شبکه DMZ

در مبحث امنیت کامپیوترها، شبکه DMZ یا ( demilitarized zone) شامل خدماتی می باشد که در معرض دسترسی عموم قرار دارد و معمولا این نقطه ناامن، اینترنت می باشد.

هدف اصلی DMZ، افزودن یک لایه ی امنیتی مازاد به شبکه سازمان می باشد. یک node محافظت شده و کنترل شده ی شبکه که با شبکه ی داخلی در ارتباط است، می تواند به آن چه که در DMZ قرار دارد، دسترسی پیدا کند، در حالی که بقیه ی اجزا شبکه ی سازمان در قسمت پشت فایروال ایمن هستند.

یک شبکه DMZ که به درستی پیاده سازی شده، قادر است امنیت بیشتری را در تشخیص و کاهش نقض های امنیتی تامین کند و این کار را قبل از این که آن ها به شبکه ی داخلی یعنی جایی که اطلاعات مهم و با ارزش نگهداری می شود، برسند، انجام می دهد.

هدف شبکه DMZ

شبکه DMZ به منظور ایجاد امنیت برای هاست هایی که بیشتر در معرض خطر هستند، ایجاد شده است. این هاست ها معمولا شامل خدماتی می شوند که به قسمت خارج از local area network مربوط می گردد. رایج ترین انواع این خدمات ایمیل، سرورهای وب و سرورهای DNS می باشد. از آن جا که احتمال حمله زیاد است، آن ها در قسمت زیر مجموعه های تحت کنترل شبکه قرار می گیرند تا در صورت به خطر افتادن بقیه ی اجزا شبکه، از آن ها محافظت کنند.

هاست های داخل DMZ، دسترسی به سایر دستگاه های درون شبکه را به شدت کنترل می کند. دلیل آن این است که داده هایی که از DMZ عبور کرده اند، چندان ایمن نیستند. به علاوه، ارتباط بین هاست های داخل DMZ و شبکه خارجی، در جهت افزایش امنیت منطقه ی مرزی (border zone) محدود شده است. این امر موجب می شود هاست های درون شبکه ی محافظت شده با شبکه های خارجی و داخلی در تعامل باشند، در حالی که فایروال، تمام ترافیک های مشترک بین DMZ و شبکه ی داخلی را از هم جدا نموده و مدیریت می کند. به طور معمول، یک فایروال مازاد، مسئولیت امنیت DMZ را به هنگام قرار گرفتن در معرض شبکه ی خارجی بر عهده می گیرد.

بهتر است کلیه ی خدمات قابل دسترس برای کاربران در جهت ارتباط با شبکه های خارجی در DMZ قرار گیرد. متداول ترین نوع این خدمات شامل موارد ذیل می باشد:

  • سرورهای وب: سرورهای وب، مسئول حفظ ارتباط با سرور پایگاه داده های داخلی که ممکن است داخل DMZ قرار گیرد، می باشند. این امر موجب اطمینان خاطر از امنیت پایگاه داده ها می شود که غالبا اطلاعات مهم و حیاتی در آن ها نگهداری می شود. سپس سرورهای وب می توانند با سرورهای پایگاه داده های داخلی ار طریق فایروال و یا به صورت مستقیم در تعامل باشند، در حالی که هنوز هم تحت محافظت DMZ هستند.
  • سرورهای ایمیل: پیام های شخصی ایمیل و همچنین پایگاه داده های کاربر که برای ذخیره اطلاعات ورود به سیستم و پیام های شخصی ایجاد شده اند، معمولا بر روی سرورها و بدون دسترسی مستقیم به اینترنت ذخیره می شوند. بنابراین، یک سرور ایمیل در داخل DMZ قرار می گیرد تا بتواند با پایگاه داده های ایمیل ارتباط برقرار کند و به آن دسترسی پیدا کند، بدون این که آن را در معرض ترافیک مضر قرار دهد.
  • سرورهای FTP: این سرورها می توانند میزبان محتوای حیاتی و مهم بر روی سایت های سازمان باشند. همچنین امکان تعامل مستقیم با فایل ها را نیز ایجاد می کند. بنابراین، یک سرور FTP بهتر است همیشه مقداری از سیستم های داخلی مهم جدا باشد.

تنظیمات و پیکربندی DMZ، امنیت بیشتری را در مقایل حملات خارجی تامین می کند، اما معمولا در مقابل حملات داخلی این گونه نیست.

DMZها بخش مهمی از امنیت شبکه برای کاربران شخصی و همین طور برای سازمان ها محسوب می شوند. عملکرد آن ها به گونه ای است که با محدود کردن دسترسی های از راه دور به سرورهای داخلی و اطلاعات، امنیت بیشتری را برای شبکه های کامپیوتری تامین می کنند. چنانچه دسترسی به این سرورها و داده ها رخ دهد، اثرات جبران ناپذیری خواهد داشت.

کاربرد شبکه DMZ

شبکه‌ی DMZ از همان ابتدای معرفی فایروال‌ها، یکی از روش‌های فراگیر حفاظت از امنیت اطلاعات شبکه‌های سازمانی به‌حساب آمده است. همان‌طور که پیش‌تر گفته شد مهم‌ترین کاربرد شبکه‌ی منطقه غیرنظامی حفاظت از داده‌های حساس سازمانی و سیستم‌های شبکه‌ی محلی و منابع داخلی سازمان است که سازوکاری مشابه با خندق‌های اطراف قصرها و شهرها در هزاران سال پیش دارد.

کسب‌وکارهای زیادی امروزه در ‌حال استفاده از ماشین‌های مجازی هستند تا به کمک آن‌ها شبکه‌های خود یا اپلیکیشن‌های خاصی را از سایر سیستم‌ها جدا کنند. علاوه بر این، رشد فضاهای ابری با سرویس‌های سریع و هزینه‌ی کم‌تر باعث شده است که کسب‌وکارها دیگر به راه‌اندازی سرورهای داخلی نیاز نداشته باشند.

از سویی دیگر، اغلب کسب‌وکارها با به‌کارگیری روش نرم‌افزار به‌عنوان یک سرویس (Software as a service) که آن را با سرنام SaaS نشان می‌دهند و می‌توان از آن به تعبیر «اجاره‌ نرم‌افزار» و «رایانش ابری» نیز یاد کرد، بخش اعظم زیرساخت‌های خارجی خود را به فضاهای ابری منتقل کردند.

برای مثال، یک سرویس ابری مثل مایکروسافت آژور برای سازمان‌ها امکانی را فراهم می‌کند که اپلیکیشن‌ها را روی به صورت on-premises (رایانش درون سازمانی و محلی) و روی شبکه‌های مجازی خصوصی (وی‌پی‌ان) راه‌اندازی کنند تا از رویکرد ترکیبی بهره‌مند شوند و شبکه‌ی DMZ در بین این دو استقرار یابد. این روش همچنین برای زمانی کاربردی است که ترافیک خروجی نیاز به بازرسی دارد یا باید ترافیک بین مرکز داده on-premises و شبکه‌های مجازی کنترل شود.

علاوه‌براین‌ها، شبکه‌ی DMZ در برخورد با خطرات امنیتی در فناوری‌های جدید مثل دستگاه‌های اینترنت اشیاء (IoT) و سیستم‌های فناوری عملیاتی (Operational Technology) که تولید و ساخت محصولات را هوشمندسازی می‌کنند؛ اما موجب افزایش گستره‌ی خطرات تهدیدی خواهند شد نیز کارآمد ظاهر شده است.

علت این است که تجهیزات سیستم‌های فناوری عملیاتی (OT) برای مقابله یا بازیابی از حملات سایبری مانند دستگاه‌های IoT طراحی نشدند و در‌ نتیجه باعث شده‌اند که با به‌کارگیری از تجهیزات سیستم عملیاتی داده‌ها و منابع حیاتی سازمان‌ها را در‌ معرض خطرات درخورتوجهی قرار دهد. بنابراین، شبکه‌ی DMZ با تقسیم‌بندی شبکه‌ی خطر، نفوذ هکری را که بتواند به زیرساخت‌های صنعتی آسیب بزند؛ به‌طور چشم‌گیری کاهش خواهد داد.

