DMZ-netwerk: wat is een DMZ en hoe werkt het?

DMZ-netwerk: wat is een DMZ en hoe werkt het?

Duizenden organisaties over de hele wereld besparen tijd en geld met Okta.Ontdek wat de impact van identity management op uw organisatie kan zijn.

DMZ-netwerk: wat is een DMZ en hoe werkt het?

Waarom topanalisten in de sector Okta en Auth0 als Identity Leader aanmerken

Een netwerk met gedemilitariseerde zone of DMZ (demilitarized zone) is een subnet dat een extra beschermingslaag vormt tegen externe aanvallen.

Netwerkbeheerders moeten een evenwicht vinden tussen toegankelijkheid en security. Uw medewerkers hebben weleens data van buiten de organisatie nodig en bepaalde bezoekers moeten toegang krijgen tot data op uw servers. Er zijn echter items die altijd beschermd moeten blijven. 

Een DMZ-netwerk kan een ideale oplossing zijn. Als u zo'n netwerk gebruikt, kunt u bepaalde vormen van verkeer praktisch zonder beperkingen toestaan, maar strenge securitymaatregelen toepassen om uw meest gevoelige assets veilig te houden.

Wat is een DMZ-netwerk?

Het internet is een slagveld. Sommige mensen zijn vredelievend, anderen zaaien chaos. Deze twee groepen moeten bijeen kunnen komen op neutraal terrein om tot een akkoord te komen. Toen developers zich over dit dilemma bogen, deden ze een beroep op militaire terminologie om hun doelen toe te lichten. 

In militaire termen is een gedemilitariseerde zone (DMZ in het Engels) een plaats waar twee strijdende facties hun conflicten naast zich neer kunnen leggen om zinvol werk te verzetten. Er loopt bijvoorbeeld zo'n strook over het Koreaanse schiereiland om het noorden en zuiden op veilige afstand van elkaar te houden.

In computertermen is een DMZ-netwerk een subnetwerk dat openbare services afschermt van vertrouwelijke assets. Een correct geïmplementeerd DMZ-netwerk kan het risico van een rampzalig datalek verminderen. Openbare servers bevinden zich in de DMZ, maar communiceren met databases die worden beschermd door firewalls. 

Alleen al in 2019 vonden er in de Verenigde Staten bijna 1500 datalekken plaats. Gevoelige informatie kwam op straat te liggen en kwetsbare organisaties moesten enorme bedragen uitgeven aan pogingen om de schade te herstellen. 

Een DMZ-netwerk kan het risico van hacks niet volledig wegnemen, maar wel een extra securitylaag toevoegen voor buitengewoon gevoelige documenten waarvan u niet wilt dat ze in verkeerde handen terechtkomen.

 

DMZ-netwerk

Voorbeelden van DMZ-netwerken

Elk netwerk met een DMZ heeft een firewall nodig om openbare functies te scheiden van bestanden voor intern gebruik. Developers kunnen hierbij uit twee configuraties kiezen. 

DMZ-netwerk met één firewall

Deze configuratie bestaat uit drie belangrijke elementen.

  1. Firewall: al het externe verkeer moet eerst langs de firewall.
  2. Switches: een DMZ-switch leidt verkeer naar een openbare server. Een interne switch leidt verkeer naar een interne server. 
  3. Servers: er moet een openbare en een besloten server zijn. 

Als u uw netwerk zo configureert, is de firewall het enige element dat uw netwerk beschermt. Switches zorgen ervoor dat het verkeer naar de juiste ruimte wordt geleid. 

Eén firewall met drie beschikbare netwerkinterfaces is voldoende om een DMZ van dit type te creëren. Maar u moet wel diverse regelsets creëren om het verkeer binnen en rondom uw netwerk te monitoren en te sturen. 

DMZ-netwerk met twee firewalls 

Is één beschermingslaag genoeg voor uw organisatie? Als dat niet het geval is, is een tweeledig systeem mogelijk geschikter. Zo'n systeem bestaat uit de volgende elementen:

  • Firewalls: openbaar verkeer gaat door slechts één securitylaag. Maar om toegang te krijgen tot gevoeligere bestanden, moeten gebruikers langs een tweede firewall. 
  • DMZ: in dit gebied bevinden zich openbare resources, die toegankelijk zijn nadat de eerste firewall is gepasseerd. 
  • LAN: in dit gebied bevinden zich besloten resources, die pas toegankelijk zijn nadat de tweede firewall is gepasseerd. 

Configureer uw front-end- of perimeter-firewall zodanig dat deze het verkeer voor de DMZ afhandelt. Configureer uw interne firewall zodanig dat gebruikers zich kunnen bewegen tussen de DMZ en de locatie waar de interne bestanden van de organisatie zich bevinden. 

Andere configuratieopties 

Organisaties die zich veel zorgen maken om security kunnen een geclassificeerde militaire zone (classified militarized zone, CMZ) gebruiken om informatie over het lokale gebiedsnetwerk te hosten. Als u voor deze optie kiest, zullen de meeste van uw webservers zich in de CMZ bevinden.

Wie gebruikt een netwerk-DMZ?

Een firewall biedt geen perfecte bescherming. Hackers zijn vaak verrassend snel in staat de securitysystemen van organisaties te breken. Een zorgwekkende trend. Een DMZ biedt echter een beschermingslaag die uw waardevolle resources veilig kan houden. 

