Acasă > iOS > Un exemplu de configurare a porturilor dmz. Ce este DMZ și cum să-l configurezi pe un router. Video despre configurarea DMZ Host pe un router


Un exemplu de configurare a porturilor dmz. Ce este DMZ și cum să-l configurezi pe un router. Video despre configurarea DMZ Host pe un router





Kivshenko Alexey, 1880

Acest articol oferă o prezentare generală cinci opțiuni pentru rezolvarea problemei de organizare a accesului la serviciile de rețea corporative de pe Internet. Ca parte a revizuirii, este furnizată o analiză a opțiunilor de siguranță și fezabilitate, care va ajuta la înțelegerea esenței problemei, la reîmprospătarea și sistematizarea cunoștințelor atât pentru profesioniștii începători, cât și pentru cei mai experimentați. Materialele articolului pot fi folosite pentru a-ți fundamenta deciziile de proiectare.

Când luăm în considerare opțiunile, să luăm ca exemplu rețeaua în care doriți să publicați:

  1. Server de corespondență corporativă (Web-mail).
  2. Server terminal corporativ (RDP).
  3. Serviciu extranet pentru contrapartide (Web-API).

Opțiunea 1. Rețea plată

În această opțiune, toate nodurile rețelei corporative sunt cuprinse într-o singură rețea comună („Rețea internă”), în cadrul căreia comunicațiile dintre ele nu sunt limitate. Rețeaua este conectată la Internet printr-un router de frontieră/firewall (în continuare - IFW).

Nodurile accesează Internetul prin NAT și accesul la servicii de pe Internet prin redirecționarea portului.

Avantajele opțiunii:

  1. Cerințe minime de funcționalitate IFW(se poate face pe aproape orice, chiar și pe router de acasă).
  2. Cerințe minime de cunoștințe pentru specialistul care implementează opțiunea.
Contra opțiunii:
  1. Nivelul minim de securitate. În cazul unui hack, în care Intrusul câștigă controlul asupra unuia dintre serverele publicate pe Internet, toate celelalte noduri și canale de comunicare ale rețelei corporative îi devin disponibile pentru alte atacuri.
Analogie din viața reală
O astfel de rețea poate fi comparată cu o companie în care personalul și clienții se află în aceeași cameră comună (open space)


hrmaximum.ru

Opțiunea 2.DMZ

Pentru a elimina dezavantajul menționat anterior, nodurile de rețea accesibile de pe Internet sunt plasate într-un segment special alocat - o zonă demilitarizată (DMZ). DMZ este organizat folosind firewall-uri care îl separă de Internet ( IFW) și din rețeaua internă ( DFW).


În acest caz, regulile de filtrare pentru firewall arată astfel:
  1. Din rețeaua internă, puteți iniția conexiuni la DMZ și la WAN (Wide Area Network).
  2. Din DMZ, puteți iniția conexiuni la WAN.
  3. Din WAN, puteți iniția conexiuni la DMZ.
  4. Inițierea conexiunilor de la WAN și DMZ la rețeaua internă este interzisă.


Avantajele opțiunii:
  1. Securitate sporită a rețelei împotriva piratarii serviciilor individuale. Chiar dacă unul dintre servere este piratat, Intruderul nu va putea accesa resursele aflate în rețeaua internă (de exemplu, imprimante de rețea, sisteme de supraveghere video etc.).
Contra opțiunii:
  1. În sine, eliminarea serverelor din DMZ nu crește securitatea acestora.
  2. Este necesar un firewall suplimentar pentru a separa DMZ de rețeaua internă.
Analogie din viața reală
Această versiune a arhitecturii de rețea este similară cu organizarea zonelor de lucru și client dintr-o companie, unde clienții pot fi doar în zona clienților, iar personalul poate fi atât în ​​zona client, cât și în zona de lucru. Segmentul DMZ este exact analogul zonei client.


