شبکه DMZ چیست و چه کاربردی دارد؟

دوشنبه ۱۱ بهمن ۱۴۰۰ - ۱۳:۳۰
مطالعه 16 دقیقه
در این مقاله به‌طور مفصل به چیستی شبکه‌ی DMZ خواهیم پرداخت و شیوه‌ی راه‌اندازی آن را بررسی می‌کنیم.
تبلیغات

فعالیت در اینترنت و تعامل با وب‌سایت‌های مختلف و کاربران فراوان، همیشه احتمال قرارگیری در‌ معرض آسیب را به همراه دارد. به عبارتی دیگر، همان‌طور که برای عبورومرور در خیابان باید مراقب خود و وسایلمان باشیم، عبورومرور در اینترنت نیز نیازمند مراقبت است.

برخی مراقبت‌ها فردی است که هرکس باید دانش نسبی از آن داشته باشد. برای مثال، یکی از مهم‌ترین نکته‌های مراقبتی کلیک نکردن روی لینک‌های ناشناس در اینترنت است. برخی دیگر از مراقبت‌ها سازمانی است و بر‌ اساس آن یک سازمان باید از داده‌های خود در‌ برابر نفوذ هکرها حفاظت کند. این مسئله به‌خصوص برای سازمان‌هایی که شبکه‌ی داخلیشان با شبکه‌ی اینترنت ارتباط مستقیم دارد، مهم‌تر است. برای دستیابی به امنیت اطلاعاتی سازمان‌ها روش‌های مختلفی را به‌کار می‌گیرند. یکی از این روش‌ها استفاده از شبکه DMZ است؛ اما شبکه‌ی DMZ چیست؟ در این مقاله قصد داریم چگونگی سازوکار شبکه‌ی‌ DMZ را بررسی کنیم و کاربردهای آن را برشماریم. مثل همیشه با زومیت همراه باشید.

شبکه منطقه غیرنظام / Demilitarized Zone Network

شبکه‌ی DMZ چیست؟

شبکه‌ی DMZ به‌طور خلاصه نوعی زیر شبکه‌ی محافظ است که به‌عنوان پل ارتباطی بین یک شبکه‌ی ایمن داخلی با شبکه‌ی غیرایمنی مثل اینترنت عمل می‌کند و علاوه‌بر حفظ امنیت شبکه داخلی ممکن است برخی خدمات همگانی شبکه‌ی داخلی را در بستر شبکه‌ی خارجی ارائه کند.

برای ارائه‌ی درک بهتر چیستی شبکه‌ی DMZ اجازه دهید با مثالی ملموس پیش برویم. احتمالاً تاکنون در فیلم‌های علمی-تخیلی با موضوع فضا و نجوم دیده‌اید که فضانوردان برای ورود و خروج از سفینه چه فرایندی را طی می‌کنند. آن‌ها برای خروج از سفینه زمانی که خارج از جوّ زمین قرار دارند، ابتدا باید وارد اتاقک مخصوصی شوند که جدا از محیط اصلی سفینه است، سپس با بستن در داخلی، شرایط جوّی و فشار هوا تنظیم می‌شود و بعد از آن در خروجی بیرونی باز می‌شود تا بتوانند به‌صورت کامل از سفینه خارج شوند.

شبکه‌ی DMZ در‌ واقع، مانند اتاقک ورودوخروج سفینه عمل می‌کند و با ایجاد یک منطقه‌ی امن، ارتباط شبکه‌ی داخلی سازمان‌ها را با شبکه‌ی اینترنت فراهم می‌کند. نام شبکه‌ی‌ DMZ برگرفته از عبارت «Demilitarized Zone» که به‌صورت سرواژه نوشته می‌شود. در اصل عبارت DMZ یا همان منطقه غیرنظامی برای تعریف خطوط مرزی بین دو کشور در علوم جغرافیایی و سیاسی به‌‌ کار می‌رود که وارد فناوری شده است. شبکه‌ی DMZ مهم‌ترین کاربردش افزودن یک لایه امنیتی بیشتر به شبکه‌ی اصلی است تا از نفوذ هکرها و مهاجمان و دسترسی به اطلاعات حساس شبکه‌ی اصلی جلوگیری کند.

