Aşağıdaki makale size yardımcı olacaktır:Ağda DMZ nedir ve nasıl çalışır?
Bilgisayar güvenliğinde DMZ, askerden arındırılmış bölge anlamına gelir ve çevre ağı veya ekranlı alt ağ olarak da bilinir. Bugün bu blogda ele alacağımız konulara bir göz atalım.
Bir DMZ yapılandırması, Yerel Alan Ağında (LAN) harici saldırılara karşı koruma sağlamak için ek güvenlik sağlar. ‘DMZ’ terimi, Kuzey Kore ile Güney Kore arasındaki Kore Savaşı’nın sonunda kurulan coğrafi tampon bölgeden ödünç alınmıştır. Ancak, bilgisayar güvenliğinde DMZ ağı nedir?
DMZ Ağı nedir?
DMZ, bir LAN’ı genel internet gibi güvenilmeyen ağlardan yalıtan fiziksel veya mantıksal bir alt ağdır. Herkese açık internette kullanıcılara sunulan herhangi bir hizmet, DMZ ağında kurulmalıdır. Dışa bakan sunucular, hizmetler ve kaynaklar genellikle oraya yerleştirilir. Hizmetler arasında web, Etki Alanı Adı Sistemi (DNS), e-posta, proxy sunucuları ve Dosya Aktarım Protokolü (FTP), İnternet Üzerinden Ses Protokolü (VoIP) yer alır.
DMZ ağındaki kaynaklara ve sunuculara internetten erişilebilir, ancak LAN’a çok sınırlı erişimle izole edilirler. Bu yaklaşım nedeniyle, LAN, bir bilgisayar korsanının dahili sunuculara ve internetten gelen verilere doğrudan erişmesini kısıtlayan ek bir güvenlik katmanına sahiptir.
Bilgisayar korsanları ve siber suçlular, bir DMZ sunucusunda hizmet çalıştıran sistemlere erişebilir. Sürekli saldırılara dayanabilmek için bu sunuculardaki güvenlik sıkılaştırılmalıdır.
Bir DMZ’nin temel amacı, kuruluşların kendi özel ağlarının veya LAN’larının güvenliğini sağlarken halka açık interneti kullanmalarını sağlamaktır.
DMZ’nin amacı
DMZ ağı, en fazla güvenlik açığına sahip ana bilgisayarları korumak için vardır. DMZ ana bilgisayarları çoğunlukla yerel alan ağının dışındaki kullanıcılara uzanan hizmetleri içerir. Artan saldırı potansiyeli, bunların izlenen alt ağa yerleştirilmesini gerekli kılar. Bu, tehlikeye girmeleri durumunda ağın geri kalanını koruyacaktır.
DMZ’deki ana bilgisayarlar, dahili ağ içindeki diğer hizmetlere erişim izinlerine sahiptir ve bu erişim, DMZ’den geçen verilerin güvenli olmaması nedeniyle sıkı bir şekilde kontrol edilir.
Korunan sınır bölgesinin genişletilmesine yardımcı olmak için DMZ ana bilgisayarları ile harici ağ arasındaki iletişim kısıtlanır. Bu, korunan ağdaki ana bilgisayarların dahili ve harici ağ ile iletişim kurmasını sağlarken güvenlik duvarı, DMZ ile dahili ağ arasında paylaşılan tüm trafiğin ayrılması ve yönetimi ile ilgilenir.
Ek bir güvenlik duvarı tipik olarak DMZ’yi harici ağdaki her şeye maruz kalmaktan korur. Kullanıcıların harici bir ağdan iletişim kurarken erişebildiği en yaygın hizmetlerden bazılarında DMZ’nin bazı kullanımları şunlardır:
Web Sunucuları
Dahili bir veritabanı sunucusuyla iletişimi sürdüren web sunucularının, genellikle hassas bilgileri depolayan dahili veritabanının güvenliği için bir DMZ’ye yerleştirilmesi gerekebilir. Web sunucuları daha sonra bir uygulama güvenlik duvarı aracılığıyla veya doğrudan dahili veritabanı sunucusuyla etkileşime girerken, DMZ korumalarına sahip olmaya devam edebilir.
Posta Sunucuları
Kişisel mesajları ve oturum açma kimlik bilgilerini içeren e-postalar ve kullanıcı veritabanları genellikle internete doğrudan erişimi olmayan sunucularda depolanır. Potansiyel olarak zararlı trafiğe maruz bırakmadan e-posta veritabanıyla etkileşim ve erişim için DMZ içinde bir e-posta sunucusu oluşturulabilir veya kurulabilir.
FTP Sunucuları
FTP sunucuları, bir kuruluşun web sitesinde kritik içeriği barındırabilir ve dosyalarla doğrudan etkileşime izin verebilir. Bu nedenle, FTP sunucuları her zaman kritik olan dahili sistemlerden kısmen izole edilmelidir.
Bir DMZ yapılandırması tarafından harici saldırılardan sağlanan ek güvenliğin, tipik olarak, e-posta veya başka yollarla bilgi sızdırma veya bir paket çözümleyici aracılığıyla iletişimi koklama gibi dahili saldırılara karşı hiçbir faydası yoktur.
Neredeyse güvenlik duvarları var olduğu sürece, DMZ ağları kurumsal ağ güvenliğinin ayrılmaz bir parçası olmuştur. DMZ ağları, hassas sistemleri ve kaynakları korumak için dağıtılır. DMZ ağları genellikle şunlar için kullanılır:
- Potansiyel hedef sistemleri dahili ağlardan ayırma ve ayırma
- Dış kullanıcıların sistemlere erişimini azaltmak ve kontrol etmek
- Harici kullanıcılara bu kaynakların bazılarına yetkili erişim sağlamak için kurumsal kaynakları barındırmak
Kuruluşlar son zamanlarda ağın birkaç bölümünü veya belirli uygulamaları kurumsal ortamın geri kalanından izole etmek için sanal makineler veya kapsayıcıları kullanmayı tercih ettiler. Bulut teknolojileri, kuruluşlarda kurum içi web sunucularına olan ihtiyacı ortadan kaldırmıştır. Bir zamanlar kurumsal DMZ’de kurulan dışa dönük altyapıların çoğu buluta taşındı (örneğin, SaaS uygulamaları).
DMZ Ağları Neden Önemlidir?
Birçok ev ağındaki İnternet özellikli cihazlar, internete bir geniş bant yönlendiriciden erişen LAN etrafında oluşturulmuştur. Yönlendirici, LAN’a giren mesajların güvenli olmasını sağlamak için trafik filtrelemeyi otomatikleştiren hem bir bağlantı noktası hem de bir güvenlik duvarı görevi görür.
Bir ev ağında bir DMZ, yönlendirici ve LAN arasına özel bir güvenlik duvarı eklenerek oluşturulabilir. Bu yapı pahalı olabilse de dahili cihazları karmaşık saldırılara ve olası harici saldırılara karşı etkili bir şekilde koruyabilir.
DMZ’ler, hem bireysel kullanıcılar hem de büyük kuruluşlar için ağ güvenliği açısından çok önemlidir. Ekstra güvenlik katmanı, ihlal edildiğinde çok zarar verebilecek dahili sunuculara ve verilere uzaktan erişimi kısıtlayarak bilgisayar ağını sıkı bir şekilde korur.
DMZ nasıl çalışır?
Halka açık bir web sitesine sahip bir işletmenin müşterileri, web sitesini ziyaret etmek için web sunucusunu internetten erişilebilir hale getirmelidir. Bu, tüm dahili ağlarını yüksek risk altına sokar. Bundan kaçınmak için kuruluş, web sitesini veya genel sunucularını bir güvenlik duvarında barındırması için bir barındırma firmasına ödeme yapabilir. Ancak bu, performansı olumsuz yönde etkileyebilir. Bu nedenle, ortak sunucular ayrı veya yalıtılmış bir ağda barındırılır.
DMZ ağı, internet ile bir kuruluşun özel ağı arasında bir tampon görevi görür. DMZ ve LAN arasındaki trafiği filtreleyen bir güvenlik duvarı gibi bir güvenlik ağ geçidi tarafından izole edilmiştir. Varsayılan DMZ sunucusu, harici ağlardan gelen trafiği filtreleyen başka bir ağ geçidi tarafından korunur. İki güvenlik duvarı arasında ideal bir konuma sahiptir.
DMZ güvenlik duvarı kurulumu, gelen ağ paketlerinin, DMZ’de barındırılan sunuculara ulaşmadan önce bir güvenlik duvarı veya diğer güvenlik araçları tarafından izlenmesini sağlar. Bu nedenle, bir saldırgan bir şekilde ilk güvenlik duvarını geçse bile, bir işletmeye herhangi bir ciddi zarar vermesi için DMZ’deki sağlamlaştırılmış hizmetlere erişmesi gerekir.
Harici güvenlik duvarına bir saldırgan tarafından girilirse ve DMZ’deki bir sistemin güvenliği ihlal edilirse, tüm hassas kurumsal verilere erişmeden önce dahili güvenlik duvarını da aşmaları gerekir. Çok yetenekli bir saldırgan bazen güvenli bir DMZ’yi ihlal edebilir, ancak devam eden ihlal hakkında birçok uyarı sağlamak için çeşitli alarm sistemleri ve kaynakları vardır.
Yönetmeliklere uyması gereken kuruluşlar bazen DMZ’ye bir proxy sunucusu kurar. Bu, kullanıcı etkinliklerinin izlenmesinin ve kaydedilmesinin basitleştirilmesine ve web içeriği filtrelemenin merkezileştirilmesine olanak tanır. Ayrıca çalışanların internete erişim sağlamak için sistemi kullanmasını sağlar.
DMZ Ağlarının Mimarisi ve Tasarımı
Bir DMZ kullanarak bir ağ oluşturmanın birkaç yolu vardır. Bunu başarmanın iki ana yöntemi, tek bir güvenlik duvarı (veya üç ayaklı bir model) veya çift güvenlik duvarıdır. Bu sistemlerin her ikisi de, ağ gereksinimlerini karşılayan karmaşık DMZ mimarileri oluşturmak için genişletilebilir:
Tek Güvenlik Duvarı
En az 3 ağ arayüzüne sahip tek bir güvenlik duvarı kullanmak, ağ mimarisine mütevazı bir yaklaşımdır. DMZ bu güvenlik duvarının içine yerleştirilmiştir. Harici ağ cihazına bağlantı ISP’den yapılır. İkinci cihaz, dahili ağı bağlar ve üçüncü ağ cihazı, DMZ içindeki bağlantıları yönetir.
Çift Güvenlik Duvarı
İki güvenlik duvarı kullanmak, bir DMZ oluşturmak için daha güvenli bir yöntemdir. İlk güvenlik duvarına ön uç güvenlik duvarı denir ve yalnızca DMZ’ye doğru giden trafiğe izin verecek şekilde oluşturulmuştur. İkinci güvenlik duvarı veya arka uç güvenlik duvarı, yalnızca DMZ’den dahili ağa giden trafikten sorumludur.
Koruma seviyesini daha da artırmak için, aynı güvenlik açıklarına sahip olma olasılığı daha az olduğundan, ayrı satıcılar tarafından oluşturulan güvenlik duvarları kullanılır. Büyük bir ağda uygulanması daha etkili, ancak daha maliyetli bir plandır.
Çeşitli ağ bölümleri için güvenlik kontrolleri de kuruluşlar tarafından ince ayar yapılabilir. Bir DMZ içindeki İzinsiz Giriş Tespit Sistemi (IDS) veya Saldırı Önleme Sistemi (IPS), İletim Kontrol Protokolü (TCP) bağlantı noktası 443’e yönelik Köprü Metni Aktarım Protokolü Güvenli (HTTPS) istekleri dışında herhangi bir trafiği engelleyecek şekilde yapılandırılabilir.
DMZ Kullanmanın Faydaları
Bir DMZ’nin birincil faydası, hassas bilgilere ve sunuculara erişimi kısıtlayarak dahili bir ağa ekstra bir gelişmiş güvenlik katmanı sağlamasıdır. Web sitesi kullanıcılarının, kendileriyle kuruluşun özel ağı arasında bir tampon oluştururken belirli hizmetlerden yararlanmalarına olanak tanır. DMZ ayrıca aşağıdakiler gibi ek güvenlik avantajları sunar:
Erişim Kontrolünü Etkinleştirme
İşletmeler, halka açık internet aracılığıyla kullanıcılarına ağlarının dışındaki hizmetlere erişim sağlayabilir. DMZ, yetkisiz kullanıcıların özel ağa erişmesini zorlaştırmak için ağ bölümlemesini sağlarken buna izin verir. DMZ’ye dahil edilmiş, dahili trafik akışını merkezileştiren ve izleme ve günlüğe kaydetmeyi basitleştiren bir proxy sunucusu da olabilir.
Ağ Keşfinin Önlenmesi
Özel bir ağ ile internet arasında bir arabellek sağlamak, bir DMZ’nin saldırganların potansiyel hedefleri aramak için gerçekleştirilen keşif çalışmalarını gerçekleştirmesini engellemesine yardımcı olur. DMZ içindeki sunucular halka açık hale gelir, ancak herhangi birinin dahili ağın içini görmesini önleyen bir güvenlik duvarı tarafından ekstra bir güvenlik katmanına sahiptir.
Bir DMZ sisteminin güvenliği ihlal edilirse, dahili güvenlik duvarı özel ağı DMZ’den ayıracak ve harici keşifleri zorlaştırarak onu güvende tutacaktır.
İnternet Protokolü (IP) Sahtekarlığını Engelleme
Bilgisayar korsanları, bir IP adresini tahrif ederek ve zaten onaylanmış ve bir ağda oturum açmış bir cihazın kimliğine bürünerek sistemlere erişmeye çalışır. Ancak, başka bir hizmet IP adresinin meşruiyetini doğruladığından, bir DMZ bu tür girişimleri keşfedebilir ve durdurabilir. DMZ, organize trafik ve kamu hizmetlerine özel dahili ağlardan uzakta erişilebilecek bir alan yaratmak için ağ bölümlemesine olanak tanır.
DMZ’lerin uygulamaları
Çeşitli DMZ ağ örneklerinden bazıları şurada görülebilir:
Bulut Hizmetleri
Bazı bulut bilgi işlem hizmetleri, bir kuruluşun şirket içi ağı ile sanal ağ arasında uygulanan bir DMZ ile hibrit bir güvenlik yaklaşımı kullanır. Bu genellikle bir kuruluşun uygulamaları kısmen şirket içinde ve kısmen de sanal ağ üzerinde çalıştırıldığında uygulanır.
DMZ ayrıca, giden trafik için denetimin gerekli olduğu veya sanal ağ ile şirket içi veri merkezi arasında ayrıntılı trafik kontrolünün gerekli olduğu durumlarda da kullanılır.
Ev Ağları
Bir DMZ, bilgisayarların ve diğer cihazların bir geniş bant yönlendirici ve bir LAN yapılandırması aracılığıyla internete bağlandığı ev ağlarında da kullanışlıdır. Bazı ev yönlendiricilerinde bir DMZ ana bilgisayar özelliği bulunur. Bu, genellikle bir evde bulunandan daha fazla cihaza sahip kuruluşlarda kullanılan DMZ alt ağlarıyla karşılaştırılabilir.
Ev ağındaki bir cihaz, DMZ ana bilgisayar özelliği tarafından güvenlik duvarının dışında çalışacak ve DMZ olarak hizmet verecek şekilde belirlenir. Ev ağının geri kalanı güvenlik duvarının içindedir. Bazen, oyunun güvenlik duvarı tarafından kesintiye uğramaması için DMZ ana bilgisayarı olarak bir oyun konsolu seçilir. Konsol ayrıca iyi bir DMZ ana bilgisayarı görevi de görebilir çünkü genellikle kişisel bir bilgisayarla karşılaştırıldığında hassas bilgileri tutmaz.
Endüstriyel Kontrol Sistemleri (ICS)
ICS’lerin güvenlik risklerine DMZ’ler tarafından potansiyel çözümler sunulmaktadır. Endüstriyel ekipman, daha akıllı ve daha verimli üretim ortamları sağlayan BT ile birleştirilir. Ancak, bu aynı zamanda daha büyük bir tehdit yüzeyi ile sonuçlanır.
İnternete bağlı endüstriyel veya Operasyonel Teknoloji (OT) ekipmanlarının çoğu, BT cihazlarının yaptığı gibi saldırılarla başa çıkmak için tasarlanmamıştır. Bir DMZ, fidye yazılımları ve diğer ağ tehditlerinin BT sistemleri ile bunların çok daha hassas OT muadilleri arasındaki boşluğu doldurmasını zorlaştırabilen artırılmış ağ segmentasyonuna izin verir.
Temel Çıkarımlar
Bir DMZ katmanı, ağ güvenliğinde esastır. Alt ağlar tarafından, saldırılarla karşılaşma olasılığını ve saldırı olması durumunda şiddetini azaltan katmanlı bir güvenlik yapısı oluşturulur. Dışarıya dönük uygulamaları kurumsal ağdan yalıtırlar. Halka açık internete bakan herhangi bir sistem veya uygulama bir DMZ’ye yerleştirilmelidir.