autobam.ru

Opțiunea 3. Separarea serviciilor în front-end și back-end

După cum sa menționat mai devreme, plasarea unui server în DMZ nu îmbunătățește în niciun fel securitatea serviciului în sine. Una dintre opțiunile de corectare a situației este împărțirea funcționalității serviciului în două părți: Front-End și Back-End. În plus, fiecare parte este situată pe un server separat, între care este organizată interacțiunea în rețea. Serverele Front-End care implementează funcționalitatea de interacțiune cu clienții aflați pe Internet sunt plasate în DMZ, în timp ce serverele Back-End care implementează restul funcționalității sunt lăsate în rețeaua internă. Pentru interacțiunea dintre ei DFW creați reguli care să permită inițierea conexiunii de la front-end la back-end.

Ca exemplu, luați în considerare un serviciu de corespondență corporativă care deservește clienții atât din interiorul rețelei, cât și de pe Internet. Clienții din interior folosesc POP3/SMTP, iar clienții de pe Internet lucrează prin interfața Web. De obicei, în etapa de implementare, companiile aleg cel mai simplu mod de a implementa serviciul și pun toate componentele acestuia pe un singur server. Apoi, pe măsură ce se realizează nevoia de a asigura securitatea informațiilor, funcționalitatea serviciului este împărțită în părți, iar partea care este responsabilă cu deservirea clienților de pe Internet (Front-End) este plasată pe un server separat care interacționează prin rețea. cu serverul care implementează funcționalitatea rămasă (Back -End). În acest caz, Front-End-ul este plasat în DMZ, în timp ce Back-End-ul rămâne în segmentul intern. Pentru comunicarea între Front-End și Back-End activat DFW creați o regulă care să permită inițierea conexiunilor de la Front-End la Back-End.

Avantajele opțiunii:

  1. În cazul general, atacurile îndreptate împotriva unui serviciu protejat se pot „împieci” pe Front-End, care va neutraliza sau reduce semnificativ eventualele daune. De exemplu, TCP SYN Flood sau atacurile de citire http lentă împotriva unui serviciu vor duce la indisponibilitatea serverului Front-End, în timp ce Back-End-ul continuă să funcționeze normal și să servească utilizatorii.
  2. În general, este posibil ca serverul Back-End să nu aibă acces la Internet, ceea ce, dacă este piratat (de exemplu, de către un cod rău intenționat lansat local), va îngreuna gestionarea de la distanță de pe Internet.
  3. Front-end-ul este potrivit pentru găzduirea unui firewall la nivel de aplicație (cum ar fi un firewall pentru aplicații Web) sau a unui sistem de prevenire a intruziunilor (IPS, cum ar fi snort).
Contra opțiunii:
  1. Pentru comunicarea între Front-End și Back-End activat DFW se creează o regulă care permite inițierea unei conexiuni de la DMZ la rețeaua internă, ceea ce creează amenințări asociate cu utilizarea acestei reguli de către alte noduri din DMZ (de exemplu, datorită implementării atacurilor de falsificare IP, otrăvire ARP). , etc.)
  2. Nu toate serviciile pot fi împărțite în Front-End și Back-End.
  3. Compania trebuie să implementeze procese de afaceri pentru actualizarea regulilor firewall.
  4. Compania trebuie să implementeze mecanisme de protecție împotriva atacurilor din partea Violatorilor care au obținut acces la serverul din DMZ.
Note
  1. În viața reală, chiar și fără a separa serverele în Front-End și Back-End, serverele din DMZ au nevoie de foarte multe ori să acceseze serverele situate în rețeaua internă, astfel încât dezavantajele indicate ale acestei opțiuni vor fi valabile și pentru opțiunea anterioară luată în considerare.
  2. Dacă luăm în considerare protecția aplicațiilor care rulează prin interfața Web, atunci chiar dacă serverul nu acceptă separarea funcțiilor între Front-End și Back-End, folosind un server proxy invers http (de exemplu, nginx) ca un Front- End va minimiza riscurile asociate cu atacurile pentru refuzul serviciului. De exemplu, atacurile de inundații SYN pot face ca proxy-ul invers http să nu fie disponibil în timp ce back-end-ul continuă să funcționeze.
Analogie din viața reală
Această opțiune este în esență similară cu organizarea muncii, în care secretarele asistenți sunt folosite pentru lucrătorii cu încărcare mare. Apoi Back-End-ul va fi analogul unui lucrător ocupat, iar Front-End-ul va fi analogul unei secretare.


