Məqaləmizin bu hissəsində DMZ  haqqında geniş məlumat verməyə çalışacağıq. DMZ– xüsusi ayrılmış zona kompüter şəbəkəsi arasında və ya təşkilatın daxili şəbəkələri  ilə xarici şəbəkələrin aralığında olan  ayrılmış xüsusi bir zonadı.  Bu müxtəlif şəbəkələrin ayrılıqda təhlükəsiz fəaliyyət göstərməsi və təhlükəsizlik baxımından onların bir başa bağlantıların  tənzimlənməsi  üçün  nəzərdə tutulur. Bundan əvvəlki məqalələrimdə qeyd etdiyim kimi  internet ilə bağlı olan bütün  servislər  DMZ-də olması daha  təhlükəsiz   və daxili şəbəkəni  baş verəcək  təhlükələrdən uzaq tutmaq  üçün  nəzərdə tutulur.  Hansısa halda müdaxilə olarsa bu zaman birbaşa   baza mərkəzinə cıxış olmayacaqdır.

Şəkildə şəbəkələrin izolyasiyası  göstərilmişdir.

DMZ  müxtəlif servislərin, kompüterlərin,  istifadəçilərin və s.  sistemlərin təcrid olunması və filtirasiyasına imkan yaradan bir zonadır.  Bu məhdudiyyətləri İDS, İPS, müxtəlif səviyyəli cihazlarda həyata keçirmək olur.

Məslən hər hansı bir təşkilat  bəlli olan sistem ya protokol üçün  internetə tam çıxış verə bilər. Bu kimi icazələrə e-mail serverinə tətbiq oluna bilər hansı ki, təşkilat daxilində istər port səviyyəsində istərsədə protokol internetə çıxışı mütləqdir. Həmçinin yaxşı praktika göstərir ki,  bu cür sistemlərin tətbiqinə ayrı-ayrı  ip diapozonlara bölünməsi  daha müsbətdir.  Çünki bu sistemlər internetə birbaşa çıxışı olduğu üçün  hücumlara məruz qala bilmələri daha məqbuldur.

DMZ- Arxitekturası

Ümymilikdə bütün dizayn və quraşdırılmalar  sadə və  düşünülmüş formada  biznes mühitinə uyğunsuzluq və şəbəkənin qeyri-stabil işləməsinə şərait yaratmamaqla yerinə yetirilməlidir. DMZ  daha təhlükəsiz, çevik, genişlənmə imkanlarını məhdudlaşmayan və dayanıqlı təbəqələrlə təhlükəsizliyi təmin edən şəbəkə örtüyüdü. DMZ-nin dizayn olunmasını müxtəlif  məhsullarda (software and hardware) və müxtəlif platformalarda tətbiq etmək mümkündür.

 DMZ üçün təhlükəsizlik  qaydaları aşağıdakılardı.

• Xarici şəbəkələrdən DMZ-yə traffik  icazəli olmalı
• Xarici şəbəkələrdən daxilə traffik  qadağandır
• Daxili şəbəkələrdən  DMZ-yə icazəli olmalıdır
• Daxili şəbəkələrdən xaricə trafik icazəli olmalıdır
• DMZ-dən daxilə traffik qadağandır
• DMZ-dən xaricə traffik  rədd olunur

  

DMZ orta təhlükəsizlik səddini yaradır,  lakin bu heç də kifayət etmir ki, kompaniyanın fövqal bazası  qorunsun. Həmçinin qeyd etmək lazımdır ki, bu cür bazaları daxildə  izolyasiya etmək üçün  müxtəlif təbəqəli DMZ sistemi yaratmaq və bazaya giriş-cıxış uyğun icazələr əsasında təqib olunmalıdır.  DMZ-də yerləşdirilən  server ya servisdən asılı olaraq  təhlükəsizlik  təbəqəsi  müəyyən olunur. Bunu  iki təhlükəsizlik kateqoriyasına bölmək mümkündür.

1.       DMZ anonim və giriş icazəli olmamaqla

2.       DMZ  yalnız  icazələr əsasında

Əgər  veb server  DMZ-yə yerləşdirilirsə və ora icazənin hər tərəfdən hətta anonim olması əhəmiyyət kəsb etmirsə o zaman  bu sistem 1-ci kategoriyaya aid olur.  Əgər şirkətin əməkdaşları, partnyorları və müştəriləri üçün nəzərdə tutulmuş internetə cıxışı olan server aiddirsə bu zaman 2-ci kategoriyaya aid olunması mütləqdi. Bu onun digər şəxslər tərəfindən girişini əngəlləmək imkanı yaradır.

