Strefa DMZ

Strefa DMZ – do czego służy i czym grozi jej brak

Strefa DMZ, czyli strefa zdemilitaryzowana pełni bardzo ważną funkcję w punktu widzenia bezpieczeństwa infrastruktury sieciowej. Niestety zarówno w tych mniejszych, jak i całkiem sporych firmach często spotykamy się z ryzykowną konfiguracją sieci, w której strefa DMZ nie występuje.

Czy strefa DMZ jest potrzebna każdemu?

Nie. Możemy założyć, że strefy DMZ nie muszą uwzględniać organizacje lub osoby, które nigdy nie będą miały potrzeby wystawienia do Internetu jakiejkolwiek usługi ze swojej sieci lokalnej. Taka konfiguracja jest najczęściej spotykana w małych sieciach domowych i wygląda ona następująco:

Schemat sieci bez strefy DMZ
Schemat sieci bez strefy DMZ

W powyższym schemacie sieć lokalna (LAN) jest oddzielona od Internetu firewallem. Mamy więc prosty podział na sieć wewnętrzną i Internet. Rolą firewalla jest blokowanie połączeń z zewnątrz i wypuszczanie do Internetu połączeń z naszej sieci lokalnej.

Kiedy pojawia się problem

Przedstawiona powyżej konfiguracja okazuje się jednak niewystarczająca w chwili gdy pojawia się potrzeba wystawienia do Internetu jakiejś usługi dostępnej w sieci lokalnej. Załóżmy, że instalujemy w naszym domu jakąś kamerę albo system typu smart home i chcielibyśmy mieć do nich dostęp będąc np. na wakacjach. W firmach może to być natomiast potrzeba udostępnienia serwera www, pocztowego lub jakiejś innej usługi. Pierwszym co przyjdzie do głowy administratorowi sieci i niestety często spotykanym rozwiązaniem jest stworzenie wyjątku w regułach firewalla. Wyjątek ten pozwoli na łączenie się klientom z poziomu Internetu z usługą dostępną w sieci lokalnej.

Wyjątek w regułach firewalla, brak strefy DMZ
Wyjątek w regułach firewalla, brak strefy DMZ

Zaznaczona powyżej na czerwono komunikacja pomiędzy Internetem a lokalną usługą stwarza poważne zagrożenie dla całej sieci lokalnej. Dlaczego? Wyobraźmy sobie, że udostępniona przez nas usługa (np. interfejs www jakiegoś urządzenia) zawiera znaną lukę pozwalającą na zdalne przejęcie systemu. Tego typu podatnością była chociażby niedawna luka w bardzo popularnej bibliotece Log4j używanej przez wielu producentów oprogramowania.

Przejmując kontrolę nad tym jednym, podatnym systemem intruz uzyskuje jednocześnie dostęp do całej sieci lokalnej. Przejęte lub zainfekowane urządzenie może bowiem posłużyć to t.zw. 'pivotingu’, czyli pełnić funkcję routera pozwalającego na wymianę ruchu pomiędzy intruzem a siecią zdalną.

Niestety tego typu konfiguracja jest często spotykana, nawet w dużych sieciach poważnych firm. Wielokrotnie podczas audytów bezpieczeństwa spotykam się z tym, że w firmie wdrożono drogie i nowoczesne firewalle po czym ustawiano w nich wyjątki pozwalające na dostęp do archaicznych i dziurawych urządzeń podłączonych bezpośrednio do sieci LAN.

Strefa DMZ

Jak zatem udostępnić usługę lokalną do Internetu nie robiąc sobie krzywdy? Właśnie tutaj pojawia się zastosowanie dla strefy DMZ. Zerknijmy na poniższy schemat, a wszystko się wyjaśni:

Strefa DMZ
Strefa DMZ

Strefa DMZ stanowi wyodrębniony z sieci lokalnej segment, do którego połączenia z Internetu są nadal możliwe, ale z którego niemożliwe jest nawiązanie połączenia z siecią lokalną. W sytuacji gdyby intruz przejął kontrolę nad systemem zlokalizowanym w strefie DMZ, nie będzie on miał możliwości dalszego infekowania środowiska lokalnego.

Z usług w strefie DMZ nadal mogą też korzystać użytkownicy sieci lokalnej. Możemy bowiem zezwolić na połączenia LAN->DMZ ale zabronić połączeń DMZ->LAN. Konfigurację taką możemy uzyskać na wiele sposobów. Najprostszym rozwiązaniem jest routowanie ruchu pomiędzy siecią LAN i DMZ poprzez główny firewall, na którym zdefiniowane będą odpowiednie reguły. Strefę DMZ może też stanowić pojedynczy port firewalla, do którego podpięte będzie jedno urządzenie – takie rozwiązanie można czasem spotkać w małych, domowych routerach.

W dużych środowiskach strefa DMZ może być oddzielona od reszty sieci dedykowanym firewallem. Wielu producentów (np. Fortinet, Cisco) pozwala też na konfigurację wielopoziomowych stref DMZ i przypisywanie im różnych poziomów bezpieczeństwa. W takich sieciach możliwy będzie ruch ze strefy o wyższym poziomie, do strefy o niższym, ale nigdy odwrotnie.

Jeśli brak strefy DMZ chcielibyście tłumaczyć brakiem budżetu na zaawansowane i drogie urządzenia, to przypominam, że mamy całkiem fajne rozwiązania open source typu PFsense i OPNsense.

Mam nadzieję, że tym tekstem przybliżyłem Wam ważną funkcję, którą pełni strefa DMZ. Wkrótce planuję kolejny tekst o VLAN-ach i ich roli w bezpieczeństwie. Jeśli nie chcecie go przegapić, pozostawcie poniżej swój e-mail.

Przy okazji pisania tego artykułu trafiłem na przydatne i proste w użyciu narzędzie do tworzenia schematów sieci online. Gdybyście mieli kiedyś taką potrzebę – polecam: https://online.visual-paradigm.com/app/diagrams/


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

One comment

  1. Cześć,
    Fajny, szybki, rzetelny post. Zresztą lubię tu wracać artykuły są krótkie zwięzłe na temat bez owijania makaronu na uszy świetna robota. Napisałeś na koniec o visual-paragdim polecam również to z czego sam korzystam: https://www.diagrams.net/

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.