في عالمنا الحقيقي يسعى بعض الأشخاص لتحقيق السلام والبعض الآخر يسعى لتكون الفوضى هي المسيطرة على العالم. كذلك فإن عالم الانترنت هو أيضاً ساحة للمعارك والحروب. أجبر ذلك خبراء أمن المعلومات البحث عن بعض الأفكار والحلول لحماية شبكات الحاسوب. ومن هذه الأفكار DMZ – Demilitarized Zone . حيث تعرف DMZ المناطق منزوعة السلاح كمصطلح عسكري بأنها المنطقة الفاصلة بين جهتين متحاربتين وفقاً لاتفاقيات أو هدن معينة.
أما في عالم الشبكات فهذا المصطلح DMZ هو عبارة عن منطقة من الشبكة تحمي شبكات الحاسوب الداخلية المحلية LAN للشركة أو المؤسسة من حركة البيانات القادمة من مصادر غير موثوقة.
يمكن تعريف DMZ على أنها شبكة فرعية تفصل بين الشبكة التي تقدم خدمات للعامة والشبكة الداخلية التي تقدم خدمات خاصة. وتعمل DMZ على إضافة طبقة من الأمان لحماية البيانات الحساسة المخزنة ضمن الشبكات الداخلية من خلال استخدام جدار ناري Firewall لفلترة حركة البيانات.
شبكات الحاسوب و DMZ
شبكة DMZ هي الشبكة التي تعتبر منطقة عازلة بين الشبكة العامة (الانترنت) وشبكة الشركة المحلية الخاصة LAN. وتكون معزولة باستخدام بوابة أمان كالجدارالناري Firewall الذي يعمل على فلترة حركة البيانات بين DMZ والشبكة الداخلية. وهذا يعمل على حماية الشبكة الداخلية . ولكننا سنبقى بحاجة لحماية شبكة المنطقة المعزولة DMZ ذاتها. وهذا الأمر يتم من خلال استخدام جدار ناري آخر يتم وضعه بين شبكة DMZ والشبكة العامة (الانترنت).
إذاً يمكننا القول بأن شبكة DMZ تقع بين جدارين ناريين. الجدار الناري الخاص بحماية شبكة DMZ و الآخرالذي يعمل على فلترة حزم البيانات القادمة قبل أن تصل للسيرفرات الموجودة ضمن DMZ. حيث يتم وضع السيرفرات التي تقدم خدمات عامة بالإضافة لسيرفرات DNS وسيرفرات البريد الالكتروني وسيرفرات الويب ضمن هذه المنطقة. ويجب أن يكون مسموح الوصول لها من قبل العامة للحصول على الخدمات. وبالتالي ستكون كلها عرضة للهجمات (كاستغلال الثغرات الأمينة في تطبيقات الويب أو هجمات منع الخدمة الموزعة DDoS والهجمات الأخرى). وفي حال تأثرت الأنظمة بهذه الهجمات فإن هذا التأثير لن يصل للشبكة الداخلية كونها معزولة باستخدام DMZ . وبالتالي فإن إعداد واستخدام DMZ بشكل صحيح يحد من الوصول المباشر للمهاجم للبيانات والسيرفرات الداخلية من خارج الشبكة (عبر الانترنت).
وهذا يعني أنه حتى لو تمكن المهاجم من تجاوز جدار الحماية الأول (الخارجي) فيمكنه فقط الوصول للخدمات الموجودة ضمن المنطقة منزعة السلاح DMZ. وبذلك لن يتمكن من إلحاق الضرر بشبكات الحاسوب الداخلية إلا اذا قام بتجاوز جدار الحماية الثاني (الداخلي) ليتمكن من الوصول للشبكة الداخلية.
قد يستطيع المهاجم اختراق منطقة DMZ والوصول لكل المصادر الموجودة فيها. في هذه الحالة يجب أن يكون لديك إجراءات حماية تعمل على تنبيهك من خلال الإشارة إلى وجود هجوم حالي. وهنا يجب أن يتم اكتشاف الهجوم قبل أن يصل للشبكة الداخلية.
تصميم DMZ:
يوجد العديد من الطرق المستخدمة للقيام بعملية تصميم المنطقة العازلة DMZ و منها:
استخدام جدار ناري واحد Firewall:
يمكن تصميم هذه المنطقة باستخدام جدار ناري واحد . ولكن هذا التصميم يتطلب ثلاث واجهات للشبكة. الأولى للشبكة الخارجية (الانترنت)، والثانية الشبكة الداخلية (الشبكة المحلية LAN) ، والثالثة هي الشبكة العازلة DMZ. ويتطلب هذا التصميم انشاء عدد كبير من قواعد التحكم بالوصول ضمن الجدار الناري للمراقبة والتحكم بحركة البيانات المسموح لها بالوصول ل DMZ وتقييد الوصول إلى الشبكة الداخلية.
حماية شبكات الحاسوب باستخدام جدارين ناريين:
تحدثنا عن هذه البنية في بداية المقال حيث تكون المنطقة المعزولة DMZ بين جداريين ناريين. الجدار الناري الأول يعمل على فلترة حركة البيانات بين الشبكة الخارجية والمنطقة المعزولة DMZ بينما يعمل الجدار الثاني على فلترة حركة البيانات بين المنطقة المعزولة DMZ والشبكة الداخلية. وهنا يجب على المهاجم تجاوز كلا الجدارين firewall ليتمكن من الوصول للشبكة الداخلية. ويعتبر هذا التصميم الأكثر أماناً و لذلك فهو مستخدم من قبل معظم الشركات كما يمكن توسيع هذا التصميم للحصول على حماية أكثر فاعلية.
ماهي فائدة استخدام DMZ:
الجدار الناري هو المستخدم لرسم حدود هذه المنطقة. ولكن يمكننا أيضاً نشر خطوط دفاع إضافية على هذه الحدود بالاعتماد على الخدمات المقدمة داخل هذه المنطقة. فمن الممكن استخدام حلول الأمان الخاصة بحماية البريد الالكتروني أو جدران نارية خاصة بتطبيقات الويب WAF – Web Application Firewall. أو عناصر تحكم أخرى تعمل على تأمين حماية للخدمات المنتشرة داخل المنطقة المعزولة DMZ. كما يمكن وضع أنظمة كشف ومنع الاختراق IDS/IPS داخل المنطقة المعزولة DMZ.
يعتبر استخدام DMZ ممارسة جيدة جداً لحماية البنية التحتية للشبكة الداخلية من الهجمات الخارجية . كما يمكن لهذه التقنية أن تؤمن تقسيماً للشبكة يحد من انتشار البرمجيات الخبيثة داخل الشبكة.
استخدام DMZ بالتأكيد لا يمكنه لوحده القضاء على المخاطر الأمنية بشكل كامل ولكن DMZ تعتبر طبقة حماية إضافية تعمل على الحد من مخاطر الهجمات الخارجية. وتعتبر مفيدة فقط إذا كانت الجدران النارية التي تدافع عن حدودها قادرة على اكتشاف التهديدات المحتملة وتنفذ قيود قوية للتحكم بالوصول. وهذا يمكن أن يتم من خلال استخدام الجدران النارية من الجيل الجديد NGFW.
من المهم أن تدرك أن استخدام المناطق المعزولة DMZ ممكن أن يحمي من الهجمات الخارجية فقط ولكنه لا يؤمن أي حماية ضد الهجمات الداخلية التي تتم انطلاقاً من داخل الشبكة.
