Is de dmz dood? niet helemaal

Het beste voorbeeld van een gedemilitariseerde zone (DMZ) van vandaag is een zwaarbewaakte strook land in Korea. Het is het gebied aan weerszijden van de grens tussen Noord-Korea en Zuid-Korea dat moet voorkomen dat elk land per ongeluk een oorlog met de andere begint. Op het gebied van informatica is een DMZ qua concept vergelijkbaar omdat het een plaats biedt die de niet-vertrouwde wereld van internet buiten het interne netwerk van uw organisatie houdt, terwijl het nog steeds diensten aan de buitenwereld aanbiedt. Lange tijd heeft elke IT-professional die bijna elk soort met internet verbonden netwerk bouwde, vanzelf een DMZ samengesteld. Maar de cloud heeft dat allemaal veranderd.

De reden is dat de cloud de noodzaak voor de meeste bedrijven om hun eigen webservers te hosten heeft weggenomen. Vroeger, als u een interne webserver had die open was voor het publiek, dan zou u willen dat die server in uw DMZ leeft. Op dezelfde manier had je je e-mailserver daar willen hebben, en andere naar buiten gerichte servers, zoals je gateway voor externe toegang, een authenticatieserver, proxyserver of misschien zelfs een Telnet-server. Dit zijn allemaal apparaten die toegankelijk moeten zijn via internet, maar die diensten van uw organisatie bieden. Tegenwoordig gebruiken de meeste bedrijven natuurlijk gehoste e-mailproviders in combinatie met de inzet van Software-as-a-Service (SaaS) -applicaties die externe webservers in uw datakast overbodig maken.

Enterprise extra beveiligingsmaatregelen genomen 2017

Als je nog steeds een DMZ in gebruik hebt, zul je merken dat dit een typisch voorbeeld is van netwerksegmentatie. Kijk goed en u zult over het algemeen een combinatie van firewalls en routers vinden. In de meeste gevallen wordt de DMZ gemaakt door een randbeveiligingsapparaat (meestal een firewall) waarvan vervolgens een back-up wordt gemaakt door een andere router of firewall die de poorten naar het interne netwerk bewaakt.

Hoewel de meeste organisaties geen DMZ meer nodig hebben om zichzelf tegen de buitenwereld te beschermen, is het concept van het scheiden van waardevolle digitale goodies van de rest van uw netwerk nog steeds een krachtige beveiligingsstrategie. Als u het DMZ-mechanisme volledig intern toepast, zijn er nog steeds use cases die zinvol zijn. Een voorbeeld is het beschermen van de toegang tot waardevolle gegevensopslagplaatsen, toegangscontrolelijsten of vergelijkbare schatkamers; u wilt dat potentiële onbevoegde gebruikers door zoveel mogelijk andere hoepels springen voordat ze toegang krijgen.

Hoe een DMZ werkt

Een DMZ werkt als volgt: er komt een randfirewall die geconfronteerd wordt met de verschrikkingen van het open internet. Daarna volgt de DMZ en een andere firewall die het LAN (Local Area Network) van uw bedrijf beschermt. Achter die firewall bevindt zich uw interne netwerk. Door dit extra tussenliggende netwerk toe te voegen, kunt u extra beveiligingslagen implementeren die malcontents moeten verslaan voordat ze uw werkelijke interne netwerk kunnen bereiken - waar vermoedelijk ook niet alleen wordt gedekt door netwerktoegangscontroles, maar ook eindpuntbeveiligingssuites.

Tussen de eerste en de tweede firewall vindt u normaal gesproken een schakelaar die een netwerkverbinding biedt met de servers en apparaten die beschikbaar moeten zijn voor internet. De schakelaar biedt ook een verbinding met de tweede firewall.

De eerste firewall moet worden geconfigureerd om alleen verkeer toe te staan ​​dat uw interne LAN en de servers in de DMZ moet bereiken. De interne firewall mag alleen verkeer toestaan ​​via specifieke poorten die nodig zijn voor de werking van uw interne netwerk.

