Из Википедии
В области компьютерной безопасности DMZ (иногда называемая сетью по периметру) - это физическая или логическая подсеть, которая содержит внешние службы организации и подвергает их воздействию большей ненадежной сети, обычно Интернета.
Почему это говорит ...
Большая недоверенная сеть, как правило, Интернет.
Я часто вижу, что Интернет считается ненадежной сетью. Есть ли для этого причины?
Мне нравятся аналогии. Ты тоже должен.
Представьте, что интернет - это океан. Это довольно большое и внушительное и полное странных и замечательных существ, которые могут или не могут съесть вас заживо. К счастью для вас, с юных лет вас учили, что куда бы вы ни пошли, там найдутся несколько существ, которые не могут дождаться, чтобы покусать ваши внутренности, но что они примерно 30 футов в длину и такие редкие зрение, вы, вероятно, выиграете в лотерею 3 раза подряд, прежде чем станете битыми один на один, и что вам не стоит слишком беспокоиться о них. Чему они не учили вас в школе, так это тому, что эти кусачки буквально повсюду и бывают разных размеров.
Ваши внутренности очень важны, и вы не хотите, чтобы на них что-нибудь грызло. Будучи настойчивым человеком, настроенным на плавание, вы стремитесь найти способ плавать без заботы в мире, зная, что это не вы, чье счастье так мало, чтобы получить клев.
К счастью для вас, ваши родители являются ветеранами Нибблеровской войны 70-х годов и частично решили проблему, окружив себя клетками Фарадея. Итак, они посадили вас в клетку (несмотря на ваши протесты) и бросили в океан с аквалангом. В вашей клетке вы в безопасности от морских обитателей, питающихся внутренним миром, и вы можете счастливо плавать в ее пределах, не опасаясь морских существ. Возможно, клетка не такая тугая, как думали ваши родители, и вам удастся вытолкнуть свои придатки (от которых рыба, питающаяся внутренними веществами, выскочит на мгновение, если они почувствуют ваш запах); но это вина твоих родителей за то, что они не положили достаточное количество решеток в клетку.
Хорошо, это довольно ужасная аналогия, но дело в следующем; крупные компании не хотят, чтобы их данные были скомпрометированы, поэтому они помещают вещи в частные сети, где они знают, что хакеры не смогут прикоснуться к ним, не приложив сначала много усилий (или какой-то удивительной социальной инженерии). Но так как вы все еще можете получить доступ к Интернету, существует вероятность того, что ваш собственный компьютер будет взломан, что приведет к раскрытию большей сети.
Поскольку компания контролирует, через какую информацию может проходить информация, она может смягчить ущерб, наносимый общедоступным сайтам, и быть довольна тем, что ни один из ее внутренних компонентов сети не был разоблачен.
Чтобы ответить «почему Интернет небезопасен?«На самом деле нам нужно понять,« как работает интернет?». И, сделав еще один шаг вперед, давайте спросим: «Что такое Интернет?».
Учебник для младших классов определит Интернет как сеть сетей, и это остается верным для уровня технического директора. В практическом плане, начните думать с того, как вы читаете этот текст. Вы читаете это либо со своего персонального компьютера / ноутбука, либо с рабочего стола офиса. Если это персональный компьютер, вы подключаетесь к Интернет-провайдеру или подключаетесь к локальной сети, этот шаг для вас уже сделал кто-то другой. Сама ЛВС - это сеть, хотя и меньше. В локальной сети будут компьютеры и маршрутизаторы (могут быть серверы).
Когда ЛВС подключается к Интернет-провайдеру, к которому подключено больше ПК, серверов, маршрутизаторов и ЛВС, она становится частью более крупной сети. Когда эти большие сети будут подключены, у нас будет огромная сеть, которая называется Интернет.
Опять вернемся к основам. Как могут общаться любые два компьютера? Они посылают друг другу пакеты информации, которые представлены в четко определенном протоколе, который понимают обе системы. Думайте об этом как об одном человеке, отправляющем письмо другому, письмо - это пакет, а протокол - это несколько простых правил, которые обеспечивают правильную передачу информации.
Например, я пишу по-английски, и вы понимаете, что это значит. Теперь, если второй человек находится так далеко, что человек не может доставить письмо сам, ему нужно будет доверять посредникам. Вы можете воспользоваться почтой или курьерской службой. Теперь, если место находится далеко, одно почтовое отделение отправит письмо второму, которое пройдет его дальше, пока не достигнет пункта назначения.
Такая же аналогия работает для Интернета. Когда вы отправляете или выбираете информацию в Интернете, она должна проходить через множество маршрутизаторов и серверов.
Безопасна ли информация в вашем письме, когда вы ее публикуете? Да, но только до того момента, пока его не откроет работник почты или кто-нибудь в пути. То же самое верно для Интернета.
Поскольку информация проходит через очень много маршрутизаторов и серверов, или данные фактически находятся на каком-либо сервере, любой, кто может получить доступ, может получить эту информацию. Конечно, существуют меры безопасности, протоколы (SSH/ https) и шифрование обычно используются. Но любой алгоритм, который может защитить информацию, также будет иметь контр-алгоритм, который позволит получить доступ.
Проще говоря, ваши данные на сто процентов безопасны, пока вы не окажетесь в изолированной системе, в тот момент, когда вы подключаетесь к сети, кто-то может получить доступ к данным (преувеличено? Да). Это будет сводиться к разумности человека, который пытается сохранить информацию против человека, который пытается получить доступ к информации
Информация, которую вы получаете из Интернета, поступает с определенного компьютера, который ... ну ... он где-то там. Вы не знаете, кто владеет или управляет этим компьютером. Вы также не знаете, кто поместил информацию на это.
Чтобы перейти с этого компьютера на ваш, информация должна пройти через несколько маршрутизаторов. Каждый маршрутизатор имеет возможность изменять данные, проходящие через него, и вы не знаете, кто владеет или управляет маршрутизаторами.
Вот почему вы не можете доверять Интернету, по крайней мере, в смысле "доверия", как это используется при обсуждении вопросов безопасности: вы можете получать данные от злонамеренного создателя или данные могут отправляться вредоносным сервером, или данные могли быть изменены при передаче вредоносным маршрутизатором.
Если вы не предприняли некоторые меры для проверки как личности отправителя (например, если источник предоставил подписанный цифровой сертификат), так и целостности канала связи (например, используя зашифрованный протокол), вы не сможете сделать гораздо больше. чем скрестить пальцы и надеяться, что то, что вы получите, будет таким же, как вы просили.
Ненадежные означает, что данные, проходящие через слои, не защищены. Вы никогда не знаете, что происходит с вашими данными. Любой может манипулировать этим.Данные могут быть потеряны или повреждены во время передачи. Это может потерять свою целостность и конфиденциальность. Человек с большим количеством навыков может взломать ваши данные. Обычно есть много техники, с помощью которой вы можете обезопасить себя, но все же она может быть взломана хакерами.
Интернет также называют небезопасным, потому что он использует протокол IPv4, который является ненадежным протоколом дейтаграмм без установления соединения. Это не обеспечивает контроль ошибок и управление потоком. Для надежности он соединен с надежным протоколом TCP для передачи данных на транспортном уровне.
Интернет "каждый в мире с сетевым подключением".
Вы доверяете всем в мире с сетевым подключением? Хотите ли вы, чтобы все они могли подключаться к базе данных заработной платы вашей компании?
Если нет, то поэтому Интернет "не заслуживает доверия".
Если это так, пожалуйста, сообщите нам IP-адрес, чтобы мы могли начать получать чеки. ;)
Представь себя дома, там твоя мама, твой папа, твоя сестра. Если бы один из них попросил вас одолжить у вас 100 долларов, что бы вы сделали? Теперь представьте, что на стадионе полно людей, которых вы не знаете, и кто-то спросил у вас 100 $, вы бы по-другому отреагировали?
В интернете есть люди, которые могут извлечь выгоду из вашей личности. Они могут взять под контроль ваш компьютер и очистить ваш банковский счет. Они могут использовать ваш компьютер для атаки на другие компьютеры. Есть люди, которые используют социальную инженерию, чтобы обмануть вас. Есть люди, которые используют трояны и вирусы для распространения своей досягаемости.
Когда вы подключены к Интернету, вы становитесь уязвимыми для этих людей.
Поведение по умолчанию интернет-пользователей - недоверие ко всем и ко всему. Вот почему это считается ненадежной сетью, потому что вы никогда не знаете, кто находится на другом конце линии и что он хочет от вас.
Вкратце, "доверие" к компьютерной безопасности не совсем то же самое, что и "доверие" в обычном смысле. Это должно быть расширено, чтобы включить понятие идентичности.
Давайте начнем с обычного определения слова. OED определяет "доверие" как «Уверенность или доверие к какому-либо качеству или качеству человека или вещи или истинности утверждения». В эпоху до Интернета вы можете отправить конфиденциальное сообщение своей подруге Салли. Вы могли бы передать его третьей стороне, Боб, если бы были уверены, что он доставит сообщение Салли и никому другому. В этом случае вы полагаетесь на определенное качество Боба - его способность доставлять ваше сообщение дискретно. Другими словами, вы доверяете Бобу.
В Интернете можно подделать личность. Таким образом, "доверие" должно выходить за пределы доверия к качествам третьей стороны. Это должно включать опору на личность третьей стороны. Предположим, ваша доверенная третья сторона - доска объявлений на bob.com . В этом случае вы полагаетесь не только на усмотрение конкретной онлайн-системы, но и на то, что адрес bob.com действительно указывает на систему, которую вы считаете нужной . Но это последнее предположение неверно - есть много способов и взлом доменного имени. Если конфиденциальность вашего сообщения для Салли действительно важна, вы должны заставить bob.com подтвердить свою личность. И это одна из функций SSL.
Итак, мы говорим, что интернет в целом не заслуживает доверия не потому, что мы думаем, что все хотят нас заполучить, а потому, что это "доверие" в Интернете означает доказательство того, что сущности - это то, что они говорят. Механизмы доверия не встроены в Интернет из-за его происхождения как неформальной исследовательской сети, основанной на взаимном доверии - в простом английском смысле этого слова. Доверие - в смысле компьютерной безопасности - должно быть наслоено на.
Обратите внимание, что есть в основном три вещи, о которых нужно беспокоиться:
В полностью доверенной сети (например, сети, состоящей только из компьютеров в вашем собственном доме) у вас нет ни одной из этих проблем. Но выходите за пределы такой ограниченной среды, и вы должны быть обеспокоены.
Если компьютер, не защищенный брандмауэром, подключен к ненадежной сети, вы подвергаетесь воздействию всех трех факторов. Парень на другом конце может использовать данные, которые вы ему отправляете ненадлежащим образом, или он может отправлять вредоносные данные в вашу систему. Даже если парень на другом конце заслуживает доверия, кто-то, имеющий доступ к "трубе", может читать / манипулировать битами и байтами, чтобы извлечь ваши личные данные или отправить вредоносный контент либо вам, либо другому концу. И если кто-то может подключиться к вашему компьютеру без вашего согласия и манипулировать его внутренностями, все подвергается.
Доверие к другому концу, конечно, является вопросом суждения с вашей стороны. Вы (надеюсь) проявляете некоторую осторожность и не ведете бизнес на сайтах, которым у вас нет веских оснований для доверия (и никогда не используете дебетовую карту для совершения покупок в Интернете). И вы используете установку антивируса / брандмауэра, которая предотвратит установку вредоносного (или просто взломанного) сайта на ваш компьютер.
Обеспечение хорошего бескомпромиссного соединения с другим концом - это в основном вопрос использования зашифрованного протокола. Для HTTP это обычно HTTPS - версия протокола HTTP, которая добавляет уровень шифрования SSL "Secure Socket Layer". Все авторитетные сайты, которые занимаются частными / финансовыми вопросами, должны использовать протокол HTTPS (который вы будете знать, потому что префикс URL-адреса «https:» и потому что в вашем браузере отображается значок "замка" или формулировка, такая как «Verified by: VeriSign, Inc»). msgstr "если навести курсор мыши на значок перед URL в адресной строке). Есть и другие подходы, такие как использование VPN (виртуальная частная сеть), но они больше подходят для бизнеса / коммерческой деятельности.
С точки зрения удержания плохих парней от прямого подключения вашего бокса, это сводится к наличию хорошего брандмауэра. Это может быть либо программное обеспечение брандмауэра на вашем компьютере (как часть антивирусного пакета, как правило), либо как отдельный аппаратный блок. (Эта функция часто включена в беспроводные маршрутизаторы, например.)
Зачем доверять любой сети, большой или маленькой? Доверие неуловимо, и, возможно, это худшее слово в этом контексте. Когда вы пересекаете любую границу сети, вам необходимо учитывать риск и предпринимать необходимые меры по смягчению.
Ненадежная сеть - это любая сеть, в которой сеть не полностью управляется группой или отделом, который управляет частной сетью.
Публичная сеть - это любая сеть, управляемая группой или отделом, которая управляет частной сетью, но может обращаться к устройствам в недоверенной сети.
Частная сеть - это любая сеть, управляемая группой или отделом, которая имеет доступ только к публичной сети.
