataca un serviciu public și ar primi acces pe unul din serverele publice, nu ar avea implicit acces și la resursele rețelei private.

Blindaj din ambele părți. Ce înseamnă asta. Îseamnă că rețeaua companiei ar trebui să fie protejată din ambele părți, atât din partea internetului cât și din partea DMZ-ului. Unele firewall-uri au astfel de funcții, pentru unele este nevoie să plătiți suplimentar ca astfel de funcții să fie activate. Acest lucru însă se poate face foarte simplu și cu un router bazat pe Linux.

Fizic și nu logic! Este mult mai sigur dacă delimitarea se face la nivel fizic. Un atacator odată intrat pe unul din servere, chiar dacă din punct de vedere logic serverul e din altă clasă de IP-uri sau chiar subclasă care logic nu ar comunica cu restul calculatoarelor, credeți că îi e greu să modfice o adresă IP pe o interfață de rețea? Atunci e mai bine ca acea separație să fie fizică. Inseamnă fie să aveți două conexiuni la internet complet separate, fie să aveți încă un router pus înaintea rețelei companiei care să nu permită accesul de nicăieiri, fie pur și simplu routerul bazat pe linux are mai multe plăci de rețea fiecare conectată fizic unde îi e locul.

Accesul internet din DMZ. Putem spune că dacă e o zonă separată atunci de ce să o mai restricționăm? Ei bine, pentru securitatea sporită asupra serviciilor publice sau pentru a ne scuti de bătăi de cap suplimentare. Să zicem că un atacator încearcă și primește acces către serviciile publice. Ce va încerca el să facă? Să le facă nefuncționale! Chiar dacă pagubele nu sunt așa de mari ca atunci când atacatorul face terci rețeaua companiei, totuși un serviciu public nefuncțional nu dă bine. Cât îi ia administratorului rețelei să restaureze totul din copiile de siguranță, cât durează până serviciile vor fi din nou funcționale? Personal sunt de părere că acele echipamente din DMZ nu ar trebui să aibă acces la internt, sau ar trebui să aibă acces doar la site-urile de unde se pot face actualizări de software. Soluția recomandată de mine este 1-to-1 NAT. Adică publicul larg când cere un serviciu îl va cere de la un router/firewall care va transmite cererile mai departe către serverul implicat(cel real).

Accesul la echipamente. Acesta se va face fie strict fizic, fie prin intermediul soluțiilor VPN, atât dinspre internet cât și din rețeaua locală și doar de persoanele direct implicate. Accesul către rețeaua locală de asemenea se va face prin intermeniul soluțiilo VPN și de asemena doar de câtre persoanele care au cu adevărat nevoie de acest lucru. Ce fel de soluții de VPN sunt recomandate? În general să vă feriți de soluțiile în care accesul se face doar în baza unei parole. În general parolele sunt ușor de schimbat/ghicit/rătăcit/pierdut șamd.

Securitate absolută! Nu există așa ceva! Cine își asumă așa ceva este fie prost fie își permite să piardă(în caz de….).

Pentru mai multe informații aveți în bara laterală informațiile mele de contact.

PS! Imaginile sunt de pe Wikipedia