У дома > iOS > Пример за конфигуриране на dmz портове. Какво е DMZ и как да го настроите на рутер. Видео за конфигуриране на DMZ хост на рутер


Пример за конфигуриране на dmz портове. Какво е DMZ и как да го настроите на рутер. Видео за конфигуриране на DMZ хост на рутер





Кившенко Алексей, 1880 г

Тази статия предоставя общ преглед петопции за решаване на проблема с организирането на достъп до корпоративни мрежови услуги от Интернет. Като част от прегледа е предоставен анализ на възможностите за безопасност и осъществимост, който ще помогне да се разбере същността на проблема, да се опреснят и систематизират знанията им както за начинаещи, така и за по-опитни професионалисти. Материалите на статията могат да бъдат използвани за обосновка на вашите дизайнерски решения.

Когато разглеждаме опциите, нека вземем за пример мрежата, в която искате да публикувате:

  1. Корпоративен пощенски сървър (Web-mail).
  2. Корпоративен терминален сървър (RDP).
  3. Екстранет услуга за контрагенти (Web-API).

Вариант 1. Плоска мрежа

При тази опция всички възли на корпоративната мрежа се съдържат в една обща мрежа („Вътрешна мрежа“), в рамките на която комуникациите между тях не са ограничени. Мрежата е свързана към интернет чрез граничен рутер/защитна стена (по-нататък - IFW).

Възлите имат достъп до интернет чрез NAT и достъп до услуги от интернет чрез пренасочване на портове.

Предимства на опцията:

  1. Минимални изисквания за функционалност IFW(може да се направи на почти всеки, дори домашен рутер).
  2. Минимални изисквания към знанията на специалиста, реализиращ опцията.
Минуси на опцията:
  1. Минималното ниво на сигурност. В случай на хакване, при което Нарушителят придобива контрол върху един от сървърите, публикувани в Интернет, всички останали възли и комуникационни канали на корпоративната мрежа стават достъпни за него за по-нататъшни атаки.
Аналогия на реалния живот
Такава мрежа може да се сравни с компания, в която персоналът и клиентите са в една и съща обща стая (отворено пространство)


hrmaximum.ru

Вариант 2.DMZ

За да се елиминира горепосоченият недостатък, мрежовите възли, достъпни от Интернет, се поставят в специално разпределен сегмент - демилитаризирана зона (DMZ). DMZ е организиран с помощта на защитни стени, които го отделят от интернет ( IFW) и от вътрешната мрежа ( DFW).


В този случай правилата за филтриране на защитната стена изглеждат така:
  1. От вътрешната мрежа можете да инициирате връзки към DMZ и към WAN (Wide Area Network).
  2. От DMZ можете да инициирате връзки към WAN.
  3. От WAN можете да инициирате връзки към DMZ.
  4. Инициирането на връзки от WAN и DMZ към вътрешната мрежа е забранено.


Плюсове на опцията:
  1. Повишена сигурност на мрежата срещу хакване на отделни услуги. Дори ако някой от сървърите бъде хакнат, Нарушителят няма да има достъп до ресурси, разположени във вътрешната мрежа (например мрежови принтери, системи за видеонаблюдение и др.).
Минуси на опцията:
  1. Само по себе си премахването на сървъри в DMZ не повишава тяхната сигурност.
  2. Необходима е допълнителна защитна стена, за да се отдели DMZ от вътрешната мрежа.
Аналогия на реалния живот
Тази версия на мрежовата архитектура е подобна на организацията на работните и клиентските зони в една компания, където клиентите могат да бъдат само в клиентската зона, а персоналът може да бъде както в клиентската, така и в работната зона. DMZ сегментът е точно аналогът на клиентската зона.


autobam.ru

Вариант 3. Разделяне на услугите на Front-End и Back-End

Както беше отбелязано по-рано, поставянето на сървър в DMZ по никакъв начин не подобрява сигурността на самата услуга. Един от вариантите за коригиране на ситуацията е да се раздели функционалността на услугата на две части: Front-End и Back-End. Освен това всяка част е разположена на отделен сървър, между който е организирано мрежово взаимодействие. Front-End сървърите, които изпълняват функционалността за взаимодействие с клиенти, разположени в Интернет, се поставят в DMZ, докато Back-End сървърите, които изпълняват останалата част от функционалността, остават във вътрешната мрежа. За взаимодействие между тях DFWсъздаване на правила, които позволяват иницииране на връзка от Front-End към Back-End.

Като пример, помислете за корпоративна пощенска услуга, обслужваща клиенти както от мрежата, така и от Интернет. Клиентите отвътре използват POP3/SMTP, а клиентите от Интернет работят през уеб интерфейса. Обикновено на етапа на внедряване компаниите избират най-простия начин за внедряване на услугата и поставяне на всички нейни компоненти на един сървър. След това, когато се осъзнае необходимостта от осигуряване на информационна сигурност, функционалността на услугата се разделя на части, като частта, която отговаря за обслужването на клиенти от Интернет (Front-End), се поставя на отделен сървър, който взаимодейства през мрежата със сървъра, който изпълнява останалата функционалност (Back -End). В този случай Front-End се поставя в DMZ, докато Back-End остава във вътрешния сегмент. За комуникация между Front-End и Back-End включен DFWсъздайте правило, което позволява инициирането на връзки от Front-End към Back-End.

