DMZ

DMZ

DMZ DeMilitarized Zone ingelerako espresioaren laburdura da. Hizkuntza militarrean bi ejertzitoren arteko eremu neutral eta armarik gabea adierazteko erabili izan bada ere, 1980ko hamarkadatik hona sare informatikoen segurtasuneko terminologian ere aurkitzen da.

Sare informatikoen arloan, DMZ bat sare pribatu baten eta sare arrotz baten artean ezartzen den tarteko sarea da. DMZ-n sare pribatuak kanpora eskaintzen dituen zerbitzuak egon ohi dira. DMZ-ra edonor konekta daiteke baina DMZ-tik beste sareetara eginiko konexioak debekatuta edo estuki murriztuta daude, sare lokalera egindakoak bereziki.

Eduki-taula

[aldatu] Zertarako erabiltzen da?

Praktikan, DMZ sare lokal bat eta Internet sarearen artean ezartzen den eremua da. Helburua Internetetik sare lokaleko zerbitzuetara baimendu diren konexioek suposatzen duten arriskua murriztea da.

[aldatu] Adibidea

Demagun entrepresa bateko langileek sare lokal batean lan egiten dutela. Zuzendaritza taldeak sare lokaletik bakarrik atzi daitezkeen hainbat zerbitzu korporazioko komunitatea osatzen duten guztiei (barruko zein kanpoko langileak, bezeroak eta hornitzaileak) zabaltzea erabaki du.

Aukera sinpleena Internetetik zerbitzu horiek ematen dituzten zerbitzarietara egindako konexioak baimentzea da. Hacker bat zerbitzari batekin egin ezkero, ordea, sare horretan dauden beste makina guztiak larriki mehatxupean leudeke.

Honen ordez, zerbitzari jakin horiek beste sare batean -DMZ batean hain zuzen ere- jar daitezke, kanpotik eginiko konexio baimenduak eremu honetara murriztuz. Hacker batek zerbitzari bat hartu ezkero, egin dezakeen kaltea eremu horretan dauden makinetara mugatuta dago, erakundearen gainerako makinak salbu daudelarik.

[aldatu] DMZ bat nola konfiguratu

DMZ bat osatzeko modu bat baino gehiago dago. Lortu nahi den segurtasun mailaren arabera, konfigurazio mota bat edo beste hautatu behar da.

[aldatu] Tripode moduko suhesia

DMZ klasikoan, hiru sare-moldagailu dituen suhesi bat erabiltzen da (tripode moduko suhesia edo three-legged firewall). Moldagailu bakoitzari TCP/IP motako interfaze bana esleitzen zaio. Moldagailu bat Internetera konektatzen da (interfaze publikoa), beste bat sare lokalera (interfaze pribatua) eta hirugarrena DMZra.

Bestalde, kanpotik eskuragarri jarri nahi diren zerbitzariak DMZ sarean kokatzen dira.

Irudi:DMZ klasikoa.jpg

DMZ baten konfigurazio klasikoa

[aldatu] Bi suhesizko konfigurazioa

DMZ bat osatzeko modu seguruago bat bi suhesi erabiltzea da. Suhesi bat kanpoko sarera konektatzen da eta bestea sare pribatura. DMZ bi suhesien artean kokatzen da. Modu honetan, kanpoko suhesian nahigabe segurtasun zulo bat irekiko balitz, oraindik beste suhesiak handik letozkeen erasoak gelditu ahal izango lituzke.

Irudi:2 suhesiz osaturiko DMZ.jpg

Bi suhesirekin konfiguratutako DMZ

[aldatu] NAT erregelak

Interneten eskuragarri dauden host guztiek ip publikoak dituzte. Beraz, sare lokaleko zerbitzuetara egiten diren eskaerak interfaze publikoan jasotzen dira (kasu askotan interfaze hau suhesian dago). Horregatik ezinbestekoa da eskaera horiek (azken batean tcp/ip paketeak dira) DMZ-ko dagokion zerbitzariari pasatzea. Hau NAT erregelen bidez egiten da.

[aldatu] Adibidea

Demagun aurreko entrepresaren web aplikazio bat Internetera zabaldu asmoz, dagokion zerbitzaria DMZ-n kokatua izan dela.

Suhesia honela konfigura liteke:

Interfaze publikoa: Interneteko ip publiko bat.

Interfaze pribatua: 10.0.0.1/255.255.255.0

DMZ-ko interfazea: 192.168.1.1/255.255.255.0

Zerbitzariaren interfazea 192.168.1.200/255.255.255.0 izan liteke.

Irudi:DMZn NAT erregelak ezarri.jpg

NAT erregelak nola ezarri

Suhesian NAT erregela hau definitu beharko litzateke: "ip publikoko 80 portura (web) zuzendutako eskaera guztiak 192.168.1.200 makinako 80 portura birbidali".

Bestalde, suhesiaren funtzioa bete dezaken gailu orok NAT erregelak definitzeko softwarea ere izaten du.