1. 概要

このチュートリアルでは、サイバーセキュリティとネットワーキングにおける非武装地帯の概念を学習します。

最初にそれらの起源について学び、次になぜそれらを安全なネットワークに実装するのかを見ていきます。

このチュートリアルの最後に、敵対的な設定にDMZを含むネットワークアーキテクチャを選択する理由を理解します。

2. 非武装地帯とは何ですか?

2.1. 用語の語源

サイバーセキュリティやネットワーキングで一般的に使用されている非武装地帯(DMZ)という用語は、コンピュータサイエンスに固有のものではありません。 代わりに、という用語は、国際法の語彙に由来し、より具体的には、ベロjusに由来します。

そのコンテキストでは、DMZは、他の方法で戦争をしているゾーン内の特別なエリアまたは保護されたエリアを識別します。 DMZの背後にある考え方は、特定の地域が軍事行動の対象となるのを防ぐことが重要である可能性があるということです。 これは、対立する派閥間に特別な境界を確立し、いずれかの派閥が軍隊または武器を配備することを防ぐ協定に署名することによって行われます。

2.2. 州間戦争とサイバーセキュリティの関係

サイバーセキュリティ自体は主に防衛部門の研究を通じて開発されているため、この用語が州間戦争に由来することは驚くべきことではありません。 サイバーセキュリティにおける技術開発の一般規則は、研究が最初に政府および学術部門で行われ、その後、イノベーションが民間企業に再配布されるようになるというものです。

ネットワークアーキテクチャのコンポーネントとしてDMZを採用した場合も同じことが起こりました。 1980年代、冷戦が終結に近づくにつれ、2つの超大国は、ソフトウェアエンジニアリングとイノベーションの分野での交流の可能性を実現しました。 彼らは、2つのそれぞれの研究ネットワークを接続することを望んでいましたが、できませんでした。

これは、協力意欲は強いものの、相手の意図に対する疑念がさらに大きかったためです。 次に、2つのネットワーク間に専用の中間ノードを確立することで解決策を見つけました。これらの中間ノードは、敵対する派閥間のすべての協調的相互作用を実行することを許可されていました。

2.3. 制度化された不信

ネットワーキングにおける最初のDMZの採用は、一方では、協力から期待される利益から派生しました。 一方、それは相互に信頼できない当事者によるネットワークへのアクセスを制御する必要性に基づいていました。 これらの相反する傾向の解決策は、相互に有益な交換を行うと同時に有害な行動を防ぐことを可能にする正式なシステムの特定を意味しました

これは、知識管理に関する文献では、制度化された信頼と不信という名前が付けられている状況です。 この制度化された不信に関連して、サイバーセキュリティのためのDMZの定義を与えることができます。 DMZは、相互に不信感を抱く当事者間の敵対的な状況において、当事者の欠陥へのインセンティブに関係なく協力を行うことを可能にするシステムです

この意味で、DMZは、体系的な不信を一連のルールとアーキテクチャソリューションに形式化します。これにより、敵対者が互いに損害を与えることを防ぎながら、通信と対話を安全に行うことができます。

3. DMZと敵対的な設定

3.1. 敵対的な設定とは何ですか?

DMZが存在できるのは、特定のグループが友人と敵、より正確には敵に分かれた場合のみであることがわかりました。 DMZが法的な議論に参加したとき、敵は立っている軍隊と旗を持った州であり、戦場での派閥の識別は比較的簡単でした。 DMZがネットワーキングで使用され始め、アメリカとソビエトの通信ネットワーク間の相互作用に関係したとき、敵の識別はまだ十分に簡単でした。

ただし、DMZは現在、企業のセキュリティや国内LANなど、さまざまな状況で使用されています。 これらの比較的単純な文脈で、敵は誰ですか? DMZが必要になるのは、攻撃的な行動を恐れる敵がいる場合だけですが、同時に、敵と通信できるようにしたい

3.2. 見えない敵

ビジネスまたは国内のローカルネットワークの攻撃者は、一般化された悪意のある攻撃者であり、その概要は必然的にあいまいになります。 これには、適切な犯罪目的を持つ個人または組織が含まれる場合があります。 しかしまた、私たちが彼らに十分に支払っているのかどうか知りたがっているせんさく好きな従業員。

この意味で、ビジネスコンテキストのDMZは、事前に詳細を特定できる信頼できるネットワークと、許可なしに信頼できるネットワークにアクセスしたい一般化された、または理想的な攻撃者との間の通信を可能にするシステムです。 。

4. DMZとファイアウォール

4.1. 友達を通り抜けさせ、敵を締め出す

技術的には、DMZはローカルネットワーク内のノードまたはサブネットワークです。 ただし、これは特別なノードであり、ローカルネットワークの外部のノードから直接アクセスできます。

ローカルネットワークがファイアウォールを使用している場合、DMZは通常ファイアウォールの外側にあります。 ただし、実際には、管理者は、DMZのみを保護するために、よりソフトなルールを備えた2番目のファイアウォールを採用することもできます。

4.2. DMZのアプリケーション

DMZは、ローカルネットワークのセキュリティのために多くの目的を果たします。 私たちのネットワークがブルートフォース攻撃をブロックするためのIPベースのシステムを実装している場合、悪意のあるユーザーがこの対策を回避するために私たちのネットワークのIPアドレスの1つをなりすましする可能性があります。

その場合、DMZは疑わしいデバイスのネットワークへのアクセスを一時的に阻止する可能性があります。 その間、信頼できるサービスは疑わしいIPアドレスへの接続を試みて、要求がそのアドレスから発信されたのか、スプーフィングされたIPから発信されたのかを確認できます。

DMZは、攻撃者がネットワークの構造について学習するのを防ぐこともできます。 これは、難読化によるセキュリティの原則の適用です。 信頼できるネットワークとの間のすべての接続はDMZを通過するため、部外者に見えるのはDMZだけです。

さらに、 DMZが危険にさらされた場合でも、信頼できるネットワークから分離されているため、DMZは保護されたままになります。 これは、悪意のあるユーザーが最初にDMZの制御を取得する必要があり、後でのみ信頼できるネットワークにアクセスできることを意味します。 次に、これにより、サイバーセキュリティチームが違反を調査および特定する時間が与えられます。

4.3. タマネギの皮と弾力性

セキュリティの典型的なメタファーをタマネギとして使用したい場合、DMZはタマネギの皮であると言えます。

すべての人に表示されるため、ネットワークの所有者に属する機密情報をホストすることはできません。 このため、企業データベースや個人データベースをホストすることはできません。

復元力の観点から、DMZはネットワークで最も弱いノードでもあります。 これは、ネットワークが危険にさらされる場合、これは通常、DMZへの攻撃から始まることを意味します。

これに対抗するために、DMZは、ローカルエリアネットワークのインターネットトラフィックゲートウェイで構成されることがよくあります。 このようにして、信頼できるネットワークに到達する前にインターネットトラフィックを分析できます。 これは、ネットワークではなく、DMZ自体にあるサービスを使用して行われます。

最後に、 DMZは、電子メールサーバーなどの信頼できるネットワークの外部のユーザーに提供されるサービスの場所でもあります。 また、これを使用して、外部から信頼できるネットワークへのアクセスをユーザーに許可することもできます。 その場合、ファイアウォールルールに特定の権限を設定するだけで済みます。

5. 結論

この記事では、サイバーセキュリティとネットワーキングのための非武装地帯の概念を研究しました。