در بیان تخصصی، شبکه‌ی DMZ در دسته شبکه‌های Primeter قرار می‌گیرد که محیطی را ایجاد می‌کند تا ارتباط بین شبکه‌ی تأییدشده و شبکه‌ی تأییدنشده برقرار شود. هدف نهایی شبکه‌ی DMZ این است که با حصول اطمینان از امنیت شبکه‌ی خصوصی محلی، امکان دسترسی سازمان به شبکه‌های تأییدنشده نظیر اینترنت را فراهم کند. سازمان‌ها اغلب خدمات و منابع خارجی مثل سرورهای سامانه نام دامنه (DNS)، پروتکل انتقال فایل (FTP)، خدمات ایمیل، پروکسی و خدمات صدا روی پروتکل اینترنت (VoIP) و سرور وب را در زیرشبکه‌ی DMZ قرار می‌دهند.

این سرورها و منابع به‌صورت ایزوله‌شده راه‌اندازی می‌شوند و به شبکه‌ی محلی (LAN) دسترسی محدود دارند تا از‌ طریق اینترنت در‌ دسترس باشند؛ اما شبکه‌ی محلی داخلی غیرقابل‌دسترسی باشد. این فرایند در نهایت منجر می‌شود که هکرها برای نفوذ به شبکه‌ی داخلی و دسترسی به داده‌های سازمان شانس کمتری داشته باشند.

شبکه‌ی DMZ چگونه کار می‌کند؟

شبکه DMZ چگونه کار می‌کند

کسب‌وکارهایی که برای تعامل با مشتریان خود وب‌سایت دارند، باید سرور وب را از‌ طریق اینترنت در‌ دسترس آن‌ها قرار دهند تا ارتباط از‌ طریق وب‌سایت میسر شود. انجام این کار باعث می‌شود که تمام شبکه‌ی داخلی سازمان نیز در‌ معرض خطر قرار گیرد.

بنابراین، برای جلوگیری از خطرات احتمالی سازمان باید از شرکت‌های ارائه دهنده‌ی خدمات هاستینگ درخواست کند که وب‌سایت یا سرور عمومی سازمان را با امکان حفاظت دیوار آتشین میزبانی کنند؛ اما این مسئله باعث خواهد شد عملکرد وب‌سایت تحت تأثیر قرار بگیرد. از این رو، به‌جای این کار، بهتر است سرورهای عمومی را که در‌ دسترس کاربران قرار می‌گیرند، به‌صورت جداگانه و ایزوله روی یک شبکه‌ی مستقل میزبانی کرد. این شبکه‌ی جدید که ایزوله شده، همان شبکه‌ی DMZ نام دارد.

شبکه‌ی DMZ بین اینترنت و شبکه‌ی خصوصی سازمان حائل ایجاد می‌کند، فضای ایزوله شده‌ی شبکه‌ی DMZ مجهز به دیوارهای آتشین و دروازه‌های امنیتی است که ترافیک بین شبکه‌ی DMZ و شبکه‌ی محلی را تحت نظر دارد. سرور DMZ به‌صورت پیش‌فرض مجهز به دروازه‌ی امنیتی دیگری است که از آن در‌ برابر ترافیک ورودی از شبکه‌های خارجی مثل اینترنت محافظت می‌کند.

دیوار آتشین / Firewall

به‌بیانی دیگر، شبکه‌ی DMZ در بهترین حالت بین دو دیوار آتشین راه‌اندازی می‌شود؛ بنابراین در ابتدا فایروال شبکه‌ی DMZ مطمئن می‌شود که بسته‌های ورودی از شبکه‌ی خارجی توسط فایروال دیگر نیز بررسی شوند و بعد از آن به سرورهایی که در شبکه‌ی DMZ میزبانی می‌شوند دسترسی پیدا کنند. بدین ترتیب حتی اگر هکری با اقدامات پیچیده بتواند اولین فایروال را دور بزند، باید قبل از اینکه امکان آسیب رساندن به شبکه‌ی داخلی سازمان داشته باشد، به سرویس‌های نفوذناپذیر DMZ دسترسی پیدا کند.

