itthon > iOS > Példa a dmz portok beállítására. Mi az a DMZ, és hogyan kell konfigurálni az útválasztón. Videó a DMZ Host beállításáról egy útválasztón


Példa a dmz portok beállítására. Mi az a DMZ, és hogyan kell konfigurálni az útválasztón. Videó a DMZ Host beállításáról egy útválasztón





Alekszej Kivsenko, 1880

Ez a cikk egy áttekintést tartalmaz öt lehetőségek a vállalati hálózati szolgáltatások internetről való hozzáférésének megszervezésére. Az áttekintés a biztonsági és megvalósíthatósági lehetőségek elemzését tartalmazza, amely mind a kezdő, mind a tapasztaltabb szakembereknek segít megérteni a probléma lényegét, felfrissíteni és rendszerezni ismereteit. A cikkben található anyagok felhasználhatók tervezési döntései indoklására.

A lehetőségek mérlegelésekor vegyük példaként azt a hálózatot, ahol közzé kívánja tenni:

  1. Vállalati levelezőszerver (Web-mail).
  2. Vállalati terminálkiszolgáló (RDP).
  3. Extranet szolgáltatás partnerek számára (Web-API).

1. lehetőség: Lapos hálózat

Ebben az opcióban a vállalati hálózat összes csomópontja egyetlen, mindenki számára közös hálózatban („belső hálózat”) található, amelyen belül a köztük lévő kommunikáció nincs korlátozva. A hálózat egy határmenti útválasztón/tűzfalon keresztül csatlakozik az internethez (a továbbiakban: IFW).

A gazdagépek a NAT-on keresztül érik el az internetet, és a porttovábbításon keresztül férnek hozzá a szolgáltatásokhoz az internetről.

Az opció előnyei:

  1. Minimális funkcionalitási követelmények IFW(szinte minden routeren megtehető, még otthoni routeren is).
  2. Minimális tudáskövetelmény a lehetőséget megvalósító szakember számára.
Az opció hátrányai:
  1. Minimális biztonsági szint. Abban az esetben, ha egy feltörés esetén a Betolakodó átveszi az irányítást az interneten közzétett egyik szerver felett, a vállalati hálózat összes többi csomópontja és kommunikációs csatornája elérhetővé válik a további támadások számára.
Analógia a való élettel
Egy ilyen hálózat egy olyan céghez hasonlítható, ahol a személyzet és az ügyfelek egy közös helyiségben (nyitott térben) vannak.


hrmaximum.ru

2. lehetőség DMZ

A korábban említett hátrány kiküszöbölése érdekében az internetről elérhető hálózati csomópontokat egy speciálisan kijelölt szegmensbe helyezik - egy demilitarizált zónába (DMZ). A DMZ tűzfalak segítségével szerveződik, amelyek elválasztják az internettől ( IFW) és a belső hálózatról ( DFW).


Ebben az esetben a tűzfal szűrési szabályai így néznek ki:
  1. A belső hálózatról kezdeményezhet kapcsolatokat a DMZ-hez és a WAN-hoz (Wide Area Network).
  2. A DMZ-ről kezdeményezhet kapcsolatokat a WAN-hoz.
  3. A WAN-ról kezdeményezhet kapcsolatokat a DMZ-hez.
  4. Tilos kapcsolatot kezdeményezni a WAN-ról és a DMZ-ről a belső hálózatra.


Az opció előnyei:
  1. Fokozott hálózati biztonság az egyes szolgáltatások feltörése ellen. Még ha az egyik szervert feltörik is, a behatoló nem tud hozzáférni a belső hálózaton található erőforrásokhoz (például hálózati nyomtatókhoz, videó megfigyelőrendszerekhez stb.).
Az opció hátrányai:
  1. A szerverek DMZ-re költöztetése önmagában nem növeli a biztonságukat.
  2. További tűzfalra van szükség a DMZ és a belső hálózat elválasztásához.
Analógia a való élettel
A hálózati architektúrának ez a változata hasonló a munka- és ügyfélterületek megszervezéséhez egy vállalatnál, ahol az ügyfelek csak az ügyfélterületen tartózkodhatnak, a személyzet pedig az ügyfél és a munkaterületen egyaránt. A DMZ szegmens pontosan a kliens zóna analógja.


autobam.ru

3. lehetőség. Szolgáltatások felosztása előtér- és háttér-végre

Amint azt korábban megjegyeztük, egy szerver DMZ-ben való elhelyezése semmilyen módon nem javítja magának a szolgáltatásnak a biztonságát. A helyzet javításának egyik lehetősége a szolgáltatás funkcionalitásának két részre osztása: Front-End és Back-End. Sőt, mindegyik rész külön szerveren található, amelyek között a hálózati interakció szerveződik. Az interneten található kliensekkel való interakció funkcionalitását megvalósító front-end szerverek a DMZ-ben kerülnek elhelyezésre, a többi funkciót megvalósító Back-End szerverek pedig a belső hálózaton maradnak. A köztük lévő interakcióhoz DFW szabályokat hozhat létre, amelyek lehetővé teszik a kapcsolatok kezdeményezését az előtérből a háttérbe.

Példaként vegyünk egy vállalati e-mail szolgáltatást, amely mind a hálózaton belülről, mind az internetről szolgálja ki az ügyfeleket. A belső ügyfelek POP3/SMTP-t használnak, az internetről érkező kliensek pedig a webes felületen keresztül dolgoznak. Jellemzően a megvalósítás szakaszában a vállalatok a szolgáltatás legegyszerűbb telepítési módját választják, és minden összetevőjét egy szerveren helyezik el. Majd az információbiztonsági igény megvalósulásával a szolgáltatás funkcionalitása részekre oszlik, és az ügyfelek Internetről történő kiszolgálásáért felelős rész (Front-End) egy külön szerverre kerül, amely a hálózatba lép a többi funkciót megvalósító szerverrel (Back -End). Ebben az esetben a Front-End a DMZ-be kerül, a Back-End pedig a belső szegmensben marad. Kommunikáció a Front-End és a Back-End között DFW hozzon létre egy szabályt, amely lehetővé teszi a kapcsolatok kezdeményezését az előtérből a háttérbe.