DMZ Dizayn

DMZ bir təhlükəsizlik komponentidir və onun tək təbqəli müdafiəsi subyektin uğursuzluğuna gətirə bilər. Bu problemlər sazlamada boşluqların olması, səhfvlər, cihazın fiziki qusurları və s. göstərmək olar. DMZ-nin dizayn olunması qoruyucu və təbəqələrdən ibarət olmalı və qaydalar əsasında  tənzimlənməlidir. Istehsalçı tərəfindən olunan sazlamalar heç vaxt istifadə olunmamalı həmçinin cihazın sazlama kitablarında göstərilmiş qaydalar və ya  nümunələr  istifadədə  müxtəlif formatlarda  yerdəyişmələrlə istifadəsi həyata keçirilməlidir. Qeyd olunmalı əsas məsələ topologiyanın planlaşdırılması  və trafik axınının, məntiqi adreslərin  və digər faktorların sistemə böyük təsiri ola bilər.

DMZ dizayn edilərkən orada müxtəlif seksiyalar VPN traffik, veb traffik, partnyorlardan qoşulmalar, əməkdaşların qoşulmaları və ictimai icazəli olan məlumatların  izolyasiyası nəzərdə tutula bilər. DMZ  quruluşunda nəzərdə tutulan hər bir məhdudiyyət gələcəkdə baş verəcək hücumlardan müdafiəni daha möhkəm edə bilər.  Müxtəlif dizayn  sturukrurları vardır ki, bunlarda qoruma təbəqələrindən asılı olaraq  sazlamalar əsasında yaranır. Burada digər amillərdə vacib sayılır ki, buda DMZ daha  təhlükəsiz  və cox təbəqəli olmasına xidmət edir. Çox təbəqəlilik baş verəcək hər hansı  səhflərin (sazmalarda, cihazlarda, ACL-də) müxtəlif sahələrdə azalmasına  gətirib çıxardır.

DMZ  dizaynı biz 4 təbəqəyə bölə bilərik.

I Təbəqə

1-ci təbəqə ən sadə və ardıcıl olaraq seqmentləşdirilmiş təhlükəsizliyi nəzərdə tutur. Ilk öncə biz DMZ-ni  qurmaq üçün lazım olan seqment  firewall-dan başlamalıyıq.  Bu  normal bir  topologiyadır-əgər sizin bir neçə internetə çıxışı olan serverləriniz varsa.  Əgər sizin e-kommers tranzaksiyalarınız varsa o zaman bu dizayna yenidən baxmaq lazım gələcəkdir.  Bir çoxları bu  tip səhvlərə tez-tez yol verirlər, özlərinin veb və tərtibat serverlərin DMZ-də onların bazasını isə  daxili şəbəkədə  yerləşdiriirlər. Bu  artıq yolverilməzdi. Bazalara hücumları geniş vüsət aldığı bir zamanda bu cür  bazaların daxili şəbəkədə saxlanılması böyük risk doğurur, buna görədə hər bir addım düşünülmüş şəkildə atılmalıdır.

II Təbəqə

2-ci təbəqə çoxlu DMZ-in firewall-da yardılması nəzərdə tutulur.  Bu dizayn əhəmiyyətli dərəcədə 1 təbəqəyə nisbətən daha təkmilləşdirilmiş imkan yaradır. Bu imkan yaradır ki, traffik qaydalara əsasən  hər DMZ-də kontrol olunsun və ayrılsın.Yaxşı başlanğıc üçün veb və tərtibatları, bazaların, icazələri  təhlil edən servislərin, VPN,  əməkdaşlıq şəbəkələri, e-mail və mobile servislərin ayrı-ayrı DMZ-də yerləşdirilsin.  Müasir dövrdə bunları çox rahat  həyata keçirmək olar.  Çünki hazırki firewall-lar   fiziki qoşulmaları və o cümlədən VLAN-ları hər bir qoşulmada fərqli olaraq istifadə edə bilər.

III Təbəqə

Bu təbəqənin 2-ci təbəqədən fərqli  xüsusiyyəti həmin cihazın internetə çıxışın olmasıdır. Məhz buna görə 3-cü təbəqədəki  bu zəiflik 2-ci bir cihazın əlavə olunması ilə mürəkkəbləşdirilmiş təhlükəsizlik  yaradılmışdır.

