İçeriğe atla

DMZ

Bilgisayar güvenliği'nde, bir DMZ veya sivil bölge ya da dizginleme bölgesi bir kuruluşun dış servislerini içeren ve bu servisleri daha büyük güvensiz bir ağa (genellikle internet) maruz bırakan fiziksel veya mantıksal bir alt ağdır. Genellikle BT profesyonelleri tarafından DMZ olarak adlandırılır. Bazen de Çevre Ağı olarak adlandırılır. Bir DMZ'nin amacı bir kuruluşun Yerel Alan Ağı (LAN)'a ek bir güvenlik katmanı eklemektir; dışarıdaki bir saldırganın ağın herhangi başka bir bölümünden ziyade yalnızca DMZ içindeki ekipmana erişimi vardır.

Gerekçe

Bir ağda, yerel alan ağının dışındaki kullanıcılar için servisler sağlayan konaklar (e-posta, web ve DNS sunucuları gibi) saldırıya en açık olanlardır. Bu konakların ele geçirilme potansiyelleri yüksek olduğundan dolayı onlar, bir davetsiz misafir başarıya ulaştığında ağın geri kalanını korumak amacıyla kendi alt ağları içerisine yerleştirilirler. DMZ içindeki konakların iç ağdaki belirli konaklarla bilgi alışverişi yapabilme yetenekleri kısıtlanmıştır, her ne kadar DMZ içindeki diğer konaklarla ve dışarıdaki ağlarla iletişimine izin verilmiş olsa bile. Bu, DMZ sunucuları ile içerideki ağ istemcileri arasındaki trafiği bir aracı güvenlik duvarı kontrol ediyorken, DMZ içindeki konakların hem içerideki hem de dışarıdaki ağa servisler sağlayabilmesine imkân sağlar.

DMZ'ye ait servisler

Genellikle, dışarıdaki bir ağdan kullanıcılarına hizmet veren herhangi bir servis DMZ içerisine konumlandırılır. Bu servislerden en yaygını web sunucuları, posta sunucuları, FTP sunucuları, VoIP sunucuları ve DNS sunucularıdır. Bazı durumlarda, güvenli servisler sağlayabilmek için atılması gerekli olan ek adımlara ihtiyaç duyulur.

Web sunucuları

Web sunucusu, bazı uzman servisler sağlamak için içerideki bir veritabanıyla iletişim kurmaya ihtiyaç duyabilir. Veritabanı sunucusu alenen erişilemez ve hassas bilgi içerebildiğinden dolayı DMZ içinde olmamalıdır. Genellikle, web sunucusunun içerideki veritabanı sunucusuyla doğrudan iletişim kurmasına müsaade edilmesi iyi bir fikir değildir. Bunun yerine, veritabanı sunucusu ve web sunucusu arasındaki iletişimde bir vasıta görevi gören bir uygulama katmanı güvenlik duvarı kullanılabilir. Bu, daha karmaşık olmasına rağmen ek bir güvenlik katmanı sağlar.

E-posta sunucuları

E-postanın gizli doğasından dolayı, DMZ içerisinde e-posta saklamak kötü bir fikirdir ve ayrıca orada kullanıcı veritabanı saklamak da kötü bir fikirdir. Onun yerine, DMZ içindeki gizli bir alanda (internetten erişimi olmayan ama e-posta sunucusundan erişim yapılabilen bir alan) bulunan içerideki bir e-posta sunucusunda e-posta saklanmalıdır. Bazı insanlar içerideki e-posta sunucusunu bir LAN bölgesine yerleştiriyorlar ama bu iyi bir uygulama değildir çünkü ondan iyi performans almanızı engeller. Aynı zamanda bir güvenlik problemi doğurabilir çünkü bu yapılandırma, dışarıdan gelen saldırılara karşı güvenlik sağlamasına rağmen içeriden gelen saldırılara karşı koruma yapamaz (örneğin iletişim sniff edilmiş veya spoof edilmiş olabilir).

