سایت های اینترنتی را می توان یکی از مهمترین المان های دنیای مدرن امروز نامید که نقش بسیار پررنگی را در تجارت الکترونیک دارند و کسب وکارهای اینترنتی یکی از موارد مهمی است که با تکیه به این سایت ها توانسته است رشد خوبی را داشته باشد، موضوع امنیت است. امنیت از دیرباز در کامپیوتر و اینترنت به عنوان یکی از کلیدی ترین ویژگی ها مدنظر قرار داشته است. افزایش امنیت هاست در بین فعالیت های مدیریت و نگهداری یک سایت می تواند بسیار مهم و کاربردی باشد، در مبحث امنیت، شبکه Demilitarized Zone شامل خدماتی می باشد که در معرض دسترسی عموم قرار دارد و معمولاً این نقطه ناامن، اینترنت می باشد. در این مقاله قصد بر آن است که این شبکه را مورد بحث و بررسی قرار دهیم.
در دنیای شبکه dmz که مخفف عبارت Demilitarized Zone است، شبکه های غیر نظامی را نشان می دهد. این شبکه ها که به صورت طبقه بندی شده هستند، نقش بزرگی را در افزایش امنیت سازمان ها بازی می کنند. در واقع شبکه dmz با ایجاد یک لایه منطقی یا فیزیکی ، امنیت سرورهای سازمان را در مقابل سرویس های غیر قابل اعتماد حفظ خواهد کرد. به طور کلی می توان گفت که dmz یکی از اصلی ترین مفاهیم در شبکه محسوب می شود. به همین دلیل افراد فعال در این زمینه باید کاملاً با dmz آشنا باشند تا بتوانند شبکه های بی عیب و نقصی را به وجود بیاورند، هدف از ایجاد منطقه DMZ در شبکه اضافه نمودن یک لایه امنیتی بیشتر به LAN سازمان است.
روشهای بی شماری برای ساخت شبکه با DMZ وجود دارد اما دو روش عمده محافظت با یک فایروال که گاهی اوقات آن را مدل سه پایه می نامند یا محافظت از طریق دو فایروال میباشد. هر یک از این سیستم ها را می توان برای ایجاد معماری های پیچیده ساخته شده برای تأمین نیازهای شبکه استفاده کرد:
• فایروال تک: یک رویکرد معمولی در شبکه شامل استفاده از فایروال منفرد، با حداقل ۳ کارت شبکه است. demilitarized zone در داخل این فایروال قرار می گیرد. ردیف عملیات را میتوان به این صورت تشریح نمود که ابتدا کارت شبکه خارجی اتصال را از طریق ISP برقرار می کند ، شبکه داخلی توسط کارت شبکه دوم متصل می شود و ارتباطات درون demilitarized zone توسط کارت شبکه سوم انجام می شود.
• فایروال دوگانه: روش امن تر استفاده از دو دیوار آتش برای ایجاد DMZ است. اولین فایروال که به آن فایروال frontend گفته می شود و به گونه ای پیکربندی شده است که فقط اجازه ترافیک برای DMZ را می دهد. دیوار آتش دوم که به آن دیوار آتش backend گفته می شود فقط مسئول ترافیکی است که از demilitarized zone به شبکه داخلی می رود. یک روش موثر برای افزایش بیشتر حفاظت، استفاده از دیوارهای آتش ساخته شده توسط فروشندگان جداگانه است زیرا احتمال آسیب پذیری های امنیتی آنها کمتر است. در حالی که کارآمدتر است اما اجرای این طرح در یک شبکه بزرگ می تواند هزینه بیشتری داشته باشد.
