|
13-LABORATORIYA ISHI
TARMOQ MARSHRUTIZATORIDA DMZ NI O`RNATISH
13.1. Ishdan maqsad
DMZ haqida tushunchaga ega bo’lish, CPT dasturida DMZ dan foydalanib tarmoq qurish.
13.2. Nazariy qism
DMZ (inglizcha Demilitarized Zone - demilitarized zone, DMZ) - bu davlat xizmatlarini o'z ichiga olgan va ularni xususiy tarmoqlardan ajratib turadigan tarmoq segmenti [1]. Masalan, veb-xizmat ommaviy xizmat vazifasini o'tashi mumkin: jismoniy tarmoq (Intranet) da joylashgan uni ta'minlovchi server tashqi tarmoqdan (Internet) har qanday so'rovlarga javob berishi kerak, boshqa mahalliy manbalar (masalan , fayl serverlari, ish stantsiyasi) tashqi kirishdan ajratilgan bo'lishi kerak.
DMZ-ning maqsadi mahalliy tarmoqdagi qo'shimcha xavfsizlik darajasini qo'shishdir, bu umumiy foydalanish mumkin bo'lgan xizmatlardan biriga hujum sodir bo'lganda zararni minimallashtirishga imkon beradi: tashqi tajovuzkor faqat DMZ-dagi uskunalarga to'g'ridan-to'g'ri kirish huquqiga ega.
Ism "demilitarizatsiya qilingan zona" degan harbiy atamadan kelib chiqqan - bu urush olib boruvchi davlatlar orasidagi hudud, unda harbiy harakatlarga yo'l qo'yilmaydi. Boshqacha qilib aytganda, DMZ-ga kirish har ikki tomon uchun ham ochiq, agar tashrif buyuruvchining zararli niyati bo'lmasa. Shunga o'xshash tarzda, DMZ kontseptsiyasi (masalan, umumiy Internetga kirish eshigini qurishda) shundan iboratki, tarmoqning qolgan qismi kabi xavfsiz bo'lmagan (ichki) va jamoat sifatida xavfli bo'lmagan mahalliy tarmoqdagi maydon ajratiladi (tashqi). Tashqi tarmoqlardan to'g'ridan-to'g'ri kirishga ta'sir qiladigan tizimlar odatda tajovuzkorlarning asosiy maqsadidir va tahdidlarga nisbatan zaif bo'lishi mumkin. Natijada, ushbu tizimlarga to'liq ishonib bo'lmaydi. Shuning uchun ushbu tizimlarning tarmoq ichida joylashgan kompyuterlarga kirishini cheklash zarur. Tashqi hujumlardan himoya qilishni ta'minlayotganda, DMZ, qoida tariqasida, ichki hujumlarga, masalan, transport vositalarini tutib olishga hech qanday aloqasi yo'q.
Arxitektura va amalga oshirish. Segmentlarni ajratish va ular orasidagi trafikni boshqarish, qoida tariqasida, ixtisoslashtirilgan qurilmalar - xavfsizlik devorlari tomonidan amalga oshiriladi. Bunday qurilmaning asosiy vazifalari:
tashqi tarmoqdan DMZ ga kirishni boshqarish;
ichki tarmoqdan DMZ ga kirishni boshqarish;
ichki tarmoqdan tashqi tarmoqqa kirishga ruxsat (yoki boshqarish);
tashqi tarmoqdan ichki tarmoqqa kirishni taqiqlash.
Ba'zi hollarda, DMZni tashkil qilish uchun yo'riqnoma yoki hatto proksi-server etarli bo'ladi. DMZ-dagi serverlar, agar kerak bo'lsa, ichki tarmoqdagi alohida tugunlarga ulanish imkoniyati cheklangan bo'lishi mumkin. DMZ-da serverlar va tashqi tarmoq bilan aloqa DMZ-ni ma'lum xizmatlarni joylashtirish uchun Internetdan ko'ra xavfsizroq qilish uchun cheklangan. DMZ-dagi serverlarda faqat kerakli dasturlar bajarilishi kerak, keraksizlari o'chirib qo'yiladi yoki butunlay o'chiriladi.
DMZ tarmog'i uchun juda ko'p turli xil arxitektura variantlari mavjud. Ular Ikkita asosiy - bitta xavfsizlik devori va ikkita xavfsizlik devori bilan bo’ladi. Ushbu usullarga asoslanib, ma'lum bir tarmoqdagi ishlatiladigan uskunaning imkoniyatlariga va xavfsizlik talablariga mos keladigan soddalashtirilgan va juda murakkab konfiguratsiyalarni yaratish mumkin.
Yagona xavfsizlik devori (cisco asa) konfiguratsiyasi. DMZ bilan tarmoq yaratish uchun kamida uchta tarmoq interfeysiga ega bo'lgan bitta xavfsizlik devori ishlatilishi mumkin: biri - provayderga ulanish uchun (WAN), ikkinchisi - ichki tarmoq (LAN) bilan, uchinchisi - DMZ bilan. . Bunday sxemani amalga oshirish oson, ammo u uskunalar va boshqaruvga talablarni kuchaytiradi: xavfsizlik devori DMZ va ichki tarmoqqa yo'naltirilgan barcha trafikni qayta ishlashi kerak. Shu bilan birga, u muvaffaqiyatsizlikning yagona nuqtasiga aylanadi va agar u buzilgan bo'lsa (yoki sozlamalardagi xato) bo'lsa, ichki tarmoq to'g'ridan-to'g'ri tashqi tomondan himoyasiz bo'ladi.
13.1-rasm
Ikki tomonlama xavfsizlik devori (cisco asa) konfiguratsiyasi. DMZ yaratish uchun ikkita xavfsizlik devoridan foydalanish xavfsizroq yondashuvdir: ulardan biri tashqi tarmoqdan DMZ ga, ikkinchisi - DMZ dan ichki tarmoqqa ulanishlarni boshqaradi. Bunday holda, ichki resurslarga muvaffaqiyatli hujum qilish uchun ikkita qurilmani buzish kerak.
Ikki xil ishlab chiqaruvchilarning ikkita xavfsizlik devorlari va (afzal) turli xil arxitekturalar yordamida yanada yuqori darajadagi himoya ta'minlanishi mumkin - bu ikkala qurilmaning bir xil zaiflikka ega bo'lish ehtimolini pasaytiradi. Masalan, tasodifiy konfiguratsiya xatosi ikki xil ishlab chiqaruvchilar interfeyslari konfiguratsiyasida kamroq paydo bo'lishi mumkin; bitta ishlab chiqaruvchining tizimida topilgan xavfsizlik teshigi boshqasiga tegishli bo'lishi ehtimoli kam. Ushbu me'morchilikning kamchiliklari - bu yuqori narx.
Do'stlaringiz bilan baham: |
