11.3 אזורים מפורזים: DMZ

הפרדת DMZ (Demilitarized Zone) היא טכניקה לאבטחת רשתות המחלקת את הרשת לשלושה אזורים:

• רשת פנים (Internal Network): רשת זו מכילה את המשתמשים וההתקנים הפנימיים של הארגון.
• רשת חוץ (External Network): רשת זו מכילה את הרשת הציבורית, כגון האינטרנט.
• DMZ: אזור ביניים בין הרשת הפנים לרשת החוץ.

אזור DMZ‏ (Demilitarized Zone) הוא רשת לוגית נפרדת בה ממוקמים שרתים הפונים לאינטרנט ומספקים שירותים כגון אתר אינטרנט, דואר אלקטרוני, DNS ועוד.

אזור ה- DMZ מהווה חיץ בין האינטרנט לבין רשת הארגון הפנימית, ומונע גישה ישירה מהאינטרנט אל משאבים פנימיים אשר עלולים להכיל מידע רגיש או קריטי.‏

ה-DMZ מכיל שירותים ציבוריים, כגון אתרי אינטרנט, דואר אלקטרוני ושרתים אחרים המוגשים למשתמשים חיצוניים. הפרדת ה-DMZ מהרשת הפנים מסייעת להגן על הרשת הפנים מפני התקפות שמקורן ברשת החוץ.

כל הכניסות מהאינטרנט מגיעות לשרתים שב- DMZ, ורק הם מורשים בחיבור החוצה לרשת הפנים תחת בקרה ומגבלות של Firewall. במקרה ששרת ב- DMZ מותקף או נפרץ, ההשפעה על שאר רשת הארגון קטנה יותר.

אזורים מפורזים (Demilitarized Zones: DMZ) תופסים מרחב מכריע בתוך המבנה של אבטחה היקפית. הן פועלות כתתי רשתות מבודדות המשמשות כשכבת אבטחה נוספת, שומרות על רשתות פנימיות מפני גישה והתקפות בלתי מורשית, ומספקות אזור מתווך בין הרשת הפנימית לרשתות חיצוניות שאינן מהימנות, כגון האינטרנט.

האזור המפורז (Zone Demilitarized) הינו האזור בו נשים את השרתים הבעייתיים (לפעמים גם נקרא Network Perimeter).

זוהי רשת בתוך הארגון שמפרידה בין הרשת הפרטית, המוגנת, ובין הרשת הציבורית. ברשת זו בדרך-כלל יושבים שרתים שניתן לגשת אליהם מהרשת הציבורית. DMZ מוסיף עוד שכבה של הגנה על הרשת הפרטית. המחשבים בתוכו יכולים לשמש כ-Proxies. 

DMZ תוכנן אסטרטגית לארח שירותים ויישומים הפונים לציבור, כגון שרתי אינטרנט, שרתי דואר אלקטרוני ושרתי DNS, המחייבים תקשורת עם גורמים חיצוניים. הוא פועל כאזור חיץ, מפריד ומגן על הרשת הפנימית מחשיפה ישירה לאיומים חיצוניים ועדיין מאפשר תקשורת הכרחית.

ארכיטקטורת DMZ טיפוסית כוללת פריסת חומות אש מרובות כדי ליצור הגנה מרובדת. חומת אש אחת ממוקמת בין ה-DMZ לרשת החיצונית, השולטת בתעבורה נכנסת ויוצאת בין ה-DMZ לרשתות החיצוניות שאינן מהימנות. חומת אש נוספת ממוקמת בין ה-DMZ לרשת הפנימית, ומגינה על נכסים פנימיים מפני איומים פוטנציאליים שמקורם ב-DMZ.

שירותים המתארחים בתוך ה-DMZ הם בדרך-כלל אלה המיועדים לגישה ציבורית, כגון שרתי אינטרנט, שרתי דואר ושרתי DNS. שירותים אלו מבודדים בתוך ה-DMZ כדי למנוע גישה ישירה למשאבים פנימיים, מה שמבטיח שגם אם שירות ב-DMZ נפגע, ההשפעה על הרשת הפנימית ממוזערת.

יישום DMZ כרוך מטבעו בחשיפה לרשתות חיצוניות, המחייב ניהול סיכונים קפדני. סיכונים מופחתים באמצעות שילוב של בקרות גישה קפדניות, ניטור רציף, הערכות פגיעות קבועות ופריסה של אמצעי אבטחה כגון חומות אש ו-IDPS.

בעת תכנון DMZ, יש לתת את הדעת לסוגי השירותים שיש לארח, לרמת האינטראקציה הנדרשת בין ה-DMZ לרשתות פנימיות וחיצוניות ולאמצעי האבטחה הדרושים להגנה על ה-DMZ. העיצוב צריך לכוון לחשיפה מינימלית של הרשת הפנימית ועדיין לאפשר את הפונקציונליות הדרושה.

כיצד פועלת הפרדת DMZ?

הפרדת DMZ פועלת באמצעות חומות אש (Firewalls) המפרידות בין האזורים השונים ברשת. חומת האש בין הרשת הפנים ל-DMZ מונעת מהתקפות שמקורן ברשת החוץ להגיע לרשת הפנים. חומת האש בין ה-DMZ לרשת החוץ מונעת מהתקפות שמקורן ב-DMZ להגיע לרשת הפנים.

קיימות טכניקות אבטחה נוספות להגברת האבטחה של DMZ, כגון:

• בקרת גישה: בקרת גישה יכולה לשמש כדי להגביל את הגישה ל-DMZ. בקרת גישה יכולה להתבצע באמצעות מערכות אימות ואישור, כגון RADIUS או TACACS+.
• ניטור: ניטור יכול לשמש כדי לזהות ולטפל באירועי אבטחה ב-DMZ. ניטור יכול להתבצע באמצעות מערכות SIEM או IDS/IPS.
• אבטחת יישומים: אבטחת יישומים יכולה לשמש כדי להגן על יישומים הפועלים ב-DMZ. אבטחת יישומים יכולה להתבצע באמצעות תהליכים כגון הגנה על קוד, אימות משתמשים וסיסמאות, וסינון תעבורת רשת.

השילוב הספציפי של טכניקות האבטחה להפרדת DMZ תלוי בצרכים האבטחתיים של הארגון.

הפרדת DMZ עשויה להיות מורכבת ליישום, במיוחד ברשתות גדולות. בנוסף, הפרדת DMZ עלולה להקשות על ניהול הרשת.

עקרונות תכן רשתות ומדיניות הגנה

מחשבים שחייבים לאפשר תקשורת נכנסת מהאינטרנט אליהם (ובמיוחד שרתים שנותנים שירותים ללקוחות שנמצאים באינטרנט), חשופים יותר להתקפות. גם אם המחשבים (הניגשים והנגישים) שייכים לחברה, תוקף שמשתלט עליהם, עלול לתקוף דרכם את שאר מחשבי החברה.

מאידך, יתכן שנרצה לאפשר למשתמשים ברשת הפנימית לגשת לאינטרנט ולקבל שירותים.

לכן, רצוי:

• למנוע קשר ישיר מבחוץ לרשת הפנימית.
• לא לאפשר למשתמש מהאינטרנט ליזום Sessions אל המחשבים בתוך הרשת.
• לא לשים מחשבים שחשופים להתקפות מהאינטרנט (למשל שרתים) במקומות רגישים:

• התקפה מוצלחת נגדם תאפשר לפרוץ לרשת הרגישה.
• מומלץ לשים מחשבים כאלה ב-DMZ.
• רצוי שתקשורת לאינטרנט וממנה תתבצע דרך Proxy.
  
  

אמצעי אבטחה בתוך DMZ:

• בקרת גישה: מדיניות בקרת גישה קפדנית נאכפת כדי לנהל אינטראקציות בין DMZ, רשת פנימית ורשתות חיצוניות. רק יציאות ושירותים נחוצים מותרים, וכל השירותים המיותרים נחסמים.
• זיהוי ומניעת חדירות: מערכות IDPS פרוסות כדי לנטר את התעבורה ולאתר ולמנוע פעילויות זדוניות בתוך ה-DMZ.
• ביקורת וניטור קבועים: ניטור רציף וביקורות קבועות נערכים כדי לזהות נקודות תורפה, להעריך את עמדות האבטחה ולהבטיח עמידה במדיניות האבטחה.
• הצפנה: הנתונים המועברים אל ה-DMZ וממנו מוצפנים כדי לשמור על סודיות ושלמות.
• ניהול תיקונים: עדכונים ותיקונים קבועים חיוניים כדי לטפל בפרצות ולשמור על אבטחת השירותים המתארחים בתוך ה-DMZ.

היתרונות של DMZ:

• אבטחה משופרת: DMZ מספקת שכבת אבטחה נוספת על ידי בידוד שירותים הפונה לציבור מהרשת הפנימית, תוך הפחתת הסיכון לפגיעה ברשת הפנימית.
• חשיפה מוגבלת: רק שירותים המתארחים ב-DMZ חשופים לרשת החיצונית, מה שמגביל את החשיפה של הרשת הפנימית לאיומים פוטנציאליים.
• גישה מבוקרת: הבידוד של ה-DMZ מאפשר בקרת גישה מחמירה וניטור של אינטראקציות בין גופים פנימיים וחיצוניים.
• סיכון מופחת לפגיעה פנימית: במקרה של פגיעה בשירות ב-DMZ, ההפרדה של ה-DMZ ממזערת את הסיכון שהתוקף יגיע לרשת הפנימית.

עם התקדמות הטכנולוגיה וההתפתחות של איומי סייבר, התפתחו גם הרעיון והיישום של DMZ. DMZs מודרניים עשויים לשלב פתרונות מבוססי ענן, וירטואליזציה וטכנולוגיות אבטחה מתקדמות כדי להסתגל לנוף האיומים המשתנה ולצרכים הארגוניים.

כיצד לומדים להפעיל פיירוול?

כדי לנהל ולהפעיל חומת אש ביעילות, בין אם זה עבור רשת ביתית, עסק קטן או ארגון גדול, אתה צריך להיות בעל הבנה טובה של מושגי רשת בסיסיים ופונקציונליות ספציפיות של חומת אש. להלן פירוט מקיף:

• יסודות הרשת: 

• פרוטוקולי רשת: הבן פרוטוקולי מפתח כמו TCP, UDP, ICMP ואחרים.
• כתובת IP: דע על IPv4, IPv6, רשת משנה, סימון CIDR וכו'.
• מספרי יציאה: הכר מספרי יציאות ושירותים ידועים (למשל, HTTP נמצא ביציאה 80, HTTPS ב-443).
• שכבות רשת: הבן את דגמי OSI ו-TCP/IP.

• יסודות חומת האש:

• סוגי חומות אש: למד על חומות סינון מנות, stateful, פרוקסי וחומות אש מהדור הבא (NGFIREWALLs).
• ברירת מחדל לאפשר לעומת דחיית ברירת מחדל: הבן את ההבדל בין התרת כל התעבורה מלבד מה שנדחה במפורש לעומת שלילת כל התעבורה מלבד מה שמותר במפורש.

• תכונות ופונקציות של חומת אש:

• יצירת כלל/מדיניות: דע כיצד להגדיר כללים כדי לאפשר או לדחות תעבורה על סמך מקור/יעד IP, יציאות, פרוטוקולים וכו'.
• תרגום כתובות רשת (NAT) ותרגום כתובות יציאה (PAT): הבן כיצד תהליכים אלה פועלים כדי לשנות את כתובת ה-IP/פרטי היציאה במנות.
• תמיכת VPN: למד על הגדרת VPN לגישה מאובטחת מרחוק או קישוריות אתר לאתר.
• מערכות זיהוי/מניעת חדירות (IDS/IPS): לכמה חומות אש מתקדמות יש את הפונקציות הללו כדי לזהות או לחסום תעבורה זדונית.
• סינון שכבת יישומים: במיוחד ב-NGFIREWALLs, תכונה זו מאפשרת חסימה/התרת תעבורה בהתבסס על יישומים או שירותים ולא רק על יציאות ופרוטוקולים.
• רישום ודיווח: הבן כיצד לקרוא יומנים, לפרש אותם ולהגדיר דוחות משמעותיים.

• מאפיינים מתקדמים:

• זמינות גבוהה: למד על הגדרת חומות אש בתצורה מיותרת כדי להבטיח זמן פעולה.
• סינון תוכן: חסום או אפשר תוכן על סמך קטגוריות או אתרים ספציפיים.
• אינטגרציה של מודיעין איומים: כמה חומות אש מתקדמות יכולות להשתלב עם שירותי מודיעין איומים כדי לקבל מידע בזמן אמת על כתובות IP זדוניות, דומיינים וכו'.
• ארגז חול: זוהי תכונה בכמה NGFIREWALLs שבה קבצים שעלולים להיות זדוניים מופעלים בסביבה בטוחה כדי לבדוק התנהגות זדונית.

• תחזוקה וניהול:

• עדכונים ותיקונים: ודא שחומת האש שלך מעודכנת תמיד כדי להגן מפני פגיעויות ידועות.
• גיבוי ושחזור: גבה באופן קבוע את תצורות חומת האש שלך. דעו כיצד לשחזר אותם במידת הצורך.
• ניטור ביצועים: פקח עין על ביצועי חומת האש כדי להבטיח שהיא לא תהפוך לצוואר בקבוק ברשת שלך.

• ניסיון מעשי:

• מעבדות וסימולציות: השתמש בסביבות מעבדה או סימולטורים כדי לתרגל הגדרה וניהול של חומות אש.
• הסמכות: שקול לקבל אישורים כמו Security+ של CompTIA או ספציפיים יותר כמו CCNP Security של Cisco, שיש להם מודולים המוקדשים לחומת אש.

• ידע קנייני של המוצר והיצרן: לכל ספק חומת אש (למשל סיסקו, פאלו אלטו, פורטינט, צ'ק פוינט) יש את הממשק והתכונות הייחודיות שלו. אם אתה מתכנן לעבוד עם מותג או דגם ספציפי, חיוני להכיר את התיעוד והשיטות המומלצות שלהם.