الموضوع اللى هتكلم فيه هو ال DMZ اول مرة كنت اتعامل معاه وانا بذاكر لمشروع التخرج بتاعى اللى كان داخل فيه شوية security .
بس قبل ما اعرف يعنى ايه DMZ واتكلم فيه هتخيل معاك ان انت network admin والشبكة كلها تحت سيطرتك :D ومطلوب منك تعمل security على ال network ... فمن اهم الخطوات اللى هتبدا تفكر بيها هى شكل ال network بحيث انك هتقسمها كدا وانت بتفكر تقول انا هقسمها لareas و اشوف كل area بتمثلى vulnerability تمكن اى attacker ينفذ successful attack بنسبة كام % وتبدا تحصن الاماكن اللى محتاجة security اعلى سواء ب devices او configurations وهكذا ...انت وانت بتفكر كدا طبقت concept هام فى ال security الا وهو ال zoning اللى هو :
تقسيم ال network الى مجموعة من ال zones بحيث كل zone تطبق عليها security level معين وخاص بيها يلائم ويناسب طبيعتها وحساسية ال devices.
نيجى بقى نشوف يعنى ايه DMZ او ال Demilitarized Zone؟
هى عبارة عن zone من ضمن ال zones اللى هنحطها فى دماغنا واحنا بنقسم ...فهى عبارة عن zone يتم وضعها بين trusted zone وال untrusted zone سامعك بتقولى هو انت شرحت ال zone الاولى عشان تقول نوعين تانيين هقلك بص ... انت دلوقتى by logic كدا لو قلتلك ايه اكتر حاجة خايف منها وانت admin هتقولى النت طبعا هيجيلى منه attacks اكتر ومعرض لل attacks اكتر (بينى وبين نفسى هقولك ااااه يا خوفى من الناس اللى عندك فى الشبكة لحسن هم اللى يبهدلولك الدنيا :D بس هفترض حسن النيه انا مش هغلس ) طب وهقولك ايه اكتر منطقة فى ال network حاسسها مش مخيفة او مش هتقلقك ؟ هتقلى ال local users او ال local LAN دول انا واثق فيهم.... هقوولك قلت ايييه؟ اديك وقعت بلسانك وقلت واثق اللى هى trusted هو دا معناها ببساطة... ال net هيبقى untrusted zone بالنسبة ليك وال local users بالنسبة لك trusted ..طيب تمام انا كدا فهمت ال 2 دول مقلتليش بقى ال DMZ برده لسه ..زى ما قلتلك هى بيتبقى بين ال trusted وال untrusted وهى بتمثلك خطورة بس نص نص طب وهيبقى فيها ايه دى ؟...هقولك لو عندك web server او ftp server هيبقى ليه تعامل كبير مع ال NET وبكدا هيمثلك نقطة ضعف برده يبقى هيتحطوا فى ال DMZ دى .
انواع ال DMZ :
فى اكتر من نوع وهشرح مميزات وعيوب كل واحد واسيبك تختار انت بينهم :
Three-Legged Firewall
وكما هو موضح انى هقوم موصل ال fire wall بحيث اخلى كل interface مواجه ل zone معينة وعلى حسب درجة ال security اللى هبقى حابب اطبقها على كل zone من ال 3 هعمل ال configuration على ال interface عن طريق command فى ال firewall ios يسمى ال trust level وهو رقم يتراوح من 0 : 100 ومن غير تفكير فال private network هتبقى the more trust يبقى هديهاtrust level = 100 ... وال puplic هعطى ال interface اللى واصل بيه trust level = 0 طب و ال dmz ??? قلنا هتبقى بين البينيين يبقى مثلا اعطيها قيمة بين ال 0 وال 100 وليكن trust level = 50 ....من الكلام وفهم طريقة ال configuration نلاحظ ان النوع دا مميزاته easy of configuration وكمان انى هقدر اعمل manage لل network بسهولة.... طب والعيب؟؟؟ لو ال network بتاعتى كبيرة اوى و انا مستخدم ال topology دى فال headace هيبقى عالى اوى على ال firewall فهيستهلك resources بطريقة فظيعة
DMZ Outside the Firewall Between the Public
Network and the Firewall
فى النوع التانى واللى من رأيي يعتبر انه اسوا الانواع لعمل configuring لل DMZ هو النوع دا.. لان كدا ال traffic اللى جاية من ال internet لل private nw واللى طالعة كن ال private nw لل internet لازم تعدى على ال DMZ ودا هيبقى حاجة Not secured بالمرة
DMZ Outside the Firewall but not Between the Public Network and the Firewall
فى النوع دا وهو نفس النوع اللى فات ولكن ال DMZ مش هتكون ال traffic اللى داخلة واللى طالعة تعدى على ال DMZ وكمان هنقلل ال headache اللى كان موجود على ال firewall زى فى ال three legged
Creating a DMZ Between Stacked Firewalls
No comments:
Post a Comment