DMZ içindeki posta sunucusu, güvenli/içerideki posta sunucularına gelen postaya geçit vermelidir ve bu posta sunucusu dışarıdaki posta sunucularına giden postaya geçit vermelidir.

Vekil sunucular

Bir iş ortamında; güvenlik, yasal uyum ve gerekçe takibi yapabilmek için DMZ içerisinde bir vekil sunucu da kurulması önerilir. Bunu yapmanın aşağıdaki yararları vardır:

  • İçerideki kullanıcıların (genellikle işçilerin), internet erişimi yapmaları için bu vekil sunucuyu kullanmalarını mecbur kılar. Kullanıcıların, doğrudan internette gezinmelerine ve DMZ korumalarını atlatmalarına izin verilmemiş olur.
  • Şirketin, internet bant genişliğinden tasarruf etmesine imkân sağlar çünkü web içeriğinin bir kısmı vekil sunucu tarafından önbelleğe alınmış olabilir.
  • Kullanıcı aktivitelerini izlemek ve kaydetmek için ve yasal olmayan içeriğin işçiler tarafından download veya upload edilmediğinden emin olmak için sistem yöneticisine imkân sağlar. Örneğin birçok Avrupa Birliği ülkesinde bir şirket yöneticisi, işçilerinin aktivitelerine karşı sorumludur.

Ters vekil sunucular

Bir ters vekil sunucu, bir vekil sunucu olarak ama farklı bir yoldan benzer hizmeti sağlar. İçerideki kullanıcılara bir hizmet sağlamak yerine, dışarıdaki ağdan (genellikle internet) içerideki kaynaklara dolaylı erişimi mümkün kılar. Dışarıdaki kullanıcılara, bir arka-ofis uygulaması (bir e-posta sistemi gibi) sağlanıyor olabilir (şirket dışında iken e-postaları okumak için) fakat uzaktaki kullanıcı, e-posta sunucusuna doğrudan erişim hakkına sahip değildir. Yalnızca ters vekil sunucu, içerideki e-posta sunucusuna fiziksel olarak erişebilir. Bu, dışarıdan içerideki kaynaklara erişimin ihtiyaç duyulduğu zamanlarda özellikle tavsiye edilen bir ekstra güvenlik katmanıdır. Genellikle böyle bir ters vekil mekanizması; belirli TCP ve UDP portlarına erişimi bir paket filtrelemeli güvenlik duvarının yaptığı gibi kontrol etmekten daha ziyade belirli bir trafik biçime odaklanmış bir uygulama katmanı güvenlik duvarı kullanılarak sağlanır.

Mimari

DMZ'li bir ağı tasarlamanın birçok farklı yolu vardır. En temel yöntemlerden ikisi, tek bir güvenlik duvarlı olanı ile üç bacaklı model olarak da bilinen çift güvenlik duvarlı olanıdır. Bu mimariler, ağ gereksinimlerine bağlı olarak çok karmaşık mimariler oluşturmak amacıyla genişletilmiş olabilirler.

Tek güvenlik duvarı

En az 3 ağ arayüzlü bir tek güvenlik duvarı, DMZ içeren bir ağ mimarisi oluşturmak amacıyla kullanılabilinir. Dışarıdaki ağ, ilk ağ arayüzündeki güvenlik duvarına gelen ISS'ten (İnternet Servis Sağlayıcı) oluşur. İçerideki ağ, ikinci ağ arayüzünden oluşur. DMZ ise üçüncü ağ arayüzünden oluşur. Güvenlik duvarı ağ için tek bir bir başarısızlık noktası olur, hem DMZ'ye hem de içerideki ağa giden bütün trafiği işleyebilmelidir. Bölgeler genellikle renklerle işaretlenir; örneğin LAN için mor, DMZ için yeşil, İnternet için kırmızı (kablosuz bölgeler için çoğu kez başka renk kullanılır).