یک گره در شبکه DMZ فقط می تواند به آنچه که در شبکه DMZ قرار دارد دسترسی داشته باشد، در حالی که سایر شبکه های سازمان دارای فایروال هستند. شبکه واسط غیرنظامی به عنوان یک شبکه کوچک و جدا شونده بین اینترنت و شبکه خصوصی عمل می کند و در صورت اثر بخش بودن طراحی آن به سازمان اجازه می دهد تا زمان اضافی را برای شناسایی و رفع نقض ها قبل از نفوذ بیشتر در شبکه های داخلی فراهم کند. نام شبکه واسط غیرنظامی از اصطلاح منطقه خنثی شده گرفته شده است که در واقع به منطقه ای بین کشورهایی که در عملیات نظامی مجاز نیست، اشاره می کند. از این رو به شبکه DMZ، شبکه غیرنظامی و به منطقه آن منطقه غیرنظامی در شبکه گفته می شود. شبکه واسط غیرنظامی به نظر نمی رسد که متعلق به هر یک از طرفین در مرز باشد که در مورد محاسبات کاربرد دارد زیرا شبکه DMZ به عنوان دروازه ای برای اینترنت عمومی عمل می کند.
کاربردهای شبکه dmz
هاست ها در شبکه DMZ مجاز به اتصال فقط محدود به هاست های خاص در شبکه داخلی هستند، زیرا شبکه واسط غیرنظامی به اندازه شبکه داخلی ایمن نیست. به همین ترتیب، ارتباط بین هاست در شبکه DMZ و شبکه خارجی نیز محدود شده است تا شبکه DMZ از اینترنت ایمن تر باشد و برای استفاده از این سرویس های خاص نیز مناسب باشد و این اجازه می دهد تا هاست در شبکه واسط غیرنظامی با هر دو شبکه داخلی و خارجی ارتباط برقرار کنند، به همین دلیل خدمات مختلفی از طریق شبکه dmz ارائه می شوند که کاملاً ارزشمند هستند.
1. ارائه خدمات سرورهای وب
سرویس های تحت وب که خدمات مختلفی را ارائه می کنند، دارای پایگاه اطلاعاتی هستند که داده های حساسی را در دل خود دارند. گاهی مواقع این پایگاه های داده اطلاعات فردی یا بانکی را نگهداری کرده و در دسترس کاربران قرار می دهند. همچنین بدیهی است که چنین داده های حساسی به شدت در معرض حملات سایبری است. در اینجا شبکه dmz با استفاده از دو فایروال داخلی خود می تواند امنیت را به طور قابل قبولی بالاتر ببرد.
2. پیاده سازی سرویس VoIP
سرویس VoIP که به تازگی محبوبیت زیادی پیدا کرده است، یکی از کاربردهای شبکه dmz محسوب می شود. شبکه dmz به دلیل وجود ویژگی های امنیتی می تواند این خدمات را ایمن تر در اختیار کاربران قرار دهد. جالب است بدانید که خدمات VoIP به شدت در معرض حمله قرار دارند. به همین دلیل ممکن است که تماس های کاربران شنود شوند. اما زمانی که چنین خدماتی با امنیت dmz همراه می شوند، نگرانی ها بابت شنود یا سایر خطرات احتمالی کمتر خواهد شد.
3. سرویس های پست الکترونیکی ، همیشه سازمان ها به ایمیل هایی که وارد سرورها می شوند اعتماد دارند، اما امنیت سازمان ها به دلیل همین اعتماد نادرست ضربه می خورد. باید بدانید که بیشترین حملات سایبری به کمک نامه های آلوده به بدافزارها یا ویروس ها انجام می شود. زمانی که چنین ایمیل های مخربی به سازمان وارد شوند، می توانند که آسیب جبران ناپذیری وارد کنند.
4. خدمات VPN
نرم افزارها و سایت هایی که خدمات Vpn را ارائه می کنند، معمولاً dmz را در شبکه خود دارند. البته این کار تنها توسط پلتفرم هایی انجام می شود که برای امنیت کاربرانشان ارزش زیادی قائل هستند، زیرا معمولاً سرویس های VPN اطلاعات شخصی کاربران را در معرض سرقت هکرها قرار می دهند. همچنین dmz برای نقاط انتهایی VPN نیز کاربردهای زیادی دارد. با این ترفند نیز خدماتی ارائه خواهد شد که از نظر امنیت کاملاً تضمین شده است.
5. پروتکل های امنیتی مانند HTTP
شبکه dmz می تواند خدمات و پروتکل های امنیتی مانند HTTP را ارائه دهند.البته که سایر پروتکل ها در شبکه dmz به سادگی در دسترس هستند و می توانند تاثیر شگفت انگیزی روی امنیت شبکه بگذارند. برای مثال کارشناسان شبکه به پروتکل های FTP ،Telnet و SMTP دسترسی دارند. بدیهی است که این پروتکل هرکدام به صورت جداگانه مزایایی را به همراه می آورند.
6. گیت ویت های اپلیکیشن ، زمانی که تلفن های هوشمند همه گیر شدند، گیت ویت های اپلیکیشن یا اتصال آن ها به سرورها نیز اهمیت بیشتری پیدا کردند. در این سیستم ها نرم افزار با گیت ویت به سرور اصلی متصل شده و اطلاعات یا خدمات مختلفی را در اختیار کاربر قرار می دهد. زمانی که dmz در شبکه قرار بگیرد، امنیت افزایش یافته و می توان بهتر عملکرد کاربران سیستم را بررسی کرد.
7. پنل های ثبت احراز هویت
شبکه های dmz که با دو فایروال راه اندازی می شوند، گزینه خوبی برای طراحی پنل ها یا سیستم های احراز هویت است. در این معماری که اصطلاحاً Back To Back نام دارد، دو فایروال احراز هویت کاربران را با امنیت بیشتری همراه می کند. البته دیده شده که برخی از طراحان شبکه از همان معماری Three Legged Model یا تک فایروال برای طراحی سیستم های احراز هویت کمک می گیرند. البته باز هم شبکه dmz با دو فایروال گزینه بهتری برای کنترل احراز هویت کاربران هستند.
بدیهی است که رایانه های موجود در منطقه غیر نظامی باید تا حد امکان تقویت شوند، زیرا در خط مقدم مقابله با حمله ها و درست پشت سر فایروال قرار دارند. موقعیت آن ها موجب می شود که از بروز حمله از سمت LAN جلوگیری به عمل آید، اما ممکن است ریسک به مخاطره افتادن را افزایش دهد. برای افزایش امنیت سیستم های DMZ میبایست غیرفعال ساختن همه سرویس ها و dæmonهای غیر ضروری، اجرای سرویس ها به صورت chroot در حد امکان، اجرای سرویس ها با UIDها و GUIDهای غیر مجوز دار در حد امکان، حذف یا غیر فعال سازی حساب های کاربری غیر فعال، پیکربندی لاگ و بررسی مرتب لاگ ها، استفاده از سیاست امنیت فایروال و قابلیت های ضد جعل IP را مدنظر قرار دهیم. امکان بهبود زیرساخت DMZ از طریق افزودن چند منطقه غیر نظامی با سطوح امنیتی مختلف وجود دارد و همه این ها به تعداد سیستم ها و سرویس هایی که قرار است عرضه شوند وابسته است. این مناطق می توانند در یک ساختار چند طبقه طراحی شوند به طوری که اطلاعات از یک سرور DMZ به سرور دیگر ارسال شوند.
مزایای استفاده از DMZ
مزیت اصلی DMZ ارائه یک شبکه داخلی با یک لایه امنیتی پیشرفته با محدود کردن دسترسی به داده ها و سرورهای حساس است. یک DMZ بازدیدکنندگان وب سایت را قادر می سازد تا خدمات خاصی را در حالی که بین آنها و شبکه خصوصی سازمان ایجاد می کند، به دست آورند. برخی از مزایا به صورت ذاتی در dmz وجود دارند که باید بشناسید. کارشناسان شبکه نیز همواره سعی دارند که برای دسترسی به این مزایا dmz را در طراحی شبکه های خود به کار بگیرند که برخی از آنها به شرح زیر میباشند:
1. جلوگیری از حملات مخرب برای شناسایی شبکه
یکی از ویژگی هایی که شبکه dmz دارد، عملکرد به صورت بافر است. به همین دلیل این شبکه می تواند حملات مخرب را شناسایی کند و جلوی آن ها را بگیرد. همچنین زمانی که سیستم های dmz آسیب ببینند، باز هم شبکه خصوصی در امان می ماند، زیرا شبکه خصوصی از dmz جدا خواهد شد. البته که وجود این شبکه بسیار ایمن شناسایی شبکه را به کار سختی تبدیل می کند. به لطف چنین ویژگی هایی نیز امنیت شبکه درون سازمانی یا خصوصی به طور قابل توجهی افزایش می یابد.
