TĂNG CƯỜNG BẢO VỆ CHO HỆ THỐNG MẠNG NỘI BỘ SỬ DỤNG DMZ
Bài đăng này đã không được cập nhật trong 3 năm
DMZ(Demilitarized Zone) là 1 vùng nằm giữa LAN(Local Area Network) và internet. DMZ là nơi chứa các server và cung cấp các service cho các host trong LAN cũng như các host từ các LAN bên ngoài. Là bước cuối cùng các packet qua trước khi truyền vào internet, và cũng là nơi đầu tiên packet đến trước khi vào mạng LAN.
Hệ thống mạng nội thường bao gồm các server cung cấp các dịch vụ cơ bản như: Directory service(Active Directory, OpenLDAP...), DNS, DHCP, File/Print Sharing, Web, Mail, FTP. Trong đó thì các server Web, Mail, FTP thường phải cung cấp các dịch vụ của chúng cho cả những người dùng nằm bên trong lẫn bên ngoài mạng nội bộ.
Như vậy, Nếu hacker từ mạng bên ngoài kiểm soát được các public server như Web, Mail, FTP? Rất có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để đánh vào các server khác (như DNS, DHCP, Directory Service…) cũng như thâm nhập sâu hơn vào các máy trạm bên trong.
Vậy để giảm thiệt hại cho các host của LAN ta sẽ dùng DMZ. DMZ sẽ có đường mạng hoặc subnet mạng khác với mạng internal như vậy các host từ mạng LAN khác không thể truy cập đến các host trong LAN nhưng vẫn có thể sử dụng dịch vụ mà DMZ cung cấp.
Giữa DMZ và mạng external ta có thể đặt một firewall để cho phép các kết nối từ external chỉ đến được DMZ mà thôi. Còn giữa mạng internal và DMZ ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào internal.
Kiến trúc xây dựng DMZ
Có nhiều cách khác nhau để thiết kế DMZ, có hai phương pháp phổ biến là dùng firewall đơn và kép.
Với phương pháp dùng tường lửa đơn thì sẽ có thiết bị với ba NIC(network interface card) để kết nối lần lượt với DMZ, LAN và internet.
Còn với phương pháp dùng tường lửa kép thì sẽ có hai thiết bị tường lửa. Mỗi thiết bị có hai NIC. Thiết bị tường lửa thứ nhất sẽ kết nối với internet và DMZ, thiết bị tường lửa thứ hai sẽ kết nối với DMZ và LAN. Tuy phương pháp tường lửa tốn kém hơn nhưng so với phương pháp tường lửa đơn sẽ an toàn hơn vì nếu hai thiết bị tường lửa được sử dụng có câu trúc khác nhau thì hacker khi phá được tường lửa đầu thì cũng khó khăn trong việc phá tường lửa thứ hai.
Kết luận
DMZ được sinh ra để đảm bảo hai vai trò: vẫn có thể cung cấp các dịch vụ cho host của LAN và các host từ các LAN khác, đồng thời có thể bảo vệ các host trong LAN khỏi việc bị tấn công bởi các host từ LAN khác
src: manthang blog.
All rights reserved