Diagram of a typical network employing DMZ using a three-legged firewall

Çift güvenlik duvarı

Bir DMZ oluşturmak için iki güvenlik duvarı kullanmak çok daha güvenli bir yaklaşımdır. İlk güvenlik duvarı (“ön-arka” güvenlik duvarı olarak da isimlendirilir) yalnızca DMZ'ye yöneltilmiş trafiğe izin vermek için yapılandırılmış olmalıdır. İkinci güvenlik duvarı (“arka-ön” güvenlik duvarı olarak da isimlendirilir) yalnızca DMZ'den içerideki ağa trafiğe izin verir. İlk güvenlik duvarı, ikinci güvenlik duvarından çok daha fazla miktarda trafik işler.

Bazıları, iki güvenlik duvarının farklı iki sağlayıcı tarafından sağlanmış olmasını önerir. Eğer bir saldırgan ilk güvenlik duvarını yarıp geçmeyi becerebilirse, farklı bir sağlayıcı tarafından yapılmış olan ikincisini yarıp geçmek daha çok vakit alacaktır. (bu mimari elbette daha masraflıdır). Farklı sağlayıcılar tarafından yapılmış farklı güvenlik duvarlarını kullanma uygulaması bazen ya "derinlemesine savunma" ya da "bilinmezlik üzerinden güvenlik" (bir muhalif bakış açısından) olarak tanımlanır.

Diagram of a typical network employing DMZ using dual firewalls

DMZ konağı

Bazı ana yönlendiriciler bir DMZ konağı olarak adlandırılır. Bir ana yönlendirici DMZ konağı, portlarının başka bir şekilde yönlendirilmesi haricinde, tüm portlarının açığa çıkarıldığı iç ağdaki bir konaktır. Tanımı gereği gerçek bir DMZ (Sivil Bölge) değildir, çünkü tek başına konağı iç ağdan ayırmaz. Böylece DMZ konağı iç ağdaki konaklara bağlanabilirken, bir güvenlik duvarı tarafından gerçek bir DMZ içindeki konakların iç ağla bağlantı kurması engellenir, elbette güvenlik duvarı bağlantıya izin de verebilir. Bir güvenlik duvarı buna, eğer dahili ağdaki bir konak önce DMZ içindeki konakla bir bağlantı talep ederse izin verebilir. DMZ konağı, bir alt-ağın sunduğu güvenlik avantajlarının hiçbirini sunmaz ve çoğunlukla, tüm portları başka bir güvenlik duvarına / NAT cihazına yönlendiren kolay bir yöntem olarak kullanılır

Bireysel Amaçlı DMZ Kullanımı

Son kullanıcı açısında özellikle modem ayar ekranında bu özellik yer almaktadır. kullanılan modemin izin verdiği ; bilinen tüm port ve interet protokollerinin belli bir IP ye yönlendirilmesini sağlar. genelde bu özellik oyun konsollarının internete girmesi için (tek tek port açmak yerine) bu yönetem kullanılır.

Bunlara da bakın

  • Bastion host

Kaynakça

  • SolutionBase: Strengthen network defenses by using a DMZ 6 Aralık 2012 tarihinde Archive.is sitesinde arşivlendi by Deb Shinder at TechRepublic.
  • Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
  • Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson

DMZ (bilgisayar)

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Spam</span>

Spam ya da istenmeyen mesaj, e-posta, telefon, faks gibi elektronik ortamlarda çok sayıda alıcıya aynı anda gönderilen gereksiz veya uygunsuz iletidir. En yaygın spam türleri reklamlar ve ilanlardır. Elektronik posta (e-posta), internetin en eski iletişim araçlarından birisidir. E-posta, fiziksel, alışılagelmiş posta alımı ya da gönderiminin elektronik olanı ve internet üzerinden gerçekleştirilen, düşük maliyetli ve hızlı olanıdır. Güvenlik, kimlik denetimi gibi gereklilikler göz önünde bulundurulmamıştır ve bu yüzden e-posta altyapısı günümüzde internette büyük problemlere yol açmaktadır.

