Ero sivun ”Demilitarisoitu alue (tietotekniikka)” versioiden välillä
| [arvioimaton versio] | [arvioimaton versio] |
p Botti poisti: ko:비무장지대 (컴퓨터) (deleted), es:Zona desmilitarizada (strongly connected to fi:Demilitarisointi) |
pEi muokkausyhteenvetoa |
||
| Rivi 42: | Rivi 42: | ||
[[ja:非武装地帯 (コンピュータセキュリティ)]] |
[[ja:非武装地帯 (コンピュータセキュリティ)]] |
||
[[pl:Demilitarized Zone]] |
[[pl:Demilitarized Zone]] |
||
[[pt:DMZ]] |
[[pt:DMZ (computação)]] |
||
[[ru:DMZ (компьютерные сети)]] |
[[ru:DMZ (компьютерные сети)]] |
||
[[sv:DMZ (Internet)]]''' |
[[sv:DMZ (Internet)]]''' |
||
Versio 18. toukokuuta 2012 kello 02.31
- Tämä artikkeli käsittelee tietotekniikan termiä. Tietoa alueen tyhjentämisestä sotilaallisesta aineksesta on artikkelissa Demilitarisointi
Tietoturvassa demilitarisoitu alue (engl. demilitarized zone, DMZ) tarkoittaa fyysistä tai loogista aliverkkoa, joka yhdistää organisaation oman järjestelmän turvattomampaan alueeseen, esimerkiksi Internetiin. Demilitarisoidun alueen tarkoitus on lisätä ylimääräinen tietoturvataso organisaation lähiverkkoon.
Toimintaperiaate
Lähiverkon turvattomimmat laitteet ovat niitä, jotka palvelevat verkon ulkopuolisia käyttäjiä, esimerkiksi sähköposti- ja DNS-palvelimet. Nämä laitteet sijoitetaankin omaan aliverkkoonsa, jolloin muu verkko on suojassa, jos hyökkäys palvelimiin onnistuu. Demilitarisoidulla alueella sijaitsevat laitteet eivät voi muodostaa suoria yhteyksiä lähiverkon laitteisiin, mutta kylläkin muihin saman alueen laitteisiin ja verkon ulkopuolisiin käyttäjiin. Tämän vuoksi demilitarisoidun alueen laitteet pystyvät palvelemaan sekä sisäisiä että ulkoisia käyttäjiä lähiverkon vaarantumatta.
Palvelut, jotka sijoitetaan demilitarisoidulle alueelle
Yleensä ulkoisia palveluita tarjoavat laitteet sijoitetaan demilitarisoidulle alueelle. Näihin kuuluvat sähköposti-, DNS- ja verkkopalvelimet. Joissakin tapauksissa tarvitaan ylimääräisiä toimenpiteitä suurimman mahdollisen tietoturvan saavuttamiseksi.
Verkkopalvelimet
Verkkopalvelinten pitää joskus pystyä kommunikoimaan lähiverkon tietokannan kanssa. Koska tietokanta ei useimmiten ole yleisesti käytettävissä ja voi sisältää salaista tietoa, sen ei pitäisi olla demilitarisoidulla alueella. Verkkopalvelimen ja tietokannan välinen yhteys voidaankin johtaa toisen palvelimen kautta, jolloin järjestelmä on turvallisempi.
Sähköpostipalvelimet
Sähköpostin luottamuksellisen luonteen vuoksi sähköpostiviestejä ei kannata säilyttää demilitarisoidulla alueella. Sen sijaan viestit säilytetään verkon sisäisellä palvelimella, ja demilitarisoidun alueen sähköpostipalvelin vain välittää viestit sisäiselle palvelimelle ja sieltä pois.
Rakenne
Demilitarisoidun alueen sisältävän lähiverkon asentaminen voidaan tehdä monella tavalla. Kaksi yksinkertaisinta tapaa ovat yksinkertaisen palomuurin verkko ja kaksinkertaisen palomuurin verkko. Näitä rakenteita voi laajentaa.
Yksi palomuuri
Vähintään kolmen verkkokortin palomuuria käytettäessä on mahdollista luoda demilitarisoitu alue. Ulkoinen verkko muodostuu ISP:stä palomuuriin, sisäinen verkko luodaan toisella verkkokortilla, ja demilitarisoitu alue luodaan kolmannella. Palomuurin on pystyttävä käsittelemään sekä demilitarisoidulle alueelle että sisäiseen lähiverkkoon menevä liikenne.
Kaksinkertainen palomuuri
Turvallisempi tapa on rakentaa kahta palomuuria käyttävä verkko. Ensimmäinen palomuuri ohjelmoidaan käsittelemään sekä demilitarisoidun alueen että sisäisen verkon liikenne. Toinen palomuuri käsittelee vain sisäisen verkon liikenteen. Tämä rakenne on kalliimpi ja monimutkaisempi, mutta paljon turvallisempi.
DMZ-isäntä
Jotkut kotikäyttöön tarkoitetut reitittimet pystyvät käsittelemään ns. DMZ-isäntää. DMZ-isäntä on laite, jolla kaikki portit ovat auki, paitsi ne, jotka on määritelty toisin. Tämä ei kirjaimellisesti ole demilitarisoitua aluetta, koska se ei tuo tietoturvaa sisäisen verkon ja isännän välille. DMZ-isäntä pystyy siis ottamaan yhteyksiä verkon sisäisiin laitteisiin, mutta todellisissä DMZ-verkoissa palomuuri suodattaa sen liikenteen.