Плюсове на опцията:

  1. В общия случай атаките, насочени срещу защитена услуга, могат да „спънат“ Front-End, което ще неутрализира или значително ще намали възможните щети. Например TCP SYN Flood или атаки за бавно четене на http срещу услуга ще доведат до недостъпност на Front-End сървъра, докато Back-End продължава да функционира нормално и да обслужва потребителите.
  2. По принцип Back-End сървърът може да няма достъп до интернет, което, ако бъде хакнат (например от локално стартиран зловреден код), ще затрудни дистанционното му управление от интернет.
  3. Предният край е много подходящ за хостване на защитна стена на ниво приложение (като защитна стена за уеб приложения) или система за предотвратяване на проникване (IPS, като snort).
Минуси на опцията:
  1. За комуникация между Front-End и Back-End включен DFWсъздава се правило, което позволява инициирането на връзка от DMZ към вътрешната мрежа, което създава заплахи, свързани с използването на това правило от други възли в DMZ (например, поради прилагането на IP spoofing атаки, ARP отравяне и т.н.)
  2. Не всички услуги могат да бъдат разделени на Front-End и Back-End.
  3. Компанията трябва да внедри бизнес процеси за актуализиране на правилата на защитната стена.
  4. Компанията трябва да внедри механизми за защита срещу атаки от нарушители, които са получили достъп до сървъра в DMZ.
Бележки
  1. В реалния живот, дори и без да се разделят сървърите на Front-End и Back-End, сървърите от DMZ много често имат нужда от достъп до сървъри, разположени във вътрешната мрежа, така че посочените недостатъци на тази опция ще важат и за предишната разгледана опция.
  2. Ако разгледаме защитата на приложенията, работещи през уеб интерфейса, тогава дори ако сървърът не поддържа разделяне на функциите между Front-End и Back-End, използвайки http обратен прокси сървър (например nginx) като Front-End End ще минимизира рисковете, свързани с атаки за отказ на услуга. Например атаките на SYN flood могат да направят http обратния прокси недостъпен, докато Back-End продължава да работи.
Аналогия на реалния живот
Тази опция е по същество подобна на организацията на труда, при която помощник-секретарите се използват за високо натоварени работници. Тогава Back-End ще бъде аналог на зает работник, а Front-End ще бъде аналог на секретарка.


mln.kz

Опция 4: Защитено от DMZ

DMZ е частта от мрежата, която е достъпна от Интернет и в резултат на това е изложена на най-висок риск от компрометиране на хоста. Дизайнът на DMZ и подходите, използвани в него, трябва да осигурят максимална устойчивост в случай, че Нарушител е получил контрол над един от възлите в DMZ. Като възможни атаки помислете за атаки, които засягат почти всички информационни системи, които работят с настройки по подразбиране:

Защита срещу атаки, свързани с DHCP

Въпреки факта, че DHCP е предназначен да автоматизира конфигурацията на IP адреси за работни станции, в някои компании има случаи, когато IP адреси се издават за сървъри чрез DHCP, но това е доста лоша практика. Следователно, за да се предпазите от Rogue DHCP сървър, DHCP гладуване, се препоръчва напълно да деактивирате DHCP в DMZ.

Защита срещу MAC flood атаки

За защита срещу наводнение на MAC, портовете на комутатора са конфигурирани да ограничават максималния интензитет на излъчвания трафик (тъй като тези атаки обикновено генерират излъчван трафик (излъчване)). Атаките, включващи използването на специфични (unicast) мрежови адреси, ще бъдат блокирани от MAC филтриране, което обсъдихме по-рано.

Защита срещу UDP flood атаки

Защитата срещу този тип атака е подобна на защитата срещу MAC flood, с изключение на това, че филтрирането се извършва на ниво IP (L3).

Защита срещу TCP SYN flood атаки

За защита срещу тази атака са възможни следните опции:
  1. Защита на мрежови възли с TCP SYN Cookie технология.
  2. Защита на защитната стена (при условие, че DMZ е подмрежова) чрез ограничаване на скоростта на трафика, съдържащ TCP SYN заявки.

Защита срещу атаки на мрежови услуги и уеб приложения

Няма универсално решение на този проблем, но установената практика е да се прилагат процеси за управление на софтуерни уязвимости (откриване, инсталиране на пачове и др., например), както и използването на системи за откриване и предотвратяване на проникване (IDS / IPS) .

Защита срещу атаки за заобикаляне на удостоверяване

Както и в предишния случай, няма универсално решение на този проблем.
Обикновено, в случай на голям брой неуспешни опити за авторизация, акаунтите се блокират, за да се избегне изборът на данни за удостоверяване (например парола). Но този подход е доста противоречив и ето защо.
Първо, Нарушителят може да използва груба сила за удостоверяване на информация с интензивност, която не води до блокиране на акаунта (има случаи, когато паролата е била груба сила за няколко месеца с интервал между опитите от няколко десетки минути).
Второ, тази функция може да се използва за атаки за отказ на услуга, при които Нарушителят умишлено ще извърши голям брой опити за оторизация, за да блокира акаунти.
Най-ефективният вариант срещу атаки от този клас ще бъде използването на IDS / IPS системи, които при откриване на опити за отгатване на пароли ще блокират не акаунта, а източника, от който се извършва това кракване (например блокиране на IP адрес на нарушителя).