mln.kz

Opțiunea 4: protejat DMZ

DMZ este partea rețelei care este accesibilă de pe Internet și, ca urmare, prezintă cel mai mare risc de compromitere a gazdei. Designul DMZ-ului și abordările utilizate în acesta ar trebui să asigure o supraviețuire maximă în cazul în care un intrus a câștigat controlul asupra unuia dintre nodurile din DMZ. Ca posibile atacuri, luați în considerare atacurile care afectează aproape toate sistemele de informații care funcționează cu setări implicite:

Protecție împotriva atacurilor legate de DHCP

În ciuda faptului că DHCP are scopul de a automatiza configurarea adreselor IP pentru stațiile de lucru, există cazuri în unele companii când adresele IP sunt emise pentru servere prin DHCP, dar aceasta este o practică destul de proastă. Prin urmare, pentru a vă proteja împotriva serverului DHCP Rogue, înfometarea DHCP, este recomandat să dezactivați complet DHCP în DMZ.

Protecție împotriva atacurilor de inundații MAC

Pentru a proteja împotriva inundațiilor MAC, porturile de comutare sunt configurate pentru a limita intensitatea maximă a traficului de difuzare (deoarece aceste atacuri generează de obicei trafic de difuzare (difuzare)). Atacurile care implică utilizarea unor adrese de rețea specifice (unicast) vor fi blocate prin filtrarea MAC, despre care am discutat mai devreme.

Protecție împotriva atacurilor de inundații UDP

Protecția împotriva acestui tip de atac este similară cu protecția împotriva inundațiilor MAC, cu excepția faptului că filtrarea este efectuată la nivel IP (L3).

Protecție împotriva atacurilor de inundații TCP SYN

Pentru a vă proteja împotriva acestui atac, sunt posibile următoarele opțiuni:
  1. Protecția nodului de rețea cu tehnologia TCP SYN Cookie.
  2. Protecție firewall (cu condiția ca DMZ să fie subrețea) prin limitarea ratei de trafic care conține solicitări TCP SYN.

Protecție împotriva atacurilor asupra serviciilor de rețea și aplicațiilor Web

Nu există o soluție universală la această problemă, dar practica stabilită este implementarea proceselor de management al vulnerabilităților software (detecție, instalare de patch-uri etc., de exemplu), precum și utilizarea sistemelor de detectare și prevenire a intruziunilor (IDS/IPS) .

Protecție împotriva atacurilor de bypass de autentificare

Ca și în cazul precedent, nu există o soluție universală pentru această problemă.
De obicei, în cazul unui număr mare de încercări de autorizare nereușite, conturile sunt blocate pentru a evita selectarea datelor de autentificare (de exemplu, o parolă). Dar această abordare este destul de controversată și iată de ce.
În primul rând, Violator poate informații de autentificare în forță brută cu o intensitate care nu duce la blocarea contului (sunt cazuri când parola a fost în forță brută timp de câteva luni cu un interval între încercări de câteva zeci de minute).
În al doilea rând, această caracteristică poate fi folosită pentru atacuri de denial-of-service, în care Intrusul va efectua în mod deliberat un număr mare de încercări de autorizare pentru a bloca conturile.
Cea mai eficientă opțiune împotriva atacurilor din această clasă va fi utilizarea sistemelor IDS/IPS, care, la detectarea încercărilor de a ghici parole, vor bloca nu contul, ci sursa din care are loc această fisurare (de exemplu, blocarea IP-ului). adresa Violatorului).

Lista finală a măsurilor de protecție pentru această opțiune:

  1. DMZ este împărțit în subrețele IP bazate pe o subrețea separată pentru fiecare gazdă.
  2. Adresele IP sunt atribuite manual de către administratori. DHCP nu este utilizat.
  3. Pe interfețele de rețea la care sunt conectate nodurile DMZ, este activată filtrarea MAC și IP, precum și restricțiile privind intensitatea traficului de difuzare și a traficului care conține solicitări TCP SYN.
  4. Pe switch-uri, negocierea automată a tipului de port este dezactivată, utilizarea VLAN-ului nativ este interzisă.
  5. Gazdele DMZ și serverele de rețea interne la care se conectează aceste gazde sunt configurate cu un cookie TCP SYN.
  6. Managementul vulnerabilităților software este implementat pentru gazdele DMZ (și, de preferință, restul rețelei).
  7. În segmentul DMZ sunt implementate sisteme de detectare și prevenire a intruziunilor IDS/IPS.
Avantajele opțiunii:
  1. Grad ridicat de securitate.
Contra opțiunii:
  1. Cerințe crescute pentru funcționalitatea echipamentului.
  2. Costuri cu forța de muncă în implementare și suport.
Analogie din viața reală
Dacă mai devreme am comparat DMZ cu o zonă pentru clienți dotată cu canapele și pouf, atunci un DMZ securizat va arăta mai mult ca o casă blindată.


valmax.com.ua

Opțiunea 5. Conectare înapoi

Măsurile de protecție avute în vedere în versiunea anterioară s-au bazat pe faptul că în rețea exista un dispozitiv (switch/router/firewall) capabil să le implementeze. Dar, în practică, de exemplu, atunci când se utilizează o infrastructură virtuală (comutatoarele virtuale au adesea capabilități foarte limitate), un astfel de dispozitiv poate să nu existe.

În aceste condiții, multe dintre atacurile considerate mai devreme devin disponibile pentru Intrus, dintre care cele mai periculoase vor fi:

  • atacuri care permit interceptarea și modificarea traficului (ARP Poisoning, CAM table overflow + TCP session hijacking etc.);
  • atacuri legate de exploatarea vulnerabilităților serverelor de rețea interne la care pot fi inițiate conexiuni din DMZ (ceea ce este posibil prin ocolirea regulilor de filtrare DFW din cauza falsificării IP și MAC).
Următoarea caracteristică importantă pe care nu am luat-o în considerare înainte, dar care nu încetează să fie mai puțin importantă din aceasta, este aceea că stațiile de lucru ale utilizatorilor (AWP) pot fi și o sursă (de exemplu, atunci când sunt infectate cu viruși sau troieni) de efecte dăunătoare asupra servere.

Astfel, ne confruntăm cu sarcina de a proteja serverele rețelei interne de atacurile Intrușului atât din DMZ, cât și din rețeaua internă (infectarea AWP cu un troian poate fi interpretată ca acțiunile Intrusului din interiorul). reţea).

Abordarea propusă mai jos are ca scop reducerea numărului de canale prin care un Intrus poate ataca serverele și există cel puțin două astfel de canale. Prima este regula pentru DFW, permițând accesul la serverul de rețea intern din DMZ (chiar dacă este limitat de adrese IP), iar al doilea este portul de rețea deschis pe server, pe care sunt așteptate cereri de conectare.

Puteți închide aceste canale dacă serverul de rețea intern însuși construiește conexiuni la serverul din DMZ și face acest lucru folosind protocoale de rețea sigure criptografic. Atunci nu va fi nici un port deschis, nicio regulă DFW.

Dar problema este că serviciile de server obișnuite nu pot funcționa în acest fel, iar pentru a implementa această abordare, este necesar să se folosească tunelul de rețea, implementat, de exemplu, folosind SSH sau VPN, și deja în interiorul tunelurilor permit conexiunile de la un server în DMZ către un server de rețea intern.

Schema generală a acestei opțiuni este următoarea:

  1. Un server SSH/VPN este instalat pe un server din DMZ, iar un client SSH/VPN este instalat pe un server din rețeaua internă.
  2. Serverul de rețea intern inițiază construcția unui tunel de rețea către serverul din DMZ. Tunelul este construit cu autentificare reciprocă client și server.
  3. Serverul din DMZ din tunelul construit inițiază o conexiune la serverul din rețeaua internă, prin care sunt transmise datele protejate.
  4. Un firewall local este configurat pe serverul de rețea intern pentru a filtra traficul care trece prin tunel.

Utilizarea acestei opțiuni în practică a arătat că este convenabil să construiți tuneluri de rețea folosind OpenVPN, deoarece are următoarele proprietăți importante:

  • Multiplatformă. Puteți organiza comunicarea pe servere cu sisteme de operare diferite.
  • Abilitatea de a construi tuneluri cu autentificare reciprocă client și server.
  • Abilitatea de a utiliza criptografie certificată.
La prima vedere, poate părea că această schemă este prea complicată și că, deoarece încă trebuie să instalați un firewall local pe serverul de rețea intern, este mai ușor să faceți serverul din DMZ, ca de obicei, să se conecteze la serverul rețelei interne. în sine, dar faceți-o prin conexiune criptată. Într-adevăr, această opțiune va închide multe probleme, dar nu va putea oferi principalul lucru - protecție împotriva atacurilor asupra vulnerabilităților serverului de rețea intern, realizată prin ocolirea firewall-ului folosind IP și MAC spoofing.

Avantajele opțiunii:

  1. Reducerea arhitecturală a numărului de vectori de atac pe serverul de rețea intern protejat.
  2. Asigurarea securității în absența filtrării traficului de rețea.
  3. Protecția datelor transmise prin rețea împotriva vizualizării și modificărilor neautorizate.
  4. Capacitatea de a crește selectiv nivelul de securitate al serviciilor.
  5. Posibilitatea implementării unui sistem de protecție cu două bucle, în care prima buclă este asigurată cu ajutorul firewall-ului, iar a doua este organizată pe baza acestei opțiuni.
Contra opțiunii:
  1. Implementarea și întreținerea acestei opțiuni de protecție necesită costuri suplimentare cu forța de muncă.
  2. Incompatibilitate cu sistemele de detectare și prevenire a intruziunilor în rețea (IDS/IPS).
  3. Sarcină de calcul suplimentară pe servere.
Analogie din viața reală
Sensul principal al acestei optiuni este ca o persoana de incredere stabileste o relatie cu una care nu are incredere, ceea ce este similar cu situatia in care, la emiterea de imprumuturi, Bancile insele apeleaza un potential imprumut pentru a verifica datele. Adaugă etichete

Reprezentarea oricărei companii care nu are o rețea locală și nu are acces la Internet devine din ce în ce mai dificilă. O tehnologie comună care ajută la îmbunătățirea muncii, oferă acces rapid la informații, schimb de documente, date. Aceasta este pe de o parte. Pe de altă parte, odată cu utilizarea pe scară largă a Internetului, devine necesară soluționarea problemei de protecție a informațiilor și a rețelei locale în ansamblu. Această problemă este deosebit de semnificativă atunci când compania are servicii publice (publice) de Internet (servere web și ftp, servicii de e-mail, magazine online) care sunt situate într-o rețea locală comună.

Accesul la astfel de servere este de cele mai multe ori gratuit, adică orice utilizator poate accesa resursa găzduită pe serverul web, secțiuni ale serverului ftp fără a efectua autentificarea de logare și parolă, serverul de mail va primi e-mail de la alte servere de e-mail similare. Și nu există nicio garanție că codul rău intenționat nu va ajunge la server împreună cu e-mailul, că printre sutele de utilizatori nu va exista nimeni care să dorească să aibă acces nu numai la serviciile publice, ci și la rețeaua locală a organizației din orice motiv. . Și dacă rețeaua este construită pe hub-uri simple (hub-uri) și nu pe comutatoare (comutatoare), atunci va fi expusă unui mare risc.

