באבטחת מחשבים, DMZ (ראשי תיבות של demilitarized zone) או אזור מפורז (המכונה לפעמים רשת היקפית או רשת משנה מסודרת) היא רשת משנה פיזית או לוגית המכילה את השירותים של הארגון הפתוחים לרשת חיצונית, ולא מהימנה, בדרך כלל גדולה יותר, כגון האינטרנט. המטרה של DMZ היא להוסיף שכבת אבטחה לרשת המקומית (LAN) של הארגון: צומת רשת חיצוני יכול לגשת רק למה שנחשף ב-DMZ, בעוד שאר הרשת של הארגון מוגנת מאחורי חומת אש.[1] ה-DMZ מתפקד כרשת קטנה ומבודדת הממוקמת בין האינטרנט לרשת הפרטית.[2]
אין לבלבל את זה עם מארח DMZ, תכונה הקיימת בחלק מהנתבים הביתיים, אשר לעיתים קרובות שונה מאוד מ-DMZ רגיל.
השם הוא מהמונח "אזור מפורז", אזור בין מדינות שבו פעולות צבאיות אינן מותרות.
נימוק
ה-DMZ נתפס כלא שייך לאף אחת מהרשתות הגובלות בו. מטאפורה זו חלה על השימוש במחשוב שכן ה-DMZ פועל כשער לאינטרנט הציבורי. זה לא מאובטח כמו הרשת הפנימית, ולא לא מאובטח כמו האינטרנט הציבורי.
במקרה זה, המארחים הפגיעים ביותר להתקפה הם אלה המספקים שירותים למשתמשים מחוץ לרשת המקומית, כגון שרתי דואר אלקטרוני, אינטרנט ומערכת שמות דומיין (DNS). בגלל הפוטנציאל המוגבר של מארחים אלה הסובלים מתקפה, הם ממוקמים לתוך תת-רשת ספציפית זו על מנת להגן על שאר הרשת במקרה שאחד מהם ייפגע.
למארחים ב-DMZ מותרת רק קישוריות מוגבלת למארחים ספציפיים ברשת הפנימית, מכיוון שהתוכן הקיים ב-DMZ לא בהכרח מאובטח כמו התוכן ברשת הפנימית. באופן דומה, התקשורת בין מארחים ב-DMZ ולרשת החיצונית מוגבלת גם כדי להפוך את ה-DMZ למאובטח יותר מהאינטרנט ומתאים לאכלס שירותים מיוחדים אלה. זה מאפשר למארחים ב-DMZ לתקשר עם הרשת הפנימית והחיצונית כאחד, בעוד חומת אש מתערבת שולטת בתעבורה בין שרתי ה-DMZ לבין לקוחות הרשת הפנימיים, וחומת אש אחרת תבצע רמה מסוימת של שליטה כדי להגן על ה-DMZ מהרשת החיצונית.
תצורת DMZ מספקת אבטחה נוספת מפני התקפות חיצוניות (ב-WAN, אך בדרך כלל אין לה כל השפעה על התקפות פנימיות (ב-LAN) כגון רחרוח תקשורת באמצעות רחרחן (מנתח פקטות) (באנגלית: Sniffer), שימוש במתקפת ARPSpoofing או זיוף דואר אלקטרוני.
זה גם נוהג טוב לפעמים להגדיר אזור צבאי מסווג נפרד (CMZ),[3] אזור צבאי מפוקח מאוד הכולל בעיקר שרתי אינטרנט (ושרתים דומים שמתממשקים לעולם החיצוני כלומר לאינטרנט) שאינם נמצאים ב-DMZ אלא מכילים מידע רגיש על גישות לשרתים מסוימים בתוך הרשת המקומית (הפנימית) כמו שרתי מסד נתונים. בארכיטקטורה כזו, ל-DMZ יש בדרך כלל את חומת האש של האפליקציה וה-FTP בעוד שה-CMZ מארח את שרתי האינטרנט. שרתי מסד הנתונים יכולים להיות ב-CMZ, ב-LAN או ב-VLAN נפרד לגמרי.
כל שירות שניתן למשתמשים ברשת החיצונית יכול להיות ממוקם ב-DMZ. הנפוצים ביותר מבין השירותים הללו הם:
שרתי אינטרנט המתקשרים עם מסד נתונים פנימי דורשים גישה לשרת מסד נתונים, שאולי אינו נגיש לציבור ויכול להכיל מידע רגיש. שרתי האינטרנט יכולים לתקשר עם שרתי מסד נתונים ישירות או דרך חומת אש של יישומים מטעמי אבטחה.
הודעות הדואר האלקטרוני ובמיוחד מסד הנתונים של המשתמשים הם חסויים, ולכן הם מאוחסנים בדרך כלל בשרתים שלא ניתן לגשת אליהם מהאינטרנט (לפחות לא בצורה לא מאובטחת), אך ניתן לגשת אליהם משרתי דואר אלקטרוני החשופים לאינטרנט.
שרת הדואר בתוך ה-DMZ מעביר דואר נכנס לשרתי הדואר המאובטחים/פנימיים וגם מטפל בדואר יוצא.
מטעמי אבטחה, עמידה בתקנים משפטיים כגון HIPAA וסיבות נוספות לניטור, בסביבה עסקית, ארגונים מסוימים מתקינים שרת proxy בתוך ה-DMZ. יש לזה את היתרונות הבאים:
מחייב משתמשים פנימיים (בדרך כלל עובדים) להשתמש בשרת ה-proxy לגישה לאינטרנט.
דרישות רוחב פס מופחתות של גישה לאינטרנט מכיוון שחלק מתוכן האינטרנט עשוי להיות מאוחסן במטמון על ידי שרת ה-proxy.
מפשט את ההקלטה והניטור של פעילויות המשתמש.
סינון תוכן אינטרנט מרכזי.
שרת פרוקסי הפוך, כמו שרת פרוקסי, הוא מתווך, אך נעשה בו שימוש הפוך. במקום לספק שירות למשתמשים פנימיים המעוניינים לגשת לרשת חיצונית, הוא מספק גישה עקיפה לרשת חיצונית (בדרך כלל האינטרנט) למשאבים פנימיים. לדוגמה, גישה ליישום אחורי, כגון מערכת דואר אלקטרוני, יכולה להיות מסופקת למשתמשים חיצוניים (כדי לקרוא מיילים מחוץ לחברה), אך למשתמש המרוחק לא תהיה גישה ישירה לשרת הדואר האלקטרוני שלו (רק שרת ה-proxy ההפוך יכול לגשת פיזית לשרת האימייל הפנימי). זוהי שכבת אבטחה נוספת שמומלצת במיוחד כאשר יש צורך לגשת למשאבים פנימיים מבחוץ, אך ראוי לציין שהעיצוב הזה עדיין מאפשר למשתמשים מרוחקים (ועלולים להיות זדוניים) לדבר עם המשאבים הפנימיים בעזרת ה-proxy. מכיוון שה-proxy מתפקד כממסר בין הרשת הלא מהימנה למשאב הפנימי: הוא עשוי גם להעביר תעבורה זדונית (למשל לניצול ברמת האפליקציה) לכיוון הרשת הפנימית; לכן יכולות זיהוי התקפות וסינון ה-proxy הן חיוניות במניעת תוקפים חיצוניים לנצל נקודות תורפה הקיימות במשאבים הפנימיים שנחשפים דרך ה-proxy. בדרך כלל מנגנון פרוקסי הפוך כזה מסופק על ידי שימוש בחומת אש שכבת יישומים המתמקדת בצורה ובתוכן הספציפיים של התעבורה במקום רק בשליטה בגישה ליציאות TCP ו-UDP ספציפיות (כפי שחומת אש רגילה הייתה עושה), אלא פרוקסי הפוך הוא בדרך כלל לא תחליף טוב לעיצוב DMZ מחושב היטב מכיוון שהוא צריך להסתמך על עדכוני חתימה מתמשכים עבור וקטורי התקפה מעודכנים.
ארכיטקטורה
ישנן דרכים רבות ושונות לעצב רשת עם DMZ. שתיים מהשיטות הבסיסיות ביותר הן עם חומת אש אחת, הידועה גם כמודל שלוש הרגליים, ועם חומות אש כפולות, המכונה גם גב אל גב. ניתן להרחיב ארכיטקטורות אלו ליצירת ארכיטקטורות מורכבות מאוד בהתאם לדרישות הרשת.