Окончателният списък със защитни мерки за тази опция:

  1. DMZ е разделена на IP подмрежи въз основа на отделна подмрежа за всеки хост.
  2. IP адресите се задават ръчно от администраторите. DHCP не се използва.
  3. На мрежовите интерфейси, към които са свързани DMZ възли, се активира MAC и IP филтриране, както и ограничения върху интензивността на излъчвания трафик и трафика, съдържащ TCP SYN заявки.
  4. На комутаторите автоматичното съгласуване на типа порт е деактивирано, използването на собствена VLAN е забранено.
  5. DMZ хостовете и вътрешните мрежови сървъри, към които тези хостове се свързват, са конфигурирани с TCP SYN Cookie.
  6. Управлението на софтуерните уязвимости е внедрено за DMZ хостове (и за предпочитане останалата част от мрежата).
  7. В DMZ сегмента се внедряват системи за откриване и предотвратяване на проникване IDS/IPS.
Плюсове на опцията:
  1. Висока степен на сигурност.
Минуси на опцията:
  1. Повишени изисквания към функционалността на оборудването.
  2. Разходи за труд при внедряване и поддръжка.
Аналогия на реалния живот
Ако по-рано сравнихме DMZ с клиентска зона, оборудвана с дивани и тахти, тогава защитената DMZ ще изглежда по-скоро като бронирана каса.


valmax.com.ua

Вариант 5. Обратно свързване

Мерките за защита, разгледани в предишната версия, се основават на факта, че в мрежата е имало устройство (суич / рутер / защитна стена), което може да ги приложи. Но на практика, например, когато се използва виртуална инфраструктура (виртуалните комутатори често имат много ограничени възможности), такова устройство може да не съществува.

При тези условия много от разгледаните по-рано атаки стават достъпни за Нарушителя, най-опасните от които ще бъдат:

  • атаки, които позволяват прихващане и модифициране на трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
  • атаки, свързани с използването на уязвимости на вътрешни мрежови сървъри, към които могат да се инициират връзки от DMZ (което е възможно чрез заобикаляне на правилата за филтриране DFWпоради IP и MAC подправяне).
Следващата важна характеристика, която не сме разглеждали преди, но която не престава да бъде по-малко важна от това, е, че потребителските работни станции (AWP) също могат да бъдат източник (например, когато са заразени с вируси или троянски коне) на вредни ефекти върху сървъри.

По този начин ние сме изправени пред задачата да защитим сървърите на вътрешната мрежа от атаки на нарушителя както от DMZ, така и от вътрешната мрежа (заразяването на AWP с троян може да се тълкува като действия на нарушителя от вътрешната мрежа).

Подходът, предложен по-долу, е насочен към намаляване на броя на каналите, през които един нарушител може да атакува сървъри, и има поне два такива канала. Първото е правилото за DFW, който позволява достъп до сървъра на вътрешната мрежа от DMZ (дори и да е ограничен от IP адреси), а вторият е мрежовият порт, отворен на сървъра, на който се очакват заявки за връзка.

Можете да затворите тези канали, ако самият сървър на вътрешната мрежа изгражда връзки към сървъра в DMZ и прави това с помощта на криптографски защитени мрежови протоколи. Тогава няма да има отворен порт, нито правило DFW.

Но проблемът е, че обикновените сървърни услуги не могат да работят по този начин и за да се приложи този подход, е необходимо да се използва мрежово тунелиране, реализирано, например, с помощта на SSH или VPN, и вече в рамките на тунелите позволяват връзки от сървър в DMZ към вътрешен мрежов сървър.

Общата схема на тази опция е следната:

  1. SSH/VPN сървър е инсталиран на сървър в DMZ, а SSH/VPN клиент е инсталиран на сървър във вътрешната мрежа.
  2. Вътрешният мрежов сървър инициира изграждането на мрежов тунел към сървъра в DMZ. Тунелът е изграден с взаимно удостоверяване на клиента и сървъра.
  3. Сървърът от DMZ в рамките на изградения тунел инициира връзка със сървъра във вътрешната мрежа, през който се предават защитените данни.
  4. Локална защитна стена е конфигурирана на вътрешния мрежов сървър, за да филтрира трафика, преминаващ през тунела.

Използването на тази опция на практика показа, че е удобно да се изграждат мрежови тунели с помощта на OpenVPN, тъй като има следните важни свойства:

  • Кросплатформен. Можете да организирате комуникация на сървъри с различни операционни системи.
  • Възможност за изграждане на тунели с взаимно удостоверяване на клиент и сървър.
  • Възможност за използване на сертифицирана криптография.
На пръв поглед може да изглежда, че тази схема е прекалено сложна и че тъй като все още трябва да инсталирате локална защитна стена на сървъра на вътрешната мрежа, е по-лесно да накарате сървъра от DMZ, както обикновено, да се свърже със сървъра на вътрешната мрежа себе си, но го направете чрез криптирана връзка. Наистина, тази опция ще затвори много проблеми, но няма да може да осигури най-важното - защита срещу атаки срещу уязвимостите на вътрешния мрежов сървър, извършвани чрез заобикаляне на защитната стена с помощта на IP и MAC spoofing.

