DMZ Nedir?
Yeni bir Firewall ( Güvenlik Duvarı) aldınız ve en kısa sürede bu Firewall`u kullanmak istiyorsunuz. Muhtemelen ilk hareketiniz bütün kullanıcı ve sunucuları firewall’un arkasına koymak olacaktır. Bu küçük işletmeler için olumlu bir uygulamadır, fakat büyük ölçekli şirketler iç network ile dış dünyayı birbirinden ayıran DMZ ( Demilitarized Zone) yani açık bölgeyi de göz önüne almalıdırlar.
DMZ ler herkeze açık bilgilerin konulabileceği en iyi alandır. Hem normal hem de potansiyel müşteriler ile dışarıdan gelen diğer tüm kullanıcılar, iç network e ulaşmadan şirket hakkında istedikleri bilgileri elde edebilirler. Özel ve gizli bilgileriniz, DMZ’in arkasındaki iç network de tutulabilirler. DMZ üzerindeki sunucular özel bilgileri, kaynak kodları ve ticari bilgileri içermemelilerdir. DMZ üzerindeki sunuculrdaki bir açık, siz bu açığı kapatana kadar, ulaşılamama gibi can sıkıcı bir durum yaratabilir.
DMZ e konulabilecek sistemlere örnek vermek gerekirse :
Herkese açık bilgilerin bulunduğu Web sunucuları. Siparişlerin tutulduğu elektronik ticaret transfer sunucuları. ( Müşteri bilgilerinin tutulduğu sunucuları firewall’un arkasına koyunuz ) Dışarıdan gelen elektronik postaları içeriye yönlendiren elektronik posta sunucuları. İç networkünüze ulaşılmasında kimlik tanımlaması yapan sunucu ve servisler. VPN sonlandırıcıları. Uygulama çıkışları. Test amaçlı sunucular. Tipik servisler, mesela genel kullanıma açık HTTP, güvenli SMPT, güvenli FTP ve güvenli TELNET DMZ’e konumlandırılabilir.
Eğer iç network e gelen bütün HTTP isteklerini firewall üzerinde blokladıysanız, dışarıdaki kullanıcılar iç networklerde dolaşamazlar. Eğer dışarı çıkan HTTP istekleri firewall üzerinde bloklandı ise bu sefer içerideki kullanıcılarınız sadece içerideki Web Sunucularını ziyaret edebilirler ve dışarıya çıkamazlar. Eğer DMZ de güvenli TELNET ve FTP sunucular kullanmak istiyorsanız, bunları kullanacak kullanıcılar için bir kimlik tanımlama amaçlı Token, S/Key ve ya Radius sunucuları bulundurmanız gerekecektir. Elektronik postalarınız dışarıdan içeriye gelirken doğal olarak güvenlik tehlikesi oluşacaktır. Bu yüzden DMZ e koyulacak olan bir SMPT kapısı ile gelen ve giden elektronik postalara içerik kontrolünün yanı sıra kontrol edebilmek yetisinide getirecektir. Ve böylece hem virüslerden kurtulmuş hem de giriş çıkışlarda diğer ayrıntılı kontrolleri de sağlamış olursunuz.
DMZ yaratabilmek için firewall unuzda 3 adet network kartı bulunmalıdır. Bir kart iç network için, ikincisi güvensiz olan internet için ve son kart da DMZ için kullanılacaktır.
Yukarıda sayılan sunucuların haricinde kalan ve önemli bilgilerin bulunduğu sunucular mutlaka firewall un arkasında bulunmalıdır. Firewall’u bir kere kurup kuralları girerken, iç network e giden trafik için bazı sıkı kurallar eklemek isteyebilirsiniz. Aynı şekilde DMZ e giden trafik için de biraz daha serbest kurallar eklemek gerekecektir.
Örneğin; HTTP trafiğini DMZ e serbest bırakırken, iç network e kesinlikle yasaklamak mantıklı olacaktır. DMZ de bulunan
sistemler sizin istediğinizden daha az güvenli durumda olacaklardır. Bu yüzden DMZ deki sistemlere gelebilecek istenmeyen davranışlara karşı DMZ de bir IDS ( Intrusion Detection System) bulundurmak isteyebilirsiniz.
Böylece DMZ deki makinalarınızı yeterli derecede ve kolayca izleyebilirsiniz. Çünkü hangi portlar kullanılıyor veya hangi iç veya dış kullanıcı hangi uygulama sunucusunu kullanıyor, bunları görebiliyorsunuz. Bunun yanında iç networkünüze giden trafik için oldukça sıkı kuralları firewall a eklemeniz gerekmektedir. Kullanıcılarınızı ve sistemleri en basit şekliyle tehlikelerden korumak zorundasınız.
Başka bir yazimizda görüşmek dileğiyle..
Kaynak: SecurityFocus