חומת אש בודדת
ניתן להשתמש בחומת אש בודדת עם לפחות 3 ממשקי רשת ליצירת ארכיטקטורת רשת המכילה DMZ. הרשת החיצונית נוצרת מ- ISP אל חומת האש בממשק הרשת הראשון, הרשת הפנימית נוצרת מממשק הרשת השני, וה-DMZ נוצר מממשק הרשת השלישי. חומת האש הופכת לנקודת כשל אחת עבור הרשת ועליה להיות מסוגלת להתמודד עם כל התעבורה העוברת ל-DMZ וכן לרשת הפנימית. האזורים מסומנים בדרך כלל בצבעים – לדוגמה, סגול עבור LAN, ירוק עבור DMZ, אדום עבור אינטרנט (וגם לעיתים קרובות צבע אחר משמש עבור אזורים אלחוטיים).
חומת אש כפולה
הגישה המאובטחת ביותר, לפי Colton Fralick,[4] היא להשתמש בשתי חומות אש כדי ליצור DMZ. חומת האש הראשונה (נקראת גם חומת האש "חזיתית" או "פרימטר")[5] חייבת להיות מוגדרת כך שתאפשר תעבורה המיועדת ל-DMZ בלבד. חומת האש השנייה (נקראת גם חומת אש "גבית" או "פנימית") מאפשרת תעבורה ל-DMZ מהרשת הפנימית בלבד.
הגדרה זו נחשבת[6] מאובטחת יותר מכיוון שיהיה צורך להתפשר על שני מכשירים. יש אפילו יותר הגנה אם שתי חומות האש מסופקות על ידי שני ספקים שונים, כי זה מפחית את הסבירות ששני המכשירים סובלים מאותן פרצות אבטחה. לדוגמה חור אבטחה שנמצא קיים במערכת של ספק אחד סביר פחות להתרחש במערכת האחרת. אחד החסרונות של ארכיטקטורה זו הוא שהיא יקרה יותר, הן ברכישה והן בניהולה.[7] הפרקטיקה של שימוש בחומות אש שונות מספקים שונים מתוארת לעיתים כמרכיב של אסטרטגיית אבטחה "הגנה לעומק".[8]
מארח DMZ
חלק מהנתבים הביתיים מתייחסים למארח DMZ, שבמקרים רבים הוא למעשה כינוי שגוי. מארח DMZ של נתב ביתי הוא כתובת יחידה (למשל, כתובת IP) ברשת הפנימית שכל התעבורה נשלחת אליה שאינה מועברת בדרך אחרת למארחי LAN אחרים. בהגדרה, לא מדובר ב-DMZ (אזור מפורז) אמיתי, שכן הנתב לבדו אינו מפריד בין המארח לרשת הפנימית. כלומר, מארח ה-DMZ מסוגל להתחבר למארחים אחרים ברשת הפנימית, בעוד שמארחים בתוך DMZ אמיתי מונעים להתחבר לרשת הפנימית על ידי חומת אש שמפרידה ביניהם, אלא אם חומת האש מאפשרת את החיבור.
חומת אש עשויה לאפשר זאת אם מארח ברשת הפנימית מבקש תחילה חיבור למארח בתוך ה-DMZ. מארח ה-DMZ אינו מספק אף אחד מיתרונות האבטחה שרשת משנה מספקת, והוא משמש לעיתים קרובות כשיטה קלה להעברת כל היציאות לחומת אש/התקן NAT אחר. טקטיקה זו (הקמת מארח DMZ) משמשת גם עם מערכות שאינן מתקשרות כראוי עם כללי חומת אש רגילים או NAT. זה יכול להיות בגלל שלא ניתן לנסח כלל העברה בחומת האש מבעוד מועד (מספרי יציאות TCP או UDP משתנים למשל, בניגוד למספר קבוע או טווח קבוע). זה משמש גם לפרוטוקולי רשת שעבורם אין לנתב תכנות לטפל (מנהרות 6in4 או GRE הן דוגמאות אבות טיפוסיות).
לקריאה נוספת
אריק מיוואלד, אבטחת רשת: מדריך למתחילים, מהדורה שנייה, מקגרו-היל/אוסבורן, 2003.
חומות אש באינטרנט: שאלות נפוצות, מלוקט על ידי מאט קרטין, מרקוס ראנום ופול רוברטסון
^"Control System Security DMZ". Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA. נבדק ב-2020-06-09.