Prin piratarea unuia dintre computere, un hacker poate obține acces la întreaga rețea

Ce este? După ce a obținut acces la cel puțin un computer din rețeaua locală, un hacker poate obține parole până la parola administratorului, ceea ce îi va permite să acceseze orice informație care circulă sau stocată în rețea, să schimbe parolele de acces în așa fel încât bazele de date să fie inaccesibile , sau pur și simplu să fie afișat în afara serviciului. În plus, având acces la serverul web, acesta poate fi folosit pentru a efectua atacuri DoS, care pot bloca performanța tuturor resurselor intra-corporate.

Prin urmare, abordarea construirii sistemelor care includ servere publice ar trebui să fie diferită de abordarea construirii sistemelor bazate pe servere interne. Acest lucru este dictat de riscurile specifice care apar din cauza disponibilității publice a serverului. Soluția este separarea rețelei locale și a serverelor publice în părți separate. Cea în care vor fi găzduite serviciile publice se numește „zona demilitarizată” ( DMZ - Zona Demilitarizata).

DMZ - zonă de atenție specială

Esența DMZ este că nu este inclus direct nici în rețeaua internă, nici în rețeaua externă, iar accesul la acesta poate fi efectuat numai conform regulilor de firewall predefinite. Nu există utilizatori în DMZ - doar serverele sunt localizate acolo. Zona demilitarizată servește de obicei la prevenirea accesului din rețeaua externă la gazdele din rețeaua internă prin mutarea tuturor serviciilor care necesită acces din exterior din rețeaua locală într-o zonă specială. De fapt, se dovedește că această zonă va fi o subrețea separată cu adrese publice, protejată (sau separată) de rețelele publice și corporative prin firewall-uri.

Atunci când creează o astfel de zonă, administratorii de rețele corporative se confruntă cu sarcini suplimentare. Este necesar să se asigure controlul accesului la resursele și serverele situate în DMZ, pentru a asigura confidențialitatea informațiilor transmise atunci când utilizatorii lucrează cu aceste resurse, pentru a controla acțiunile utilizatorului. În ceea ce privește informațiile care pot fi localizate pe servere, se pot spune următoarele. Având în vedere că serviciile publice pot fi piratate, acestea ar trebui să conțină cele mai puțin importante informații, iar orice informație valoroasă ar trebui plasată exclusiv în rețeaua locală, care nu va fi accesibilă de pe serverele publice.

Pe serverele găzduite în DMZ, nu ar trebui să existe informații despre utilizatori, clienți ai companiei, alte informații confidențiale, nu ar trebui să existe cutii poștale personale ale angajaților - toate acestea ar trebui să fie „ascunse” în siguranță într-o parte securizată a rețelei locale. Iar pentru informațiile care vor fi disponibile pe serverele publice, este necesar să se prevadă arhivarea de rezervă cu cea mai mică frecvență posibilă. În plus, se recomandă utilizarea unui model de servicii cu cel puțin două servere pentru serverele de e-mail, iar serverele web să monitorizeze constant starea informațiilor pentru a detecta și elimina în timp util consecințele hackingului.

Utilizarea firewall-urilor este obligatorie la crearea unui DMZ

Firewall-urile sunt folosite pentru a proteja pătrunderea prin DMZ în rețeaua corporativă. Există ecrane software și hardware. Software-ul necesită o mașină care rulează UNIX sau Windows NT/2000. Pentru a instala un firewall hardware, trebuie doar să îl conectați la rețea și să efectuați o configurație minimă. În mod obișnuit, ecranele software sunt folosite pentru a proteja rețelele mici unde nu este nevoie să faceți multe setări legate de alocarea flexibilă a lățimii de bandă și restricțiile de trafic asupra protocoalelor pentru utilizatori. Dacă rețeaua este mare și este necesară o performanță ridicată, devine mai profitabilă utilizarea firewall-urilor hardware. În multe cazuri, nu se utilizează unul, ci două firewall - unul protejează zona demilitarizată de influențele externe, al doilea o separă de partea internă a rețelei corporative.