حتی اگر هکر با عبور از فایروال اول بتواند به یکی از سیستم‌های شبکه‌ی DMZ نفوذ کند و کنترل آن را در دست بگیرد، همچنان دسترسی به اطلاعات حساس سازمانی میسر نیست. زیرا هشدار نفوذ به سیستم به‌صدا درمی‌آید و فایروال داخلی و شبکه‌ی محلی از این نفوذ باخبر خواهند شد.

بعضی سازمان‌ها برای رعایت قوانینی، مثل قانون HIPAA گاهی اوقات در شبکه‌ی DMZ سرور پروکسی نصب می‌کنند. این سرور آن‌ها را قادر می‌سازد تا به‌راحتی فعالیت‌های هر کاربر را نظارت و ضبط کنند، فیلتر محتوای وب را متمرکز کنند و در نهایت مطمئن شوند که کارکنان از سیستم برای دسترسی به سیستم استفاده می‌کنند.

مزایا و معایب راه‌اندازی شبکه‌ی DMZ

پیش‌تر درباره‌ی مزیت اصلی شبکه‌ی DMZ و اینکه چگونه یک لایه‌ی امنیتی پیشرفته روی شبکه‌ی اصلی ایجاد می‌کند نکاتی را یادآور شدیم. اما، این نوع شبکه‌ها علاوه‌بر ایجاد حائل بین شبکه‌ی خارجی و شبکه‌ی محلی چه ویژگی امنیتی دیگری فراهم می‌کند؟ دیگر مزایای امنیتی شبکه‌ی DMZ عبارت‌اند از:

۱- ایجاد کنترل دسترسی (Access Control): کسب‌وکارها می‌توانند امکان دسترسی به خدمات مختلف را از‌ طریق اینترنت برای کاربران در خارج از محیط شبکه‌ی خود فراهم کنند. شبکه‌ی DMZ شرایط دستیابی به این قبیل خدمات را درحالی به‌وجود می‌آورد که فرایند بخش‌بندی شبکه را نیز اجرا می‌کند تا مسیر نفوذ به شبکه‌ی خصوصی را برای کاربران تأییدنشده دشوار کند. از‌ سوی دیگر، همان‌طور که قبلاً گفته شد، با تعبیه‌ی سرور پروکسی در شبکه‌ی DMZ می‌توان گردش ترافیک داخلی را متمرکز کرد و نظارت و ضبط ترافیک را تسهیل کرد.

۲- جلوگیری از اجرای پویشگر آسیب‌پذیری و عملیات شناسایی شبکه: وجود شبکه‌ی DMZ مانند حائلی بین شبکه‌ی اینترنت و شبکه‌ی محلی عمل می‌کند و همین امر باعث خواهد شد که هکرها نتوانند نخستین مرحله برای اجرای حملات، یعنی شناسایی آسیب‌پذیری‌های شبکه را پشت‌سر بگذارند. سرورهای شبکه‌ی DMZ در‌ معرض دسترسی عموم قرار دارند؛ اما با وجود فایروال تعبیه‌شده اجازه‌ی واکاوی درون شبکه‌ی داخلی را به هکرها نمی‌دهند. حتی اگر هکری به یک سیستم در شبکه‌ی DMZ ورود کند، همچنان قادر نیست عملیات پویش آسیب‌پذیری‌ها را با موفقیت به‌سرانجام برساند.

۳- جلوگیری از حمله‌ی جعل آی‌پی: هکرها ممکن است با جعل آدرس آی‌پی، هویت یک دستگاه تأیید شده را جعل کنند و به سیستم‌های شبکه‌ی محلی نفوذ کنند. در اینجا شبکه‌ی DMZ می‌تواند تلاش برای جعل هویت را کشف و متوقف کند، زیرا برخی سرویس‌های موجود در آن قادر هستند مشروعیت آی‌پی آدرس‌ها را مورد بررسی قرار دهند. سرویس‌های موجود در شبکه‌ی DMZ شامل سرورهای DNS، سرورهای FTP، سرورهای ایمیل، سرورهای پروکسی و سرورهای وب می‌شود.

