Demilitarisoitu alue (tietotekniikka)

Wikipediasta
Siirry navigaatioon Siirry hakuun
Tämä artikkeli käsittelee tietotekniikan termiä. Tietoa alueen tyhjentämisestä sotilaallisesta aineksesta on artikkelissa demilitarisointi.

Tietoturvassa demilitarisoitu alue (engl. demilitarized zone, DMZ) tarkoittaa fyysistä tai loogista aliverkkoa, joka yhdistää organisaation oman järjestelmän turvattomampaan alueeseen, esimerkiksi Internetiin. Demilitarisoidun alueen tarkoitus on lisätä ylimääräinen tietoturvataso organisaation lähiverkkoon.

Toimintaperiaate

[muokkaa | muokkaa wikitekstiä]

Lähiverkon turvattomimmat laitteet ovat niitä, jotka palvelevat verkon ulkopuolisia käyttäjiä, esimerkiksi sähköposti- ja DNS-palvelimet. Nämä laitteet sijoitetaankin omaan aliverkkoonsa, jolloin muu verkko on suojassa, jos hyökkäys palvelimiin onnistuu. Demilitarisoidulla alueella sijaitsevat laitteet eivät voi muodostaa suoria yhteyksiä lähiverkon laitteisiin, mutta kylläkin muihin saman alueen laitteisiin ja verkon ulkopuolisiin käyttäjiin. Tämän vuoksi demilitarisoidun alueen laitteet pystyvät palvelemaan sekä sisäisiä että ulkoisia käyttäjiä lähiverkon vaarantumatta.

Palvelut, jotka sijoitetaan demilitarisoidulle alueelle

[muokkaa | muokkaa wikitekstiä]

Yleensä ulkoisia palveluita tarjoavat laitteet sijoitetaan demilitarisoidulle alueelle. Näihin kuuluvat sähköposti-, DNS- ja verkkopalvelimet. Joissakin tapauksissa tarvitaan ylimääräisiä toimenpiteitä suurimman mahdollisen tietoturvan saavuttamiseksi.

Verkkopalvelimet

[muokkaa | muokkaa wikitekstiä]

Verkkopalvelinten pitää joskus pystyä kommunikoimaan lähiverkon tietokannan kanssa. Koska tietokanta ei useimmiten ole yleisesti käytettävissä ja voi sisältää salaista tietoa, sen ei pitäisi olla demilitarisoidulla alueella. Verkkopalvelimen ja tietokannan välinen yhteys voidaankin johtaa toisen palvelimen kautta, jolloin järjestelmä on turvallisempi.

Sähköpostipalvelimet

[muokkaa | muokkaa wikitekstiä]

Sähköpostin luottamuksellisen luonteen vuoksi sähköpostiviestejä ei kannata säilyttää demilitarisoidulla alueella. Sen sijaan viestit säilytetään verkon sisäisellä palvelimella, ja demilitarisoidun alueen sähköpostipalvelin vain välittää viestit sisäiselle palvelimelle ja sieltä pois.

Demilitarisoidun alueen sisältävän lähiverkon asentaminen voidaan tehdä monella tavalla. Kaksi yksinkertaisinta tapaa ovat yksinkertaisen palomuurin verkko ja kaksinkertaisen palomuurin verkko. Näitä rakenteita voi laajentaa.

Yksi palomuuri

[muokkaa | muokkaa wikitekstiä]
Kaavio tyypillisestä kolmea verkkoliityntää ja yhtä palomuuria käyttävästä demilitarisoidusta alueesta.

Vähintään kolmen verkkokortin palomuuria käytettäessä on mahdollista luoda demilitarisoitu alue. Ulkoinen verkko muodostuu ISP:stä palomuuriin, sisäinen verkko luodaan toisella verkkokortilla, ja demilitarisoitu alue luodaan kolmannella. Palomuurin on pystyttävä käsittelemään sekä demilitarisoidulle alueelle että sisäiseen lähiverkkoon menevä liikenne.

Kaksinkertainen palomuuri

[muokkaa | muokkaa wikitekstiä]
Kaavio tyypillisestä kahden palomuurin ratkaisusta toteuttaa demilitarisoitu alue.

Turvallisempi tapa on rakentaa kahta palomuuria käyttävä verkko. Ensimmäinen palomuuri ohjelmoidaan käsittelemään sekä demilitarisoidun alueen että sisäisen verkon liikenne. Toinen palomuuri käsittelee vain sisäisen verkon liikenteen. Tämä rakenne on kalliimpi ja monimutkaisempi, mutta paljon turvallisempi.

Jotkut kotikäyttöön tarkoitetut reitittimet pystyvät käsittelemään ns. DMZ-isäntää. DMZ-isäntä on laite, jolla kaikki portit ovat auki, paitsi ne, jotka on määritelty toisin. Tämä ei kirjaimellisesti ole demilitarisoitua aluetta, koska se ei tuo tietoturvaa sisäisen verkon ja isännän välille. DMZ-isäntä pystyy siis ottamaan yhteyksiä verkon sisäisiin laitteisiin, mutta todellisissa DMZ-verkoissa palomuuri suodattaa sen liikenteen.

  • Palomuuri
  • Reititin
  • Maiwald, Eric: Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.