Плюсове на опцията:

  1. Архитектурно намаляване на броя на векторите на атака върху сървъра на защитената вътрешна мрежа.
  2. Гарантиране на сигурност при липса на филтриране на мрежовия трафик.
  3. Защита на данните, предавани по мрежата, от неоторизиран преглед и модификация.
  4. Възможност за селективно повишаване на нивото на сигурност на услугите.
  5. Възможността за внедряване на двуконтурна защитна система, при която първият контур се осигурява с помощта на защитна стена, а вторият е организиран въз основа на тази опция.
Минуси на опцията:
  1. Внедряването и поддръжката на тази опция за защита изисква допълнителни разходи за труд.
  2. Несъвместимост със системи за откриване и предотвратяване на мрежови прониквания (IDS/IPS).
  3. Допълнително изчислително натоварване на сървърите.
Аналогия на реалния живот
Основният смисъл на тази опция е, че доверено лице установява връзка с недоверено лице, което е подобно на ситуацията, когато при издаване на заеми самите банки се обаждат на потенциален кредитополучател, за да проверят данните. Добави тагове

Представителството на всяка компания, която няма локална мрежа и достъп до интернет, става все по-трудно. Обща технология, която помага за подобряване на работата, осигурява бърз достъп до информация, обмен на документи, данни. Това е от една страна. От друга страна, с широкото разпространение на Интернет става необходимо да се реши проблемът със защитата на информацията и локалната мрежа като цяло. Този проблем е особено важен, когато компанията разполага с публични (публични) интернет услуги (web и ftp сървъри, пощенски услуги, онлайн магазини), които се намират в обща локална мрежа.

Достъпът до такива сървъри най-често е безплатен, тоест всеки потребител може да получи достъп до ресурса, хостван на уеб сървъра, секциите на ftp сървъра, без да извършва удостоверяване за влизане и парола, пощенският сървър ще получава поща от други подобни пощенски сървъри. И няма гаранция, че злонамереният код няма да стигне до сървъра заедно с пощата, че сред стотици потребители няма да има никой, който иска да получи достъп не само до обществени услуги, но и до локалната мрежа на организацията по някаква причина . И ако мрежата е изградена на прости хъбове (хъбове), а не на комутатори (суичове), тогава тя ще бъде изложена на голям риск.

Хаквайки един от компютрите, хакерът може да получи достъп до цялата мрежа

Какво е? След като получи достъп до поне един компютър в локалната мрежа, хакерът може да получи пароли до паролата на администратора, което ще му позволи достъп до всяка информация, циркулираща или съхранявана в мрежата, да промени паролите за достъп по такъв начин, че базите данни да са недостъпни , или просто да бъдат показани извън експлоатация. В допълнение, като има достъп до уеб сървъра, той може да се използва за извършване на DoS атаки, които могат да блокират работата на всички вътрешнокорпоративни ресурси.

Следователно подходът за изграждане на системи, които включват публични сървъри, трябва да бъде различен от подхода за изграждане на системи, базирани на вътрешни сървъри. Това е продиктувано от специфичните рискове, които възникват поради публичната достъпност на сървъра. Решението е да се разделят локалната мрежа и публичните сървъри на отделни части. Тази, в която ще бъдат разположени обществените услуги, се нарича „демилитаризирана зона“ ( DMZ - Демилитаризирана зона).

DMZ - зона на специално внимание

Същността на DMZ е, че тя не е директно включена нито във вътрешната, нито във външната мрежа и достъпът до нея може да се осъществява само съгласно предварително зададени правила на защитната стена. В DMZ няма потребители - там се намират само сървъри. Демилитаризираната зона обикновено служи за предотвратяване на достъп от външната мрежа до хостове във вътрешната мрежа чрез преместване на всички услуги, които изискват достъп отвън, от локалната мрежа в специална зона. Всъщност се оказва, че тази зона ще представлява отделна подмрежа с публични адреси, защитена (или отделена) от публичните и корпоративните мрежи чрез защитни стени.

При създаването на такава зона администраторите на корпоративната мрежа са изправени пред допълнителни задачи. Необходимо е да се осигури контрол на достъпа до ресурси и сървъри, разположени в DMZ, за да се гарантира поверителността на информацията, предавана, когато потребителите работят с тези ресурси, за да се контролират действията на потребителите. По отношение на информацията, която може да се намира на сървъри, може да се каже следното. Като се има предвид, че публичните услуги могат да бъдат хакнати, те трябва да съдържат най-малко важната информация и всяка ценна информация трябва да бъде поставена изключително в локалната мрежа, която няма да бъде достъпна от публични сървъри.

На сървърите, хоствани в DMZ, не трябва да има никаква информация за потребители, клиенти на компанията, друга поверителна информация, не трябва да има лични пощенски кутии на служители - всичко това трябва да бъде сигурно "скрито" в защитена част от локалната мрежа. А за информацията, която ще бъде достъпна на публични сървъри, е необходимо да се предвиди резервно архивиране с възможно най-малка честота. Освен това се препоръчва да се използва най-малко двусървърен модел на обслужване за пощенски сървъри, а за уеб сървърите постоянно да се следи състоянието на информацията, за да се открият и отстранят своевременно последствията от хакване.

Използването на защитни стени е задължително при създаване на DMZ

Защитните стени се използват за защита на проникването през DMZ в корпоративната мрежа. Има софтуерни и хардуерни екрани. Софтуерът изисква машина, работеща с UNIX или Windows NT/2000. За да инсталирате хардуерна защитна стена, трябва само да я свържете към мрежата и да извършите минимална конфигурация. Обикновено софтуерните екрани се използват за защита на малки мрежи, където не е необходимо да се правят много настройки, свързани с гъвкаво разпределение на честотната лента и ограничения на трафика на протоколи за потребителите. Ако мрежата е голяма и се изисква висока производителност, става по-изгодно да се използват хардуерни защитни стени. В много случаи се използват не една, а две защитни стени - едната защитава демилитаризираната зона от външни влияния, втората я отделя от вътрешната част на корпоративната мрежа.

Но освен факта, че преместването на публични сървъри в демилитаризирана зона защитава до известна степен корпоративната мрежа, е необходимо да се обмисли и осигури защитата на самата DMZ. При това проблеми като:

  • защита срещу атаки на сървъри и мрежово оборудване;
  • защита на отделни сървъри;
  • контрол на поща и друго съдържание;
  • одит на действията на потребителите.

Как могат да бъдат разрешени тези проблеми? Желателно е мейл сървърът, който се използва както за външна кореспонденция, така и за вътрешнокорпоративна кореспонденция, да се "раздели" на два компонента - публичният, който всъщност ще бъде релейен сървър и ще се намира в DMZ, и основният , разположени в рамките на корпоративната мрежа. Основният компонент осигурява циркулацията на вътрешната поща, получава от релето и изпраща външна кореспонденция към него.

Едно от основните предизвикателства е осигуряването на защитен достъп до публични ресурси и приложения от корпоративния интранет. Въпреки че между него и DMZ е инсталирана защитна стена, тя трябва да е "прозрачна", за да работи. Има няколко варианта за предоставяне на тази възможност на потребителите. Първият е използването на терминален достъп. При такава организация на взаимодействие между клиента и сървъра през установената връзка не се предава програмен код, сред който може да има вируси и други злонамерени включвания. От терминалния клиент към сървъра следва поток от кодове на натиснатите клавиши на клавиатурата и състояния на мишката на потребителя и обратно, от сървъра към клиента, двоични изображения на екраните на сървърната сесия на браузъра или клиентът за електронна поща на потребителя дойде. Друг вариант е да използвате VPN (виртуална частна мрежа). Чрез контрол на достъпа и криптографска защита на информацията, VPN има сигурността на частна мрежа и в същото време се възползва напълно от обществената мрежа.

Защитата на сървърите и оборудването в DMZ трябва да се подхожда особено внимателно

За защита от атаки срещу сървъри и мрежово оборудване се използват специални системи за откриване на проникване. Компютърът, на който е инсталирана такава система, става първият по пътя на информационния поток от Интернет към DMZ. Системите са конфигурирани по такъв начин, че когато бъдат открити атаки, те могат да преконфигурират защитната стена до пълно блокиране на достъпа. С цел допълнителен, но не постоянен контрол се използва специален софтуер – скенери за сигурност, които проверяват сигурността на мрежата, сървърите и услугите, базите данни. За защита от вируси в DMZ е инсталиран антивирусен софтуер, както и инструменти за контрол на съдържанието.

Софтуерни и технически решения за организиране и защита на DMZ се предлагат от различни компании. Това са както чужди, така и руски. Сред тях са например Computer Associates, D-Link, Informzaschita, Trend Micro и много други.

С широкото разпространение на Интернет става необходимо да се реши проблемът със защитата на информацията и локалната мрежа като цяло. Този проблем е особено важен, когато компанията разполага с публични (публични) интернет услуги (web и ftp сървъри, пощенски услуги, онлайн магазини), които се намират в обща локална мрежа.

Достъпът до такива сървъри най-често е безплатен, тоест всеки потребител може да получи достъп до ресурса, хостван на уеб сървъра, секциите на ftp сървъра, без да извършва удостоверяване за влизане и парола, пощенският сървър ще получава поща от други подобни пощенски сървъри. И няма гаранция, че злонамереният код няма да стигне до сървъра заедно с пощата, че сред стотици потребители няма да има никой, който иска да получи достъп не само до обществени услуги, но и до локалната мрежа на организацията по някаква причина . И ако мрежата е изградена на прости хъбове (хъбове), а не на комутатори (суичове), тогава тя ще бъде изложена на голям риск.

Хаквайки един от компютрите, хакерът може да получи достъп до цялата мрежа

Какво е? След като получи достъп до поне един компютър в локалната мрежа, хакерът може да получи пароли до паролата на администратора, което ще му позволи достъп до всяка информация, циркулираща или съхранявана в мрежата, да промени паролите за достъп по такъв начин, че базите данни да са недостъпни , или просто да бъдат показани извън експлоатация. В допълнение, като има достъп до уеб сървъра, той може да се използва за извършване на DoS атаки, които могат да блокират работата на всички вътрешнокорпоративни ресурси.

Следователно подходът за изграждане на системи, които включват публични сървъри, трябва да бъде различен от подхода за изграждане на системи, базирани на вътрешни сървъри. Това е продиктувано от специфичните рискове, които възникват поради публичната достъпност на сървъра. Решението е да се разделят локалната мрежа и публичните сървъри на отделни части. Тази, в която ще бъдат разположени обществените услуги, се нарича „демилитаризирана зона“ ( DMZ - Демилитаризирана зона).

Фигура 13.2 - Схема на локална мрежа с демилитаризирана зона

Същността на DMZ е, че тя не е директно включена нито във вътрешната, нито във външната мрежа и достъпът до нея може да се осъществява само съгласно предварително зададени правила на защитната стена. В DMZ няма потребители - там се намират само сървъри. Демилитаризираната зона обикновено служи за предотвратяване на достъп от външната мрежа до хостове във вътрешната мрежа чрез преместване на всички услуги, които изискват достъп отвън, от локалната мрежа в специална зона. Всъщност се оказва, че тази зона ще представлява отделна подмрежа с публични адреси, защитена (или отделена) от публичните и корпоративните мрежи чрез защитни стени.



При създаването на такава зона администраторите на корпоративната мрежа са изправени пред допълнителни задачи. Необходимо е да се осигури контрол на достъпа до ресурси и сървъри, разположени в DMZ, за да се гарантира поверителността на информацията, предавана, когато потребителите работят с тези ресурси, за да се контролират действията на потребителите. По отношение на информацията, която може да се намира на сървъри, може да се каже следното. Като се има предвид, че публичните услуги могат да бъдат хакнати, те трябва да съдържат най-малко важната информация и всяка ценна информация трябва да бъде поставена изключително в локалната мрежа, която няма да бъде достъпна от публични сървъри.

На сървърите, хоствани в DMZ, не трябва да има никаква информация за потребители, клиенти на компанията, друга поверителна информация, не трябва да има лични пощенски кутии на служители - всичко това трябва да бъде сигурно "скрито" в защитена част от локалната мрежа. А за информацията, която ще бъде достъпна на публични сървъри, е необходимо да се предвиди резервно архивиране с възможно най-малка честота. Освен това се препоръчва да се използва най-малко двусървърен модел на обслужване за пощенски сървъри, а за уеб сървърите постоянно да се следи състоянието на информацията, за да се открият и отстранят своевременно последствията от хакване.

Използването на защитни стени е задължително при създаване на DMZ

Защитните стени се използват за защита на проникването през DMZ в корпоративната мрежа. Има софтуерни и хардуерни екрани. Софтуерът изисква машина, работеща с UNIX или Windows NT/2000. За да инсталирате хардуерна защитна стена, трябва само да я свържете към мрежата и да извършите минимална конфигурация. Обикновено софтуерните екрани се използват за защита на малки мрежи, където не е необходимо да се правят много настройки, свързани с гъвкаво разпределение на честотната лента и ограничения на трафика на протоколи за потребителите. Ако мрежата е голяма и се изисква висока производителност, става по-изгодно да се използват хардуерни защитни стени. В много случаи се използват не една, а две защитни стени - едната защитава демилитаризираната зона от външни влияния, втората я отделя от вътрешната част на корпоративната мрежа.



Но освен факта, че преместването на публични сървъри в демилитаризирана зона защитава до известна степен корпоративната мрежа, е необходимо да се обмисли и осигури защитата на самата DMZ. При това проблеми като:

защита срещу атаки на сървъри и мрежово оборудване;

защита на отделни сървъри;

контрол на поща и друго съдържание;

одит на действията на потребителите.

Как могат да бъдат разрешени тези проблеми? Желателно е мейл сървърът, който се използва както за външна кореспонденция, така и за вътрешнокорпоративна кореспонденция, да се "раздели" на два компонента - публичният, който всъщност ще бъде релейен сървър и ще се намира в DMZ, и основният , разположени в рамките на корпоративната мрежа. Основният компонент осигурява циркулацията на вътрешната поща, получава от релето и изпраща външна кореспонденция към него.

Едно от основните предизвикателства е осигуряването на защитен достъп до публични ресурси и приложения от корпоративния интранет. Въпреки че между него и DMZ е инсталирана защитна стена, тя трябва да е "прозрачна", за да работи. Има няколко варианта за предоставяне на тази възможност на потребителите. Първият е използването на терминален достъп. При такава организация на взаимодействие между клиента и сървъра през установената връзка не се предава програмен код, сред който може да има вируси и други злонамерени включвания. От терминалния клиент към сървъра следва поток от кодове на натиснатите клавиши на клавиатурата и състояния на мишката на потребителя и обратно, от сървъра към клиента, двоични изображения на екраните на сървърната сесия на браузъра или клиентът за електронна поща на потребителя дойде. Друг вариант е да използвате VPN (виртуална частна мрежа). Чрез контрол на достъпа и криптографска защита на информацията, VPN има сигурността на частна мрежа и в същото време се възползва напълно от обществената мрежа.