شبکه‌ی DMZ مانند هر چیز دیگری اشکالاتی دارد که البته نسبت‌به مزایایی که ارائه می‌کند، به چشم نمی‌آیند. بعضی از معایب شبکه‌ی DMZ را می‌توان در سه مورد طبقه‌بندی کرد:

۱- نبود حفاظت داخلی: اگرچه وجود شبکه‌ی دی‌ام‌زی از نفوذ حملات خارجی جلوگیری می‌کند؛ همچنان کارمندان و کاربران تأییدشده‌ی سیستم نیز قادر خواهند بود که به اطلاعات حساس نفوذ کنند.

۲- حس کاذب امنیت: همان‌طور که فناوری توسعه می‌یابد، راه‌های اعمال نفوذ به فناوری نیز به‌عنوان بخش تاریکی از فناوری پیشرفته می‌شوند. بنابراین، حتی با راه‌اندازی شبکه‌ی DMZ، سرورها همیشه در امان نیستند و بهتر است تمام محیط شبکه‌ها در تمام بخش‌ها به‌صورت دوره‌ای کنترل شوند.

۳- عدم دسترسی کاربران به داده‌های ذخیره‌شده در سرور شبکه‌ی خصوصی که پشت دیوارآتش دوم و خارج از شبکه DMZ است. البته، برای رفع این مشکل زمانی که قصد دارید برای مثال پایگاه داده ایمیل‌ها را در پشت فایروال دوم قرار دهید باید با اختصاص دادن نام کاربری و رمزعبور اجازه‌ی دسترسی کاربران تأییدشده را صادر کنید.

در عمل راه‌اندازی شبکه‌ی DMZ معایب خاصی ندارد؛ اما عمیقا نیاز به دانش دارد و هرکسی مناسب راه‌اندازی شبکه‌ی دی‌ام‌زی نیست. در‌ واقع، راه‌اندازی ناقص و غلط شبکه‌ی دی‌ام‌زی است که باعث ایجاد مشکل اساسی خواهد شد. زیرا، اگر فرایند راه‌اندازی دقیق پیش نرود ممکن است موجب ازدست دادن یا کپی شدن همه‌ی داده‌ها سیستم شود. بنابراین، توصیه‌ی اکید می‌شود که با دانش کافی اقدام به راه‌اندازی کنید تا بتوانید از مزایای این شبکه بهره‌مند شوید.

راه‌اندازی صحیح تمام تجهیزات شبکه‌ی DMZ و تنظیم دقیق سوئیچ‌ها از‌ جمله اقدامات مؤثر در کاهش میزان آسیب‌پذیری شبکه‌ی DMZ به‌حساب می‌آید.

بنابراین، راه‌اندازی شبکه‌ی DMZ نادرست می‌تواند علاوه بر از‌ دست دادن اطلاعات، موجب افزایش احتمال قرارگیری در‌ معرض حملات مخرب شود، زیرا در صورت تلاش برای نفوذ به سیستم هشداری داده نمی‌شود و مدیر شبکه نیز با خیال اینکه همه‌چیز تحت کنترل است، ترافیک ورودی و خروجی را مورد بررسی قرار نخواهد داد. فراموش نکنید که به‌طور کلی، شبکه‌ی دی‌ام‌زی نمی‌تواند در‌ برابر نفوذ معجزه کند؛ اما یکی از اقداماتی است که می‌تواند ضریب احتمال نفوذ و نشت اطلاعات را کاهش دهد.

طراحی و ساختار شبکه‌ی DMZ

شبکه‌ی DMZ نوعی شبکه‌ی نامحدود و باز است که برای راه‌اندازی آن می‌توان با‌ توجه به تعداد فایروال‌های مورد استفاده، از طراحی‌های گوناگونی استفاده کرد. برای مثال می‌توان به راه‌اندازی با یک فایروال گرفته تا دو فایروال و حتی چند فایروال تا بدین ترتیب امنیت شبکه افزایش چشمگیری داشته باشد. بخش بزرگی از شبکه‌های DMZ امروزی از معماری دو دیواره استفاده می‌کنند، زیرا این نوع طراحی شرایطی را ایجاد می‌کند که می‌توان آن را بیشتر توسعه داد و سیستم‌های پیچیده‌تری به‌وجود آورد.

