Dom > iOS > Primjer konfiguracije dmz portova. Šta je DMZ i kako ga postaviti na ruteru. Video o konfigurisanju DMZ hosta na ruteru


Primjer konfiguracije dmz portova. Šta je DMZ i kako ga postaviti na ruteru. Video o konfigurisanju DMZ hosta na ruteru





Kivšenko Aleksej, 1880

Ovaj članak daje pregled pet opcije za rješavanje problema organizacije pristupa uslugama korporativne mreže sa Interneta. U sklopu pregleda pruža se analiza opcija za sigurnost i izvodljivost, koja će pomoći da se shvati suština problema, osvježi i sistematizira svoje znanje kako početnicima tako i iskusnijim profesionalcima. Materijali iz članka mogu se koristiti za potvrđivanje vaših dizajnerskih odluka.

Kada razmatramo opcije, uzmimo za primjer mrežu na kojoj želite da objavite:

  1. Korporativni mail server (Web-mail).
  2. Korporativni terminal server (RDP).
  3. Ekstranet usluga za druge strane (Web-API).

Opcija 1. Ravna mreža

U ovoj opciji, svi čvorovi korporativne mreže su sadržani u jednoj zajedničkoj mreži („Interna mreža“), unutar koje komunikacije između njih nisu ograničene. Mreža je povezana na Internet preko graničnog rutera/firewall-a (u daljem tekstu - IFW).

Čvorovi pristupaju Internetu preko NAT-a, a pristup uslugama sa Interneta putem prosljeđivanja portova.

Prednosti opcije:

  1. Minimalni zahtjevi funkcionalnosti IFW(može se obaviti na gotovo svakom, čak i kućnom ruteru).
  2. Minimalni zahtjevi za znanjem za stručnjaka koji implementira opciju.
Nedostaci opcije:
  1. Minimalni nivo sigurnosti. U slučaju hakovanja, u kojem Uljez dobije kontrolu nad jednim od servera objavljenih na Internetu, svi ostali čvorovi i komunikacioni kanali korporativne mreže postaju mu dostupni za dalje napade.
Analogija stvarnog života
Ovakva mreža se može uporediti sa kompanijom u kojoj su zaposleni i kupci u istoj zajedničkoj prostoriji (open space)


hrmaximum.ru

Opcija 2.DMZ

Kako bi se otklonio prethodno navedeni nedostatak, mrežni čvorovi dostupni sa Interneta smješteni su u posebno dodijeljen segment - demilitariziranu zonu (DMZ). DMZ je organiziran korištenjem zaštitnih zidova koji ga odvajaju od interneta ( IFW) i sa interne mreže ( DFW).


U ovom slučaju, pravila filtriranja firewall-a izgledaju ovako:
  1. Iz interne mreže možete pokrenuti veze na DMZ i na WAN (Wide Area Network).
  2. Iz DMZ-a možete pokrenuti veze na WAN.
  3. Iz WAN-a možete pokrenuti veze s DMZ-om.
  4. Zabranjeno je pokretanje konekcija sa WAN-a i DMZ-a na internu mrežu.


Prednosti opcije:
  1. Povećana sigurnost mreže od hakovanja pojedinačnih servisa. Čak i ako je jedan od servera hakovan, Uljez neće moći pristupiti resursima koji se nalaze na internoj mreži (na primjer, mrežnim štampačima, sistemima video nadzora, itd.).
Nedostaci opcije:
  1. Samo po sebi, uklanjanje servera u DMZ-u ne povećava njihovu sigurnost.
  2. Dodatni zaštitni zid je potreban da bi se DMZ odvojio od interne mreže.
Analogija stvarnog života
Ova verzija mrežne arhitekture je slična organizaciji posla i klijentskih područja u kompaniji, gdje kupci mogu biti samo u klijentskoj zoni, a osoblje može biti i u klijentskoj i u radnoj oblasti. DMZ segment je upravo analogni klijentskoj zoni.


autobam.ru

Opcija 3. Razdvajanje usluga na Front-End i Back-End

Kao što je ranije navedeno, postavljanje servera u DMZ ni na koji način ne poboljšava sigurnost same usluge. Jedna od opcija za ispravljanje situacije je podjela funkcionalnosti servisa na dva dijela: Front-End i Back-End. Osim toga, svaki dio se nalazi na zasebnom serveru, između kojeg je organizirana mrežna interakcija. Front-End serveri koji implementiraju funkcionalnost interakcije sa klijentima koji se nalaze na Internetu smješteni su u DMZ, dok su Back-End serveri koji implementiraju ostatak funkcionalnosti ostavljeni na internoj mreži. Za interakciju između njih DFW kreirajte pravila koja dozvoljavaju pokretanje veze od Front-Enda do Back-End-a.

Kao primjer, razmotrite uslugu korporativne pošte koja opslužuje klijente i unutar mreže i sa Interneta. Klijenti iznutra koriste POP3/SMTP, a klijenti sa Interneta rade preko Web interfejsa. Obično, u fazi implementacije, kompanije biraju najjednostavniji način za implementaciju usluge i stavljaju sve njene komponente na jedan server. Zatim, kako se realizuje potreba osiguranja informacione sigurnosti, funkcionalnost servisa se dijeli na dijelove, a dio koji je zadužen za servisiranje korisnika sa Interneta (Front-End) se postavlja na poseban server koji komunicira preko mreže. sa serverom koji implementira preostalu funkcionalnost (Back-End). U ovom slučaju, Front-End se postavlja u DMZ, dok Back-End ostaje u internom segmentu. Za komunikaciju između Front-End-a i Back-End-a uključeno DFW kreirajte pravilo koje dozvoljava pokretanje konekcija od Front-End-a do Back-End-a.

Prednosti opcije:

  1. U opštem slučaju, napadi usmereni protiv zaštićenog servisa mogu „naletjeti“ na Front-End, što će neutralisati ili značajno smanjiti moguću štetu. Na primjer, TCP SYN Flood ili spori napadi http read na uslugu dovest će do toga da Front-End server bude nedostupan dok Back-End nastavlja normalno funkcionirati i služiti korisnicima.
  2. Općenito, Back-End server možda nema pristup Internetu, što će, ako je hakiran (na primjer, lokalno pokrenutim zlonamjernim kodom), otežati daljinsko upravljanje njime s Interneta.
  3. Front-end je veoma pogodan za hostovanje zaštitnog zida na nivou aplikacije (kao što je zaštitni zid veb aplikacija) ili sistema za sprečavanje upada (IPS, kao što je snort).
Nedostaci opcije:
  1. Za komunikaciju između Front-End-a i Back-End-a uključeno DFW kreira se pravilo koje omogućava pokretanje veze od DMZ-a do interne mreže, što stvara prijetnje povezane s korištenjem ovog pravila od strane drugih čvorova u DMZ-u (na primjer, zbog implementacije IP lažnih napada, ARP trovanja , itd.)
  2. Ne mogu se sve usluge podijeliti na Front-End i Back-End.
  3. Kompanija mora implementirati poslovne procese za ažuriranje pravila zaštitnog zida.
  4. Kompanija mora implementirati mehanizme za zaštitu od napada prekršitelja koji su dobili pristup serveru u DMZ-u.
Bilješke
  1. U stvarnom životu, čak i bez razdvajanja servera na Front-End i Back-End, serveri iz DMZ-a vrlo često moraju da pristupe serverima koji se nalaze na internoj mreži, pa će navedeni nedostaci ove opcije važiti i za prethodnu razmatranu opciju.
  2. Ako uzmemo u obzir zaštitu aplikacija koje se pokreću preko web sučelja, čak i ako server ne podržava razdvajanje funkcija između Front-End-a i Back-End-a, korištenjem http reverse proxy servera (na primjer, nginx) kao Front-End-a. End će minimizirati rizike povezane s napadima za uskraćivanje usluge. Na primjer, SYN flood napadi mogu učiniti http reverse proxy nedostupnim dok Back-End nastavlja raditi.
Analogija stvarnog života
Ova opcija je u suštini slična organizaciji rada, u kojoj se pomoćnici sekretara koriste za visoko opterećene radnike. Tada će Back-End biti analog zauzetog radnika, a Front-End će biti analog sekretarice.


mln.kz

Opcija 4: DMZ zaštićeno

DMZ je dio mreže koji je dostupan sa Interneta i, kao rezultat, izložen je najvećem riziku od kompromitacije hosta. Dizajn DMZ-a i pristupi koji se u njemu koriste trebali bi osigurati maksimalnu preživljavanje u slučaju da Uljez dobije kontrolu nad jednim od čvorova u DMZ-u. Kao moguće napade uzmite u obzir napade koji utiču na skoro sve informacione sisteme koji rade sa podrazumevanim postavkama:

Zaštita od DHCP napada

Uprkos činjenici da je DHCP namijenjen za automatizaciju konfiguracije IP adresa za radne stanice, u nekim kompanijama postoje slučajevi kada se IP adrese serverima izdaju preko DHCP-a, ali to je prilično loša praksa. Stoga, radi zaštite od lažnog DHCP servera, DHCP izgladnjivanja, preporučuje se da potpuno onemogućite DHCP u DMZ-u.

Zaštita od MAC flood napada

Da bi se zaštitili od poplave MAC-a, portovi komutatora su konfigurisani da ograniče maksimalni intenzitet emitovanog saobraćaja (pošto ovi napadi obično generišu emitovani saobraćaj (broadcast)). Napadi koji uključuju upotrebu specifičnih (unicast) mrežnih adresa će biti blokirani MAC filtriranjem, o čemu smo ranije govorili.

Zaštita od UDP flood napada

Zaštita od ove vrste napada je slična zaštiti od MAC poplave, osim što se filtriranje vrši na IP nivou (L3).

Zaštita od TCP SYN flood napada

Za zaštitu od ovog napada moguće su sljedeće opcije:
  1. Zaštita mrežnog čvora sa TCP SYN Cookie tehnologijom.
  2. Zaštita zaštitnog zida (pod uslovom da je DMZ podmreža) ograničavanjem brzine saobraćaja koji sadrži TCP SYN zahtjeve.

Zaštita od napada na mrežne usluge i web aplikacije

Ne postoji univerzalno rješenje za ovaj problem, ali je ustaljena praksa implementacija procesa upravljanja softverskim ranjivostima (detekcija, instaliranje zakrpa i sl., na primjer), kao i korištenje sistema za detekciju i prevenciju upada (IDS/IPS) .

Zaštita od napada zaobilaženja autentifikacije

Kao iu prethodnom slučaju, ne postoji univerzalno rješenje za ovaj problem.
Obično, u slučaju velikog broja neuspješnih pokušaja autorizacije, računi se blokiraju kako bi se izbjegao odabir podataka za autentifikaciju (na primjer, lozinka). Ali ovaj pristup je prilično kontroverzan, a evo i zašto.
Prvo, Violator može grubo forsirati informacije o autentifikaciji s intenzitetom koji ne dovodi do blokiranja računa (postoje slučajevi kada je lozinka bila gruba forsirana nekoliko mjeseci s intervalom između pokušaja od nekoliko desetina minuta).
Drugo, ova funkcija se može koristiti za napade uskraćivanja usluge, u kojima će Uljez namjerno izvršiti veliki broj pokušaja autorizacije kako bi blokirao račune.
Najefikasnija opcija protiv napada ove klase bit će korištenje IDS / IPS sistema, koji će, nakon otkrivanja pokušaja pogađanja lozinki, blokirati ne račun, već izvor iz kojeg dolazi do ovog razbijanja (na primjer, blokirati IP adresa prekršioca).

Konačna lista zaštitnih mjera za ovu opciju:

  1. DMZ je podijeljen na IP podmreže na osnovu posebne podmreže za svaki host.
  2. IP adrese administratori dodjeljuju ručno. DHCP se ne koristi.
  3. Na mrežnim interfejsima na koje su povezani DMZ čvorovi aktivirano je MAC i IP filtriranje, kao i ograničenja intenziteta emitovanog saobraćaja i saobraćaja koji sadrži TCP SYN zahteve.
  4. Na prekidačima je onemogućeno automatsko dogovaranje tipa porta, zabranjena je upotreba izvornog VLAN-a.
  5. DMZ hostovi i interni mrežni serveri na koje se ovi hostovi povezuju konfigurirani su pomoću TCP SYN kolačića.
  6. Upravljanje ranjivostima softvera implementirano je za DMZ hostove (i po mogućnosti ostatak mreže).
  7. U DMZ segmentu implementiraju se IDS/IPS sistemi za detekciju i prevenciju upada.
Prednosti opcije:
  1. Visok stepen sigurnosti.
Nedostaci opcije:
  1. Povećani zahtjevi za funkcionalnošću opreme.
  2. Troškovi rada u implementaciji i podršci.
Analogija stvarnog života
Ako smo ranije uporedili DMZ sa prostorom za klijente opremljenim sofama i otomanima, onda će sigurna DMZ više izgledati kao blindirana blagajna.


valmax.com.ua

Opcija 5. Povratno povezivanje

Mjere zaštite koje su razmatrane u prethodnoj verziji zasnivale su se na činjenici da je u mreži postojao uređaj (switch/ruter/firewall) sposoban da ih implementira. Ali u praksi, na primjer, kada se koristi virtuelna infrastruktura (virtualni prekidači često imaju vrlo ograničene mogućnosti), takav uređaj možda ne postoji.

Pod ovim uslovima, mnogi od ranije razmatranih napada postaju dostupni Uljezu, od kojih će najopasniji biti:

  • napadi koji omogućavaju presretanje i modifikovanje saobraćaja (ARP trovanje, prelivanje CAM tabele + otmica TCP sesije, itd.);
  • napadi koji se odnose na iskorištavanje ranjivosti internih mrežnih servera na koje se mogu inicirati veze iz DMZ-a (što je moguće zaobilaženjem pravila filtriranja DFW zbog IP i MAC lažiranja).
Sljedeća bitna karakteristika koju ranije nismo razmatrali, ali koja od toga ne prestaje biti manje važna je da korisničke radne stanice (AWP) također mogu biti izvor (na primjer, kada su zaražene virusima ili trojancima) štetnih efekata na serveri.

Dakle, suočeni smo sa zadatkom zaštite servera interne mreže od napada Uljeza kako iz DMZ-a tako i iz interne mreže (infekcija AWP-a trojancem može se protumačiti kao radnja Uljeza iz interne mreže). mreža).

Pristup predložen u nastavku ima za cilj smanjenje broja kanala preko kojih Uljez može napasti servere, a postoje najmanje dva takva kanala. Prvo je pravilo za DFW, koji omogućava pristup internom mrežnom serveru iz DMZ-a (čak i ako je ograničen IP adresama), a drugi je mrežni port otvoren na serveru na kojem se očekuju zahtjevi za povezivanje.

Možete zatvoriti ove kanale ako interni mrežni server sam izgradi veze sa serverom u DMZ-u i to radi koristeći kriptografski sigurne mrežne protokole. Tada neće biti otvorenog porta, nema pravila DFW.

Ali problem je što obični serverski servisi ne mogu raditi na ovaj način, a za implementaciju ovakvog pristupa potrebno je koristiti mrežno tuneliranje, implementirano npr. korištenjem SSH ili VPN-a, a već unutar tunela omogućiti konekcije sa servera u DMZ na interni mrežni server.

Opća shema ove opcije je sljedeća:

  1. SSH/VPN server je instaliran na serveru u DMZ-u, a SSH/VPN klijent je instaliran na serveru u internoj mreži.
  2. Interni mrežni server inicira izgradnju mrežnog tunela do servera u DMZ-u. Tunel je izgrađen uz međusobnu autentifikaciju klijenta i servera.
  3. Server iz DMZ-a unutar izgrađenog tunela inicira vezu sa serverom u internoj mreži preko kojeg se prenose zaštićeni podaci.
  4. Lokalni zaštitni zid je konfigurisan na internom mrežnom serveru da filtrira saobraćaj koji prolazi kroz tunel.

Korištenje ove opcije u praksi pokazalo je da je zgodno graditi mrežne tunele koristeći OpenVPN, jer ima sljedeća važna svojstva:

  • Cross-platform. Možete organizirati komunikaciju na serverima s različitim operativnim sistemima.
  • Mogućnost izgradnje tunela sa međusobnom autentifikacijom klijenta i servera.
  • Mogućnost korištenja certificirane kriptografije.
Na prvi pogled može izgledati da je ova šema prekomplicirana i da, budući da još uvijek trebate instalirati lokalni firewall na internom mrežnom serveru, lakše je natjerati server iz DMZ-a, kao i obično, da se poveže na interni mrežni server sama, ali to učinite putem šifrovane veze. Doista, ova opcija će zatvoriti mnoge probleme, ali neće moći pružiti glavnu stvar - zaštitu od napada na ranjivosti internog mrežnog servera, koji se izvode zaobilaženjem firewall-a pomoću IP i MAC lažiranja.

Prednosti opcije:

  1. Arhitektonsko smanjenje broja vektora napada na zaštićenom internom mrežnom serveru.
  2. Osiguravanje sigurnosti u nedostatku filtriranja mrežnog prometa.
  3. Zaštita podataka koji se prenose preko mreže od neovlaštenog pregleda i modifikacije.
  4. Mogućnost selektivnog povećanja nivoa sigurnosti usluga.
  5. Mogućnost implementacije sistema zaštite sa dvije petlje, gdje je prva petlja obezbjeđena uz pomoć firewall-a, a druga je organizovana na osnovu ove opcije.
Nedostaci opcije:
  1. Implementacija i održavanje ove opcije zaštite zahtijeva dodatne troškove rada.
  2. Nekompatibilnost sa sistemima za otkrivanje i prevenciju upada u mrežu (IDS/IPS).
  3. Dodatno računarsko opterećenje servera.
Analogija stvarnog života
Osnovno značenje ove opcije je da osoba od poverenja uspostavi odnos sa onom kojoj nema poverenja, što je slično situaciji kada prilikom izdavanja kredita banke same pozovu potencijalnog zajmoprimca radi provere podataka. Dodaj oznake

Zastupanje bilo koje kompanije koja nema lokalnu mrežu i pristup internetu postaje sve teže. Uobičajena tehnologija koja pomaže u poboljšanju rada, omogućavanju brzog pristupa informacijama, razmjeni dokumenata, podataka. Ovo je s jedne strane. S druge strane, raširenim korištenjem interneta postaje neophodno riješiti problem zaštite informacija i lokalne mreže u cjelini. Ovo pitanje je posebno značajno kada kompanija ima javne (javne) Internet servise (web i ftp servere, mail servise, online prodavnice) koji se nalaze u zajedničkoj lokalnoj mreži.

Pristup ovakvim serverima je najčešće besplatan, odnosno svaki korisnik može pristupiti resursu koji se nalazi na web serveru, sekcijama ftp servera bez provođenja login i lozinke autentifikacije, mail server će primati poštu sa drugih sličnih mail servera. I nema garancije da zlonamjerni kod neće doći do servera zajedno s poštom, da među stotinama korisnika neće biti nikoga ko želi pristupiti ne samo javnim servisima, već i lokalnoj mreži organizacije iz bilo kojeg razloga . A ako je mreža izgrađena na jednostavnim čvorištima (hubovima), a ne na prekidačima (prekidačima), onda će biti pod velikim rizikom.

Hakerom na jedan od računara, haker može dobiti pristup cijeloj mreži

Šta je? Dobivši pristup najmanje jednom računaru na lokalnoj mreži, haker može dobiti lozinke do administratorske lozinke, što će mu omogućiti pristup svim informacijama koje kruže ili pohranjene na mreži, mijenja pristupne lozinke na način da baze podataka budu nedostupne , ili jednostavno biti prikazan van upotrebe. Osim toga, imajući pristup web serveru, može se koristiti za izvođenje DoS napada, koji mogu blokirati performanse svih unutar-korporativnih resursa.

Stoga bi pristup izgradnji sistema koji uključuju javne servere trebao biti drugačiji od pristupa izgradnji sistema zasnovanih na internim serverima. Ovo je diktirano specifičnim rizicima koji nastaju zbog javne dostupnosti servera. Rješenje je razdvajanje lokalne mreže i javnih servera u zasebne dijelove. Ona u kojoj će biti smješteni javni servisi naziva se "demilitarizirana zona" ( DMZ - Demilitarizovana zona).

DMZ - zona posebne pažnje

Suština DMZ-a je da nije direktno uključen ni u internu ni u eksternu mrežu, a pristup mu se može vršiti samo prema unaprijed definiranim pravilima firewall-a. U DMZ-u nema korisnika - tamo se nalaze samo serveri. Demilitarizovana zona obično služi za sprečavanje pristupa iz vanjske mreže hostovima na internoj mreži tako što premešta sve servise koji zahtevaju pristup izvana iz lokalne mreže u posebnu zonu. Zapravo, ispada da će ova zona biti zasebna podmreža sa javnim adresama, zaštićena (ili odvojena) od javnih i korporativnih mreža zaštitnim zidovima.

Prilikom kreiranja takve zone, administratori korporativne mreže suočavaju se s dodatnim zadacima. Neophodno je obezbijediti kontrolu pristupa resursima i serverima koji se nalaze u DMZ-u, kako bi se osigurala povjerljivost informacija koje se prenose kada korisnici rade sa tim resursima, kako bi se kontrolisale radnje korisnika. Što se tiče informacija koje se mogu nalaziti na serverima, može se reći sljedeće. S obzirom na to da se javni servisi mogu hakovati, oni bi trebali sadržavati najmanje važne informacije, a sve vrijedne informacije treba staviti isključivo na lokalnu mrežu, kojoj neće biti pristup sa javnih servera.

Na serverima koji se nalaze u DMZ-u ne bi trebalo biti nikakvih informacija o korisnicima, klijentima kompanije, drugih povjerljivih informacija, ne bi smjelo biti ličnih poštanskih sandučića zaposlenih – sve bi to trebalo biti sigurno „sakriveno“ u sigurnom dijelu lokalne mreže. A za informacije koje će biti dostupne na javnim serverima potrebno je obezbijediti rezervno arhiviranje sa najmanjom mogućom frekvencijom. Osim toga, preporučuje se korištenje barem dvoserverskog modela servisa za mail servere, a za web servere da stalno prate stanje informacija kako bi se blagovremeno otkrile i otklonile posljedice hakovanja.

Upotreba zaštitnih zidova je obavezna prilikom kreiranja DMZ-a

Zaštitni zidovi se koriste za zaštitu od prodora kroz DMZ u korporativnu mrežu. Postoje softverski i hardverski ekrani. Softver zahtijeva mašinu sa UNIX ili Windows NT/2000. Da biste instalirali hardverski zaštitni zid, trebate ga samo povezati na mrežu i izvršiti minimalnu konfiguraciju. Tipično, softverski ekrani se koriste za zaštitu malih mreža gdje nema potrebe za postavljanjem mnogih postavki vezanih za fleksibilnu dodjelu propusnog opsega i ograničenja prometa na protokolima za korisnike. Ako je mreža velika i potrebne su visoke performanse, postaje isplativije koristiti hardverske zaštitne zidove. U mnogim slučajevima se koristi ne jedan, već dva firewall-a - jedan štiti demilitariziranu zonu od vanjskih utjecaja, drugi je odvaja od unutrašnjeg dijela korporativne mreže.

No, osim što premještanje javnih servera u demilitariziranu zonu u određenoj mjeri štiti korporativnu mrežu, potrebno je razmisliti i osigurati zaštitu samog DMZ-a. Pritom se rješavaju pitanja kao što su:

  • zaštita od napada na servere i mrežnu opremu;
  • zaštita pojedinačnih servera;
  • kontrola pošte i drugog sadržaja;
  • revizija radnji korisnika.

Kako se ovi problemi mogu riješiti? Poželjno je "podijeliti" mail server, koji se koristi i za eksternu i za unutarkorporativnu korespondenciju, na dvije komponente - javnu, koja će zapravo biti relej server i nalaziće se u DMZ-u, i glavnu , koji se nalazi unutar korporativne mreže. Glavna komponenta osigurava cirkulaciju interne pošte, prima od releja i šalje joj eksternu korespondenciju.

Jedan od glavnih izazova je osigurati siguran pristup javnim resursima i aplikacijama sa korporativnog intraneta. Iako je između njega i DMZ-a instaliran zaštitni zid, on mora biti "transparentan" da bi radio. Postoji nekoliko opcija za pružanje ove mogućnosti korisnicima. Prvi je korištenje terminalskog pristupa. Uz takvu organizaciju interakcije između klijenta i servera, preko uspostavljene veze se ne prenosi programski kod, među kojima mogu biti virusi i druge zlonamjerne inkluzije. Od terminalnog klijenta do servera slijedi tok kodova pritisnutih tipki tastature i stanja miša korisnika, a nazad, od servera do klijenta, binarne slike ekrana serverske sesije pretraživača ili korisnikov mail klijent dolazi. Druga opcija je korištenje VPN-a (virtuelne privatne mreže). Kroz kontrolu pristupa i kriptografsku zaštitu informacija, VPN ima sigurnost privatne mreže, a istovremeno u potpunosti iskorištava javnu mrežu.

Zaštiti servera i opreme u DMZ-u mora se pristupiti s posebnom pažnjom

Za zaštitu od napada na servere i mrežnu opremu koriste se posebni sistemi za otkrivanje upada. Računar na kojem je instaliran takav sistem postaje prvi na putu protoka informacija od Interneta do DMZ-a. Sistemi su konfigurisani na takav način da kada se otkriju napadi, mogu rekonfigurisati zaštitni zid do potpunog blokiranja pristupa. U svrhu dodatne, ali ne i stalne kontrole, koristi se poseban softver - sigurnosni skeneri koji provjeravaju sigurnost mreže, servera i servisa, baza podataka. Za zaštitu od virusa u DMZ-u je instaliran antivirusni softver, kao i alati za kontrolu sadržaja.

Softverska i tehnička rješenja za organiziranje i zaštitu DMZ-a nude razne kompanije. To su i strani i ruski. Među njima su, na primjer, Computer Associates, D-Link, Informzaschita, Trend Micro i mnogi drugi.

Širokom upotrebom interneta postaje neophodno riješiti problem zaštite informacija i lokalne mreže u cjelini. Ovo pitanje je posebno značajno kada kompanija ima javne (javne) Internet servise (web i ftp servere, mail servise, online prodavnice) koji se nalaze u zajedničkoj lokalnoj mreži.

Pristup ovakvim serverima je najčešće besplatan, odnosno svaki korisnik može pristupiti resursu koji se nalazi na web serveru, sekcijama ftp servera bez provođenja login i lozinke autentifikacije, mail server će primati poštu sa drugih sličnih mail servera. I nema garancije da zlonamjerni kod neće doći do servera zajedno s poštom, da među stotinama korisnika neće biti nikoga ko želi pristupiti ne samo javnim servisima, već i lokalnoj mreži organizacije iz bilo kojeg razloga . A ako je mreža izgrađena na jednostavnim čvorištima (hubovima), a ne na prekidačima (prekidačima), onda će biti pod velikim rizikom.

Hakerom na jedan od računara, haker može dobiti pristup cijeloj mreži

Šta je? Dobivši pristup najmanje jednom računaru na lokalnoj mreži, haker može dobiti lozinke do administratorske lozinke, što će mu omogućiti pristup svim informacijama koje kruže ili pohranjene na mreži, mijenja pristupne lozinke na način da baze podataka budu nedostupne , ili jednostavno biti prikazan van upotrebe. Osim toga, imajući pristup web serveru, može se koristiti za izvođenje DoS napada, koji mogu blokirati performanse svih unutar-korporativnih resursa.

Stoga bi pristup izgradnji sistema koji uključuju javne servere trebao biti drugačiji od pristupa izgradnji sistema zasnovanih na internim serverima. Ovo je diktirano specifičnim rizicima koji nastaju zbog javne dostupnosti servera. Rješenje je razdvajanje lokalne mreže i javnih servera u zasebne dijelove. Ona u kojoj će biti smješteni javni servisi naziva se "demilitarizirana zona" ( DMZ - Demilitarizovana zona).

Slika 13.2 - Šema lokalne mreže sa demilitarizovanom zonom

Suština DMZ-a je da nije direktno uključen ni u internu ni u eksternu mrežu, a pristup mu se može vršiti samo prema unaprijed definiranim pravilima firewall-a. U DMZ-u nema korisnika - tamo se nalaze samo serveri. Demilitarizovana zona obično služi za sprečavanje pristupa iz vanjske mreže hostovima na internoj mreži tako što premešta sve servise koji zahtevaju pristup izvana iz lokalne mreže u posebnu zonu. Zapravo, ispada da će ova zona biti zasebna podmreža sa javnim adresama, zaštićena (ili odvojena) od javnih i korporativnih mreža zaštitnim zidovima.



Prilikom kreiranja takve zone, administratori korporativne mreže suočavaju se s dodatnim zadacima. Neophodno je obezbijediti kontrolu pristupa resursima i serverima koji se nalaze u DMZ-u, kako bi se osigurala povjerljivost informacija koje se prenose kada korisnici rade sa tim resursima, kako bi se kontrolisale radnje korisnika. Što se tiče informacija koje se mogu nalaziti na serverima, može se reći sljedeće. S obzirom na to da se javni servisi mogu hakovati, oni bi trebali sadržavati najmanje važne informacije, a sve vrijedne informacije treba staviti isključivo na lokalnu mrežu, kojoj neće biti pristup sa javnih servera.

Na serverima koji se nalaze u DMZ-u ne bi trebalo biti nikakvih informacija o korisnicima, klijentima kompanije, drugih povjerljivih informacija, ne bi smjelo biti ličnih poštanskih sandučića zaposlenih – sve bi to trebalo biti sigurno „sakriveno“ u sigurnom dijelu lokalne mreže. A za informacije koje će biti dostupne na javnim serverima potrebno je obezbijediti rezervno arhiviranje sa najmanjom mogućom frekvencijom. Osim toga, preporučuje se korištenje barem dvoserverskog modela servisa za mail servere, a za web servere da stalno prate stanje informacija kako bi se blagovremeno otkrile i otklonile posljedice hakovanja.

Upotreba zaštitnih zidova je obavezna prilikom kreiranja DMZ-a

Zaštitni zidovi se koriste za zaštitu od prodora kroz DMZ u korporativnu mrežu. Postoje softverski i hardverski ekrani. Softver zahtijeva mašinu sa UNIX ili Windows NT/2000. Da biste instalirali hardverski zaštitni zid, trebate ga samo povezati na mrežu i izvršiti minimalnu konfiguraciju. Tipično, softverski ekrani se koriste za zaštitu malih mreža gdje nema potrebe za postavljanjem mnogih postavki vezanih za fleksibilnu dodjelu propusnog opsega i ograničenja prometa na protokolima za korisnike. Ako je mreža velika i potrebne su visoke performanse, postaje isplativije koristiti hardverske zaštitne zidove. U mnogim slučajevima se koristi ne jedan, već dva firewall-a - jedan štiti demilitariziranu zonu od vanjskih utjecaja, drugi je odvaja od unutrašnjeg dijela korporativne mreže.



No, osim što premještanje javnih servera u demilitariziranu zonu u određenoj mjeri štiti korporativnu mrežu, potrebno je razmisliti i osigurati zaštitu samog DMZ-a. Pritom se rješavaju pitanja kao što su:

zaštita od napada na servere i mrežnu opremu;

zaštita pojedinačnih servera;

kontrola pošte i drugog sadržaja;

revizija radnji korisnika.

Kako se ovi problemi mogu riješiti? Poželjno je "podijeliti" mail server, koji se koristi i za eksternu i za unutarkorporativnu korespondenciju, na dvije komponente - javnu, koja će zapravo biti relej server i nalaziće se u DMZ-u, i glavnu , koji se nalazi unutar korporativne mreže. Glavna komponenta osigurava cirkulaciju interne pošte, prima od releja i šalje joj eksternu korespondenciju.

Jedan od glavnih izazova je osigurati siguran pristup javnim resursima i aplikacijama sa korporativnog intraneta. Iako je između njega i DMZ-a instaliran zaštitni zid, on mora biti "transparentan" da bi radio. Postoji nekoliko opcija za pružanje ove mogućnosti korisnicima. Prvi je korištenje terminalskog pristupa. Uz takvu organizaciju interakcije između klijenta i servera, preko uspostavljene veze se ne prenosi programski kod, među kojima mogu biti virusi i druge zlonamjerne inkluzije. Od terminalnog klijenta do servera slijedi tok kodova pritisnutih tipki tastature i stanja miša korisnika, a nazad, od servera do klijenta, binarne slike ekrana serverske sesije pretraživača ili korisnikov mail klijent dolazi. Druga opcija je korištenje VPN-a (virtuelne privatne mreže). Kroz kontrolu pristupa i kriptografsku zaštitu informacija, VPN ima sigurnost privatne mreže, a istovremeno u potpunosti iskorištava javnu mrežu.

Zaštiti servera i opreme u DMZ-u mora se pristupiti s posebnom pažnjom

Za zaštitu od napada na servere i mrežnu opremu koriste se posebni sistemi za otkrivanje upada. Računar na kojem je instaliran takav sistem postaje prvi na putu protoka informacija od Interneta do DMZ-a. Sistemi su konfigurisani na takav način da kada se otkriju napadi, mogu rekonfigurisati zaštitni zid do potpunog blokiranja pristupa. U svrhu dodatne, ali ne i stalne kontrole, koristi se poseban softver - sigurnosni skeneri koji provjeravaju sigurnost mreže, servera i servisa, baza podataka. Za zaštitu od virusa u DMZ-u je instaliran antivirusni softver, kao i alati za kontrolu sadržaja.


Globalne mreže

Mreže širokog područja (WAN), koje se još nazivaju i teritorijalne računarske mreže, služe za pružanje svojih usluga velikom broju krajnjih pretplatnika raštrkanih na velikom području - unutar područja, regije, zemlje, kontinenta ili cijelog svijeta. Zbog velike dužine komunikacionih kanala, izgradnja globalne mreže iziskuje veoma visoke troškove, koji uključuju troškove kablova i njihovog polaganja, troškove komutacione opreme i međupojačalne opreme koja obezbeđuje neophodnu širinu kanala, kao i operativne troškove za stalno održavanje raštrkane mreže u radnom stanju.na velikoj površini mrežne opreme.

Tipični pretplatnici globalne računarske mreže su lokalne mreže preduzeća lociranih u različitim gradovima i državama koje moraju međusobno razmjenjivati ​​podatke. Usluge globalnih mreža koriste i pojedinačni računari.

Široke mreže obično kreiraju velike telekomunikacione kompanije da bi pretplatnicima pružile plaćene usluge. Takve mreže se nazivaju javne ili javne. Postoje i koncepti kao što su mrežni operater i provajder mrežnih usluga. Mrežni operater je kompanija koja održava normalan rad mreže. Provajder usluga, koji se često naziva i provajder usluga, je kompanija koja pruža plaćene usluge pretplatnicima mreže. Vlasnik, operater i pružalac usluga mogu biti kombinovani u jednu kompaniju, ili mogu predstavljati različite kompanije.

Mnogo rjeđe, globalnu mrežu u potpunosti kreira neka velika korporacija za svoje interne potrebe. U ovom slučaju, mreža se naziva privatnom. Vrlo često postoji posredna opcija - korporativna mreža koristi usluge ili opremu javne mreže, ali te usluge ili opremu dopunjuje svojom.

Ovisno o tome koje komponente se moraju iznajmiti, uobičajeno je razlikovati mreže izgrađene pomoću:

namjenski kanali;

Prebacivanje kanala;

Paketna komutacija.

Posljednji slučaj odgovara najpovoljnijem slučaju, kada je mreža s komutacijom paketa dostupna na svim geografskim lokacijama koje je potrebno spojiti u zajedničku korporativnu mrežu. Prva dva slučaja zahtijevaju dodatni rad kako bi se na osnovu iznajmljenih sredstava izgradila mreža s komutacijom paketa.

Namjenski kanali

Iznajmljeni (ili iznajmljeni) krugovi mogu se dobiti od telekomunikacijskih kompanija koje posjeduju međugradska kola, ili od telefonskih kompanija koje obično iznajmljuju krugove unutar grada ili regije.

Postoje dva načina za korištenje istaknutih linija. Prvi je da se uz njihovu pomoć izgradi teritorijalna mreža određene tehnologije, na primjer, Frame Relay, u kojoj iznajmljene iznajmljene linije služe za povezivanje srednjih, geografski raspoređenih paketnih komutatora.

Druga opcija je povezivanje iznajmljenim linijama samo ujedinjenih lokalnih mreža, bez ugradnje tranzitnih paketnih komutatora koji rade na tehnologiji globalne mreže. Druga opcija je najjednostavnija sa tehničke tačke gledišta, jer se zasniva na upotrebi rutera ili udaljenih mostova u međusobno povezanim lokalnim mrežama i odsustvu globalnih tehnoloških protokola kao što su X.25 ili Frame Relay. Isti paketi mreže ili sloja veze se prenose globalnim kanalima kao iu lokalnim mrežama.

To je drugi način korištenja globalnih kanala koji je dobio poseban naziv "usluge namjenskih kanala", budući da zaista više ne koristi tehnologiju samih globalnih mreža s komutacijom paketa.

Iznajmljeni kanali su se vrlo aktivno koristili u nedavnoj prošlosti, a koriste se i danas, posebno pri izgradnji kritičnih okosnih veza između velikih lokalnih mreža, jer ova usluga garantuje propusni opseg zakupljenog kanala. Međutim, s velikim brojem geografski udaljenih tačaka i intenzivnim mješovitim rasporedom između njih, korištenje ove usluge dovodi do visokih troškova zbog velikog broja iznajmljenih kanala.

Danas postoji širok izbor namjenskih kanala - od analognih kanala glasovne frekvencije sa propusnim opsegom od 3,1 kHz do digitalnih kanala SDN tehnologije sa propusnim opsegom od 155 i 622 Mbps.

Skraćenica DMZ znači Demilitarizovana zona, odnosno "Demilitarizovana zona". Neočekivano je i neshvatljivo kakve to veze ima sa ruterom. Međutim, u stvari, ovo je u nekim slučajevima vrlo korisna stvar. O tome će biti riječi u ovom članku.

Svrha i upotreba DMZ-a

DMZ je mrežni segment kreiran za usluge i programe koji zahtijevaju direktan pristup Internetu. Direktan pristup je potreban za torrente, instant messengere, online igrice i neke druge programe. A takođe ne možete bez njega ako želite da instalirate kameru za video nadzor i imate pristup preko Interneta.

Ako se računar na kojem se program izvodi direktno povezuje na Internet, zaobilazeći ruter, onda nema potrebe za korištenjem DMZ-a. Ali ako je veza uspostavljena preko rutera, tada neće biti moguće „doći do“ programa s interneta, jer će svi zahtjevi biti primljeni od rutera, a ne proslijeđeni unutar lokalne mreže.

Za rješavanje ovog problema obično se koristi prosljeđivanje portova na ruteru. Ovo je na našoj web stranici. Međutim, to nije uvijek zgodno i neko radije postavlja DMZ. Ako postavite DMZ na svom ruteru i dodate mu željeni mrežni čvor, na primjer, PC sa igračkim serverom ili DVR na koji je povezana IP kamera, ovaj čvor će biti vidljiv sa vanjske mreže kao da je direktno povezan na internet. Za ostale uređaje na vašoj mreži ništa se neće promijeniti – radit će na isti način kao i prije.

Trebali biste pažljivo razmotriti sve ove postavke. Budući da su prosljeđivanje portova i DMZ potencijalna sigurnosna rupa. Kako bi poboljšale sigurnost, velike kompanije često stvaraju zasebnu mrežu za DMZ. Da bi se iz DMZ mreže blokirao pristup drugim računarima, koristi se dodatni ruter.

Postavljanje DMZ-a na ruteru

Ruteri dozvoljavaju dodavanje samo jednog uređaja u DMZ. Ruter mora dobiti "bijelu" IP adresu. Samo u ovom slučaju biće mu moguće pristupiti sa globalne mreže. Informacije o tome možete dobiti od vašeg Internet provajdera. Neki provajderi daju eksternu IP adresu besplatno, ali često se za ovu uslugu dodatno naplaćuje.

Postavljanje statičke IP adrese

Samo računar koji ima statičku IP adresu može se dodati u DMZ. Dakle, prva stvar koju radimo je da to promijenimo. Da biste to učinili, otvorite svojstva mrežne veze i u TCP/IP postavkama propisujemo statičku IP adresu u rasponu adresa vaše mreže. Na primjer, ako vaš ruter ima IP adresu 192.168.0.1, tada možete odrediti 192.168.0.10 za računar. Maska podmreže je standardna - 255.255.255.0. A u polju "Gateway" morate navesti adresu vašeg rutera.

Imajte na umu da IP adresa dodijeljena računaru ne smije biti u rasponu adresa koje se predaju.

Ovo završava podešavanje računara i možete nastaviti sa postavkama rutera.

Postavljanje rutera

Prvi korak je da omogućite DMZ na ruteru, jer je on po defaultu uvijek onemogućen.

Odgovarajuću stavku menija nalazimo u web interfejsu uređaja:

  • Na Asus ruterima, željena kartica se zove DMZ.
  • Na TP-Link ruterima otvorite stavku "Prosljeđivanje" i u njoj će biti DMZ podstavka.
  • Na D-Link-u potražite stavku "Firewall".

U svakom slučaju, na kartici postavki morate označiti okvir "Omogući". I pored njega pronađite polje pod nazivom “DMZ Host Address” ili “Visible Station Address” (ovisno o modelu rutera, mogu postojati i druge opcije). U ovo polje unesite statičku adresu računara ili drugog uređaja koji želite da dodate u DMZ. U našem slučaju, to je 192.168.0.10.

Sačuvajte podešavanja i ponovo pokrenite ruter. To je sve: svi portovi na odabranom računaru su otvoreni. Svaki program koji koristi dolazne veze mislit će da direktno pristupa mreži. Svi ostali programi će raditi normalno.

Ispod je primjer konfiguracije rutera s engleskim sučeljem.

Kreiranje DMZ-a je zgodan način da pojednostavite rad programa koji su vam potrebni, ali imajte na umu da otvoreni pristup PC-u povećava rizik od mrežnih napada i virusa.

Stoga na uređaju koji se koristi kao DMZ host moraju biti instalirani zaštitni zid i antivirusni program.

Opis

Demilitarizovana zona ili DMZ je segment mreže na bijeloj listi odvojen zaštitnim zidom od Interneta i lokalne mreže organizacije. DMZ obično sadrži servere kojima je potrebno pristupiti sa Interneta, kao što su mail ili web server. Pošto su serveri u DMZ mreži odvojeni od lokalne mreže zaštitnim zidom, ako su hakirani, napadač neće moći pristupiti resursima lokalne mreže.

Podešavanje

Demilitarizovana zona se kreira u modulu "provajderi i mreže". Kada ga kreirate, morate navesti IP adresu Internet Control Servera i DMZ mrežnu masku, kao i odabrati mrežni interfejs za DMZ. Iz sigurnosnih razloga, zasebno mrežno sučelje se obično koristi za DMZ.

Serveri koji se nalaze u DMZ-u prema zadanim postavkama nemaju pristup Internetu i lokalnoj mreži, pa pristup za njih mora biti konfiguriran pravilima zaštitnog zida.

Polje za potvrdu "NAT iz lokalnih mreža" omogućava vam kontrolu prijevoda lokalnih adresa u DMZ mrežu. Podrazumevano je onemogućen, tj. NAT usluga za DMZ mrežni interfejs ne radi, adrese se prevode bez promjena.

Važno: Zapravo, NAT za DMZ mrežu na eksternim interfejsima ICS-a je onemogućen, tako da se "bele" IP adrese moraju koristiti za adresiranje. Ima smisla postaviti DMZ mrežu ako trebate kontrolirati pristup izvana serveru na lokalnoj mreži koji ima "bijele" IP adrese. U svim ostalim slučajevima konfiguriše se redovna lokalna mreža.