לדלג לתוכן

מה זה DMZ ברשת ארגונית, ולמה כל שרת שפונה לאינטרנט צריך להיות רחוק מהנתונים הרגישים

כל חברה שרוצה להריץ אתר, שרת מייל, או כל שירות אחר שנגיש מהאינטרנט, נתקלת בדילמה בסיסית - השירות הזה חייב להיות חשוף כלפי חוץ כדי שאנשים בכלל יוכלו להגיע אליו, אבל כל דבר שחשוף לאינטרנט הוא גם יעד לתקיפה. הפתרון המקובל לדילמה הזאת נקרא DMZ, ראשי תיבות של Demilitarized Zone, וזה בדיוק מה שנפרק כאן.

הרעיון הבסיסי - אזור ביניים שאינו הרשת הפנימית

DMZ הוא קטע רשת נפרד, שיושב בין האינטרנט לבין הרשת הפנימית של הארגון. שרתים שחייבים להיות נגישים מבחוץ - שרת ווב ציבורי, שרת מייל, שרת DNS ציבורי - מונחים בתוך ה-DMZ הזה, ולא בתוך הרשת הפנימית שבה יושבים עמדות העובדים, שרתי הקבצים, ומסדי הנתונים הרגישים.

השם עצמו שאול מעולם הצבאי - אזור חיץ בין שני צדדים עוינים, שאף אחד מהם לא שולט בו לגמרי. באנלוגיה הרשתית, ה-DMZ הוא אזור שנגיש חלקית מבחוץ, אבל מבודד מהחלקים הכי רגישים של הרשת הפנימית.

איך זה נראה בפועל מבחינת ארכיטקטורה

ההגדרה הנפוצה ביותר משתמשת בשתי חומות אש. חומת אש חיצונית יושבת בין האינטרנט ל-DMZ, ומאפשרת רק תעבורה לגיטימית לשירותים שבאמת צריכים להיות חשופים, למשל פורט 443 לשרת ווב. חומת אש פנימית יושבת בין ה-DMZ לרשת הפנימית, ומאפשרת מעבר תעבורה מוגבל ביותר, בדרך כלל רק מה שנדרש כדי שהשירותים ב-DMZ יוכלו לתפקד, למשל שרת ווב שצריך לגשת למסד נתונים פנימי דרך פורט ספציפי בלבד.

התוצאה היא שלוש רמות אבטחה נפרדות - האינטרנט הפתוח, אזור הביניים ה-DMZ, והרשת הפנימית המוגנת ביותר. תעבורה מהאינטרנט אף פעם לא מגיעה ישירות לרשת הפנימית, היא תמיד עוברת דרך ה-DMZ קודם, ורק תעבורה מוגדרת מראש ומוגבלת ממשיכה משם פנימה.

למה זה חשוב - התרחיש שה-DMZ נועד למנוע

תארו לעצמכם שרת ווב שנפרץ, בגלל חולשה כלשהי שנחשפה יום אחד לפני שהספיקו לתקן אותה. בלי DMZ, אם השרת הזה יושב באותה רשת בדיוק כמו מסדי הנתונים הפנימיים ועמדות העובדים, תוקף שהשתלט עליו קיבל למעשה דריסת רגל ישירה לתוך הרשת הכי רגישה בארגון. עם DMZ מוגדר נכון, גם אם התוקף השתלט על שרת הווב, הוא נמצא באזור מבודד, וכל ניסיון שלו לזוז הלאה אל הרשת הפנימית נתקל בחומת אש שנייה עם כללים מחמירים בהרבה.

זה לא אומר שהתוקף לא יכול לנסות, אלא שהעיקרון deny by default שמונחה גם בהגדרת חומות אש רגילות עובד כאן פעמיים - פעם בכניסה ל-DMZ, ופעם ביציאה ממנו לרשת הפנימית.

מה שמים ב-DMZ, ומה לעולם לא

הכלל הפשוט הוא - כל שירות שצריך להיות נגיש מהאינטרנט שייך ל-DMZ. שרתי ווב ציבוריים, שרתי מייל שמקבלים דואר חיצוני, שרתי VPN שמשמשים כנקודת כניסה, ושרתי DNS שפונים לעולם החיצון. לעומת זאת, מסדי נתונים עם מידע רגיש, שרתי קבצים פנימיים, ותשתית ניהול כמו בקרי תחום, לעולם לא צריכים לשבת ב-DMZ - הם שייכים לרשת הפנימית המוגנת, ומגיעים אליהם רק דרך אותה חומת אש פנימית מחמירה.

איפה DMZ פוגש רעיונות אחרים שכבר הכרתם

DMZ הוא לא מנגנון בפני עצמו, הוא שילוב של רעיונות שכבר קיימים - חלוקת רשת (בדומה לרעיון ה-VLAN), וכללי חומת אש שמגדירים מה מותר לעבור לאן. ההבדל הוא שב-DMZ יש שתי נקודות בקרה נפרדות, לא אחת, וזה בדיוק מה שהופך אותו לשכבת הגנה חזקה יותר מסתם רשת אחת עם חומת אש בכניסה.

איך לומדים לתכנן DMZ נכון

הדרך הכי טובה להבין DMZ היא לא רק לקרוא עליו, אלא לנסות לתכנן אחד בעצמכם - להחליט אילו שירותים חשופים, אילו כללי תעבורה נדרשים בין כל אזור, ולראות בעיניים איך תעבורה שמנסה לעקוף את הכללים נחסמת.

קורס הרשתות המלא נמצא כאן, חינם ובעברית, כולל תרגול מעשי על ארכיטקטורת רשת ואבטחת רשתות ארגוניות.

יש לכם שאלה על תכנון DMZ בסביבה שלכם? שאלו בדיסקורד.

הצטרפו לקהילה בדיסקורד

לסיכום

DMZ הוא אזור ביניים שמפריד בין מה שחייב להיות חשוף לאינטרנט לבין מה שאסור בשום אופן להיות חשוף. הוא לא מבטל את הסיכון שבחשיפת שירות לרשת הרחבה, אבל הוא מוודא שגם אם שרת אחד ב-DMZ נפרץ, זה לא אוטומטית אומר שהרשת הפנימית כולה נפלה איתו.