Dmz (компьютерные сети)

Создание безатомных зон

В современный период демилитаризация приобрела особую значимость. В связи с возникновением нового вида вооружений актуальной стала проблема создания безатомных территорий. Что означает демилитаризованная зона в новых условиях? Это меры, направленные на запрет использования различных видов ядерного оружия в отдельно взятых районах, где международная обстановка является напряженной. Создание таких зон позволяет избежать военных конфликтов, результатом которых может быть начало ядерной войны. Помимо этого, создание таких демилитаризированных территорий преследует и иные цели. В частности, данные соглашения являются важными шагами на пути к запрещению всех видов ядерного оружия.

На сегодняшний день имеется только одно соглашение, которое предусматривает наличие безатомной зоны. Им является договор об Антарктике. Подписание данного документа состоялось 1.12.1959 г. Согласно условиям данного договора, в Антарктике запрещается проводить любые мероприятия военного характера, испытывать любые виды оружия и проводить испытания даже невоенного характера. Пусть эта территория является необитаемой, однако договоренность 1959 г. является хорошим началом, прокладывающим верный путь.

Альтернативные службы

Наиболее популярными открытыми прошивками стали DD-WRT, OpenWRT и ее форк Gargoyle. Установить их можно только на маршрутизаторы из списка поддерживаемых — то есть тех, для которых производитель чипсета раскрыл полные спецификации. Например, у Asus есть отдельная серия роутеров, изначально разработанная с прицелом на использование DD-WRT (bit.ly/1xfIUSf). Она уже насчитывает двенадцать моделей от начального до корпоративного уровня. Роутеры MikroTik работают под управлением RouterOS, не уступающей по гибкости настроек семейству *WRT. Это тоже полноценная сетевая ОС на ядре Linux, которая поддерживает абсолютно все сервисы и любые мыслимые конфигурации. Альтернативные прошивки сегодня можно установить на многие роутеры, но будь внимателен и проверяй полное название устройства. При одинаковом номере модели и внешнем виде у маршрутизаторов могут быть разные ревизии, за которыми могут скрываться совершенно разные аппаратные платформы.

Архитектура и реализация

Разделение сегментов и контроль трафика между ними, как правило, реализуются специализированными устройствами — межсетевыми экранами. Основными задачами такого устройства являются:

  • контроль доступа из внешней сети в ДМЗ;
  • контроль доступа из внутренней сети в ДМЗ;
  • разрешение (или контроль) доступа из внутренней сети во внешнюю;
  • запрет доступа из внешней сети во внутреннюю.

В некоторых случаях для организации ДМЗ достаточно средств маршрутизатора или даже прокси-сервера.

Серверы в ДМЗ при необходимости могут иметь ограниченную возможность соединиться с отдельными узлами во внутренней сети. Связь в ДМЗ между серверами и с внешней сетью также ограничивается, чтобы сделать ДМЗ более безопасной для размещения определённых сервисов, чем Интернет. На серверах в ДМЗ должны выполняться лишь необходимые программы, ненужные отключаются или вообще удаляются.

Существует множество различных вариантов архитектуры сети с DMZ. Два основных — с одним межсетевым экраном и с двумя межсетевыми экранами. На базе этих методов можно создавать как упрощенные, так и очень сложные конфигурации, соответствующие возможностям используемого оборудования и требованиям к безопасности в конкретной сети.

Конфигурация с одним межсетевым экраном

Схема с одним межсетевым экраном

Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с провайдером (WAN), второй — с внутренней сетью (LAN), третий — с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней.

Конфигурация с двумя межсетевыми экранами

Схема с двумя межсетевыми экранами

Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй — из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства. Кроме того, на внешнем экране можно настроить более медленные правила фильтрации на , обеспечив усиленную защиту локальной сети без негативного влияния на производительность внутреннего сегмента.

Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость. Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость.

ДМЗ-хост

Некоторые маршрутизаторы SOHO-класса имеют функцию предоставления доступа из внешней сети к внутренним серверам (режим DMZ host или exposed host). В таком режиме они представляют собой хост, у которого открыты (не защищены) все порты, кроме тех, которые транслируются иным способом. Это не вполне соответствует определению истинной ДМЗ, так как сервер с открытыми портами не отделяется от внутренней сети. То есть ДМЗ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из настоящей ДМЗ блокируются разделяющим их межсетевым экраном, если нет специального разрешающего правила. ДМЗ-хост не предоставляет в плане безопасности ни одного из преимуществ, которые даёт использование подсетей, и часто используется как простой метод трансляции всех портов на другой межсетевой экран или устройство.

Настройка DMZ на роутере

Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети
. Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.

Установка статического IP-адреса

Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP 192.168.0.1, то для компьютера можно указать 192.168.0.10. Маска подсети стандартная – 255.255.255.0. А в поле «Шлюз» нужно указать адрес вашего роутера.

Следует обратить внимание, что IP-адрес, заданный компьютеру не должен быть в диапазоне адресов, раздаваемых. На этом настройка компьютера завершена и можно переходить к настройкам роутера

На этом настройка компьютера завершена и можно переходить к настройкам роутера.

Настройка роутера

Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.

Находим соответствующий пункт меню в веб-интерфейсе устройства
:

  • На роутерах Asus нужная вкладка так и называется – DMZ.
  • На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
  • У D-Link ищите пункт «Межсетевой экран».

В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это 192.168.0.10.

Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.

Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.

Создание DMZ удобный способ упростить работу нужных программ, однако следует иметь в виду, что открытый доступ к ПК повышает риски сетевых атак и заражения вирусами.

Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.

DMZ в роутере — это функция, которая позволяет открыть все внешние порты для конкретного IP из локальной сети роутера.

Обычно применяется для реализации удалённого доступа к конкретному устройству находящемуся за роутером. Особенно часто DMZ применяется для доступа из любой точки
интернета к IP камерам или видеорегистратору,
т.е. для видеонаблюдения.

Очень многие Wi_Fi роутеры имеют функцию предоставления доступа из внешней сети к устройствам в своей локальной сети (режим DMZ host, оно же exposed host). В этом режиме у устройства (компьютера, видеорегистратора, IP-камера, и т.д.) в локальной сети открыты все порты. Это не вполне соответствует каноническому определению DMZ, так как устройство с открытыми портами не отделяется от внутренней сети. То есть DMZ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из канонического DMZ блокируются разделяющим их фаерволом, т.е. с точки зрения безопасности решение не самое лучшее. Следует помнить, что это всего один из способов организации доступа к устройству в другой локальной сети. Популярен ещё простой проброс портов. Его тоже поддерживает практически любой современный и не очень роутер. Но есть одно существенное отличие. С настройкой DMZ справится любой школьник, а вот проброс портов не так прост для человека, который делает подобное впервые.

DMZ — это комплексное решение, и теребуется несколько простых шагов для использования его. При реализации, к примеру, доступа из интернет к видеорегистратору требуется:

  1. Ввести в настройках DMZ роутера IP видеорегистратора

Роутер должен получать от провайдера постоянный IP или должен использоваться DDNS

Почему для DMZ требуется именно постоянный IP адрес, и почему его можно заменить DDNS?

Видите как просто. В этом и есть удобство DMZ. Ещё одним плюсом является, возможность настройки маршрутизатора (роутера) не зная какой порт будет выбран для допустим видеорегистратора. И как следствие дальнейшая смена порта доступа, независимо от настроек маршрутизатора.

Использование собственных цепочек обработки трафика (Custom Chain)

В прошлых частях статьи мы ознакомились с базовыми настройками файрволла, из которых мы, в том числе, узнали, что межсетевой экран маршрутизатора последовательно проверяет пакет на соответствие правилам фильтрации сверху-вниз. Проверка прекращается в тот момент, когда пакет будет либо пропущен на следующий этап обработки трафика (Action=Accept), либо прохождение пакета будет запрещено (Action=reject,drop,tarpit).

Таким образом, если мы представим себе файрволл, состоящий из 25 правил, то выглядеть это будет следующим образом:

При этом, если пакет соответствует только правилу номер 25, он все равно будет проверен на соответствие правилам с номера 1 по номер 24, на что будут потрачены ресурсы маршрутизатора.

Ситуация осложняется тем, что есть «очень дорогие», с точки зрения процессорного времени, правила фильтрации. В этих случаях приходит на выручку возможность писать собственные цепочки (Chain) обработки правила.

Если вы когда-либо занимались программированием, то собственная цепочка очень похожа на процедуру, вызов которой осуществляется указанием в поле Action команды Jump с именем цепочки, возврат же происходит на следующее правило за вызовом цепочки, по окончании обработки трафика в цепочке, либо если в каком-либо правиле собственной цепочки было использовано Action=Return, что прервало дальнейшую обработку цепочки.

Схема работы DoH

Сегодня DNS-серверы это один из ключевых элементов работы глобальной сети Интернет. С их помощью идет обработка запросов пользователя. В самом простом приближении это выглядит так: человек вводит адрес сайта в адресной строке браузере, после этого идёт обращение к ДНС-серверу, который в свою очередь определяет IP сайта и возвращает результат обратно пользователю, чтобы он мог перейти на нужный ему сайт. В таком виде запросы достаточно просто перехватить, просмотреть и даже подменить. Конечно, провайдер подменой заниматься не будет, а вот злоумышленники очень даже могут!

Если же мы используем DNS over HTTPS, то все запросы отправляются напрямую к DoH-совместимому серверу, в обход серверов провайдера и используя для шифрования этих данных протокол HTTPS. Выполняется TCP-подключение на порт 443, как при обычном серфинге и запрос к серверу теряется в общем объёме трафика. Таким образом можно быть уверенным, что ни провайдер, ни владельцы общедоступных или частных WiFi-хотспотов, ни какие-либо злоумышленники не смогут перехватить Ваши данные.

Ещё одна полезная особенность протокола — DNS over HTTPS позволяет обходить простые системы блокировки сайтов, работающие на основе запросов DNS. Но тут не торопитесь радоваться, такие системы работают у мелких операторов связи. У крупных провайдеров вроде Ростелеком, Дом.ру или Билайна обойти блокировки РКН таким образом не выйдет.

Как настроить ADSL-модем в режим маршрутизатора (режим роутера).

Чтобы настроить новый модем в режим роутера, Вам нужно сначала зайти в его веб-интерфейс. IP-адрес модема в локальной сети как правило — 192.168.1.1, а в случае D-Link или некоторых моделей NetGear и TP-Link — 192.168.0.1. Соответственно в браузере надо вводить адрес http://192.168.1.1 или http://192.168.0.1. Логин и пароль на доступ как правильно написан на наклейке на нижней части модема. Если у Вас не получается зайти в настройки — изучите статью Как зайти в настройки роутера.
Далее, Вам надо запустить «Мастер настройки» (Wizard или Quick Setup) и в момент выбора «Типа подключения» (Connection type) — выберите тот тип подключения, который используется Вашим провайдером. Обычно тип подключения — PPPoE или Dynamic IP, но этот момент лучше уточнять в технической поддержке.
Если же Вы настраиваете модем не через «Мастер настройки», а вручную, то раздел настройки подключения у большинства модемов называется «WAN» или «Internet». Вот в этом разделе Вам и надо будет создать новое соединение (WAN-сервис) нужного типа — PPPoE или Dynamic IP.
Чтобы перенастроить модем в режим роутера, если он уже настроен в режим моста — Вам опять же надо будет зайти в веб-интерфейс устройства как я уже описал выше, и в разделе WAN или Internet изменить тип соединения с «Bridge «или «Bridging» на «PPPoE» или «Dynamic IP».
Если изменить тип не удается или нет такой возможности — удалите соединение и создайте его заново.
После манипуляций с ADSL-модемом не забудьте сохранить его настройки.

Как настроить модем Zyxel в режим роутера
IP-адрес ADSL-модемов Zyxel в локальной сети по-умолчанию — 192.168.1.1, URL веб-интерфейса http://192.168.1.1, логин для доступа в веб-интерфейс — admin, пароль — 1234.
Настройки Интернет-соединения в ADSL-модемах Zyxel находится в разделе WAN веб-интерфейса:

Для того, чтобы модем Zyxel работал в режиме роутера — нужно в поле «Mode» поставить значение «Routing», а в поле «Encapsulation» — выбрать используемый провайдером тип подключения — как правило PPPoE или Dynamic IP.

— Как настроить модем D-Link в режим роутера
IP-адрес ADSL-модемов D-Link в локальной сети по-умолчанию — 192.168.0.1, URL веб-интерфейса http://192.168.0.1 (исключение составляют несколько моделей, например DSL-2640U — у них IP-адрес 192.168.1.1). Логин для доступа в веб-интерфейс — admin, пароль по-умолчанию — admin.
Настройки Интернет-соединения в ADSL-модемах D-Link находится в «Расширенных настройках», раздел «Сеть» => «WAN» веб-интерфейса:

Для того, чтобы модем D-Link работал в режиме роутера — нужно в поле «Тип соединения» поставить значение PPPoE или Динамический IP. 

— Как настроить модем TP-Link в режим роутера
IP-адрес ADSL-модемов TP-Link в локальной сети по-умолчанию — 192.168.1.1, URL веб-интерфейса http://192.168.1.1. Логин для доступа в веб-интерфейс — admin, пароль по-умолчанию — admin.
Настройки Интернет-соединения в ADSL-модемах TP-Link находится в «Network» (Настройки сети) раздел «WAN Settings»:

В подразделе «Wan Service Setup» нас интересует параметр «Connection Type». В выпадающем списке выбираем тип соединения, используемый Вашим провайдером — PPPoE или Dynamic IP. Static IP используется крайне редко.

Сверхскопление массивных дыр

Беда редко приходит одна: активация WPS автоматически приводит к включению UPnP. Вдобавок используемый в WPS стандартный пин-код или ключ предварительной аутентификации сводит на нет всю криптографическую защиту уровня WPA2-PSK. Из-за ошибок в прошивке WPS часто остается включен даже после его отключения через веб-интерфейс. Узнать об этом можно с помощью Wi-Fi-сканера — например, бесплатного приложения Wifi Analyzer для смартфонов с ОС Android. Если уязвимые сервисы используются самим администратором, то отказаться от них не получится. Хорошо, если роутер позволяет хоть как-то их обезопасить. Например, не принимать команды на порт WAN или задать конкретный IP-адрес для использования Telnet. Иногда возможности настроить или просто отключить опасный сервис в веб-интерфейсе просто нет и закрыть дыру стандартными средствами невозможно. Единственный выход в этом случае — искать новую или альтернативную прошивку с расширенным набором функций.

Внедрите технологию Reverse Access

Подход от компании Safe-T — технология Reverse Access — сделает DMZ еще более безопасной. Эта технология, основанная на использовании двух серверов, устраняет необходимость открытия любых портов в межсетевом экране, в то же самое время обеспечивая безопасный доступ к приложениям между сетями (через файрвол). Решение включает в себя:

  • Внешний сервер — устанавливается в DMZ / внешнем / незащищенном сегменте сети.
  • Внутренний сервер — устанавливается во внутреннем / защищенном сегменте сети.

Роль внешнего сервера, расположенного в DMZ организации (на месте или в облаке), заключается в поддержании клиентской стороны пользовательского интерфейса (фронтенда, front-end) к различным сервисам и приложениям, находящимися во Всемирной сети. Он функционирует без необходимости открытия каких-либо портов во внутреннем брандмауэре и гарантирует, что во внутреннюю локальную сеть могут попасть только легитимные данные сеанса. Внешний сервер выполняет разгрузку TCP, позволяя поддерживать работу с любым приложением на основе TCP без необходимости расшифровывать данные трафика криптографического протокола SSL (Secure Sockets Layer, уровень защищенных cокетов).

Роль внутреннего сервера заключается в том, чтобы провести данные сеанса во внутреннюю сеть с внешнего узла SDA (Software-Defined Access, программно-определяемый доступ), и, если только сеанс является легитимным, выполнить функциональность прокси-сервера уровня 7 (разгрузка SSL, переписывание URL-адресов, DPI (Deep Packet Inspection, подробный анализ пакетов) и т. д.) и пропустить его на адресованный сервер приложений.

Технология Reverse Access позволяет аутентифицировать разрешение на доступ пользователям еще до того, как они смогут получить доступ к вашим критически-важным приложениям. Злоумышленник, получивший доступ к вашим приложениям через незаконный сеанс, может исследовать вашу сеть, пытаться проводить атаки инъекции кода или даже передвигаться по вашей сети. Но лишенный возможности позиционировать свою сессию как легитимную, атакующий вас злоумышленник лишается большей части своего инструментария, становясь значительно более ограниченным в средствах.

Вечный параноик, Антон Кочуков.

Бывшие демилитаризованные зоны

Историческая карта мыса Гибралтара.

  • Нейтральная территория была установлена между британской заморской территорией в Гибралтаре и Испании после того, как в конце 1727 осады . Полоса земли 600 toises (около 1,2 км или 3 / 4  миль) в длину, расстояние более двух выстрелов Cannon между англичанами и испанских пушек, был назван „нейтральной землей“ , и показано , как таковой на старых картах. В 1908 году британцы построили забор на участке, который считался британской половиной нейтральной территории. Испания не признает британский суверенитет над перешейком (включая границу), утверждая, что это испанская земля. Хотя и Соединенное Королевство, и Испания раньше были частью Европейского Союза (до выхода Соединенного Королевства), граница де-факто была международной границей с таможенными и иммиграционными проверками; Испания формально не признает ее как «границу», называя ее «забором». Как бы то ни было, Гибралтар вышел из Таможенного союза Европейского союза и не входит в Шенгенскую зону ; граница открыта 24 часа в сутки, с уплатой таможенных пошлин при ввозе определенных товаров в Испанию или Гибралтар.
  • Рейнская область — Версальский договор определил Рейнскую область как демилитаризованную зону после Первой мировой войны , запрещая Веймарской республике размещать там свои вооруженные силы . Он был повторно оккупирован и ремилитаризован в 1936 году нацистской Германией в нарушение международных договоров.
  • Саудовско-иракская нейтральная зона . Протокол Укаир установил демилитаризованную зону между Султанатом Неджд и Королевством Ирак , которая в то время была мандатом Лиги Наций, находящимся в ведении Британской империи . Позже Неджд был включен в состав Королевства Саудовская Аравия . Зона была разделена в 1981 году, но договор не был подан в ООН . Зона была окончательно официально упразднена во время войны в Персидском заливе , когда Ирак и Саудовская Аравия расторгли все международные соглашения друг с другом.
  • Саудовская Кувейтский нейтральной зоны — The Uqair протокол установил нейтральную зону между Султанатом Неджды и британским протекторатом в Кувейте в 1922 году был распределяли по взаимному согласию в 1970 году.
  • Израиль и Египет:
  • Израиль и Иордания:
    • Израильский анклав и иорданский район на был обозначен как DMZ.
    • Территория вокруг выступа Латрун .
  • Израиль и Сирия: после арабо-израильской войны 1948 года в соответствии с Соглашением о перемирии 1949 года между Израилем и Сирией были созданы три демилитаризованные зоны .
  • Китай — Императорская японская армия завоевала Маньчжурию в период с сентября 1931 по февраль 1932 года, когда они провозгласили этот регион государством Маньчжоу-Го . В мае 1933 года было заключено Тангуское перемирие между Китаем и Японией, в результате чего была создана демилитаризованная зона между Маньчжоу-Го и Китаем. В 1937 году Япония нарушила это перемирие, вторгшись в остальную часть Китая. В 1945 году, после падения японской империи в конце Азиатско-Тихоокеанский театр из Второй мировой войны , Маньчжурия была вновь включена в Китай.
  • Вьетнамская демилитаризованная зона — Демилитаризованная зона между Северным Вьетнамом и Южным Вьетнамом была создана в июле 1954 года в результате Женевской конференции, положившей конец войне между Вьетмином и Францией . ДМЗ во Вьетнаме официально находилась на 17-й параллели и закончилась в 1976 году; в действительности, он простирался примерно на 2 км (1 милю) по обе стороны реки Бон Хой и с запада на восток от границы с Лаосом до Южно-Китайского моря .
  • Норвегия и Швеция создали демилитаризованную зону протяженностью 1 км (1100 ярдов) с каждой стороны своей границы после роспуска союза между Норвегией и Швецией в 1905 году. Зона была упразднена по взаимному согласию в 1993 году.
  • Демилитаризованная зона Эль-Кагуан — Демилитаризованная зона была создана на юге Колумбии в период с 1999 по 2002 год во время неудавшегося мирного процесса, в котором участвовали правительство президента Андрес Пастрана и Революционные вооруженные силы Колумбии (РВСК).
Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий