DMZ begrijpen - Gedemilitariseerde zone
In computerbeveiliging is een DMZ (soms perimeternetwerk genoemd) een fysiek of logisch subnetwerk dat de externe services van een organisatie bevat en blootstelt aan een groter niet-vertrouwd netwerk, meestal internet. Het doel van een DMZ is om een extra beveiligingslaag toe te voegen aan het Local Area Network (LAN) van een organisatie; een externe aanvaller heeft alleen toegang tot apparatuur in de DMZ in plaats van een ander deel van het netwerk. De naam is afgeleid van de term gedemilitariseerde zone, een gebied tussen natiestaten waarin militaire actie niet is toegestaan.
Het is gebruikelijk om een firewall en gedemilitariseerde zone (DMZ) in uw netwerk te hebben, maar veel mensen en zelfs IT-professionals begrijpen niet echt waarom, behalve een vaag idee van semi-beveiliging.
De meeste bedrijven die hun eigen servers hosten, bedienen hun netwerken met een DMZ die zich aan de rand van hun netwerk bevindt en die meestal op een afzonderlijke firewall werken als een semi-vertrouwd gebied voor systemen die communiceren met de buitenwereld.
Waarom bestaan dergelijke zones en welke soorten systemen of gegevens zouden daarin moeten zitten?
Om echte veiligheid te behouden, is het belangrijk om het doel van een DMZ goed te begrijpen.
De meeste firewalls zijn netwerkbeveiligingsapparaten, meestal een apparaat of een apparaat in combinatie met netwerkapparatuur. Ze zijn bedoeld als een gedetailleerd middel voor toegangscontrole op een cruciaal punt in een bedrijfsnetwerk. Een DMZ is een deel van uw netwerk dat gescheiden is van uw interne netwerk en internet, maar is verbonden met beide.
Een DMZ is bedoeld om systemen te hosten die toegankelijk moeten zijn voor internet, maar op verschillende manieren dan uw interne netwerk. De mate van beschikbaarheid voor internet op netwerkniveau wordt bepaald door de firewall. De mate van beschikbaarheid voor internet op applicatieniveau wordt beheerst door software n, in feite een combinatie van webserver, besturingssysteem, aangepaste applicatie en vaak databasesoftware.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikkenDe DMZ biedt doorgaans beperkte toegang vanaf internet en vanaf het interne netwerk. Interne gebruikers moeten meestal toegang krijgen tot systemen binnen de DMZ om informatie bij te werken of om gegevens te gebruiken die daar zijn verzameld of verwerkt. De DMZ is bedoeld om het publiek toegang te geven tot informatie via internet, maar op beperkte manieren. Maar aangezien er blootstelling is aan internet en een wereld van ingenieuze mensen, is er een altijd aanwezig risico dat deze systemen kunnen worden aangetast.
De impact van compromissen is tweeledig: ten eerste kan informatie over het / de blootgestelde systeem (s) verloren gaan (dwz gekopieerd, vernietigd of beschadigd) en ten tweede kan het systeem zelf worden gebruikt als een platform voor verdere aanvallen op gevoelige interne systemen.
Om het eerste risico te beperken, moet de DMZ toegang alleen toestaan via beperkte protocollen (bijv. HTTP voor normale webtoegang en HTTPS voor gecodeerde webtoegang). Vervolgens moeten de systemen zelf zorgvuldig worden geconfigureerd om bescherming te bieden via machtigingen, authenticatiemechanismen, zorgvuldige programmering en soms codering.
Bedenk welke informatie uw website of applicatie verzamelt en opslaat. Dat is wat verloren kan gaan als systemen worden aangetast door algemene webaanvallen, zoals een SQL-injectie, buffer overflows of onjuiste toestemmingen.
Om het tweede risico te beperken, moeten DMZ-systemen niet worden vertrouwd door systemen dieper op het interne netwerk. Met andere woorden, DMZ-systemen moeten niets weten over interne systemen, hoewel sommige interne systemen over DMZ-systemen kunnen weten. Bovendien moeten DMZ-toegangscontroles DMZ-systemen niet toestaan verbindingen verder in het netwerk te initiëren. In plaats daarvan moet elk contact met DMZ-systemen worden geïnitieerd door interne systemen. Als een DMZ-systeem wordt aangetast als een aanvalsplatform, moeten de enige systemen die zichtbaar zijn andere DMZ-systemen zijn.
Het is van cruciaal belang dat IT-managers en bedrijfseigenaars begrijpen welke soorten schade mogelijk zijn aan systemen die op internet worden weergegeven, evenals de mechanismen en beschermingsmethoden, zoals DMZ's. Eigenaren en managers kunnen alleen weloverwogen beslissingen nemen over welke risico's ze bereid zijn te accepteren als ze goed weten hoe effectief hun hulpmiddelen en processen die risico's mitigeren.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken