Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Bilgisayar güvenliği'nde, bir DMZ veya sivil bölge ya da dizginleme bölgesi bir kuruluşun dış servislerini içeren ve bu servisleri daha büyük güvensiz bir ağa (genellikle internet) maruz bırakan fiziksel veya mantıksal bir alt ağdır. Genellikle BT profesyonelleri tarafından DMZ olarak adlandırılır. Bazen de Çevre Ağı olarak adlandırılır. Bir DMZ'nin amacı bir kuruluşun Yerel Alan Ağı (LAN)'a ek bir güvenlik katmanı eklemektir; dışarıdaki bir saldırganın ağın herhangi başka bir bölümünden ziyade yalnızca DMZ içindeki ekipmana erişimi vardır.
Gerekçe
Bir ağda, yerel alan ağının dışındaki kullanıcılar için servisler sağlayan konaklar (e-posta, web ve DNS sunucuları gibi) saldırıya en açık olanlardır. Bu konakların ele geçirilme potansiyelleri yüksek olduğundan dolayı onlar, bir davetsiz misafir başarıya ulaştığında ağın geri kalanını korumak amacıyla kendi alt ağları içerisine yerleştirilirler. DMZ içindeki konakların iç ağdaki belirli konaklarla bilgi alışverişi yapabilme yetenekleri kısıtlanmıştır, her ne kadar DMZ içindeki diğer konaklarla ve dışarıdaki ağlarla iletişimine izin verilmiş olsa bile. Bu, DMZ sunucuları ile içerideki ağ istemcileri arasındaki trafiği bir aracı güvenlik duvarı kontrol ediyorken, DMZ içindeki konakların hem içerideki hem de dışarıdaki ağa servisler sağlayabilmesine imkân sağlar.
DMZ'ye ait servisler
Genellikle, dışarıdaki bir ağdan kullanıcılarına hizmet veren herhangi bir servis DMZ içerisine konumlandırılır. Bu servislerden en yaygını web sunucuları, posta sunucuları, FTP sunucuları, VoIP sunucuları ve DNS sunucularıdır. Bazı durumlarda, güvenli servisler sağlayabilmek için atılması gerekli olan ek adımlara ihtiyaç duyulur.
Web sunucuları
Web sunucusu, bazı uzman servisler sağlamak için içerideki bir veritabanıyla iletişim kurmaya ihtiyaç duyabilir. Veritabanı sunucusu alenen erişilemez ve hassas bilgi içerebildiğinden dolayı DMZ içinde olmamalıdır. Genellikle, web sunucusunun içerideki veritabanı sunucusuyla doğrudan iletişim kurmasına müsaade edilmesi iyi bir fikir değildir. Bunun yerine, veritabanı sunucusu ve web sunucusu arasındaki iletişimde bir vasıta görevi gören bir uygulama katmanı güvenlik duvarı kullanılabilir. Bu, daha karmaşık olmasına rağmen ek bir güvenlik katmanı sağlar.
E-posta sunucuları
E-postanın gizli doğasından dolayı, DMZ içerisinde e-posta saklamak kötü bir fikirdir ve ayrıca orada kullanıcı veritabanı saklamak da kötü bir fikirdir. Onun yerine, DMZ içindeki gizli bir alanda (internetten erişimi olmayan ama erişim yapılabilen bir alan) bulunan içerideki bir e-posta sunucusunda e-posta saklanmalıdır. Bazı insanlar içerideki e-posta sunucusunu bir LAN bölgesine yerleştiriyorlar ama bu iyi bir uygulama değildir çünkü ondan iyi performans almanızı engeller. Aynı zamanda bir güvenlik problemi doğurabilir çünkü bu yapılandırma, dışarıdan gelen saldırılara karşı güvenlik sağlamasına rağmen içeriden gelen saldırılara karşı koruma yapamaz (örneğin iletişim edilmiş veya edilmiş olabilir).
DMZ içindeki posta sunucusu, güvenli/içerideki posta sunucularına gelen postaya geçit vermelidir ve bu posta sunucusu dışarıdaki posta sunucularına giden postaya geçit vermelidir.