Az opció előnyei:

  1. Általánosságban elmondható, hogy a védett szolgáltatás ellen irányuló támadások „botlhatnak” a Front-Enden, ami semlegesíti vagy jelentősen csökkenti az esetleges károkat. Például az olyan támadások, mint a TCP SYN Flood vagy egy szolgáltatást célzó lassú http olvasás, azt a tényt eredményezhetik, hogy a Front-End szerver elérhetetlenné válhat, miközben a Back-End továbbra is normálisan fog működni, és kiszolgálja a felhasználókat.
  2. Általában előfordulhat, hogy a Back-End szerver nem fér hozzá az internethez, ami ha feltörik (például rosszindulatú kód helyi futtatásával), megnehezíti az internetről való távoli kezelését.
  3. A Front-End kiválóan alkalmas alkalmazásszintű tűzfal (például webalkalmazás-tűzfal) vagy behatolásgátló rendszer (IPS, például snort) üzemeltetésére.
Az opció hátrányai:
  1. Kommunikáció a Front-End és a Back-End között DFW létrejön egy szabály, amely lehetővé teszi a kapcsolat kezdeményezését a DMZ-ről a belső hálózatra, ami a szabály használatával kapcsolatos fenyegetéseket hoz létre a DMZ más csomópontjairól (például IP-hamisítási támadások végrehajtása, ARP-mérgezés, stb.)
  2. Nem minden szolgáltatás osztható fel Front-Endre és Back-Endre.
  3. A vállalatnak üzleti folyamatokat kell megvalósítania a tűzfalszabályok frissítéséhez.
  4. A vállalatnak olyan mechanizmusokat kell bevezetnie, amelyek megvédik azokat a behatolók támadásaitól, akik hozzáfértek a DMZ-ben lévő szerverhez.
Megjegyzések
  1. A való életben, még a szerverek Front-Endre és Back-Endre való felosztása nélkül is, a DMZ szervereinek nagyon gyakran hozzá kell férniük a belső hálózaton található szerverekhez, így ennek az opciónak a jelzett hátrányai az előzőleg fontolóra vett opcióra is érvényesek.
  2. Ha figyelembe vesszük a webes felületen keresztül futó alkalmazások védelmét, akkor még ha a szerver nem is támogatja a funkciók Front-Endre és Back-Endre való szétválasztását, egy http fordított proxy szerver (például nginx) használata a A Front-End minimalizálja a szolgáltatásmegtagadás miatti támadásokkal kapcsolatos kockázatokat. Például a SYN árvíztámadások elérhetetlenné tehetik a http fordított proxyt, miközben a Back-End továbbra is működik.
Analógia a való élettel
Ez a lehetőség lényegében hasonló a munkaszervezéshez, amelyben asszisztenseket - titkárnőket - alkalmaznak a nagy terhelésű dolgozóknál. Ekkor a Back-End egy elfoglalt alkalmazott analógja, a Front-End pedig egy titkárnő analógja lesz.


mln.kz

4. lehetőség: Biztonságos DMZ

A DMZ a hálózat része, amely az internetről elérhető, és ennek eredményeként maximálisan ki van téve a gazdagép kompromittálásának. A DMZ kialakításának és a benne használt megközelítéseknek maximális túlélést kell biztosítaniuk olyan körülmények között, amikor a behatoló megszerezte az irányítást a DMZ egyik csomópontja felett. Lehetséges támadásokként tekintsük azokat a támadásokat, amelyekre szinte minden alapértelmezett beállításokkal működő információs rendszer érzékeny:

DHCP támadások elleni védelem

Annak ellenére, hogy a DHCP célja a munkaállomások IP-címeinek konfigurálásának automatizálása, egyes vállalatoknál előfordulnak olyan esetek, amikor a szerverek IP-címét DHCP-n keresztül adják ki, de ez meglehetősen rossz gyakorlat. Ezért a Rogue DHCP Server és a DHCP éhezés elleni védelem érdekében javasolt a DHCP teljes letiltása a DMZ-ben.

Védelem a MAC árvízi támadások ellen

A MAC-áradás elleni védelem érdekében a switch-portok úgy vannak beállítva, hogy korlátozzák a sugárzott forgalom maximális intenzitását (mivel ezek a támadások általában sugárzott forgalmat generálnak). A meghatározott (unicast) hálózati címek használatával járó támadásokat a MAC szűrés blokkolja, amelyről korábban már beszéltünk.

Védelem az UDP árvíztámadások ellen

Az ilyen típusú támadások elleni védelem hasonló a MAC elárasztás elleni védelemhez, kivéve, hogy a szűrés IP (L3) szinten történik.

Védelem a TCP SYN árvíztámadásai ellen

A támadás elleni védelem érdekében a következő lehetőségek állnak rendelkezésre:
  1. Védelem a hálózati csomóponton a TCP SYN Cookie technológiával.
  2. Tűzfal szintű védelem (a DMZ alhálózatának függvényében) a TCP SYN kéréseket tartalmazó forgalom intenzitásának korlátozásával.

Védelem a hálózati szolgáltatások és webalkalmazások elleni támadások ellen

A problémára nincs univerzális megoldás, de bevett gyakorlat a szoftveres sebezhetőség-kezelési folyamatok (például azonosítás, javítások telepítése stb.) megvalósítása, valamint a behatolásjelző és -megelőzési rendszerek (IDS/IPS) alkalmazása.

Védelem a hitelesítési megkerülő támadások ellen

Az előző esethez hasonlóan erre a problémára nincs univerzális megoldás.
Általában sok sikertelen engedélyezési kísérlet esetén a fiókokat blokkolják, hogy elkerüljék a hitelesítési adatok (például egy jelszó) kitalálását. De ez a megközelítés meglehetősen ellentmondásos, és itt van az ok.
Először is, a behatoló olyan intenzitással tudja kiválasztani a hitelesítési információkat, amely nem vezet a fiókok blokkolásához (vannak olyan esetek, amikor a jelszót több hónapon keresztül választották ki, több tíz perces próbálkozások között).
Másodszor, ez a funkció szolgáltatásmegtagadási támadásokhoz használható, amelyek során a támadó szándékosan nagyszámú engedélyezési kísérletet tesz a fiókok blokkolása érdekében.
Az ebbe az osztályba tartozó támadások ellen a leghatékonyabb megoldás az IDS/IPS rendszerek használata, amelyek a jelszókitalálási kísérletek észlelésekor nem a fiókot, hanem a forrást blokkolják, ahonnan ez a találgatás történik (pl. a Betolakodó).

A védőintézkedések végleges listája ehhez az opcióhoz:

  1. A DMZ IP-alhálózatokra van osztva, mindegyik csomóponthoz külön alhálózattal.
  2. Az IP-címeket a rendszergazdák manuálisan osztják ki. DHCP nincs használatban.
  3. Azokon a hálózati interfészeken, amelyekhez DMZ csomópontok csatlakoznak, aktiválva van a MAC és IP szűrés, a broadcast forgalom intenzitásának korlátozása és a TCP SYN kéréseket tartalmazó forgalom.
  4. A kapcsolókon le van tiltva a porttípusok automatikus egyeztetése, és tilos a natív VLAN használata.
  5. A TCP SYN cookie-t azokon a DMZ-csomópontokon és belső hálózati szervereken konfigurálják, amelyekhez ezek a csomópontok csatlakoznak.
  6. A szoftversebezhetőség-kezelés a DMZ csomópontokhoz (és lehetőleg a hálózat többi részéhez) valósul meg.
  7. A DMZ szegmensben IDS/IPS behatolás-érzékelő és -megelőzési rendszerek kerülnek bevezetésre.
Az opció előnyei:
  1. Magas fokú biztonság.
Az opció hátrányai:
  1. Fokozott követelmények a berendezések funkcionalitásával szemben.
  2. A megvalósítás és a támogatás munkaerőköltsége.
Analógia a való élettel
Ha korábban összehasonlítottuk a DMZ-t egy kanapékkal és oszmánokkal felszerelt ügyféltérrel, akkor a biztonságos DMZ inkább egy páncélozott pénztárgéphez hasonlít majd.


valmax.com.ua

Opció 5. Hátsó csatlakozás

Az előző verzióban figyelembe vett védelmi intézkedések azon alapultak, hogy a hálózaton volt olyan eszköz (kapcsoló / útválasztó / tűzfal), amely képes volt ezek megvalósítására. De a gyakorlatban, például egy virtuális infrastruktúra használatakor (a virtuális kapcsolók gyakran nagyon korlátozott képességekkel rendelkeznek), előfordulhat, hogy ilyen eszköz nem létezik.

Ilyen körülmények között a korábban tárgyalt támadások közül sok elérhetővé válik a szabálysértő számára, amelyek közül a legveszélyesebbek:

  • támadások, amelyek lehetővé teszik a forgalom elfogását és módosítását (ARP-mérgezés, CAM-tábla túlcsordulás + TCP-munkamenet-eltérítés stb.);
  • a belső hálózati szerverek sebezhetőségeinek kihasználásával kapcsolatos támadások, amelyekhez a DMZ-ről lehet kapcsolatot kezdeményezni (ami a szűrési szabályok megkerülésével lehetséges DFW IP- és MAC-hamisítás miatt).
A következő fontos tulajdonság, amelyet korábban nem vettünk figyelembe, de amely nem szűnik meg kevésbé fontosnak lenni, az, hogy a felhasználók automatizált munkaállomásai (AWS) is lehetnek káros hatások forrásai (például vírusokkal vagy trójai programokkal fertőzve). szervereken.

Így azzal a feladattal állunk szemben, hogy megvédjük a belső hálózat szervereit a behatoló támadásaitól mind a DMZ-ről, mind a belső hálózatról (a munkaállomás trójaival való megfertőzése a behatoló belső hálózatról érkező tevékenységeként értelmezhető ).

Az alábbiakban javasolt megközelítés célja azoknak a csatornáknak a csökkentése, amelyeken keresztül a behatoló megtámadhatja a szervereket, és legalább két ilyen csatorna létezik. Az első a szabály DFW, amely lehetővé teszi a hozzáférést a belső hálózati szerverhez a DMZ-ről (még akkor is, ha IP-címek korlátozzák), a második pedig egy nyitott hálózati port a szerveren, amelyen csatlakozási kéréseket várnak.

Ezeket a csatornákat akkor zárhatja be, ha maga a belső hálózati szerver létesít kapcsolatokat a DMZ-ben lévő szerverrel, és ezt kriptográfiailag biztonságos hálózati protokollok használatával teszi. Ekkor nem lesz sem nyitott port, sem szabály DFW.

De a probléma az, hogy a közönséges szerverszolgáltatások nem tudják, hogyan kell így működni, és ennek a megközelítésnek a megvalósításához hálózati alagútra van szükség, amelyet például SSH vagy VPN segítségével hajtanak végre, és az alagutakon belül lehetővé teszik a kapcsolatokat a szerverről. a DMZ-ben a belső hálózati szerverre.

Ennek az opciónak az általános működési sémája a következő:

  1. Egy SSH/VPN-kiszolgáló van telepítve a DMZ-ben lévő kiszolgálóra, és egy SSH/VPN-ügyfél van telepítve a kiszolgálóra a belső hálózaton.
  2. A belső hálózati kiszolgáló kezdeményezi egy hálózati alagút létrehozását a DMZ-ben lévő szerver felé. Az alagút a kliens és a szerver kölcsönös hitelesítésével épül fel.
  3. A DMZ szervere a megépített alagúton belül kapcsolatot kezdeményez a belső hálózatban lévő szerverrel, amelyen keresztül a védett adatok továbbításra kerülnek.
  4. A belső hálózati kiszolgálón egy helyi tűzfal van beállítva az alagúton áthaladó forgalom szűrésére.

Ennek az opciónak a gyakorlati használata azt mutatta, hogy kényelmes az OpenVPN használatával hálózati alagutak építése, mivel az alábbi fontos tulajdonságokkal rendelkezik:

  • Cross-platform. A kommunikációt különböző operációs rendszerű szervereken szervezheti meg.
  • Alagutak építésének lehetősége a kliens és a szerver kölcsönös hitelesítésével.
  • Tanúsított kriptográfia használatának lehetősége.
Első pillantásra úgy tűnhet, hogy ez a séma szükségtelenül bonyolult, és mivel továbbra is helyi tűzfalat kell telepítenie a belső hálózati szerverre, egyszerűbb lenne a DMZ-ről a szervert a szokásos módon a belső hálózathoz csatlakoztatni. szerveren, de ezt titkosított kapcsolattal kell megtenni. Valójában ez az opció sok problémát megold, de nem tudja biztosítani a legfontosabb dolgot - védelmet a belső hálózati szerverek sebezhetőségei elleni támadásokkal szemben, amelyeket a tűzfal IP- és MAC-hamisítással történő megkerülésével hajtanak végre.

