Gune desmilitarizatu (informatika)

DMZ» orritik birbideratua)

DMZ (ingelesezko DeMilitarized Zone) hizkuntza militarrean bi armadaren arteko eremu neutral eta armarik gabea adierazteko erabili izan bada ere, 1980ko hamarkadatik hona sare informatikoen segurtasuneko terminologian ere dago. Mugasare ere deitzen zaio.

Sare informatikoen arloan, DMZ bat sare pribatu baten eta sare arrotz baten artean ezartzen den tarteko sarea da. DMZ-n sare pribatuak kanpora eskaintzen dituen zerbitzuak egon ohi dira. DMZ-ra edonor konekta daiteke baina DMZ-tik beste sareetara eginiko konexioak debekatuta edo estuki murriztuta daude, sare lokalera egindakoak bereziki.

DMZ edo Mugasarea

Zertarako erabiltzen da? aldatu

Praktikan, DMZ sare lokal bat eta Internet sarearen artean ezartzen den eremua da. Helburua Internetetik sare lokaleko zerbitzuetara baimendu diren konexioek suposatzen duten arriskua murriztea da.

Adibidea aldatu

Demagun entrepresa bateko langileek sare lokal batean lan egiten dutela. Zuzendaritza taldeak sare lokaletik bakarrik atzi daitezkeen hainbat zerbitzu korporazioko komunitatea osatzen duten guztiei (barruko zein kanpoko langileak, bezeroak eta hornitzaileak) zabaltzea erabaki du.
Aukera sinpleena Internetetik zerbitzu horiek ematen dituzten zerbitzarietara egindako konexioak baimentzea da. Hacker bat zerbitzari batekin egin ezkero, ordea, sare horretan dauden beste makina guztiak larriki mehatxupean leudeke.
Honen ordez, zerbitzari jakin horiek beste sare batean -DMZ batean hain zuzen ere- jar daitezke, kanpotik eginiko konexio baimenduak eremu honetara murriztuz. Hacker batek zerbitzari bat hartu ezkero, egin dezakeen kaltea eremu horretan dauden makinetara mugatuta dago, erakundearen gainerako makinak salbu daudelarik.


DMZ bat nola konfiguratu aldatu

DMZ bat osatzeko modu bat baino gehiago dago. Lortu nahi den segurtasun mailaren arabera, konfigurazio mota bat edo beste hautatu behar da.

Tripode moduko suebakia aldatu

DMZ klasikoan, hiru sare-moldagailu dituen suebaki bat erabiltzen da (tripode moduko suebakia edo three-legged firewall). Moldagailu bakoitzari TCP/IP motako interfaze bana esleitzen zaio. Moldagailu bat Internetera konektatzen da (interfaze publikoa), beste bat sare lokalera (interfaze pribatua) eta hirugarrena DMZra.

Bestalde, kanpotik eskuragarri jarri nahi diren zerbitzariak DMZ sarean kokatzen dira.

 
DMZ baten konfigurazio klasikoa

Bi suebakizko konfigurazioa aldatu

DMZ bat osatzeko modu seguruago bat bi suebaki erabiltzea da. Suebaki bat kanpoko sarera konektatzen da eta bestea sare pribatura. DMZ bi suebakien artean kokatzen da. Modu honetan, kanpoko suebakian nahigabe segurtasun zulo bat irekiko balitz, oraindik beste suebakiak handik letozkeen erasoak gelditu ahal izango lituzke.

 
Bi suebakirekin konfiguratutako DMZ

NAT arauak aldatu

Interneten eskuragarri dauden host guztiek ip publikoak dituzte. Beraz, sare lokaleko zerbitzuetara egiten diren eskaerak interfaze publikoan jasotzen dira (kasu askotan interfaze hau suebakian dago). Horregatik ezinbestekoa da eskaera horiek (azken batean tcp/ip paketeak dira) DMZ-ko dagokion zerbitzariari pasatzea. Hau NAT erregelen bidez egiten da.

Adibidea aldatu

Demagun aurreko entrepresaren web aplikazio bat Internetera zabaldu asmoz, dagokion zerbitzaria DMZ-n kokatua izan dela.
Suebakia honela konfigura liteke:
Interfaze publikoa: Interneteko ip publiko bat.
Interfaze pribatua: 10.0.0.1/255.255.255.0
DMZ-ko interfazea: 192.168.1.1/255.255.255.0
Zerbitzariaren interfazea 192.168.1.200/255.255.255.0 izan liteke.
Suebakian NAT erregela hau definitu beharko litzateke: "ip publikoko 80 portura (web) zuzendutako eskaera guztiak 192.168.1.200 makinako 80 portura birbidali".
Bestalde, suebakiaren funtzioa bete dezaken gailu orok NAT erregelak definitzeko softwarea ere izaten du.

Ikus, gainera aldatu


Kanpo estekak aldatu