Vekil sunucular
Bir iş ortamında; güvenlik, yasal uyum ve gerekçe takibi yapabilmek için DMZ içerisinde bir vekil sunucu da kurulması önerilir. Bunu yapmanın aşağıdaki yararları vardır:
- İçerideki kullanıcıların (genellikle işçilerin), internet erişimi yapmaları için bu vekil sunucuyu kullanmalarını mecbur kılar. Kullanıcıların, doğrudan internette gezinmelerine ve DMZ korumalarını atlatmalarına izin verilmemiş olur.
- Şirketin, internet bant genişliğinden tasarruf etmesine imkân sağlar çünkü web içeriğinin bir kısmı vekil sunucu tarafından önbelleğe alınmış olabilir.
- Kullanıcı aktivitelerini izlemek ve kaydetmek için ve yasal olmayan içeriğin işçiler tarafından download veya upload edilmediğinden emin olmak için sistem yöneticisine imkân sağlar. Örneğin birçok Avrupa Birliği ülkesinde bir şirket yöneticisi, işçilerinin aktivitelerine karşı sorumludur.
Ters vekil sunucular
Bir , bir vekil sunucu olarak ama farklı bir yoldan benzer hizmeti sağlar. İçerideki kullanıcılara bir hizmet sağlamak yerine, dışarıdaki ağdan (genellikle internet) içerideki kaynaklara dolaylı erişimi mümkün kılar. Dışarıdaki kullanıcılara, bir arka-ofis uygulaması (bir e-posta sistemi gibi) sağlanıyor olabilir (şirket dışında iken e-postaları okumak için) fakat uzaktaki kullanıcı, e-posta sunucusuna doğrudan erişim hakkına sahip değildir. Yalnızca ters vekil sunucu, içerideki e-posta sunucusuna fiziksel olarak erişebilir. Bu, dışarıdan içerideki kaynaklara erişimin ihtiyaç duyulduğu zamanlarda özellikle tavsiye edilen bir ekstra güvenlik katmanıdır. Genellikle böyle bir ters vekil mekanizması; belirli erişimi bir yaptığı gibi kontrol etmekten daha ziyade belirli bir trafik biçime odaklanmış bir uygulama katmanı güvenlik duvarı kullanılarak sağlanır.
Mimari
DMZ'li bir ağı tasarlamanın birçok farklı yolu vardır. En temel yöntemlerden ikisi, tek bir güvenlik duvarlı olanı ile üç bacaklı model olarak da bilinen çift güvenlik duvarlı olanıdır. Bu mimariler, ağ gereksinimlerine bağlı olarak çok karmaşık mimariler oluşturmak amacıyla genişletilmiş olabilirler.
Tek güvenlik duvarı
En az 3 ağ arayüzlü bir tek güvenlik duvarı, DMZ içeren bir ağ mimarisi oluşturmak amacıyla kullanılabilinir. Dışarıdaki ağ, ilk ağ arayüzündeki güvenlik duvarına gelen ISS'ten (İnternet Servis Sağlayıcı) oluşur. İçerideki ağ, ikinci ağ arayüzünden oluşur. DMZ ise üçüncü ağ arayüzünden oluşur. Güvenlik duvarı ağ için tek bir bir başarısızlık noktası olur, hem DMZ'ye hem de içerideki ağa giden bütün trafiği işleyebilmelidir. Bölgeler genellikle renklerle işaretlenir; örneğin LAN için mor, DMZ için yeşil, İnternet için kırmızı (kablosuz bölgeler için çoğu kez başka renk kullanılır).
Çift güvenlik duvarı
Bir DMZ oluşturmak için iki güvenlik duvarı kullanmak çok daha güvenli bir yaklaşımdır. İlk güvenlik duvarı (“ön-arka” güvenlik duvarı olarak da isimlendirilir) yalnızca DMZ'ye yöneltilmiş trafiğe izin vermek için yapılandırılmış olmalıdır. İkinci güvenlik duvarı (“arka-ön” güvenlik duvarı olarak da isimlendirilir) yalnızca DMZ'den içerideki ağa trafiğe izin verir. İlk güvenlik duvarı, ikinci güvenlik duvarından çok daha fazla miktarda trafik işler.
Bazıları, iki güvenlik duvarının farklı iki sağlayıcı tarafından sağlanmış olmasını önerir. Eğer bir saldırgan ilk güvenlik duvarını yarıp geçmeyi becerebilirse, farklı bir sağlayıcı tarafından yapılmış olan ikincisini yarıp geçmek daha çok vakit alacaktır. (bu mimari elbette daha masraflıdır). Farklı sağlayıcılar tarafından yapılmış farklı güvenlik duvarlarını kullanma uygulaması bazen ya "derinlemesine savunma" ya da "" (bir muhalif bakış açısından) olarak tanımlanır.
DMZ konağı
Bazı ana yönlendiriciler bir DMZ konağı olarak adlandırılır. Bir ana yönlendirici DMZ konağı, portlarının başka bir şekilde yönlendirilmesi haricinde, tüm portlarının açığa çıkarıldığı iç ağdaki bir konaktır. Tanımı gereği gerçek bir DMZ (Sivil Bölge) değildir, çünkü tek başına konağı iç ağdan ayırmaz. Böylece DMZ konağı iç ağdaki konaklara bağlanabilirken, bir güvenlik duvarı tarafından gerçek bir DMZ içindeki konakların iç ağla bağlantı kurması engellenir, elbette güvenlik duvarı bağlantıya izin de verebilir. Bir güvenlik duvarı buna, eğer dahili ağdaki bir konak önce DMZ içindeki konakla bir bağlantı talep ederse izin verebilir. DMZ konağı, bir alt-ağın sunduğu güvenlik avantajlarının hiçbirini sunmaz ve çoğunlukla, tüm portları başka bir güvenlik duvarına / NAT cihazına yönlendiren kolay bir yöntem olarak kullanılır
Bireysel Amaçlı DMZ Kullanımı
Son kullanıcı açısında özellikle modem ayar ekranında bu özellik yer almaktadır. kullanılan modemin izin verdiği ; bilinen tüm port ve interet protokollerinin belli bir IP ye yönlendirilmesini sağlar. genelde bu özellik oyun konsollarının internete girmesi için (tek tek port açmak yerine) bu yönetem kullanılır.
Bunlara da bakın
Kaynakça
- SolutionBase: Strengthen network defenses by using a DMZ 6 Aralık 2012 tarihinde Archive.is sitesinde arşivlendi by Deb Shinder at .
- Eric Maiwald. Network Security: A Beginner's Guide. Second Edition. McGraw-Hill/Osborne, 2003.
- Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Bilgisayar guvenligi nde bir DMZ veya sivil bolge ya da dizginleme bolgesi bir kurulusun dis servislerini iceren ve bu servisleri daha buyuk guvensiz bir aga genellikle internet maruz birakan fiziksel veya mantiksal bir alt agdir Genellikle BT profesyonelleri tarafindan DMZ olarak adlandirilir Bazen de Cevre Agi olarak adlandirilir Bir DMZ nin amaci bir kurulusun Yerel Alan Agi LAN a ek bir guvenlik katmani eklemektir disaridaki bir saldirganin agin herhangi baska bir bolumunden ziyade yalnizca DMZ icindeki ekipmana erisimi vardir GerekceBir agda yerel alan aginin disindaki kullanicilar icin servisler saglayan konaklar e posta web ve DNS sunuculari gibi saldiriya en acik olanlardir Bu konaklarin ele gecirilme potansiyelleri yuksek oldugundan dolayi onlar bir davetsiz misafir basariya ulastiginda agin geri kalanini korumak amaciyla kendi alt aglari icerisine yerlestirilirler DMZ icindeki konaklarin ic agdaki belirli konaklarla bilgi alisverisi yapabilme yetenekleri kisitlanmistir her ne kadar DMZ icindeki diger konaklarla ve disaridaki aglarla iletisimine izin verilmis olsa bile Bu DMZ sunuculari ile icerideki ag istemcileri arasindaki trafigi bir araci guvenlik duvari kontrol ediyorken DMZ icindeki konaklarin hem icerideki hem de disaridaki aga servisler saglayabilmesine imkan saglar DMZ ye ait servislerGenellikle disaridaki bir agdan kullanicilarina hizmet veren herhangi bir servis DMZ icerisine konumlandirilir Bu servislerden en yaygini web sunuculari posta sunuculari FTP sunuculari VoIP sunuculari ve DNS sunucularidir Bazi durumlarda guvenli servisler saglayabilmek icin atilmasi gerekli olan ek adimlara ihtiyac duyulur Web sunuculari Web sunucusu bazi uzman servisler saglamak icin icerideki bir veritabaniyla iletisim kurmaya ihtiyac duyabilir Veritabani sunucusu alenen erisilemez ve hassas bilgi icerebildiginden dolayi DMZ icinde olmamalidir Genellikle web sunucusunun icerideki veritabani sunucusuyla dogrudan iletisim kurmasina musaade edilmesi iyi bir fikir degildir Bunun yerine veritabani sunucusu ve web sunucusu arasindaki iletisimde bir vasita gorevi goren bir uygulama katmani guvenlik duvari kullanilabilir Bu daha karmasik olmasina ragmen ek bir guvenlik katmani saglar E posta sunuculari E postanin gizli dogasindan dolayi DMZ icerisinde e posta saklamak kotu bir fikirdir ve ayrica orada kullanici veritabani saklamak da kotu bir fikirdir Onun yerine DMZ icindeki gizli bir alanda internetten erisimi olmayan ama erisim yapilabilen bir alan bulunan icerideki bir e posta sunucusunda e posta saklanmalidir Bazi insanlar icerideki e posta sunucusunu bir LAN bolgesine yerlestiriyorlar ama bu iyi bir uygulama degildir cunku ondan iyi performans almanizi engeller Ayni zamanda bir guvenlik problemi dogurabilir cunku bu yapilandirma disaridan gelen saldirilara karsi guvenlik saglamasina ragmen iceriden gelen saldirilara karsi koruma yapamaz ornegin iletisim edilmis veya edilmis olabilir DMZ icindeki posta sunucusu guvenli icerideki posta sunucularina gelen postaya gecit vermelidir ve bu posta sunucusu disaridaki posta sunucularina giden postaya gecit vermelidir Vekil sunucular Bir is ortaminda guvenlik yasal uyum ve gerekce takibi yapabilmek icin DMZ icerisinde bir vekil sunucu da kurulmasi onerilir Bunu yapmanin asagidaki yararlari vardir Icerideki kullanicilarin genellikle iscilerin internet erisimi yapmalari icin bu vekil sunucuyu kullanmalarini mecbur kilar Kullanicilarin dogrudan internette gezinmelerine ve DMZ korumalarini atlatmalarina izin verilmemis olur Sirketin internet bant genisliginden tasarruf etmesine imkan saglar cunku web iceriginin bir kismi vekil sunucu tarafindan onbellege alinmis olabilir Kullanici aktivitelerini izlemek ve kaydetmek icin ve yasal olmayan icerigin isciler tarafindan download veya upload edilmediginden emin olmak icin sistem yoneticisine imkan saglar Ornegin bircok Avrupa Birligi ulkesinde bir sirket yoneticisi iscilerinin aktivitelerine karsi sorumludur Ters vekil sunucular Bir bir vekil sunucu olarak ama farkli bir yoldan benzer hizmeti saglar Icerideki kullanicilara bir hizmet saglamak yerine disaridaki agdan genellikle internet icerideki kaynaklara dolayli erisimi mumkun kilar Disaridaki kullanicilara bir arka ofis uygulamasi bir e posta sistemi gibi saglaniyor olabilir sirket disinda iken e postalari okumak icin fakat uzaktaki kullanici e posta sunucusuna dogrudan erisim hakkina sahip degildir Yalnizca ters vekil sunucu icerideki e posta sunucusuna fiziksel olarak erisebilir Bu disaridan icerideki kaynaklara erisimin ihtiyac duyuldugu zamanlarda ozellikle tavsiye edilen bir ekstra guvenlik katmanidir Genellikle boyle bir ters vekil mekanizmasi belirli erisimi bir yaptigi gibi kontrol etmekten daha ziyade belirli bir trafik bicime odaklanmis bir uygulama katmani guvenlik duvari kullanilarak saglanir MimariDMZ li bir agi tasarlamanin bircok farkli yolu vardir En temel yontemlerden ikisi tek bir guvenlik duvarli olani ile uc bacakli model olarak da bilinen cift guvenlik duvarli olanidir Bu mimariler ag gereksinimlerine bagli olarak cok karmasik mimariler olusturmak amaciyla genisletilmis olabilirler Tek guvenlik duvari En az 3 ag arayuzlu bir tek guvenlik duvari DMZ iceren bir ag mimarisi olusturmak amaciyla kullanilabilinir Disaridaki ag ilk ag arayuzundeki guvenlik duvarina gelen ISS ten Internet Servis Saglayici olusur Icerideki ag ikinci ag arayuzunden olusur DMZ ise ucuncu ag arayuzunden olusur Guvenlik duvari ag icin tek bir bir basarisizlik noktasi olur hem DMZ ye hem de icerideki aga giden butun trafigi isleyebilmelidir Bolgeler genellikle renklerle isaretlenir ornegin LAN icin mor DMZ icin yesil Internet icin kirmizi kablosuz bolgeler icin cogu kez baska renk kullanilir Cift guvenlik duvari Bir DMZ olusturmak icin iki guvenlik duvari kullanmak cok daha guvenli bir yaklasimdir Ilk guvenlik duvari on arka guvenlik duvari olarak da isimlendirilir yalnizca DMZ ye yoneltilmis trafige izin vermek icin yapilandirilmis olmalidir Ikinci guvenlik duvari arka on guvenlik duvari olarak da isimlendirilir yalnizca DMZ den icerideki aga trafige izin verir Ilk guvenlik duvari ikinci guvenlik duvarindan cok daha fazla miktarda trafik isler Bazilari iki guvenlik duvarinin farkli iki saglayici tarafindan saglanmis olmasini onerir Eger bir saldirgan ilk guvenlik duvarini yarip gecmeyi becerebilirse farkli bir saglayici tarafindan yapilmis olan ikincisini yarip gecmek daha cok vakit alacaktir bu mimari elbette daha masraflidir Farkli saglayicilar tarafindan yapilmis farkli guvenlik duvarlarini kullanma uygulamasi bazen ya derinlemesine savunma ya da bir muhalif bakis acisindan olarak tanimlanir DMZ konagiBazi ana yonlendiriciler bir DMZ konagi olarak adlandirilir Bir ana yonlendirici DMZ konagi portlarinin baska bir sekilde yonlendirilmesi haricinde tum portlarinin aciga cikarildigi ic agdaki bir konaktir Tanimi geregi gercek bir DMZ Sivil Bolge degildir cunku tek basina konagi ic agdan ayirmaz Boylece DMZ konagi ic agdaki konaklara baglanabilirken bir guvenlik duvari tarafindan gercek bir DMZ icindeki konaklarin ic agla baglanti kurmasi engellenir elbette guvenlik duvari baglantiya izin de verebilir Bir guvenlik duvari buna eger dahili agdaki bir konak once DMZ icindeki konakla bir baglanti talep ederse izin verebilir DMZ konagi bir alt agin sundugu guvenlik avantajlarinin hicbirini sunmaz ve cogunlukla tum portlari baska bir guvenlik duvarina NAT cihazina yonlendiren kolay bir yontem olarak kullanilirBireysel Amacli DMZ KullanimiSon kullanici acisinda ozellikle modem ayar ekraninda bu ozellik yer almaktadir kullanilan modemin izin verdigi bilinen tum port ve interet protokollerinin belli bir IP ye yonlendirilmesini saglar genelde bu ozellik oyun konsollarinin internete girmesi icin tek tek port acmak yerine bu yonetem kullanilir Bunlara da bakinKaynakcaSolutionBase Strengthen network defenses by using a DMZ 6 Aralik 2012 tarihinde Archive is sitesinde arsivlendi by Deb Shinder at Eric Maiwald Network Security A Beginner s Guide Second Edition McGraw Hill Osborne 2003 Internet Firewalls Frequently Asked Questions compiled by Matt Curtin Marcus Ranum and Paul Robertson