Az opció előnyei:

  1. A védett belső hálózati szerveren lévő támadási vektorok számának architekturális csökkentése.
  2. Biztonság biztosítása hálózati forgalom szűrés hiányában.
  3. A hálózaton keresztül továbbított adatok védelme a jogosulatlan megtekintéstől és módosítástól.
  4. A szolgáltatások biztonsági szintjének szelektív növelésének képessége.
  5. Kétkörös védelmi rendszer megvalósításának képessége, ahol az első áramkört tűzfallal biztosítják, a második pedig ezen lehetőség alapján szerveződik.
Az opció hátrányai:
  1. Ennek a védelmi lehetőségnek a megvalósítása és karbantartása további munkaerőköltséget igényel.
  2. Inkompatibilitás a hálózati behatolásérzékelő és -megelőzési rendszerekkel (IDS/IPS).
  3. További számítási terhelés a szervereken.
Analógia a való élettel
Ennek a lehetőségnek az a lényege, hogy a megbízott személy kapcsolatot létesít a megbízhatatlan személlyel, ami hasonló ahhoz a helyzethez, amikor a hitelek kibocsátásakor a Bankok maguk hívják vissza a potenciális hitelfelvevőt az adatok ellenőrzésére. Címkék hozzáadása

Egyre nehezebb elképzelni olyan céget, amelyik nem rendelkezik helyi hálózattal és internet-hozzáféréssel sem. Elterjedt technológia, amely segíti a munka javítását, gyors információ-hozzáférést, dokumentumok és adatok cseréjét. Ez egyrészt. Másrészt az internet széles körű elterjedésével meg kell oldani az információ és a helyi hálózat egészének védelmét. Ez a probléma különösen akkor merül fel, ha a vállalat nyilvánosan elérhető internetes szolgáltatásokkal (web és ftp szerverek, e-mail szolgáltatások, online áruházak) rendelkezik, amelyek közös helyi hálózaton találhatók.

Az ilyen szerverekhez való hozzáférést leggyakrabban ingyenesen biztosítják, azaz bármely felhasználó bejelentkezési névvel és jelszóval történő hitelesítés nélkül hozzáférhet egy webszerveren tárolt erőforráshoz, egy ftp-szerver szakaszaihoz, a levelezőszerver fogadja a leveleket más hasonló levelezőszerverek. Arra pedig nincs garancia, hogy a levelekkel együtt rosszindulatú kód sem kerül a szerverre, és a felhasználók százai között nem lesz olyan, aki bármilyen okból nem csak a közszolgáltatásokhoz szeretne hozzáférni, hanem a szervezet helyi hálózata. És ha a hálózat egyszerű koncentrátorokra (hubokra) épül, és nem kapcsolókra (kapcsolókra), akkor nagy veszélynek van kitéve.

Az egyik számítógép feltörésével a hacker hozzáférhet a teljes hálózathoz

Mi ez? A helyi hálózaton legalább egy számítógéphez hozzáférést követően a hacker a rendszergazdai jelszóig beszerezheti a jelszavakat, amelyek segítségével hozzáférhet a hálózaton keringő vagy tárolt információkhoz, megváltoztathatja a hozzáférési jelszavakat oly módon, hogy Az adatbázisok elérhetetlenné válnak, vagy egyszerűen kivonják őket a forgalomból. Ezen túlmenően, miután hozzáfért egy webszerverhez, DoS támadások végrehajtására is használható, amelyek blokkolhatják az összes belső vállalati erőforrás működését.

Ezért a nyilvános szervereket tartalmazó rendszerek kiépítésének eltérnie kell a belső szervereken alapuló rendszerek kiépítésének megközelítésétől. Ezt a szerver nyilvános elérhetősége miatt felmerülő sajátos kockázatok diktálják. A megoldás a helyi hálózat és a nyilvános szerverek külön részekre bontása. Azt, ahol a közszolgáltatások elhelyezkednek, „demilitarizált zónának” nevezik. DMZ – Demilitarizált zóna).

DMZ - különleges figyelem zóna

A DMZ lényege, hogy közvetlenül nem szerepel sem a belső, sem a külső hálózatban, és csak előre meghatározott tűzfalszabályok szerint lehet hozzáférni. A DMZ-ben nincsenek felhasználók – csak szerverek találhatók ott. A demilitarizált zóna általában arra szolgál, hogy megakadályozza a külső hálózatról a belső hálózaton lévő gazdagépekhez való hozzáférést azáltal, hogy minden kívülről hozzáférést igénylő szolgáltatást áthelyez a helyi hálózatból egy speciális zónába. Valójában kiderült, hogy ez a zóna egy külön alhálózat lesz nyilvános címekkel, amelyet tűzfalak védenek (vagy különítenek el) a nyilvános és vállalati hálózatoktól.

Egy ilyen zóna létrehozásakor a vállalati hálózati rendszergazdáknak további feladatokkal kell szembenézniük. Biztosítani kell a DMZ-ben található erőforrásokhoz és szerverekhez való hozzáférés megkülönböztetését, a továbbított információk titkosságát, amikor a felhasználók ezekkel az erőforrásokkal dolgoznak, és figyelemmel kell kísérni a felhasználói műveleteket. A szervereken esetleg elhelyezkedő információkkal kapcsolatban a következők mondhatók el. Tekintettel arra, hogy a közszolgáltatások feltörhetők, a legkevésbé fontos információkat azokon kell elhelyezni, minden értékes információt pedig kizárólag a helyi hálózaton kell elhelyezni, amely nyilvános szerverekről nem lesz elérhető.

A DMZ-ben található szervereken nem lehet semmilyen információ a felhasználókról, a vállalati ügyfelekről vagy más bizalmas információkról, nem lehetnek az alkalmazottak személyes postafiókjai - mindezt biztonságosan „rejteni” kell a helyi hálózat védett részén. A nyilvános szervereken elérhető információkhoz pedig gondoskodni kell a biztonsági mentések archiválásáról a lehető legkisebb gyakorisággal. Ezenkívül a levelezőszervereknek legalább kétszerveres szolgáltatási modell alkalmazása, a webszervereknek pedig az információk állapotának folyamatos figyelése a hackelés következményeinek időben történő észlelése és megszüntetése érdekében.