Necə bir təhlükəsizlik perimetri yaradılsa belə fiziki cihazın internetə bağlı olması bu perimetri yarıb keçməyə daha  əlverişli şərait yaradır. Ona görə də bu təbəqə  iki  cihazın istifadəsini özündə əks etdirir. Bu dizaynda xaricı firewall və  daxili firewall isitifadə olunur.  Bu halda DMZ-lər  bu iki cihazların arasında yerləşdirilir. Daxili internet bağlantısı xarici DMZ-yə xarici firewall  ilə icazə verilir və heç bir zaman  birbaşa bağlantı olmur daxili DMZ-nin yerləşdiyi daxili firewall-da. Daxili şəbəkənin  daxili DMZ-yə çıxışı olur, lakin xarici DMZ-yə cıxış məhdudlaşdırılır. Bu təbəqədə DMZ dizaynı effektiv olaraq internet qoşulu cihazların və servislərin ayrılmasını  iki firewall-dan istifadə olunaraq özlərinin aralarındakı qaydalara əsasən  qurulur.  Heç bir şərtlə DMZ-dən daxilə icazə olmasına yol verməyin bu  yolverilməzdir. Bütün servislər DMZ-yə köçürülməli ki, daxili şəbəkə problemə məruz qalmasın.

IV Təbəqə

 4-cü təbəqədə DMZ dizaynı daha mürəkkəbləşir. Burada bir neçə firewall cütlükləri istifadə olunur və perimetr boyunca DMZ-lər yaradılır. Bir çoxları biznesin ehtiyacına uyğun olaraq firewall-ı ayırmaqla, digərləri isə etibarlılıq səviyyəsinə əsasən  bu bölgünü aparır.

Bir-neçə DMZ-in yaradılması həmçinin yol verir ki, bir tərtibatın müxtəlif  komponentlərinə  cixiş ayrılıqda olsun. Tərtibat sistemləri 3 yerə bölünür-tərtibatlar, təqdimatlar  və bazalar. Tərtibat təbəqəsi məcburi biznes məntiqinə əsasən  məlumatların bazadan götürülməsində öz əksini tapır. Təqdimat təbəqəsi veb serverin istifadəçiyə qarşılıqlı məlumat mübadiləsi və tərtibat səviyyəsində göndərib alınmasına xidmət edən prosesdi. Məlumat bazaları məlumat anbarların cədvəlləri nəzrdə tutulur.

DMZ necə işləyir.

Qərəzli xakerlər adətən iternet  üzərindən hər hansı bir təhlükəsizlik cihazlarının olmaması ya orada olan boşluqlardan istifadə etməklə daxili şəbəkəyə müdaxilə edirlər. Təhlükəsizlik adətən  daxildə firewall-dan, router-dən və ya switch-dən istifadə olunmaqla internet üzərindən mühüm servislərə yonləndirilir.  Əgər xaker necəsə təhlükəsizliyə müdaxilə nəticəsində başarılı olursa bu zaman o bu daxili şəbəkənin bir hissəsi kimi istifadə etmək  qabiliyyətinə malik olur. Belə ki, bu cür təhlükələrin qarşısını almaq üçün DMZ virtual şəbəkə seqmenti yaradılır və  daxili şəbəkə üçün bir qalxan  formasında istifadə olunur. Əgər DMZ-yə  xaricdən müdaxilə olunarsa  daxili şəbəkə izolyasiya olunmuş olur. DMZ adətən proxy server massivlərini özündə cəmləşdirir ki, daxili istifadəçilərin veb servis öhdəliklərini   həyata keçirsin. Məsələn xarici (İİS) Internet Information Services istifadə etməklə  təşkilat özünün internetdə  iştirakını təşviq edir. Digər VPN servisləri kənarda olan  əməkdaşlar üçün  bağlantı şəraitin yaradılmasına  imkan yaradır.  Biz daxili şəbəkəni istənilməyən internet trafiklərini firewall-dan istifadə edərək süzgəcdən keçirtməklə nail ola bilərik. Bu iki təbəqəli  müdafiə mexanizmi daxili şəbəkəni  və DMZ-i qoruyur.

DMZ-lər korporativ şəbəkənin səddlərində ümumi 3 interface olan şəbəkələrdə tətbiq olunur.

İnternet interface: bu  xarici şəbəkəyə doğru yönələn interface-di

Private və ya intranet interface:  korporativ şəbəkəyə qoşulan interface nəzərdə tutulur- harada ki, hücumlara və müdaxiləyə davamsız serverlər yerləşir.

DMZ interface: DMZ interface  eyni ümumi  şəbəkədə yerləşir və rahatlıqla xaricdən daxil olmaq olur. DMZ-də yerləşən ümümi resusrlar veb serverlər və proxy serverlərdi.

DMZ Protokollar.

Ümumi icazəli servislər çoxaldıqca icazəli portların sayıda çoxalır. Buna görə əksər vaxt bu cür protokolların sayı minimal həddə çatdırılır və aşağıda bəzi protokollar  bağlı saxlanılır.  

DMZ-də təhlükəsizlik

DMZ çox az təhlükəsiz olan bir resursdu buna görədə orada təhlükəsizlik maksimum həddə saxlanılmalıdır.  Nəinki DMZ həttta orada yerləşdirilən  serverlərin  ya servislərin təhlükəsizliyi daha maksimum qorunmalıdır. Həmçinin serverlərin özlərində belə maksimum təhlükəsizlik  qorunmalıdır.

Aşağıdakı bu qaydalar nəzərə alınmaqla.

• Bütün lazımsız servislər sondürülməli
• Istifadə olunan bütün servislər aşağı etimadlarla istifadə olunmalı
• Mürəkkəb şifrələrdən istifadə olunmalı
• İsitifadə olunmayan istifadəçi adları söndürülməli və ya silinməli həmçinin sistem tərəfindən yaradılan  bütün isitifadəçi adları  mükmün çərçivədə dəyişdirilməlidir.
• Sistemin ən son yenilənmələri və sistem yamaqları (patch) tətbiq olunmalı
• Təhlükəsizlik daxil olmaları (logging)  istifadə olunmalı və tez-tez yoxlanılmalı
•  Portların yönləndirilməsi  onların manipulyasiyasına dair yaxşı bir həlldi

Honeypots-Tələ

Honeypot xüsusi bir İDS sistemidi harda ki,  müdaxilələri monitor  və təyin etmək imkanı yaradır. Honeypot-lar  normal  şəraitdə yəni  orada həqiqi serverlərin yerləşdirilməsi onların  tam paket olaraq son yenilənmələrlə  və yuxarıda sadalanan  qaydalara  əsasən  istifadəyə verilir.  Bu tələlər adətən ya paketlərin tutulması (packet-capturing) sistemi  ya şəkillərin  (snapshot) çəkilməsi ilə təmin olunur ki, təhlükəsizlik inzibatçısı bütün baş verəcək xaker fəallıqları üçün sənədləşmələri həyata keçirə bilsin.

Həmçinin bu tələlər   şəbəkə hüdudlarına xakerlər ya avtomatlaşdırılmış  qurdlar (worms) tərəfindən daxil olan zərərli trafiklərin azaldılmasına xüsusi kömək göstərir. Bunu yaratmaqla bu tələ zərərvericiləri bir növ  fikirlərini  həqiqi şəbəkədən yayındırır və inzibatçıya imkan yaradır ki, orada olan boşluqların garşisin həqiqi olan şəbəkədə vaxtında  alsın.  Bu tələlər inzibatçılara  müdaxilələrin nə vaxt başlandığı və necə davam etdirildiyi haqda ətraflı informasiya ötürmə imkanına malikdır.  Buda onların təqib olunması və tapılmasına şərait yaradır. Ümumiyyətlə  bu o demıkdi ki, faktiki şəbəkənin bir nüsxəsini yaradıb və orada tapılan böşluqların həqiqi şəbəkədə qaşısını almağa, xakerlərin fikrinin yayındırmağa, onların təqib olunmasına ya hansı taktikalardan istifadəsini müəyyən etməyə kömək edir.

Nəticə

DMZ şəbəkəninj təhlükısizliyi üçün ən mühüm faktorlardan biridir. Veb serverə malik  hər bir  şəbəkə DMZ-dən yararlanmalıdır. DMZ təkcə qiymətli informasiya saxlanılan serverlərin və ya servislərin qorunması üçün deyil o həmçinin  müdafiənin daha da gücləndirilməsinə və cevik baş verən problemlərin aradan qaldırılmasına yardım edir. Düzgün sazlanmış DMZ şəbəkə təhlükəsizliyini  hiss olunacaq dərəcədə göstərir. Bu bacarıqlı xakerlərin daxili şəbəkəyə müdaxiləsinin qarşısını almaqda böyük rol oynayır. Əlbətdə (defence-in-depth) dərin müdafiə prinsipləri nəzərə alınmalıdır və istifadə olunmalıdır. Biz həmçinin tələlər (honeypots) haqda danışdıq baxmayaraq bunun realizasiyası  cox mürəkkəb və qiymət baxımından daha  çətindi ama təhlükəsizlik baxımından daha  rahat və qarantilidir.

Sonda qeyd edim ki,  istifadə olunan texnologiyadan ya sistemdən onların qiymətlərindən asılı olmayaraq insan faktoru öndə gedir və bu tip  qaydaların  yaradılması- istifadəsi sırf  bu faktorun nəzəriyyəsi əsasında yaradılır.

Hamınıza təşəkkürlər

 Mövzuya aid bütün suallarınızı http://forum.technet.az/ qeyd edə bilərsiniz.