یکی دیگر از کاربرد‌ها شبکه‌ی DMZ می‌تواند برای شبکه‌های خانگی باشد که در آن کامپیوترها و سایر دستگاه‌ها از‌ طریق روتر به اینترنت متصل می‌شوند و سپس به یک شبکه‌ی محلی پیکربندی می‌شوند. برخی از روترهای خانگی ویژگی میزبانی DMZ را برای شبکه فراهم می‌کنند. این ویژگی را می‌توان متفاوت از زیرشبکه‌ی DMZ مورد استفاده در سازمان‌ها قلمداد کرد. ویژگی هاست DMZ موجود در مودم مشخص می‌کند که یک دستگاه در شبکه‌ی خانگی خارج از فایروال به‌عنوان شبکه‌ی DMZ کار کند، درحالی‌که سایر دستگاه‌های شبکه‌ی خانگی داخل فایروال به فعالیت بپردازند.

در مثال‌های ساده‌تر از کاربرد شبکه‌ی DMZ باید به راه‌اندازی سرورهای ایمیل، اف‌تی‌پی و وب‌سایت در این نوع شبکه‌ها اشاره کرد. ایمیل سرویسی است که کاربر با آن از‌ طریق اینترنت تعامل دارد و قرارگیری سرور ایمیل در شبکه‌ی حفاظت‌شده‌ی دی‌ام‌زی آسیب‌پذیری اطلاعات شخصی کاربران را کاهش می‌دهد؛ اما برای افزایش ضریب ایمنی توصیه می‌شود که پایگاه داده‌ی ایمیل را درون شبکه‌ی دی‌ام‌زی قرار ندهید و آن را بعد از فایروال دوم شبکه کنید.

به‌طور کلی، کاربرد اصلی شبکه‌ی DMZ ایجاد ایستگاه‌های ایست و بازرسی برای کنترل ترافیک بین شبکه است که می‌تواند بر‌ اساس نیاز شبکه در سناریوهای مختلف و به طرق متفاوت مورد استفاده قرار بگیرد. شاید ادعای پوچی نباشد که بگوییم امروزه اطلاعات یکی از ارزشمندترین دارایی‌ها است که نقش پول رایج بین شرکت‌های بزرگ و در مقیاس بزرگ‌تر بین کشورها را ایفا می‌کند؛ بنابراین هرگونه تلاش برای حفظ اطلاعات قدمی با اهمیت است.

معمولاً هر شرکتی که اطلاعات حساسی دارد که روی سرورهای شرکت ذخیره می‌شوند و به‌صورت عمومی از‌ طریق اینترنت با کاربران تعامل دارد، می‌تواند با توجه به نیازش از شبکه‌ی DMZ استفاده کند. اهمیت این موضوع گاهی تا جایی پیش می‌رود که برخی شرکت‌ها از نظر قانونی موظف هستند که شبکه‌ی دی‌ام‌زی اختصاصی خود را راه‌اندازی کنند. برای مثال، شرکت‌های فعال در زمینه پزشکی و سلامت باید سامانه‌های خود را طوری ایجاد کنند که از نشت اطلاعات حساس کاربران جلوگیری کند.

جمع‌بندی

شبکه‌ی DMZ نوعی حائل است که به‌عنوان لایه‌ی حفاظتی عمل می‌کند و می‌تواند ترافیک ورودی به شبکه‌ی داخلی را فیلتر کند و با بررسی داده‌های ورودی و خروجی از نفوذ هکرها و نشت اطلاعات جلوگیری کند. در واقع، این فضا فرصتی ایجاد می‌کند که سامانه‌های تشخیص نفوذ و سامانه‌های جلوگیری از نفوذ بتوانند ابتکار عمل را در مواجه با مهاجمان به دست بگیرند. راه‌اندازی شبکه‌ی DMZ نیاز به تخصص دارد و با توجه به حساسیت بالای استفاده از شبکه‌ی دی‌ام‌زی توصیه‌ی اکید می‌شود که بدون دانش کافی اقدام به ایجاد شبکه نکنید.