<span class="mw-page-title-main">Sunucu (bilişim)</span> bilgisayar ağlarında, diğer ağ bileşenlerinin (kullanıcıların) erişebileceği, kullanımına ve/veya paylaşımına açık kaynakları barındıran bilgisayar birimi

Sunucu, bilişim alanında "istemci" denilen diğer program ve cihazlara çeşitli işlevler sunan bilgisayar donanımları veya yazılımlarıdır. Bu mimariye istemci-sunucu modeli denir. Sunucular, istemciler arasında veri veya kaynak paylaşımı, bir istemci için hesaplama yapma gibi çeşitli işlevleri yerine getirebilirler. Bu işlevlere genellikle "servis" veya "hizmet" denir. Tek bir sunucu çok sayıda istemciye hizmet verebilir, tek bir istemci de çok sayıda sunucudan hizmet alabilir. İstemci ve sunucu aynı cihaz üzerinde çalışabileceği gibi, istemci ağ üzerinden farklı bir cihazdaki sunucuya da bağlanabilir. Tipik sunucular arasında veritabanı sunucuları, dosya sunucuları, e-posta sunucuları, yazdırma sunucuları, web sunucuları, oyun sunucuları ve uygulama sunucuları sayılabilir.

POP3, OSI referans modelinin uygulama katmanında çalışan bir E-posta iletişim protokolüdür. Bu protokol yerel E-posta alıcıları tarafından uzak sunucudan E-postaları indirmek için kullanılır ve bu işlem TCP 110 numaralı port üzerinden gerçekleştirilir. POP ve IMAP günümüzde en çok kullanılan iki e-posta protokolüdür. Tüm güncel e-posta alıcıları ve sunucuları iki protokolü de destekler. POP birkaç versiyon olarak geliştirilmiştir ve şu anda standart olarak kullanılanı 3. versiyonudur. Bu yüzden POP3 adı kullanılır.

SMTP, bir e-posta göndermek için sunucu ile istemci arasındaki iletişim şeklini belirleyen protokoldür. Farklı işletim sistemleri için geliştirilmiş e-posta protokolleri bulunmaktadır. Bu e-posta protokollerinin SMTP'ye geçit yolu (gateway) vardır. SMTP, Aktarım Temsilcisi ve Kullanıcı Temsilcisi yazılımları arasındaki iletişimi sağlar. TCP'nin üst katmanında çalışır.

Bilgi işlemde, İnternet Mesaj Erişim Protokolü (IMAP), e-posta istemcilerinin bir TCP/IP bağlantısı üzerinden bir posta sunucusundan e-posta mesajları almak için kullandığı bir İnternet standart protokolüdür. IMAP, RFC 9051 tarafından tanımlanır.

<span class="mw-page-title-main">DNS</span>

DNS, internet uzayını bölümlemeye, bölümleri adlandırmaya ve bölümler arası iletişimi organize etmeye yarayan, bilgisayar, servis, internet veya özel bir ağa bağlı herhangi bir kaynak için hiyerarşik dağıtılmış bir adlandırma sistemidir.

<span class="mw-page-title-main">İnternet iletişim kuralları dizisi</span>

İnternet protokol takımı, bilgisayarlar ve ağ cihazları arasında iletişimi sağlamak amacıyla standart olarak kabul edilmiş kurallar dizisidir. Bu kurallar dizisi temel olarak verinin ağ üzerinden ne şekilde paketleneceğini ve iletilen veride hata olup olmadığının nasıl denetleneceğini belirlemektedir.

<span class="mw-page-title-main">Sanal özel ağ</span> Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi

Sanal özel ağ ya da VPN, uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisidir. VPN sanal bir ağ uzantısı oluşturduğu için, VPN kullanarak ağa bağlanan bir cihaz, fiziksel olarak bağlıymış gibi o ağ üzerinden veri alışverişinde bulunabilir. Kısacası Virtual Private Network (VPN), internet ya da başka bir açık ağ üzerinden özel bir ağa bağlanmayı sağlayan bir bağlantı çeşididir. VPN üzerinden bir ağa bağlanan kişi, o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanmaya da devam eder. VPN'in en önemli iki uygulaması OpenVPN ve IPsec'dir.