Защитата на сървърите и оборудването в DMZ трябва да се подхожда особено внимателно

За защита от атаки срещу сървъри и мрежово оборудване се използват специални системи за откриване на проникване. Компютърът, на който е инсталирана такава система, става първият по пътя на информационния поток от Интернет към DMZ. Системите са конфигурирани по такъв начин, че когато бъдат открити атаки, те могат да преконфигурират защитната стена до пълно блокиране на достъпа. С цел допълнителен, но не постоянен контрол се използва специален софтуер – скенери за сигурност, които проверяват сигурността на мрежата, сървърите и услугите, базите данни. За защита от вируси в DMZ е инсталиран антивирусен софтуер, както и инструменти за контрол на съдържанието.


Глобални мрежи

Широкообхватните мрежи (WAN), които се наричат ​​още териториални компютърни мрежи, служат за предоставяне на своите услуги на голям брой крайни абонати, разпръснати на голяма територия – в рамките на област, регион, държава, континент или цялото земно кълбо. Поради голямата дължина на комуникационните канали, изграждането на глобална мрежа изисква много високи разходи, които включват разходите за кабели и тяхното полагане, разходите за комутационно оборудване и междинно усилващо оборудване, което осигурява необходимата честотна лента на канала, както и оперативни разходи за постоянно поддържане на разпръсната мрежа в работно състояние върху голяма площ от мрежово оборудване.

Типичните абонати на глобалната компютърна мрежа са локални мрежи от предприятия, разположени в различни градове и държави, които трябва да обменят данни помежду си. Услугите на глобалните мрежи се използват и от отделни компютри.

Широкообхватните мрежи обикновено се създават от големи телекомуникационни компании за предоставяне на платени услуги на абонатите. Такива мрежи се наричат ​​публични или публични. Съществуват и понятия като мрежов оператор и доставчик на мрежови услуги. Мрежовият оператор е компанията, която поддържа нормалната работа на мрежата. Доставчик на услуги, често наричан още доставчик на услуги, е компания, която предоставя платени услуги на мрежови абонати. Собственикът, операторът и доставчикът на услуги могат да бъдат обединени в една компания или могат да представляват различни компании.

Много по-рядко глобалната мрежа е изцяло създадена от голяма корпорация за нейните вътрешни нужди. В този случай мрежата се нарича частна. Много често има междинен вариант - корпоративната мрежа използва услугите или оборудването на обществената широкообхватна мрежа, но допълва тези услуги или оборудване със свои собствени.

В зависимост от това кои компоненти трябва да бъдат наети, обичайно е да се прави разлика между мрежи, изградени с помощта на:

специални канали;

Превключване на канали;

Превключване на пакети.

Последният случай съответства на най-благоприятния случай, когато мрежата с комутация на пакети е достъпна във всички географски местоположения, които трябва да бъдат комбинирани в обща корпоративна мрежа. Първите два случая изискват допълнителна работа за изграждане на мрежа с пакетна комутация на базата на наетите средства.

Специализирани канали

Наети (или наети) вериги могат да бъдат получени от телекомуникационни компании, които притежават вериги за дълги разстояния, или от телефонни компании, които обикновено наемат вериги в рамките на град или регион.

Има два начина за използване на маркираните линии. Първият е да се изгради с тяхна помощ териториална мрежа с определена технология, например Frame Relay, в която наетите наети линии служат за свързване на междинни, географски разпределени пакетни комутатори.

Вторият вариант е свързването чрез наети линии само на обединени локални мрежи, без инсталиране на транзитни пакетни комутатори, работещи по технологията на глобалната мрежа. Вторият вариант е най-простият от техническа гледна точка, тъй като се основава на използването на рутери или отдалечени мостове във взаимосвързани локални мрежи и липсата на глобални технологични протоколи като X.25 или Frame Relay. Същите пакети от мрежата или слоя за връзка се предават по глобални канали, както в локалните мрежи.

Това е вторият начин за използване на глобални канали, който е получил специалното наименование „специализирани канални услуги“, тъй като той наистина не използва повече от технологията на собствените глобални мрежи с комутация на пакети.

Наетите канали бяха много активно използвани в близкото минало и се използват днес, особено при изграждане на критични опорни връзки между големи локални мрежи, тъй като тази услуга гарантира честотната лента на наетия канал. Въпреки това, при голям брой географски отдалечени точки и интензивен смесен график между тях, използването на тази услуга води до високи разходи поради големия брой наети канали.

Днес има богат избор от специални канали - от аналогови канали за гласова честота с честотна лента от 3,1 kHz до цифрови канали на SDN технология с честотна лента от 155 и 622 Mbps.

Съкращението DMZ означава DeMilitarized Zone, т.е. „демилитаризирана зона“. Неочаквано и неразбираемо е какво общо има това с рутера. Всъщност обаче това е много полезно нещо в някои случаи. Това ще бъде обсъдено в тази статия.

Предназначение и използване на DMZ

DMZ е мрежов сегмент, създаден за услуги и програми, които изискват директен достъп до интернет. Необходим е директен достъп за торенти, месинджъри, онлайн игри и някои други програми. Освен това не можете без него, ако искате да инсталирате камера за видеонаблюдение и да имате достъп до нея през интернет.