Organisaties plaatsen de volgende services vaak in een DMZ:

  • E-mailservers: gebruikers hebben internettoegang nodig om e-mailberichten te kunnen versturen en ontvangen. Maar e-mails kunnen extreem gevoelig zijn en wanneer ze in de handen van hackers vallen, kunnen die de data op het dark web verkopen of om losgeld vragen.

    Dit ondervond een e-mailprovider in 2020 aan den lijve toen data van 600.000 van zijn gebruikers werd gestolen en verkocht. Plaats uw server in de DMZ voor een soepele werking, maar houd de database achter uw firewall.
     

  • FTP-servers: met een FTP is het gemakkelijker om content op uw website te verplaatsen en hosten. Dit gaat wel gepaard met grote securityrisico's. Sta toegang en gebruik toe binnen de DMZ, maar houd uw servers achter een firewall.
     
  • Webservers: uiteraard moet u verkeer van en naar de
    website van uw organisatie toestaan. Houd de server in de DMZ, maar scherm de database af achter uw firewall voor extra bescherming. Een aanval op uw website zal soms niet worden opgemerkt.

    Zo kwam een organisatie er bijvoorbeeld pas na bijna twee jaar, toen er geen ruimte meer was op de harde schijf van de server, achter dat er een datalek was. De kans dat zoiets gebeurt, is een stuk kleiner als een DMZ-netwerk wordt gebruikt.

Over het algemeen kan elke organisatie met gevoelige informatie op de server die openbare toegang tot het internet moet bieden, gebruikmaken van een DMZ. Sommige organisaties zijn zelfs wettelijk verplicht om dit te doen.

Zo moeten organisaties in de Amerikaanse gezondheidszorg aantonen dat ze voldoen aan de Health Insurance Portability and Accountability Act. Op grond van deze wet moeten ze systemen ontwikkelen om gevoelige gegevens te beschermen en moeten ze datalekken melden. Met een DMZ-netwerk kunnen ze het risico beperken en laten zien dat ze privacy serieus nemen.

Voordelen en kwetsbaarheden van DMZ-servers 

Netwerkbeheerders moeten een keuze maken uit een enorm aantal configuratieopties. Het is een zware taak om voor al die opties de nodige research te doen. Als u begrijpt wat de risico's en de voordelen zijn, kunt u bepalen of het de moeite waard is om meer over deze techniek te weten te komen of dat deze voor u niet aantrekkelijk is.

Een DMZ-server heeft onder meer de volgende voordelen:

  • Potentiële besparingen. Gemiddeld duurt het 280 dagen om een datalek te detecteren en te corrigeren. In die tijd kunnen er rampzalige verliezen worden geleden. Stel diverse meldingen in op uw DMZ-server zodat u op de hoogte wordt gebracht van aanvalspogingen.

    U kunt ook allerlei obstakels opwerpen voor hackers. Zo kunt u aanvallen van hackers voorkomen of op zijn minst vertragen.
     

  • Constante toegang. Verkeer van en naar uw organisatie moet altijd mogelijk zijn. Met een te strak gecontroleerd systeem lukt dat niet. Een DMZ-netwerk stelt mensen in staat hun werk te doen terwijl u toch goed beschermd blijft.
     
  • Relatieve eenvoud. Een configuratie met één firewall vereist weinig tools en technologische knowhow en kan snel worden geconfigureerd.

Er zijn ook enkele nadelen van een DMZ-server:

  • Geen interne beschermingslagen. Uw medewerkers en bevoegde gebruikers hebben toegang tot de zeer gevoelige gegevens die uw organisatie opslaat.
     
  • Een onterecht gevoel van security. Hackers verzinnen elke dag nieuwe, snode manieren om de security van systemen te omzeilen. Zelfs DMZ-netwerkservers zijn niet altijd veilig. U moet de omgeving altijd monitoren, zelfs wanneer uw configuratie klaar is.
     
  • Tijdverspilling. Sommige experts beweren dat de cloud DMZ-netwerken overbodig heeft gemaakt. Als u geen netwerkservers hebt, valt er mogelijk niets te beschermen. 

Alleen u kunt bepalen of deze configuratie geschikt is voor u en uw organisatie. Maar het is belangrijk om te weten dat veel organisaties deze oplossing gebruiken om hun gevoelige bestanden veilig te houden.

Okta kan u helpen

Als u worstelt met het vinden van een balans tussen toegang en security, kan een DMZ-netwerk de ideale oplossing zijn. Door openbare servers te plaatsen in een ruimte die wordt beschermd door firewalls, kunnen cruciale werkzaamheden worden uitgevoerd terwijl gevoelige bestanden en workflows extra beschermd zijn.

Hebt u extra bescherming nodig voor on-prem resources? Ontdek hoe Okta Access Gateway daarbij kan helpen.

Referenties

Cyber Crime: Number of Breaches and Records Exposed 2005-2020. (Oktober 2020). Statista.

As a Hacker, How Long Would It Take to Hack a Firewall? Quora.

Company Discovered It Was Hacked After a Server Ran Out of Free Space. (November 2019). ZD Net.

Email Provider Got Hacked, Data of 600,000 Users Now Sold on the Dark Web. (April 2020). ZD Net.

FTP Remains a Security Breach in the Making. (Juli 2014). TechRepublic.

Cost of a Data Breach Report 2020. IBM Security.