2. محافظت از IP در مقابل جعل
اگر شناخت اندکی به روش های نفوذ به سرورها و شبکه ها داشته باشید، می دانید که یکی از روش ها جعل آدرس IP است. در واقع هکرها سعی می کنند که با جعل آدرس IP محدودیت های موجود برای دسترسی به شبکه را دور بزنند. اما شبکه dmz با ایجاد یک لایه امنیتی جلوی این اتفاق را می گیرد. این شبکه آدرس های IP که دست کاری شده اند را منتظر نگاه می دارد. در صورتی که شبکه به طور کامل در حال کار بوده و آدرس های IP اصلی بدون مشکل خاصی به شبکه خصوصی دسترسی دارند.
3. کنترل داده های ارزشمند سازمان ها
سازمان هایی که در شبکه و پایگاه های اطلاعاتی خود داده های مهمی را نگهداری می کنند، هنگام ارتباط با شبکه های خارجی مانند اینترنت در معرض خطر قرار می گیرند. همچنین برخی از کاربرانی که به شبکه دسترسی دارند، از این وضعیت سوءاستفاده کرده و اطلاعات را به بیرون از شبکه منتشر می کنند. به همین دلیل متخصصان شبکه، شبکه های خصوصی سازمان ها را با استفاده از dmz محافظت کرده تا کنترل بهتری روی عملکرد کاربران داشته باشند.
4. اجبار برای استفاده از پروکسی برای دسترسی به اینترنت
کاربرانی که با شبکه های dmz کار می کنند، در این حالت نمی توانند به شبکه های عمومی مانند اینترنت متصل شوند. بلکه برای انجام این کار نیاز به اتصال پروکسی دارند تا بتوانند به منابع خارجی متصل شوند. حتی کاربران برای دسترسی به شبکه خصوصی و منابع داخلی سیستم هم نیاز به اتصال پروکسی خواهند داشت. این پروکسی نیز مانند یک رله عمل کرده و اتصال ایمنی را به وجود می آورد.
5. متمرکز شدن فرایند فیلترینگ وب سایت ها ، در این بخش از مقاله قصد داریم به یکی از مزایای دیگری بپردازیم که کاربرد زیادی در کشور ما دارد. متاسفانه زمانی که عملیات فیلترینگ روی سایت ها انجام می شود، حتی قسمت های مفید یک سایت نیز از کار می افتند. شبکه dmz با قابلیت های منحصر به فرد کنترلی که دارد، می تواند جلوی این اتفاق را بگیرد. با انجام این کار تنها محتواهای نامناسب فیلتر شده و قسمت های مفید در دسترس باقی می مانند.
6. ساده سازی نظارت بر فعالیت کاربران در اینترنت ، همیشه مسئله کنترل کاربران در سازمان ها یا شبکه بزرگ مشکل بزرگی بوده است. اما شبکه dmz قصد دارد تا با ویژگی های خاص خود جلوی این کار را ساده تر کند. همانطور که در بخش های قبلی مطلب گفته شد، شبکه های dmz توانایی کنترل فعالیت کاربران را دارند. به همین دلیل باید در شبکه های سازمان ها dmz پیاده سازی شود تا بتوان به این هدف ارزشمند رسید. وجود قابلیت هایی مانند اتصال به اینترنت با پروکسی یا پروتکل های امنیتی قطعاً ارزشمند خواهد بود.
در انتها میبایست خاطر نشان شده که DMZها در مقابله با خطرات امنیتی ناشی از فناوری جدید مانند دستگاه های اینترنت اشیا و سیستم های فناوری عملیاتی یا OT مفید هستند که تولید و ساخت را هوشمندتر می کنند اما سطح تهدید گسترده ای را ایجاد می کنند. این به این دلیل است که تجهیزات OT برای مقابله با حملات سایبری یا بازیابی از آن ها مانند دستگاه های دیجیتال IoT طراحی نشده اند، که خطر قابل توجهی برای داده ها و منابع حیاتی سازمان ها ایجاد می کند. یک DMZ بخش بندی شبکه را برای کاهش خطر حمله ای که می تواند به زیرساخت های صنعتی آسیب برساند، فراهم می کند.