Ако компютърът, на който работи програмата, се свързва директно с интернет, заобикаляйки рутера, тогава няма нужда да използвате DMZ. Но ако връзката се осъществява чрез рутер, тогава няма да е възможно да се „достигне“ до програмата от интернет, тъй като всички заявки ще бъдат получени от рутера, а не препратени в локалната мрежа.

За да се реши този проблем, обикновено се използва пренасочване на портове на рутера. Това е на нашия уебсайт. Това обаче не винаги е удобно и някой предпочита да създаде DMZ. Ако настроите DMZ на вашия рутер и добавите желания мрежов възел към него, например компютър, работещ със сървър за игри или DVR, към който е свързана IP камера, този възел ще бъде видим от външната мрежа, сякаш е директно свързан с интернет. За останалите устройства във вашата мрежа нищо няма да се промени - те ще работят по същия начин, както преди.

Трябва внимателно да обмислите всички тези настройки. Тъй като и пренасочването на портове, и DMZ са потенциална дупка в сигурността. За да подобрят сигурността, големите компании често създават отделна мрежа за DMZ. За да се блокира достъпът от DMZ мрежата до други компютри, се използва допълнителен рутер.

Настройка на DMZ на рутера

Рутерите позволяват само едно устройство да бъде добавено към DMZ. Рутерът трябва да получи "бял" IP адрес. Само в този случай ще бъде възможен достъп до него от глобалната мрежа. Информация за това можете да получите от вашия интернет доставчик. Някои доставчици предоставят външен IP адрес безплатно, но често има допълнителна такса за тази услуга.

Задаване на статичен IP адрес

Само компютър със статичен IP адрес може да бъде добавен към DMZ. Така че първото нещо, което правим, е да го променим. За да направите това, отворете свойствата на мрежовата връзка и в настройките на TCP / IP предписваме статичен IP адрес в адресния диапазон на вашата мрежа. Например, ако вашият рутер има IP 192.168.0.1, тогава можете да посочите 192.168.0.10 за компютъра. Подмрежовата маска е стандартна - 255.255.255.0. И в полето "Gateway" трябва да посочите адреса на вашия рутер.

Моля, обърнете внимание, че IP адресът, присвоен на компютъра, не трябва да бъде в обхвата на раздадените адреси.

Това завършва настройката на компютъра и можете да продължите към настройките на рутера.

Настройка на рутер

Първата стъпка е да активирате DMZ на рутера, тъй като той винаги е деактивиран по подразбиране.

Намираме съответния елемент от менюто в уеб интерфейса на устройството:

  • На рутерите на Asus желаният раздел се нарича DMZ.
  • На рутерите на TP-Link отворете елемента „Препращане“ и в него ще има поделемент DMZ.
  • В D-Link потърсете елемента "Защитна стена".

Във всеки случай в раздела с настройки трябва да поставите отметка в квадратчето „Активиране“. И до него намерете поле, наречено „DMZ Host Address“ или „Visible Station Address“ (в зависимост от модела на рутера може да има други опции). В това поле въведете статичния адрес на компютъра или друго устройство, което искате да добавите към DMZ. В нашия случай това е 192.168.0.10.

Запазете настройките си и рестартирайте рутера. Това е всичко: всички портове на избрания компютър са отворени. Всяка програма, която използва входящи връзки, ще мисли, че има директен достъп до мрежата. Всички други програми ще работят нормално.

По-долу е даден пример за конфигуриране на рутер с английски интерфейс.

Създаването на DMZ е удобен начин за опростяване на работата на необходимите ви програми, но имайте предвид, че отвореният достъп до компютър увеличава риска от мрежови атаки и вируси.

Следователно защитна стена и антивирусна програма трябва да бъдат инсталирани на устройството, използвано като DMZ хост.

Описание

Демилитаризирана зона или DMZ е мрежов сегмент от бял списък, отделен със защитна стена от Интернет и локалната мрежа на организацията. DMZ обикновено съдържа сървъри, които трябва да бъдат достъпни от Интернет, като пощенски или уеб сървър. Тъй като сървърите в DMZ мрежата са отделени от локалната мрежа чрез защитна стена, ако бъдат хакнати, нападателят няма да може да получи достъп до ресурсите на локалната мрежа.

Настройка

Демилитаризираната зона се създава в модул "доставчици и мрежи". Когато го създавате, трябва да посочите IP адреса на Internet Control Server и DMZ мрежовата маска, както и да изберете мрежовия интерфейс за DMZ. От съображения за сигурност обикновено се използва отделен мрежов интерфейс за DMZ.

По подразбиране сървърите, разположени в DMZ, нямат достъп до интернет и локалната мрежа, така че достъпът за тях трябва да бъде конфигуриран от правилата на защитната стена.

Квадратчето за отметка „NAT от локални мрежи“ ви позволява да контролирате превода на локални адреси към DMZ мрежата. Той е деактивиран по подразбиране, т.е. услугата NAT за мрежовия интерфейс DMZ не работи, адресите се превеждат без промени.

Важно: Всъщност NAT за DMZ мрежата на външните интерфейси на ICS е деактивиран, така че трябва да се използват "бели" ip адреси за адресиране. Има смисъл да настроите DMZ мрежа, ако трябва да контролирате достъпа отвън до сървър в локалната мрежа, който има "бели" ip адреси. Във всички останали случаи се конфигурира обикновена локална мрежа.