شبکه DMZ با فایروال منفرد

۱. شبکه با فایروال منفرد: شبکه‌ی DMZ با یک فایروال سه بخش اصلی دارد که شامل فایروال، سوئیچ‌ها و سرورها می‌شوند. علاوه بر این، شبکه‌ی دی‌ام‌زی تک فایروال حداقل، نیاز به ۳ رابط شبکه (Network Interface) دارد و ممکن است در بعضی ساختارها تعداد رابط‌های شبکه بیشتر باشد. رابط شبکه به‌طور خلاصه، به آنچه بین تجهیزات دیجیتالی ارتباط ایجاد می‌کند، گفته می‌شود. این رابط‌ها ممکن است نرم‌افزاری یا سخت‌افزاری باشند.

در شبکه‌ی دی‌ام‌زی با یک فایروال اولین رابط «شبکه‌ی خارجی» است که اتصال اینترنت عمومی را به فایروال وصل می‌کند. دومین رابط «شبکه‌ی داخلی» را تشکیل می‌دهد و سومین رابط به شبکه‌ی دی‌ام‌زی متصل می‌شود. قوانین مختلفی ترافیک داده‌های شبکه را برای دسترسی به دی‌ام‌زی بررسی و کنترل می‌کنند و اتصال به شبکه‌ی داخلی را محدود خواهند کرد.

شبکه DMZ با فایروال دوگانه

۲. شبکه با فایروال دوگانه: استقرار شبکه‌ی دی‌ام‌زی بین دو فایروال اغلب روش ایمن‌تری است. اولین فایروال فقط اجازه‌ی عبور ترافیک خارجی به شبکه‌ی DMZ را می‌دهد و فایروال دوم فقط اجازه‌ی عبور ترافیک از دی‌ام‌زی به شبکه‌ی داخلی را می‌دهد. بنابراین، هکر برای نفوذ به شبکه‌ی محلی سازمان باید از دو فایروال عبور کند. طبق این ساختار، شبکه‌ی DMZ با دو فایروال نیز از سه بخش تشکیل می‌شود: فایروال‌ها، شبکه‌ی دی‌ام‌زی و شبکه‌ی محلی.

همچنین، سازمان‌ها می‌توانند برای افزایش ضریب ایمنی در بخش‌های مختلف شبکه ایستگاه‌های کنترل امنیتی مختلفی ایجاد کنند. به بیانی دیگر، به‌کارگیری سامانه‌های تشخیص نفوذ (IDS) و سامانه‌های جلوگیری از نفوذ (IPS) درون شبکه دی‌ام‌زی امکان مسدودسازی ترافیک هر داده‌ای را فراهم می‌کند و فقط به درخواست‌های پروتکل امن انتقال ابرمتن (HTTPS) روی لایه‌ی TCP و پورت ۴۳۳ اجازه‌ی عبور خواهد داد.

علاوه‌براین دو مدل که بر‌ اساس تعداد فایروال طبقه‌بندی می‌شود، شبکه‌ی DMZ از نظر امنیتی و سطح دسترسی نیز در دو مدل قابل‌راه‌اندازی است.

۱- شبکه‌ی DMZ ساخته‌شده برای دسترسی بدون احراز هویت که به آن DMZ ناشناس می‌گویند.

۲- شبکه‌ی DMZ ساخته‌شده برای دسترسی با احراز هویت و کاربران شناخته‌شده.

برای مثال، اگر وب‌سایتی روی اینترنت دارید که قرار است در‌ دسترس همه باشد، باید برای دسترسی به آن امکان دسترسی بدون احراز هویت را فراهم کنید و آن را در بخشی از شبکه‌ی DMZ قرار دهید که دسترسی برای عموم را دارد. اما، اگر وب‌سایت شما خصوصی است و مورد استفاده‌ی کارمندان یا مشتریان خاصی قرار دارد، می‌توان آن را به گونه‌ای در‌ دسترس قرار داد که از‌ طریق احراز هویت و با نام کاربری و رمزعبور به آن وارد شوند.

یکی از کاربردهای مهم DMZ ناشناس که محبوبیت آن را دو چندان می‌کند، ساخت و ایجاد هانی نت (Honeynet) است. در‌ واقع، هانی نت شبکه‌ای است که از چندین هانی پات برای فریب دادن هکرها تشکیل شده تا به کمک آن‌ها شناسایی و گرفتار شوند یا اینکه آن‌ها را از دستیابی به منابع اصلی شبکه منحرف کنند. اغلب کامیپوترهای هانی نت ماشین‌های مجازی هستند که همگی روی یک ماشین فیزیکی نصب شده‌اند و سیستم‌های تشخیص نفوذ و سایر سامانه‌های نظارتی از‌ طریق آن‌ها تمام حرکات و تکنیک‌ها و هویت‌های هکر را جمع‌آوری می‌کنند.

کاربرد شبکه‌ی DMZ

شبکه‌ی DMZ از همان ابتدای معرفی فایروال‌ها، یکی از روش‌های فراگیر حفاظت از امنیت اطلاعات شبکه‌های سازمانی به‌حساب آمده است. همان‌طور که پیش‌تر گفته شد مهم‌ترین کاربرد شبکه‌ی منطقه غیرنظامی حفاظت از داده‌های حساس سازمانی و سیستم‌های شبکه‌ی محلی و منابع داخلی سازمان است که سازوکاری مشابه با خندق‌های اطراف قصرها و شهرها در هزاران سال پیش دارد.

کسب‌وکارهای زیادی امروزه در ‌حال استفاده از ماشین‌های مجازی هستند تا به کمک آن‌ها شبکه‌های خود یا اپلیکیشن‌های خاصی را از سایر سیستم‌ها جدا کنند. علاوه بر این، رشد فضاهای ابری با سرویس‌های سریع و هزینه‌ی کم‌تر باعث شده است که کسب‌وکارها دیگر به راه‌اندازی سرورهای داخلی نیاز نداشته باشند.

از سویی دیگر، اغلب کسب‌وکارها با به‌کارگیری روش نرم‌افزار به‌عنوان یک سرویس (Software as a service) که آن را با سرنام SaaS نشان می‌دهند و می‌توان از آن به تعبیر «اجاره‌ نرم‌افزار» و «رایانش ابری» نیز یاد کرد، بخش اعظم زیرساخت‌های خارجی خود را به فضاهای ابری منتقل کردند.

برای مثال، یک سرویس ابری مثل مایکروسافت آژور برای سازمان‌ها امکانی را فراهم می‌کند که اپلیکیشن‌ها را روی به صورت on-premises (رایانش درون سازمانی و محلی) و روی شبکه‌های مجازی خصوصی (وی‌پی‌ان) راه‌اندازی کنند تا از رویکرد ترکیبی بهره‌مند شوند و شبکه‌ی DMZ در بین این دو استقرار یابد. این روش همچنین برای زمانی کاربردی است که ترافیک خروجی نیاز به بازرسی دارد یا باید ترافیک بین مرکز داده on-premises و شبکه‌های مجازی کنترل شود.

دستگاه های متصل به شبکه اینترنت اشیا IoT

علاوه‌براین‌ها، شبکه‌ی DMZ در برخورد با خطرات امنیتی در فناوری‌های جدید مثل دستگاه‌های اینترنت اشیاء (IoT) و سیستم‌های فناوری عملیاتی (Operational Technology) که تولید و ساخت محصولات را هوشمندسازی می‌کنند؛ اما موجب افزایش گستره‌ی خطرات تهدیدی خواهند شد نیز کارآمد ظاهر شده است.