Network Address Translation (NAT), TCP/IP ağındaki bir bilgisayarın yönlendirme cihazı ile başka bir ağa çıkarken adres uzayındaki bir IP ile yeniden haritalandırma yaparak IP paket başlığındaki ağ adres bilgisini değiştirme sürecidir.

<span class="mw-page-title-main">Vekil sunucu</span>

Vekil sunucu veya yetkili sunucu, İnternet'e erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir ağ sayfasına erişim sırasında doğrudan bağlantı yerine:

RADIUS, Livingston Enterprise tarafından geliştirilmiş, daha sonra da IETF RFC 2865 ve RFC 2866 ile standartlaştırılmıştır. RADIUS istemci-sunucu modeli tabanlıdır ve mesaj değişimi UDP protokolü ile gerçekleşir. Network Access Storage (NAS), RADIUS kullanıcısı olarak davranır ve kullanıcı isteğini RADIUS server'a aktarır. Diğer RADIUS kullanıcıları kablosuz bağlantı noktaları, yönlendiriciler (Router) ve anahtarlayıcılar (Switch) olabilir. RADIUS sunucusu kullanıcılardan istek aldıktan sonra kimlik doğrulama (Authentication), yetkilendirme (Authorization) ve ücretlendirme (Accounting) yani AAA işlemlerini gerçekleştirir. Kullanıcı ile sunucu arasındaki iletişim özel anahtar ile şifrelendirilmiş şekilde gerçekleştirilir, bu sayede şifre asla ağ üzerinden gönderilmez. Kullanıcı ve sunucular iletişim olmadan önce bu güvenlik yöntemine göre ayarlanmıştır ve eğer şifreler uyuşmazsa bağlantı sonlandırılır.

<span class="mw-page-title-main">Virtual LAN</span>

Sanal Yerel Alan Ağı anlamına gelen VLAN (Virtual LAN), yerel ağ içerisinde çalışma grupları oluşturmak ve yerel ağı Ethernet çerçevelerine eklenen sanal etiketlerle (VLAN TAG) alt gruplara bölmek için kullanılır. VLAN kullanılması broadcast trafiği azaltılmış olur. Bu durum bant genişliğinin artmasını sağlar. Yerel ağın performansını arttırdığı gibi Firewall ile kullanıldığında güvenlik konusunda geliştirim sağlayabilir. Sunucu bilgisayarları (server) ile istemci bilgisayarlarının (client) bir arada bulunması pek de mantıklı değildir. Mesela bir üniversitede bir öğrencinin okulun akademik çalışanların ulaştığı sunuculara herhangi bir kural olmadan ulaşması pek de mantıklı değildir. Bu, ağ içerisinde güvenlik açısından bir gömlek daha üstün olmasını sağlar. Sadece yerel ağda değil, örneğin bir öğrencinin bilgisayarını ele geçirip kullanarak iç ağa zarar vermek isteyen birisi ağın yalnızca öğrenciler ile ilgili kısmı etkileyebilir. Bu sebeple içerideki güvenliğin de en az dışarıdan gelecek saldırılara karşı olduğu kadar kontrol altına alınması gereklidir. Ayrıca broadcast mesaj trafiğini azaltır. Broadcast atılan mesaj sadece o VLAN üzerinde dağılır. VLAN içeride aynı ağda olmalarına rağmen farklı ağlar gibi göründüğünden iki ayrı vLAN içerisinde aynı IPyi almış iki bilgisayar olabilir. LAN içerisinde birbirinden bağımsız çalışma grupları oluşturmanın en etkin yolu VLAN anahtarla kullanmaktır. VLAN üzerindeki her çalışma grubu güvenlik duvarının farklı Ethernet kartlarına veya ağ arayüzlerine bağlanmalıdır. VLAN kullanılan bir ağda VLANların kendi arasındaki yönlendirilmesi için 3.katmana kadar çıkabilen farklı bir cihaza ihtiyaç duyulur.

<span class="mw-page-title-main">IEEE 802.1X</span>

IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için kullanılan bir standarttır ve 802.1 protokol grubunun bir parçasıdır. Bir kablolu (LAN) veya kablosuz (WLAN) ağa dahil olmak isteyen istemci cihazlara kimlik doğrulama mekanizması sağlar.

Tünel protokolü, bir ağ protokolü farklı bir yük-taşıma protokolü içerdiğinde bilgisayar ağ bağlantısı, bir tünel protokolü kullanır. Tünel protokolü kullanılarak, uyumsuz olan bir iletim protokolü üzerinde bir yük-taşıma taşınabilir ya da güvenilmeyen ağlarda güvenli bir yol oluşumu sağlanabilir.

HTTP tünelleme, kapsüllenmiş http protokolünü kullanan çeşitli ağ protokollerini çalıştırarak bağlantı gerçekleştiren bir tekniktir. Ağ protokolleri genelde TCP/IP ailesine ait olan protokollerdir. HTTP protokolü dolayısıyla, ağ protokolü tünnellenmiş olan kanal için kılıf (wrapper) olarak davranır.

<span class="mw-page-title-main">SoftEther VPN</span> Baymuhammet

SoftEther VPN, Tsukuba Üniversitesi'nden Daiyuu Nobori'nin yüksek lisans tezi araştırması kapsamında geliştirilen ücretsiz bir açık kaynak kodlu, çapraz platform, çoklu protokol destekli VPN çözümüdür. SoftEther VPN, SSL VPN, L2TP/IPsec, OpenVPN ve Microsoft Güvenli Yuva Tünel Protokolü gibi VPN iletişim kurallarını tek bir VPN sunucusundan verilecek şekilde desteklemektedir. 4 Ocak 2014 tarihinde GPLv2 lisansını kullanarak yayınlanmıştır.

Görünmez İnternet Projesi (I2P), sansüre dayanıklı, eşler arası iletişime olanak tanıyan anonim bir ağ katmanıdır. Anonim bağlantılar, kullanıcının trafiğinin şifrelenmesi ve dünyanın dört bir yanına dağıtılmış yaklaşık 55.000 bilgisayardan oluşan, gönüllüler tarafından işletilen bir ağ üzerinden gönderilerek elde edilir. Trafiğin geçebileceği çok sayıda olası yol göz önüne alındığında, üçüncü bir tarafın tam bağlantıyı izlemesi pek olası değildir. Bu katmanı uygulayan yazılıma "I2P yönlendirici", I2P çalıştıran bilgisayara ise "I2P düğümü" adı verilir. I2P ücretsiz ve açık kaynaklıdır ve birden fazla lisans altında yayınlanmaktadır.

<span class="mw-page-title-main">Port tarayıcı</span>

Port tarayıcı, açık portlar için bir sunucuyu veya ana bilgisayarı araştırmak için tasarlanmış bir uygulamadır. Bu tür bir uygulama, yöneticiler tarafından bilgisayar ağlarının güvenlik politikalarını doğrulamak ve saldırganlar tarafından bir ana bilgisayar üzerinde çalışan ağ hizmetlerini tanımlamak ve güvenlik açıklarından yararlanmak için kullanılabilir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Bilgisayar ağlarında bağlantı noktası (port) veya bağlantı noktası numarası, bir bağlantı uç noktasını benzersiz bir şekilde tanımlamak ve verileri belirli bir hizmete yönlendirmek için atanan sanal bir numaradır. Yazılım düzeyinde, bir işletim sistemi içinde, bir bağlantı noktası belirli bir işlem veya bir ağ hizmeti türünü tanımlayan mantıksal bir yapıdır. Yazılım düzeyindeki bir bağlantı noktası, her taşıma katmanı protokolü ve adres kombinasyonu için kendisine atanan bağlantı noktası numarasıyla tanımlanır. Port numaralarını kullanan en yaygın taşıma protokolleri TCP ve UDP 'dir; bu port numaraları 16 bitlik işaretsiz sayılardır.