Strefa DMZ, czyli strefa zdemilitaryzowana pełni bardzo ważną funkcję w punktu widzenia bezpieczeństwa infrastruktury sieciowej. Niestety zarówno w tych mniejszych, jak i całkiem sporych firmach często spotykamy się z ryzykowną konfiguracją sieci, w której strefa DMZ nie występuje.
Czy strefa DMZ jest potrzebna każdemu?
Nie. Możemy założyć, że strefy DMZ nie muszą uwzględniać organizacje lub osoby, które nigdy nie będą miały potrzeby wystawienia do Internetu jakiejkolwiek usługi ze swojej sieci lokalnej. Taka konfiguracja jest najczęściej spotykana w małych sieciach domowych i wygląda ona następująco:
W powyższym schemacie sieć lokalna (LAN) jest oddzielona od Internetu firewallem. Mamy więc prosty podział na sieć wewnętrzną i Internet. Rolą firewalla jest blokowanie połączeń z zewnątrz i wypuszczanie do Internetu połączeń z naszej sieci lokalnej.
Kiedy pojawia się problem
Przedstawiona powyżej konfiguracja okazuje się jednak niewystarczająca w chwili gdy pojawia się potrzeba wystawienia do Internetu jakiejś usługi dostępnej w sieci lokalnej. Załóżmy, że instalujemy w naszym domu jakąś kamerę albo system typu smart home i chcielibyśmy mieć do nich dostęp będąc np. na wakacjach. W firmach może to być natomiast potrzeba udostępnienia serwera www, pocztowego lub jakiejś innej usługi. Pierwszym co przyjdzie do głowy administratorowi sieci i niestety często spotykanym rozwiązaniem jest stworzenie wyjątku w regułach firewalla. Wyjątek ten pozwoli na łączenie się klientom z poziomu Internetu z usługą dostępną w sieci lokalnej.
Zaznaczona powyżej na czerwono komunikacja pomiędzy Internetem a lokalną usługą stwarza poważne zagrożenie dla całej sieci lokalnej. Dlaczego? Wyobraźmy sobie, że udostępniona przez nas usługa (np. interfejs www jakiegoś urządzenia) zawiera znaną lukę pozwalającą na zdalne przejęcie systemu. Tego typu podatnością była chociażby niedawna luka w bardzo popularnej bibliotece Log4j używanej przez wielu producentów oprogramowania.
Przejmując kontrolę nad tym jednym, podatnym systemem intruz uzyskuje jednocześnie dostęp do całej sieci lokalnej. Przejęte lub zainfekowane urządzenie może bowiem posłużyć to t.zw. 'pivotingu’, czyli pełnić funkcję routera pozwalającego na wymianę ruchu pomiędzy intruzem a siecią zdalną.
Niestety tego typu konfiguracja jest często spotykana, nawet w dużych sieciach poważnych firm. Wielokrotnie podczas audytów bezpieczeństwa spotykam się z tym, że w firmie wdrożono drogie i nowoczesne firewalle po czym ustawiano w nich wyjątki pozwalające na dostęp do archaicznych i dziurawych urządzeń podłączonych bezpośrednio do sieci LAN.
Strefa DMZ
Jak zatem udostępnić usługę lokalną do Internetu nie robiąc sobie krzywdy? Właśnie tutaj pojawia się zastosowanie dla strefy DMZ. Zerknijmy na poniższy schemat, a wszystko się wyjaśni:
Strefa DMZ stanowi wyodrębniony z sieci lokalnej segment, do którego połączenia z Internetu są nadal możliwe, ale z którego niemożliwe jest nawiązanie połączenia z siecią lokalną. W sytuacji gdyby intruz przejął kontrolę nad systemem zlokalizowanym w strefie DMZ, nie będzie on miał możliwości dalszego infekowania środowiska lokalnego.
Z usług w strefie DMZ nadal mogą też korzystać użytkownicy sieci lokalnej. Możemy bowiem zezwolić na połączenia LAN->DMZ ale zabronić połączeń DMZ->LAN. Konfigurację taką możemy uzyskać na wiele sposobów. Najprostszym rozwiązaniem jest routowanie ruchu pomiędzy siecią LAN i DMZ poprzez główny firewall, na którym zdefiniowane będą odpowiednie reguły. Strefę DMZ może też stanowić pojedynczy port firewalla, do którego podpięte będzie jedno urządzenie – takie rozwiązanie można czasem spotkać w małych, domowych routerach.