علت این است که تجهیزات سیستم‌های فناوری عملیاتی (OT) برای مقابله یا بازیابی از حملات سایبری مانند دستگاه‌های IoT طراحی نشدند و در‌ نتیجه باعث شده‌اند که با به‌کارگیری از تجهیزات سیستم عملیاتی داده‌ها و منابع حیاتی سازمان‌ها را در‌ معرض خطرات درخورتوجهی قرار دهد. بنابراین، شبکه‌ی DMZ با تقسیم‌بندی شبکه‌ی خطر، نفوذ هکری را که بتواند به زیرساخت‌های صنعتی آسیب بزند؛ به‌طور چشم‌گیری کاهش خواهد داد.

یکی دیگر از کاربرد‌ها شبکه‌ی DMZ می‌تواند برای شبکه‌های خانگی باشد که در آن کامپیوترها و سایر دستگاه‌ها از‌ طریق روتر به اینترنت متصل می‌شوند و سپس به یک شبکه‌ی محلی پیکربندی می‌شوند. برخی از روترهای خانگی ویژگی میزبانی DMZ را برای شبکه فراهم می‌کنند. این ویژگی را می‌توان متفاوت از زیرشبکه‌ی DMZ مورد استفاده در سازمان‌ها قلمداد کرد. ویژگی هاست DMZ موجود در مودم مشخص می‌کند که یک دستگاه در شبکه‌ی خانگی خارج از فایروال به‌عنوان شبکه‌ی DMZ کار کند، درحالی‌که سایر دستگاه‌های شبکه‌ی خانگی داخل فایروال به فعالیت بپردازند.

در برخی موارد، شاهد آن هستیم که کنسول بازی‌های ویدئویی نقش میزبان DMZ را ایفا می‌کند تا بدین ترتیب فایروال مزاحم اجرای بازی‌های آنلاین نشود. از سویی دیگر، کنسول بازی گزینه‌ی بهتری برای به عهده گرفتن نقش هاست DMZ به‌حساب می‌آید زیرا در مقایسه‌ با کامپیوتر شخصی، داده‌های حساسی ذخیره نمی‌کنند.

دیگر کاربردی که می‌توان برای شبکه‌ی DMZ در نظر گرفت به‌کارگیری آن در سامانه‌ی کنترل صنعتی (ICS) به‌عنوان راه حلی برای مقابله با خطرات امنیتی است. تجهیزات صنعتی مثل موتور‌های توربین یا سایر سامانه‌های کنترل صنعتی در تعامل کامل با فناوری اطلاعات قرار دارند تا محیط تولید را هوشمند و کارآمد کنند؛ اما همین تعامل می‌تواند باعث ایجاد تهدیدهای جدی نیز شود.

با‌ وجود اینکه بسیاری از تجهیزات فناوری‌های عملیاتی یا صنعتی (OT) به اینترنت متصل می‌شوند؛ اما به گونه‌ای طراحی نشدند که مانند دستگاه‌های IT حملات و نفوذ هکرها را مدیریت کنند. بنابراین، شبکه‌ی DMZ با افزایش تقسیم‌بندی شبکه کار را برای نفوذ و عبور باج‌افزارها و سایر تهدیدات شبکه بین سیستم‌های آی‌تی و تجهیزات عملیاتی آسیب‌پذیر دشوار می‌کند.

در مثال‌های ساده‌تر از کاربرد شبکه‌ی DMZ باید به راه‌اندازی سرورهای ایمیل، اف‌تی‌پی و وب‌سایت در این نوع شبکه‌ها اشاره کرد. ایمیل سرویسی است که کاربر با آن از‌ طریق اینترنت تعامل دارد و قرارگیری سرور ایمیل در شبکه‌ی حفاظت‌شده‌ی دی‌ام‌زی آسیب‌پذیری اطلاعات شخصی کاربران را کاهش می‌دهد؛ اما برای افزایش ضریب ایمنی توصیه می‌شود که پایگاه داده‌ی ایمیل را درون شبکه‌ی دی‌ام‌زی قرار ندهید و آن را بعد از فایروال دوم شبکه کنید.

به‌طور کلی، کاربرد اصلی شبکه‌ی DMZ ایجاد ایستگاه‌های ایست و بازرسی برای کنترل ترافیک بین شبکه است که می‌تواند بر‌ اساس نیاز شبکه در سناریوهای مختلف و به طرق متفاوت مورد استفاده قرار بگیرد. شاید ادعای پوچی نباشد که بگوییم امروزه اطلاعات یکی از ارزشمندترین دارایی‌ها است که نقش پول رایج بین شرکت‌های بزرگ و در مقیاس بزرگ‌تر بین کشورها را ایفا می‌کند؛ بنابراین هرگونه تلاش برای حفظ اطلاعات قدمی با اهمیت است.

معمولاً هر شرکتی که اطلاعات حساسی دارد که روی سرورهای شرکت ذخیره می‌شوند و به‌صورت عمومی از‌ طریق اینترنت با کاربران تعامل دارد، می‌تواند با توجه به نیازش از شبکه‌ی DMZ استفاده کند. اهمیت این موضوع گاهی تا جایی پیش می‌رود که برخی شرکت‌ها از نظر قانونی موظف هستند که شبکه‌ی دی‌ام‌زی اختصاصی خود را راه‌اندازی کنند. برای مثال، شرکت‌های فعال در زمینه پزشکی و سلامت باید سامانه‌های خود را طوری ایجاد کنند که از نشت اطلاعات حساس کاربران جلوگیری کند.

هاست DMZ چیست؟

هاست DMZ

هاست DMZ کمی متفاوت با شبکه‌ی DMZ است. در ‌واقع، شبکه‌ی DMZ همان‌طور که گفته شد ایجاد یک فضای جداگانه و ایزوله از شبکه‌ی اصلی است که در مقیاس بزرگ کاربرد دارد. اما، هاست دی‌ام‌زی (DMZ Host) یکی از ویژگی‌هایی است که توسط روترهای خانگی ارائه می‌شود و در بخش تنظیمات مودم می‌توان آن را فعال کرد. این ویژگی به شما امکان می‌دهد که فقط یک کامپیوتر یا دستگاه از شبکه‌ی خانگی خود را در‌ معرض اینترنت قرار دهید.

مشکلی که هاست دی‌ام‌زی روتر دارد این است که اگر به ویروسی آلوده شود، ازآنجاکه با سایر دستگاه‌های شبکه تعامل دارد، می‌تواند باقی دستگاه‌های شبکه‌ی داخلی را نیز آلوده کند. بنابراین، تأکید مؤکد داریم که اگر ضرورتی ندارد به هیچ عنوان به‌صورت معمول از قابلیت DMZ روتر خانگی خود استفاده نکنید.

فعال‌سازی قابلیت هاست DMZ بدین معنا است که روتر خانگی شما تمام پورت‌ها را باز می‌کند و به تمام پینگ‌ها و کوئری‌های دریافتی از اینترنت پاسخ می‌دهد. با وجود اینکه احتمالاً کامپیوتر شخصی یا سرور شما نرم‌افزار فایروال دیگری دارد؛ اما روتر خط مقدم دفاعی سیستم دربرابر حملات به‌شمار می‌رود و با تبدیل شدن روتر به هاست DMZ سیستم شما یک لایه امنیتی مهم را از دست خواهد داد و دیوار آتش روتر نمی‌تواند حملات را مسدود کند.

جمع‌بندی

شبکه‌ی DMZ نوعی حائل است که به‌عنوان لایه‌ی حفاظتی عمل می‌کند و می‌تواند ترافیک ورودی به شبکه‌ی داخلی را فیلتر کند و با بررسی داده‌های ورودی و خروجی از نفوذ هکرها و نشت اطلاعات جلوگیری کند. در واقع، این فضا فرصتی ایجاد می‌کند که سامانه‌های تشخیص نفوذ و سامانه‌های جلوگیری از نفوذ بتوانند ابتکار عمل را در مواجه با مهاجمان به دست بگیرند. راه‌اندازی شبکه‌ی DMZ نیاز به تخصص دارد و با توجه به حساسیت بالای استفاده از شبکه‌ی دی‌ام‌زی توصیه‌ی اکید می‌شود که بدون دانش کافی اقدام به ایجاد شبکه نکنید.

اگر تجربه‌ی راه‌اندازی یا استفاده از شبکه‌های DMZ را داشته‌اید، با ما به‌‌ اشتراک بگذارید.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات