DMZ nedir ne ise yarar?

Normal kullanicilar pek duymazlar bu kelimeyi ama bir networkcu iseniz bu kelimeye asina olmaniz gerekir. 3 Gun once DMZ tin ne oldugunu bilmeyen ve network yoneticisi olan biri ile karsilastim once garipsedim sonra bir saskinlik! Nasil olur dedim kendi kendime …

DMZ
Firewall ve hacking konusunda Network Muhendislerinin tecrubesi ve bilgisi arttikca yapilan saldirilarin disaridan daha fazlasinin iceriden geldigi gorulmustur. Hal boyle olunca serverlari sadece disaridan gelen saldirilara karsi degil ayni zamanda icerideki kullanicilara karsida korumak gerekir. Bu yazıda DMZ nedir ve neişe yarar kısaca bahsetmeye çalışacağım.

DMZ Nedir?

DMZ demilitarized zone kelimesinin kisaltilmis halidir ve “silahsizlandirilmis alan” anlamina gelmektedir. Sunuculariniza gelen http, smtp, telnet, dns istekleri firewall tarafindan DMZ teki ilgili sunucuya yonlendirilir.

DMZ te hangi sunucular konulmali?

Herkese açık bilgilerin bulunduğu web sunucuları. Siparişlerin tutulduğu elektronik ticaret transfer sunucuları. (Müşteri bilgilerinin tutulduğu sunucuları firewall un arkasına koyunuz) Dışarıdan gelen elektronik postaları içeriye yönlendiren elektronik posta sunucuları. İç network ünüze ulaşılmasında kimlik tanımlaması yapan sunucu ve servisler. VPN sonlandırıcıları. Uygulama çıkışları. Test amaçlı sunucular. Tipik servisler, mesela genel kullanıma açık HTTP, güvenli SMPT, güvenli FTP ve güvenli TELNET DMZ e konulabilir.

DMZ nasil kurulur?

DMZ yaratabilmek için firewall unuzda 3 adet network kartı bulunmalıdır. Bir kart iç network için, ikincisi güvensiz olan internet için ve son kart da DMZ için kullanılacaktır.
Yukarıda sayılan sunucuların haricinde kalan ve önemli bilgilerin bulunduğu sunucular mutlaka firewall un arkasında bulunmalıdır. Firewall u bir kere kurup kuralları girerken, iç network e giden trafik için bazı sıkı kurallar eklemek isteyebilirsiniz. Aynı şekilde DMZ e giden trafik için de biraz daha serbest kurallar eklemek gerekecektir.
Örneğin; HTTP trafiğini DMZ e serbest bırakırken, iç network e kesinlikle yasaklamak mantıklı olacaktır. DMZ de bulunan sistemler sizin istediğinizden daha az güvenli durumda olacaklardır. Bu yüzden DMZ deki sistemlere gelebilecek istenmeyen davranışlara karşı DMZ de bir IDS (intrusion detection system) bulundurmak isteyebilirsiniz.

Böylece DMZ deki makinalarınızı yeterli derecede ve kolayca izleyebilirsiniz. Çünkü hangi portlar kullanılıyor veya hangi iç veya dış kullanıcı hangi uygulama sunucusunu kullanıyor, bunları görebiliyorsunuz. Bunun yanında iç network ünüze giden trafik için oldukça sıkı kuralları firewall a eklemeniz gerekmektedir. Kullanıcılarınızı ve sistemleri en basit şekliyle tehlikelerden korumak zorundasınız.

Kaynak: Security Focus

Bir Cevap Yazın