W dużych środowiskach strefa DMZ może być oddzielona od reszty sieci dedykowanym firewallem. Wielu producentów (np. Fortinet, Cisco) pozwala też na konfigurację wielopoziomowych stref DMZ i przypisywanie im różnych poziomów bezpieczeństwa. W takich sieciach możliwy będzie ruch ze strefy o wyższym poziomie, do strefy o niższym, ale nigdy odwrotnie.
Jeśli brak strefy DMZ chcielibyście tłumaczyć brakiem budżetu na zaawansowane i drogie urządzenia, to przypominam, że mamy całkiem fajne rozwiązania open source typu PFsense i OPNsense.
Mam nadzieję, że tym tekstem przybliżyłem Wam ważną funkcję, którą pełni strefa DMZ. Wkrótce planuję kolejny tekst o VLAN-ach i ich roli w bezpieczeństwie. Jeśli nie chcecie go przegapić, pozostawcie poniżej swój e-mail.
Przy okazji pisania tego artykułu trafiłem na przydatne i proste w użyciu narzędzie do tworzenia schematów sieci online. Gdybyście mieli kiedyś taką potrzebę – polecam: https://online.visual-paradigm.com/app/diagrams/
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Cześć,
Fajny, szybki, rzetelny post. Zresztą lubię tu wracać artykuły są krótkie zwięzłe na temat bez owijania makaronu na uszy świetna robota. Napisałeś na koniec o visual-paragdim polecam również to z czego sam korzystam: https://www.diagrams.net/
Cześć. Czyli każdy DMZ działa tak samo? Załóżmy, że mam rejestrator który chce udostępnić na świat ale chce mieć pewność że w momencie włamu na samo urządzenie intruz nie uzyska dostępu do innych urządzeń. Czy wtedy powinienem dać jeszcze inny router (pracujący w dmz) i otworzyć przez niego konkretny wykorzystywany port. Wszędzie jest napisane że dmz to zło i najlepiej z niego nie korzystać. Dzięki
Osobny router (czy raczej firewall) nie jest konieczny pod warunkiem, że mamy urządzenie trochę bardziej zaawansowane, które ma więcej portów niż tylko LAN/INTERNET. W zaawansowanych firewallach jest możliwość konfiguracji różnych stref (VLAN-ów) i przypisania ich do poszczególnych portów z odpowiednią separacją ruchu.
Natomiast złem jest DMZ, ale ten źle rozumiany, który najczęściej oferują domowe routery. Polega on na tym, że wpuszczamy ruch z zewnątrz do jakiegoś urządzenia mieszczącego się w LAN-ie. Nie ma to nic wspólnego z DMZ-em, ale producenci tak to czasem nazywają żeby pochwalić się, że urządzenie jest bardziej zaawansowane.
Natomiast złem jest DNS – DMZ – poprawka 🙂
Dzięki, poprawione.
Czy nie sądzicie, że granicę strefy DMZ i sieci wewnętrznej powinny wyznaczać systemy kolejkowe lub jakaś forma szyny integracyjnej ? Ponieważ wasze schematy wpisują się w ładną teorie o izolacji sieci, natomiast praktyka udowadnia, że istnieje poważny problem z integracją systemów. Na pewno sami się spotkaliście z sytuacją w której system A (w sieci LAN) zasila danymi system B (który jest źródłem danych dla systemu C), a system C musi być dostępny z sieci internet lub znajduje się w zupełnie innej organizacji.
No właśnie pytanie brzmi : Jak w bezpieczny sposób integrować ze sobą systemy które znajdują się sieciach o różnym poziomie zaufania i czy jedyny sposób to systemy kolejek i szyny integracyjne ?
Odgrzewam kotleta, ale sprawa zazwyczaj jest prosta.
System A ma wysłać dane na system B, zamiast System B pobierać dane z systemu A.
W takim przypadku system B nie ma dostępu do systemu A.
Analogicznie – System C nie ma dostępu do systemu B, nie ma go odpytywać.
System B ma wysyłać dane do systemu C, który to dopiero jest widoczny z sieci internet.
Strefa DMZ to nie tylko dla dużych firm. Nawet w domowych sieciach warto o nią zadbać, zwłaszcza jeśli korzystamy z różnych urządzeń inteligentnych. Może to być kwestia zarówno bezpieczeństwa naszych danych, jak i prywatności. Dobre, że autor wspomniał o otwartych rozwiązaniach, które są dostępne dla każdego. Nie ma już wymówek, że brak budżetu stanowi przeszkodę.