In de DMZ moet u uw servers configureren om alleen verkeer op specifieke poorten te accepteren en alleen specifieke protocollen te accepteren. U wilt bijvoorbeeld het verkeer op poort 80 beperken tot alleen HyperText Transfer Protocol (HTTP). U wilt deze servers ook zo configureren dat ze alleen de services uitvoeren die nodig zijn om te functioneren. U kunt ook een intrusion detection-systeem (IDS) nodig hebben om de activiteit op de servers in uw DMZ te bewaken, zodat een malware-aanval die door de firewall komt kan worden gedetecteerd en gestopt.

De interne firewall moet een next-generation firewall (NGFW) zijn die inspecties van uw verkeer uitvoert die door de open poorten in uw firewall gaan en ook naar aanwijzingen van indringers of malware zoekt. Dit is de firewall die de kroonjuwelen van uw netwerk beschermt, dus het is niet de plek om te beknibbelen. Makers van NGFW's zijn onder andere Barracude, Check Point, Cisco, Fortinet, Juniper en Palo Alto.

Ethernet-poorten als DMZ-poorten

Voor kleinere organisaties is er een andere goedkopere aanpak die nog steeds een DMZ biedt. Veel routers voor thuisgebruik en kleine bedrijven hebben een functie waarmee u een van de Ethernet-poorten kunt aanwijzen als een DMZ-poort. Hiermee kunt u een apparaat zoals een webserver op die poort plaatsen waar het uw IP-adres kan delen, maar ook beschikbaar kan zijn voor de buitenwereld. Onnodig te zeggen dat deze server zo vergrendeld mogelijk moet zijn en alleen absoluut noodzakelijke services moet hebben. Om uw segment uit te werken, kunt u een afzonderlijke schakelaar op die poort aansluiten en meer dan één apparaat in de DMZ hebben.

Het nadeel van het gebruik van een dergelijke toegewezen DMZ-poort is dat u slechts één storingspunt hebt. Hoewel de meeste van deze routers ook een ingebouwde firewall bevatten, bevatten ze over het algemeen niet de volledige functieset van een NGFW. Als de router is verbroken, geldt dat ook voor uw netwerk.

Hoewel een op een router gebaseerde DMZ werkt, is het waarschijnlijk niet zo veilig als je wilt. Op zijn minst kunt u overwegen een tweede firewall erachter toe te voegen. Dit kost een beetje extra, maar het kost bijna niet zoveel als een datalek. Het andere grote gevolg van een dergelijke opstelling is dat het complexer is om te beheren en gezien het feit dat de kleinere bedrijven die deze aanpak gebruiken meestal geen IT-personeel hebben, wilt u misschien een consultant inschakelen om dit op te zetten en vervolgens te beheren het van tijd tot tijd.

Een Requiem voor de DMZ

• De beste VPN-services voor 2019 De beste VPN-services voor 2019
• De best gehoste eindpuntbeveiliging en beveiligingssoftware voor 2019 De best gehoste eindpuntbeveiliging en beveiligingssoftware voor 2019
• De beste netwerkbewakingssoftware voor 2019 De beste netwerkbewakingssoftware voor 2019

Zoals eerder vermeld, zul je niet teveel DMZ in het wild vinden. De reden is dat de DMZ bedoeld was om een ​​functie te vervullen die tegenwoordig voor de overgrote meerderheid van de zakelijke functies in de cloud wordt verwerkt. Elke SaaS-app die u implementeert en elke server die u host, verplaatsen alle externe infrastructuur vanuit uw datacenter naar de cloud, en DMZ's zijn meegegaan. Dit betekent dat u een cloudservice kunt kiezen, een exemplaar met een webserver kunt starten en die server kunt beschermen met de firewall van de cloudprovider en u bent klaar. Het is niet nodig om een ​​afzonderlijk geconfigureerd netwerksegment aan uw interne netwerk toe te voegen, want alles gebeurt toch ergens anders. Bovendien zijn die andere functies die u mogelijk met een DMZ gebruikt, ook beschikbaar in de cloud, en op die manier bent u nog veiliger.

Maar als algemene beveiligingstactiek is het een volledig haalbare maatregel. Het creëren van een DMZ-achtig netwerksegment achter uw firewall biedt dezelfde voordelen als toen u er een tussen uw LAN en internet squashte: een ander segment betekent meer bescherming die u kunt dwingen de slechteriken te penetreren voordat ze kunnen bereiken wat ze echt willen. En hoe meer ze moeten werken, hoe langer u of uw bedreigingsdetectie- en responssysteem ze moeten herkennen en reageren.