A tűzfalak használata kötelező a DMZ létrehozásakor

A tűzfalak a demilitarizált zónán keresztül a vállalati hálózatba való behatolás védelmére szolgálnak. Vannak szoftveres és hardveres képernyők. A szoftverprogramokhoz UNIX vagy Windows NT/2000 rendszert futtató gép szükséges. Hardveres tűzfal telepítéséhez csak a hálózathoz kell csatlakoztatnia, és minimális konfigurációt kell végrehajtania. Jellemzően a szoftveres képernyőket olyan kis hálózatok védelmére használják, ahol nincs szükség sok beállításra a sávszélesség rugalmas elosztásával és a forgalom korlátozásával kapcsolatban a felhasználók számára. Ha a hálózat nagy és nagy teljesítményre van szükség, akkor jövedelmezőbb a hardveres tűzfalak használata. Sok esetben nem egy, hanem két tűzfalat használnak - az egyik védi a demilitarizált zónát a külső behatásoktól, a másik elválasztja a vállalati hálózat belső részétől.

De amellett, hogy a nyilvános szerverek demilitarizált zónába költöztetése bizonyos mértékig védi a vállalati hálózatot, át kell gondolni és biztosítani kell magának a DMZ-nek a védelmét. Ebben az esetben olyan problémákat kell megoldani, mint például:

  • szerverek és hálózati berendezések elleni támadások elleni védelem;
  • az egyes szerverek védelme;
  • e-mailek és egyéb tartalmak ellenőrzése;
  • felhasználói műveletek ellenőrzése.

Hogyan lehet ezeket a problémákat megoldani? A külső levelezésre és a belső vállalati levelezésre is használt levelezőszervert tanácsos két komponensre „felosztani” - a nyilvánosra, amely valójában egy továbbítószerver lesz, és a DMZ-ben lesz elhelyezve, és a fő. az egyik a vállalati hálózaton belül található. A fő komponens biztosítja a belső levelek áramlását, fogadja a külső levelezést az átjátszótól és elküldi neki.

Az egyik fő kihívás a nyilvános erőforrásokhoz és alkalmazásokhoz való biztonságos hozzáférés biztosítása a vállalati intranetről. Bár egy tűzfal van felszerelve közte és a demilitarizált zóna közé, ennek működéséhez „átlátszónak” kell lennie. Számos lehetőség kínálkozik ennek a lehetőségnek a biztosítására a felhasználók számára. Az első a terminálhozzáférés használata. Az ügyfél és a kiszolgáló közötti interakció ilyen megszervezésével a létrehozott kapcsolaton keresztül nem kerül továbbításra programkód, amely vírusokat és más rosszindulatú zárványokat tartalmazhat. A terminálklienstől a szerverig a felhasználó lenyomott billentyűzetbillentyűinek és egérállapotainak kódjainak folyama érkezik, majd visszafelé, a szervertől a kliensig, a felhasználó böngészőjének vagy levelezőkliensének kiszolgálói munkamenetének képernyőinek bináris képei jelennek meg. kapott. Egy másik lehetőség a VPN (virtuális magánhálózat) használata. A hozzáférés-szabályozásnak és az információk titkosítási védelmének köszönhetően a VPN rendelkezik a magánhálózat biztonságával, ugyanakkor kihasználja a nyilvános hálózat minden előnyét.

A szerverek és berendezések DMZ-ben való biztonságossá tételét különös gonddal kell megközelíteni

A szerverek és hálózati berendezések elleni támadások elleni védelem érdekében speciális behatolásérzékelő rendszereket használnak. Az a számítógép, amelyre egy ilyen rendszert telepítettek, az első az információáramlás útján az internetről a DMZ-re. A rendszerek úgy vannak konfigurálva, hogy amikor támadásokat észlelnek, újra be tudják állítani a tűzfalat a hozzáférés teljes blokkolására. További, de nem állandó vezérlés céljából speciális szoftvereket használnak - biztonsági szkennereket, amelyek ellenőrzik a hálózat, a szerverek és szolgáltatások, valamint az adatbázisok biztonságát. A vírusok elleni védelem érdekében a demilitarizált zónában antivírus szoftverek és tartalomvezérlő eszközök vannak telepítve.

A DMZ szervezésére és védelmére szolgáló szoftvereket és műszaki megoldásokat különböző cégek kínálják. Ezek külföldiek és oroszok is. Köztük van például a Computer Associates, a D-Link, az Informzashita, a Trend Micro és még sokan mások.

Az internet széles körű elterjedésével meg kell oldani az információ és a helyi hálózat egészének védelmét. Ez a probléma különösen akkor merül fel, ha a vállalat nyilvánosan elérhető internetes szolgáltatásokkal (web és ftp szerverek, e-mail szolgáltatások, online áruházak) rendelkezik, amelyek közös helyi hálózaton találhatók.

Az ilyen szerverekhez való hozzáférést leggyakrabban ingyenesen biztosítják, azaz bármely felhasználó bejelentkezési névvel és jelszóval történő hitelesítés nélkül hozzáférhet egy webszerveren tárolt erőforráshoz, egy ftp-szerver szakaszaihoz, a levelezőszerver fogadja a leveleket más hasonló levelezőszerverek. Arra pedig nincs garancia, hogy a levelekkel együtt rosszindulatú kód sem kerül a szerverre, és a felhasználók százai között nem lesz olyan, aki bármilyen okból nem csak a közszolgáltatásokhoz szeretne hozzáférni, hanem a szervezet helyi hálózata. És ha a hálózat egyszerű koncentrátorokra (hubokra) épül, és nem kapcsolókra (kapcsolókra), akkor nagy veszélynek van kitéve.

Az egyik számítógép feltörésével a hacker hozzáférhet a teljes hálózathoz

Mi ez? A helyi hálózaton legalább egy számítógéphez hozzáférést követően a hacker a rendszergazdai jelszóig beszerezheti a jelszavakat, amelyek segítségével hozzáférhet a hálózaton keringő vagy tárolt információkhoz, megváltoztathatja a hozzáférési jelszavakat oly módon, hogy Az adatbázisok elérhetetlenné válnak, vagy egyszerűen kivonják őket a forgalomból. Ezen túlmenően, miután hozzáfért egy webszerverhez, DoS támadások végrehajtására is használható, amelyek blokkolhatják az összes belső vállalati erőforrás működését.

Ezért a nyilvános szervereket tartalmazó rendszerek kiépítésének eltérnie kell a belső szervereken alapuló rendszerek kiépítésének megközelítésétől. Ezt a szerver nyilvános elérhetősége miatt felmerülő sajátos kockázatok diktálják. A megoldás a helyi hálózat és a nyilvános szerverek külön részekre bontása. Azt, ahol a közszolgáltatások elhelyezkednek, „demilitarizált zónának” nevezik. DMZ – Demilitarizált zóna).

13.2 ábra – Helyi hálózat vázlata demilitarizált zónával

A DMZ lényege, hogy közvetlenül nem szerepel sem a belső, sem a külső hálózatban, és csak előre meghatározott tűzfalszabályok szerint lehet hozzáférni. A DMZ-ben nincsenek felhasználók – csak szerverek találhatók ott. A demilitarizált zóna általában arra szolgál, hogy megakadályozza a külső hálózatról a belső hálózaton lévő gazdagépekhez való hozzáférést azáltal, hogy minden kívülről hozzáférést igénylő szolgáltatást áthelyez a helyi hálózatból egy speciális zónába. Valójában kiderült, hogy ez a zóna egy külön alhálózat lesz nyilvános címekkel, amelyet tűzfalak védenek (vagy különítenek el) a nyilvános és vállalati hálózatoktól.



Egy ilyen zóna létrehozásakor a vállalati hálózati rendszergazdáknak további feladatokkal kell szembenézniük. Biztosítani kell a DMZ-ben található erőforrásokhoz és szerverekhez való hozzáférés megkülönböztetését, a továbbított információk titkosságát, amikor a felhasználók ezekkel az erőforrásokkal dolgoznak, és figyelemmel kell kísérni a felhasználói műveleteket. A szervereken esetleg elhelyezkedő információkkal kapcsolatban a következők mondhatók el. Tekintettel arra, hogy a közszolgáltatások feltörhetők, a legkevésbé fontos információkat azokon kell elhelyezni, minden értékes információt pedig kizárólag a helyi hálózaton kell elhelyezni, amely nyilvános szerverekről nem lesz elérhető.

A DMZ-ben található szervereken nem lehet semmilyen információ a felhasználókról, a vállalati ügyfelekről vagy más bizalmas információkról, nem lehetnek az alkalmazottak személyes postafiókjai - mindezt biztonságosan „rejteni” kell a helyi hálózat védett részén. A nyilvános szervereken elérhető információkhoz pedig gondoskodni kell a biztonsági mentések archiválásáról a lehető legkisebb gyakorisággal. Ezenkívül a levelezőszervereknek legalább kétszerveres szolgáltatási modell alkalmazása, a webszervereknek pedig az információk állapotának folyamatos figyelése a hackelés következményeinek időben történő észlelése és megszüntetése érdekében.

A tűzfalak használata kötelező a DMZ létrehozásakor

A tűzfalak a demilitarizált zónán keresztül a vállalati hálózatba való behatolás védelmére szolgálnak. Vannak szoftveres és hardveres képernyők. A szoftverprogramokhoz UNIX vagy Windows NT/2000 rendszert futtató gép szükséges. Hardveres tűzfal telepítéséhez csak a hálózathoz kell csatlakoztatnia, és minimális konfigurációt kell végrehajtania. Jellemzően a szoftveres képernyőket olyan kis hálózatok védelmére használják, ahol nincs szükség sok beállításra a sávszélesség rugalmas elosztásával és a forgalom korlátozásával kapcsolatban a felhasználók számára. Ha a hálózat nagy és nagy teljesítményre van szükség, akkor jövedelmezőbb a hardveres tűzfalak használata. Sok esetben nem egy, hanem két tűzfalat használnak - az egyik védi a demilitarizált zónát a külső behatásoktól, a másik elválasztja a vállalati hálózat belső részétől.



De amellett, hogy a nyilvános szerverek demilitarizált zónába költöztetése bizonyos mértékig védi a vállalati hálózatot, át kell gondolni és biztosítani kell magának a DMZ-nek a védelmét. Ebben az esetben olyan problémákat kell megoldani, mint például:

· védelem a szerverek és hálózati berendezések elleni támadások ellen;

· az egyes szerverek védelme;

· az e-mailek és egyéb tartalmak ellenőrzése;

· felhasználói műveletek auditálása.

Hogyan lehet ezeket a problémákat megoldani? A külső levelezésre és a belső vállalati levelezésre is használt levelezőszervert tanácsos két komponensre „felosztani” - a nyilvánosra, amely valójában egy továbbítószerver lesz, és a DMZ-ben lesz elhelyezve, és a fő. az egyik a vállalati hálózaton belül található. A fő komponens biztosítja a belső levelek áramlását, fogadja a külső levelezést az átjátszótól és elküldi neki.

Az egyik fő kihívás a nyilvános erőforrásokhoz és alkalmazásokhoz való biztonságos hozzáférés biztosítása a vállalati intranetről. Bár egy tűzfal van felszerelve közte és a demilitarizált zóna közé, ennek működéséhez „átlátszónak” kell lennie. Számos lehetőség kínálkozik ennek a lehetőségnek a biztosítására a felhasználók számára. Az első a terminálhozzáférés használata. Az ügyfél és a kiszolgáló közötti interakció ilyen megszervezésével a létrehozott kapcsolaton keresztül nem kerül továbbításra programkód, amely vírusokat és más rosszindulatú zárványokat tartalmazhat. A terminálklienstől a szerverig a felhasználó lenyomott billentyűzetbillentyűinek és egérállapotainak kódjainak folyama érkezik, majd visszafelé, a szervertől a kliensig, a felhasználó böngészőjének vagy levelezőkliensének kiszolgálói munkamenetének képernyőinek bináris képei jelennek meg. kapott. Egy másik lehetőség a VPN (virtuális magánhálózat) használata. A hozzáférés-szabályozásnak és az információk titkosítási védelmének köszönhetően a VPN rendelkezik a magánhálózat biztonságával, ugyanakkor kihasználja a nyilvános hálózat minden előnyét.

A szerverek és berendezések DMZ-ben való biztonságossá tételét különös gonddal kell megközelíteni

A szerverek és hálózati berendezések elleni támadások elleni védelem érdekében speciális behatolásérzékelő rendszereket használnak. Az a számítógép, amelyre egy ilyen rendszert telepítettek, az első az információáramlás útján az internetről a DMZ-re. A rendszerek úgy vannak konfigurálva, hogy amikor támadásokat észlelnek, újra be tudják állítani a tűzfalat a hozzáférés teljes blokkolására. További, de nem állandó vezérlés céljából speciális szoftvereket használnak - biztonsági szkennereket, amelyek ellenőrzik a hálózat, a szerverek és szolgáltatások, valamint az adatbázisok biztonságát. A vírusok elleni védelem érdekében a demilitarizált zónában antivírus szoftverek és tartalomvezérlő eszközök vannak telepítve.


Globális hálózatok

A nagy kiterjedésű hálózatok (WAN), más néven területi számítógépes hálózatok, arra szolgálnak, hogy szolgáltatásaikat nagyszámú végfelhasználónak nyújtsák, nagy területen – egy régión, régión, országon, kontinensen vagy az egész világon – szétszórva. A kommunikációs csatornák nagy hosszából adódóan a globális hálózat kiépítése igen nagy költségeket igényel, amelyek magukban foglalják a kábelek költségét és a telepítési munkákat, a kapcsolóberendezések és a szükséges csatornasávszélességet biztosító köztes erősítő berendezések költségét, valamint az üzemeltetést. a szétszórt hálózat folyamatos üzemképes karbantartásának költségei a hálózati berendezések nagy területén.

A globális számítógépes hálózatok tipikus előfizetői a különböző városokban és országokban található vállalkozások helyi hálózatai, amelyeknek adatcserére van szükségük egymással. Az egyes számítógépek a globális hálózatok szolgáltatásait is igénybe veszik.

A WAN-okat általában nagy távközlési cégek hozzák létre, hogy fizetős szolgáltatásokat nyújtsanak az előfizetőknek. Az ilyen hálózatokat nyilvánosnak vagy nyilvánosnak nevezik. Vannak olyan fogalmak is, mint a hálózatüzemeltető és a hálózati szolgáltató. A hálózat üzemeltetője az a társaság, amely fenntartja a hálózat normál működését. A szolgáltató, amelyet gyakran szolgáltatónak is neveznek, olyan társaság, amely fizetős szolgáltatásokat nyújt a hálózati előfizetőknek. A tulajdonos, az üzemeltető és a szolgáltató lehet egy cég, vagy különböző cégeket is képviselhet.

Sokkal ritkábban fordul elő, hogy egy globális hálózatot teljes egészében valamilyen nagyvállalat hoz létre belső igényeire. Ebben az esetben a hálózatot privátnak nevezik. Nagyon gyakran van egy köztes lehetőség - egy vállalati hálózat egy nyilvános nagy kiterjedésű hálózat szolgáltatásait vagy berendezéseit veszi igénybe, de ezeket a szolgáltatásokat vagy berendezéseket kiegészíti sajátjával.

Attól függően, hogy milyen komponenseket kell bérelni, szokás megkülönböztetni a következő hálózatokat:

Dedikált csatornák;

Áramkör kapcsolás;

Csomagváltás.

Ez utóbbi eset a legjobb esetnek felel meg, ahol minden földrajzi helyen elérhető csomagkapcsolt hálózat, amelyet közös vállalati hálózattá kell egyesíteni. Az első két esetben további munkára van szükség egy csomagkapcsolt hálózat kiépítéséhez a lízingelt források alapján.

Dedikált csatornák

Dedikált (vagy bérelt) áramkörök beszerezhetők olyan távközlési cégektől, amelyek nagy távolságú áramkörökkel rendelkeznek, vagy telefontársaságoktól, amelyek jellemzően városon vagy régión belül bérelnek áramköröket.

A bérelt vonalakat kétféleképpen használhatja. Az első, hogy segítségükkel egy bizonyos technológiájú területi hálózatot építenek ki, például a Frame Relay-t, amelyben a bérelt bérelt vonalak köztes, földrajzilag elosztott csomagkapcsolók összekapcsolását szolgálják.

A második lehetőség az, hogy csak a dedikált vonalakon keresztül kapcsolódó helyi hálózatokat csatlakoztassa, globális hálózati technológiával működő tranzit csomagkapcsolók telepítése nélkül. A második lehetőség műszaki szempontból a legegyszerűbb, mivel az összekapcsolt helyi hálózatokban routerek vagy távoli hidak használatán, valamint az olyan globális technológiai protokollok hiányán alapul, mint az X.25 vagy a Frame Relay. A globális csatornákon ugyanazok a hálózati vagy kapcsolati réteg csomagok kerülnek továbbításra, mint a helyi hálózatokban.

A globális csatornák használatának második módja, amely a „dedikált csatornaszolgáltatások” elnevezést kapta, mivel valójában nem használ mást a tényleges globális hálózatok csomagkapcsolt technológiáiból.

A dedikált csatornákat nagyon aktívan használták a közelmúltban és használják ma is, különösen nagy helyi hálózatok közötti kritikus gerinchálózati kapcsolatok kiépítésekor, mivel ez a szolgáltatás garantálja a bérelt csatorna áteresztőképességét. A földrajzilag távoli pontok nagy száma és a köztük lévő intenzív vegyes menetrend miatt azonban ennek a szolgáltatásnak a használata magas költségekkel jár a nagyszámú bérelt csatorna miatt.

Ma a dedikált csatornák széles választéka áll rendelkezésre – a 3,1 kHz sávszélességű analóg hangfrekvenciás csatornáktól a 155 és 622 Mbit/s átviteli sebességű SDN technológia digitális csatornáiig.

A DMZ rövidítés a demilitarizált zónát jelenti, vagyis a „demilitarizált zónát”. Váratlan és nem világos, mi köze ennek az útválasztóhoz. Valójában azonban ez számos esetben nagyon hasznos dolog. Erről lesz szó ebben a cikkben.

A DMZ célja és használata

A DMZ egy hálózati szegmens, amelyet olyan szolgáltatásokhoz és programokhoz hoznak létre, amelyek közvetlen internet-hozzáférést igényelnek. Közvetlen hozzáférés szükséges torrentekhez, azonnali üzenetküldőkhöz, online játékokhoz és néhány más programhoz. És nem nélkülözheti, ha videokamerát szeretne telepíteni, és hozzáférnie az interneten keresztül.

Ha a számítógép, amelyen a program fut, közvetlenül csatlakozik az internethez, megkerülve az útválasztót, akkor nincs szükség DMZ használatára. De ha a kapcsolat egy útválasztón keresztül történik, akkor nem lehet „elérni” a programot az internetről, mert az összes kérést az útválasztó fogadja, és nem továbbítja a helyi hálózaton belül.

A probléma megoldására általában a porttovábbítást használják az útválasztón. Erről honlapunkon található információ. Ez azonban nem mindig kényelmes, és néhányan inkább DMZ-t állítanak be. Ha beállít egy DMZ-t az útválasztón, és hozzáadja hozzá a kívánt hálózati csomópontot, például egy játékszervert futtató számítógépet vagy egy DVR-t, amelyhez IP-kamera csatlakozik, ez a csomópont látható lesz a külső hálózatról, mintha közvetlenül csatlakoztak az internethez. Semmi sem fog változni a hálózat többi eszközén – ugyanúgy fognak működni, mint korábban.

Ezekkel a beállításokkal óvatosnak kell lennie. Mivel mind a porttovábbítás, mind a DMZ potenciális biztonsági rést jelent. A biztonság javítása érdekében a nagyvállalatok gyakran külön hálózatot hoznak létre a DMZ számára. A DMZ hálózat más számítógépekhez való hozzáférésének blokkolása érdekében további útválasztót használnak.

DMZ beállítása a routeren

Az útválasztók csak egy eszköz hozzáadását teszik lehetővé a DMZ-hez. Az útválasztónak „fehér” IP-címet kell kapnia. Csak ebben az esetben lesz elérhető a globális hálózatról. Ezzel kapcsolatos információkat az internetszolgáltatótól kaphat. Egyes szolgáltatók ingyenesen biztosítanak külső IP-címet, de ez a szolgáltatás gyakran külön díjat igényel.

Statikus IP-cím beállítása

Csak statikus IP-címmel rendelkező számítógép adható hozzá a DMZ-hez. Ezért az első dolgunk, hogy megváltoztassuk. Ehhez nyissa meg a hálózati kapcsolat tulajdonságait, és a TCP/IP beállításokban állítson be egy statikus IP-címet a hálózat címtartományába. Például, ha az útválasztó IP-címe 192.168.0.1, akkor számítógépéhez megadhatja a 192.168.0.10 IP-címet. A szabványos alhálózati maszk a 255.255.255.0. És az „Átjáró” mezőben meg kell adnia az útválasztó címét.

Felhívjuk figyelmét, hogy a számítógéphez rendelt IP-cím nem eshet a kiosztott címek tartományába.

Ezen a ponton a számítógép beállítása befejeződött, és folytathatja az útválasztó beállításait.

A router beállítása

Az első lépés a DMZ engedélyezése az útválasztón, mivel alapértelmezés szerint mindig le van tiltva.

Keresse meg a megfelelő menüpontot a készülék webes felületén:

  • Asus útválasztókon a szükséges fület DMZ-nek hívják.
  • A TP-Link útválasztókon nyissa meg a „Továbbítás” elemet, és ott lesz egy DMZ alelem.
  • A D-Linknél keresse meg a „Tűzfal” elemet.

Mindenesetre a beállítások lapon be kell jelölnie az „Engedélyezés” négyzetet. És mellette keresse meg a „DMZ Host Address” vagy „Visible Station Address” nevű mezőt (az útválasztó modelljétől függően más lehetőségek is lehetnek). Ebben a mezőben adjuk meg a számítógép vagy más eszköz statikus címét, amelyet hozzá kell adni a DMZ-hez. Esetünkben ez a 192.168.0.10.

Mentse el a beállításokat, és indítsa újra az útválasztót. Ez minden: a kiválasztott számítógép összes portja nyitva van. Minden program, amely bejövő kapcsolatokat használ, azt gondolja, hogy közvetlenül csatlakozik a hálózathoz. Az összes többi program a szokásos módon fog működni.

Az alábbiakban egy angol nyelvű interfésszel rendelkező router beállításának példája látható.

A DMZ létrehozása kényelmes módja a szükséges programok munkájának egyszerűsítésének, de ne feledje, hogy a PC-hez való nyílt hozzáférés növeli a hálózati támadások és vírusfertőzések kockázatát.

Ezért a DMZ gazdagépként használt eszközre tűzfalat és víruskereső programot kell telepíteni.

Leírás

A demilitarizált zóna vagy DMZ egy fehércímkés címzésű hálózati szegmens, amelyet tűzfal választ el az internettől és a szervezet helyi hálózatától. Azok a szerverek, amelyeknek az internetről elérhetőnek kell lenniük, mint például a levelező- vagy webszerver, általában DMZ-ben helyezkednek el. Mivel a DMZ hálózatban lévő szervereket tűzfal választja el a helyi hálózattól, ha feltörik őket, a támadó nem tud hozzáférni a helyi hálózati erőforrásokhoz.

Beállítások

A demilitarizált zóna a „szolgáltatók és hálózatok” modulban jön létre. Létrehozásakor meg kell adni az Internet Control Server IP-címét és a DMZ hálózati maszkot, valamint ki kell választani a DMZ hálózati interfészét. Biztonsági okokból általában külön hálózati interfészt használnak a DMZ-hez.

Alapértelmezés szerint a DMZ-ben található szerverek nem férnek hozzá az internethez és a helyi hálózathoz, ezért a hozzáférést tűzfalszabályok segítségével kell beállítani.

A „NAT helyi hálózatokból” jelölőnégyzet lehetővé teszi a helyi címek DMZ hálózatra történő fordításának szabályozását. Alapértelmezés szerint le van tiltva, pl. A DMZ hálózati interfész NAT szolgáltatása nem működik, a címeket változtatás nélkül fordítja le.

Fontos: maga a NAT a DMZ hálózathoz le van tiltva az ICS külső interfészein, ezért „fehér” IP-címeket kell használni a címezéséhez. A DMZ hálózat beállításának akkor van értelme, ha szabályoznia kell a helyi hálózat „fehér” IP-című szervereihez való külső hozzáférést. Minden más esetben normál helyi hálózat van konfigurálva.