Demilitarizált zóna (informatika)

Az informatikai biztonság területén a katonai használatra utaló nevű demilitarizált zóna (DMZ), más néven demarkációs zóna vagy határhálózat egy olyan fizikai vagy logikai alhálózat, ami egy szervezet belső szolgáltatásait tartalmazza és tárja fel egy nagyobb, nem megbízható hálózatnak, általában az internetnek.

A DMZ célja

A DMZ célja, hogy egy plusz biztonsági réteget biztosítson a szervezet helyi hálózatának (LAN). Így egy külső támadónak csak a DMZ-ben található berendezésekhez lehet hozzáférése, nem az egész hálózathoz.

Egy hálózatban azok a hostok a legsebezhetőbbek, amelyek a LAN-on kívüli felhasználóknak nyújtanak szolgáltatásokat, úgy mint az e-mail-, web- és DNS szerverek. Ezeket a hostokat a megnövekedett fenyegetettség miatt egy saját alhálózatba helyezik. Ezzel védik a hálózat többi részét abban az esetben, ha valakinek sikerülne behatolnia. A DMZ-ben lévő hostoknak csak jól szabályozott, korlátozott kapcsolatban szabad lenniük a belső hálózatba tartozó gépekkel. A kommunikáció másik hostokkal a DMZ-n belül és a külső hálózatba viszont engedélyezett. Ez teszi lehetővé, hogy a DMZ-n belüli hostok szolgáltatást nyújthassanak mind a belső, mind a külső hálózatba. A forgalmat pedig egy közbenső tűzfal irányítja a DMZ-ben levő szerverek és a belső hálózat kliensei közt.

A DMZ szolgáltatásai

Alapjában minden szolgáltatást, ami a külső hálózat felhasználóit látja el, a DMZ-n belülre kellene helyezni. A leggyakoribbak ezek közül a web-, mail-, ftp- és DNS-szerverek. Néhány helyzetben további lépéseket kell alkalmazni, hogy biztonságos szolgáltatásokat nyújthassunk.

Webszerverek

A webszervereknek ahhoz, hogy néhány különleges szolgáltatást nyújthassanak, sokszor egy belső adatbázissal is kommunikálniuk kell. Mivel az adatbázisszerver nem publikusan elérhető, és érzékeny információkat tartalmazhat, ezért nem szabad, hogy a DMZ-be kerüljön. Tehát egyáltalán nem jó ötlet engedélyezni, hogy a webszerver közvetlenül kommunikálhasson a belső adatbázisszerverrel. Ehelyett egy alkalmazásszervert lehet használni, hogy a webszerver és az adatbázisszerver között kommunikáljon. Ez komplikáltabb, de egy újabb biztonsági szintet nyújt.

E-mail-szerver

Az e-maileket bizalmas voltukból adódóan a DMZ helyett egy belső e-mail-szerveren lenne ajánlott tárolni. A DMZ-ben található mailszervernek át kell küldenie a bejövő maileket a belső mailszerverhez és a belső mailszervernek át kell küldenie a kimenő maileket a külső mailszerverhez. Ideális esetben minden kommunikációt a belső mailszervernek kellene kezdeményeznie.

Proxyszerver

Az üzleti környezetben a törvényesség betartása, valamint biztonsági és ellenőrzési szempontokból ajánlott egy proxyszerver használata a DMZ-ben. Ennek a következő előnyei vannak:

• Kötelezi a belső felhasználókat, hogy ezt a különleges proxyt használják az internet használatához. Nem engedélyezett, hogy az internetet közvetlenül használják és megkerüljék a DMZ védelmét.
• Lehetővé teszi a vállalatnak az internet sávszélességével való gazdálkodást, mert a web néhány tartalmát cache-elheti a proxyszerver.
• Lehetővé teszi a rendszeradminisztrátornak, hogy ellenőrizze és rögzítse a felhasználói aktivitásokat és biztosítsa, hogy az alkalmazottak semmilyen illegális tartalmat ne töltsenek le vagy fel. Ez azért fontos, mert sok EU-s országban a cégek vezetői felelősek az alkalmazottak internetes aktivitásáért.

Fordított proxyszerver

A fordított proxyszerver ugyanazt csinálja, mint a proxyszerver, csak a másik irányba. Ahelyett, hogy szolgáltatásokkal látná el a belső felhasználókat, a külső hálózatnak (Internet) szolgáltat indirekt hozzáférést a belső erőforrásokhoz. Egy irodán kívüli alkalmazás – mint például az e-mail rendszer – külső felhasználóknak is elérhető (e-mailek olvasására a vállalaton kívül) úgy, hogy a távoli felhasználónak nincs közvetlen hozzáférése a belső mailszerverhez. Ez egy extra biztonsági réteg, ami különösen ajánlott, amikor belső forrásokhoz kell kívülről hozzáférni. Általában az alkalmazás szintű tűzfal használata kínál ilyen fordított proxymechanizmusokat. Ez inkább a meghatározott formájú és/vagy tartalmú forgalomra koncentrál, a klasszikus tűzfalakkal ellentétben, melyek kijelölt TCP/UDP port(ok)on keresztül engedélyezik a forgalmat.

Fordítás

• Ez a szócikk részben vagy egészben a Demilitarized_zone_(computing) című angol Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
• Ez a szócikk részben vagy egészben a Demilitarized_Zone című német Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Hivatkozások

• http://compnetworking.about.com/cs/networksecurity/g/bldef_dmz.htm Archiválva 2007. május 18-i dátummal a Wayback Machine-ben

•   Informatikai portál • összefoglaló, színes tartalomajánló lap