Ağ Güvenliği

DMZ (Silahsızlandırılmış Bölge)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Web siteniz internete açık olmak ZORUNDA — ama saldırgan o sunucuyu ele geçirirse şirketin tüm iç ağına atlamasına izin verir misiniz? DMZ tam da bu felaketi önlemek için vardır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta ağ güvenliğinin temel mimari kavramı olan DMZ'yi (Silahsızlandırılmış Bölge) öğreniyoruz. DMZ, dışarıya hizmet vermek zorunda olan sunucularımızı güvenle barındırmamızı, bir saldırı anında ise hasarı tek bir bölgeye hapsetmemizi sağlar.

Anlatım

NEDİR? DMZ (Demilitarized Zone / Silahsızlandırılmış Bölge), güvenilmeyen dış ağ (İnternet) ile korunan iç ağ (LAN) arasında konumlandırılan, izole edilmiş bir ara güvenlik bölgesidir. Adını askeri 'silahsızlandırılmış tampon bölge' kavramından alır: ne tam dışarısı ne de tam içerisidir. Web sunucusu, e-posta sunucusu, DNS, FTP gibi dışarıdan erişilmesi GEREKEN servisler DMZ'ye yerleştirilir; veritabanı, dosya sunucusu, kullanıcı bilgisayarları gibi hassas iç kaynaklar ise asla DMZ'ye konmaz, iç ağda kalır. NASIL ÇALIŞIR? DMZ tipik olarak iki güvenlik duvarı (firewall) ile kurulur: 1) Dış güvenlik duvarı: İnternet ile DMZ arasındadır. Dışarıdan yalnızca DMZ'deki servislere (örn. web sunucusuna 443/HTTPS portu) trafiğe izin verir. 2) İç güvenlik duvarı: DMZ ile iç ağ (LAN) arasındadır. DMZ'den iç ağa doğru trafiği çok katı kurallarla kısıtlar. Temel kural şudur: İnternetten gelen istek DMZ'de DURUR; DMZ'deki sunucu gerekirse iç ağdaki veritabanına yalnızca izin verilen tek bir port üzerinden, kontrollü biçimde erişir. İnternet hiçbir zaman iç ağa DOĞRUDAN ulaşamaz. Tek güvenlik duvarlı, üç bacaklı (three-legged) tasarımda ise tek bir firewall'un üç ayrı arayüzü (dış / DMZ / iç) bulunur ve trafik bu üç bölge arasında kurallarla yönlendirilir. NEDEN ÖNEMLİ / İŞ YERİNDE DMZ'nin asıl değeri 'sınırlama' (containment) ilkesidir: Dışa açık bir sunucu en savunmasız hedeftir ve er ya da geç saldırıya uğrayabilir. Saldırgan DMZ'deki web sunucusunu ele geçirse bile, iç güvenlik duvarı sayesinde şirketin muhasebe, İK ve müşteri veritabanlarının bulunduğu iç ağa SIÇRAYAMAZ. Böylece tek bir sunucunun düşmesi tüm kurumun çökmesine dönüşmez. Bu yaklaşım 'derinlemesine savunma' (defense in depth) ve ağ segmentasyonu prensiplerinin en somut uygulamasıdır. DİKKAT / İYİ UYGULAMA • DMZ'ye yalnızca dışa açık OLMASI ZORUNLU servisleri koyun; veritabanını ASLA DMZ'ye koymayın. • İç güvenlik duvarında 'varsayılan reddet' (default deny) politikası uygulayın: yalnız gerekli portlara izin verin. • DMZ sunucularını sıkılaştırın (hardening), düzenli yama yapın ve günlüklerini SIEM ile izleyin. • DMZ'den iç ağa bağlantılar mümkün olduğunca tek yönlü ve sınırlı tutulmalı; iç ağdan DMZ'ye değil, DMZ'den iç ağa erişim en sıkı kontrol edilen yöndür.

📌 Senaryolar
📌 Örnek 1: Bir e-ticaret şirketi web sitesini barındırmak istiyor ancak müşteri kredi kartı verilerini içeren veritabanını korumak zorunda. Açıklama: Web sunucusu DMZ'ye, veritabanı iç ağa yerleştirilir. Dış firewall İnternetten yalnızca web sunucusunun 443 portuna izin verir. Web sunucusu sipariş kaydederken iç firewall üzerinden veritabanına yalnızca tek bir veritabanı portundan (örn. 5432) erişir. Saldırgan web sunucusunu ele geçirse bile kart verilerine doğrudan ulaşamaz; iç firewall yolu keser.
📌 Örnek 2: Bir kurum kendi e-posta (SMTP) ve genel DNS sunucusunu işletmek istiyor. Açıklama: Bu servisler dışarıdan erişilebilir olmak zorunda olduğundan DMZ'ye konur. Dışarıdan SMTP (25/587) ve DNS (53) portlarına izin verilir, ancak bu sunucuların iç ağdaki Active Directory veya dosya sunucularına erişimi kısıtlanır. Böylece dışa dönük e-posta sunucusu hacklenirse bile, kurumsal kimlik altyapısı korunmuş kalır.
📌 Örnek 3: Bir hastane, hasta randevu portalını İnternet'e açarken hasta kayıtları (HBYS/veritabanı) sistemini içeride tutmak istiyor. Açıklama: Randevu portalı uygulama sunucusu DMZ'ye konur; hasta kayıt veritabanı iç ağda kalır. İç firewall, portal sunucusunun yalnızca belirli bir API/port üzerinden ve yalnızca gerekli sorgular için iç sisteme erişmesine izin verir. Bir saldırgan halka açık portalı ele geçirse bile hassas sağlık verilerine toplu erişim sağlayamaz — hasar DMZ'de sınırlanır.
Özet

• DMZ, İnternet ile iç ağ arasındaki izole tampon güvenlik bölgesidir. • Dışa açık servisler (web, e-posta, DNS) DMZ'ye; veritabanı ve hassas kaynaklar iç ağa konur. • Genelde iki firewall (veya üç bacaklı tek firewall) ile kurulur; İnternet iç ağa asla doğrudan ulaşamaz. • Asıl amaç sınırlamadır: dışa açık bir sunucu ele geçirilse bile saldırgan iç ağa sıçrayamaz (defense in depth).

✅ Mini-Test (5)
1.DMZ'nin ağ mimarisindeki temel amacı aşağıdakilerden hangisidir?
2.Aşağıdaki sunuculardan hangisi tipik olarak DMZ'ye YERLEŞTİRİLMEZ?
3.Klasik iki güvenlik duvarlı DMZ mimarisinde iç güvenlik duvarının (DMZ ile LAN arasındaki) ana görevi nedir?
4.DMZ'de bulunan bir web sunucusu ele geçirilse bile, doğru yapılandırılmış bir iç güvenlik duvarı saldırganın iç ağdaki veritabanına doğrudan ulaşmasını engelleyebilir.
5.İnternetten gelen kullanıcılar, DMZ'yi atlayarak iç ağdaki sunuculara doğrudan erişebilmelidir.
← Tüm sözlük terimleri · Farkındalık eğitimi