Dar, pe lângă faptul că mutarea serverelor publice într-o zonă demilitarizată protejează într-o anumită măsură rețeaua corporativă, este necesar să se gândească și să se asigure protecția DMZ-ului în sine. Procedând astfel, probleme precum:

  • protectie impotriva atacurilor asupra serverelor si echipamentelor de retea;
  • protecția serverelor individuale;
  • controlul corespondenței și al altor conținuturi;
  • auditul acțiunilor utilizatorilor.

Cum pot fi rezolvate aceste probleme? Este de dorit să „împarți” serverul de e-mail, care este folosit atât pentru corespondența externă, cât și pentru corespondența intracorporativă, în două componente - cea publică, care va fi de fapt un server de retransmisie și va fi situat în DMZ, și cea principală. , situat în interiorul rețelei corporative. Componenta principală asigură circulația corespondenței interne, primește de la releu și îi trimite corespondență externă.

Una dintre principalele provocări este asigurarea accesului securizat la resursele publice și aplicațiile din intranetul corporativ. Deși este instalat un firewall între acesta și DMZ, acesta trebuie să fie „transparent” pentru a funcționa. Există mai multe opțiuni pentru a oferi această oportunitate utilizatorilor. Prima este utilizarea accesului la terminal. Cu o astfel de organizare a interacțiunii dintre client și server, prin conexiunea stabilită nu se transmite niciun cod de program, printre care ar putea exista viruși și alte incluziuni rău intenționate. De la clientul terminal la server, urmează un flux de coduri ale tastelor apăsate ale tastaturii și stări ale mouse-ului utilizatorului și înapoi, de la server la client, imagini binare ale ecranelor sesiunii de server a browserului sau clientul de mail al utilizatorului vine. O altă opțiune este să utilizați un VPN (Virtual Private Network). Prin controlul accesului și protecția criptografică a informațiilor, VPN are securitatea unei rețele private și, în același timp, profită din plin de rețeaua publică.

Protecția serverelor și echipamentelor din DMZ trebuie abordată cu o atenție deosebită

Pentru a proteja împotriva atacurilor asupra serverelor și echipamentelor de rețea, sunt utilizate sisteme speciale de detectare a intruziunilor. Calculatorul pe care este instalat un astfel de sistem devine primul pe calea fluxului de informații de la Internet către DMZ. Sistemele sunt configurate astfel încât, atunci când sunt detectate atacuri, să poată reconfigura firewall-ul până la blocarea completă a accesului. În scopul controlului suplimentar, dar nu permanent, se utilizează software special - scanere de securitate care verifică securitatea rețelei, serverelor și serviciilor, bazelor de date. Pentru a proteja împotriva virușilor în DMZ, este instalat software antivirus, precum și instrumente de control al conținutului.

Soluții software și tehnice pentru organizarea și protejarea DMZ-urilor sunt oferite de diverse companii. Acestea sunt atât străine, cât și ruși. Printre aceștia se numără, de exemplu, Computer Associates, D-Link, Informzaschita, Trend Micro și mulți alții.

Odată cu utilizarea pe scară largă a Internetului, devine necesară rezolvarea problemei de protecție a informațiilor și a rețelei locale în ansamblu. Această problemă este deosebit de semnificativă atunci când compania are servicii publice (publice) de Internet (servere web și ftp, servicii de e-mail, magazine online) care sunt situate într-o rețea locală comună.

Accesul la astfel de servere este de cele mai multe ori gratuit, adică orice utilizator poate accesa resursa găzduită pe serverul web, secțiuni ale serverului ftp fără a efectua autentificarea de logare și parolă, serverul de mail va primi e-mail de la alte servere de e-mail similare. Și nu există nicio garanție că codul rău intenționat nu va ajunge la server împreună cu e-mailul, că printre sutele de utilizatori nu va exista nimeni care să dorească să aibă acces nu numai la serviciile publice, ci și la rețeaua locală a organizației din orice motiv. . Și dacă rețeaua este construită pe hub-uri simple (hub-uri) și nu pe comutatoare (comutatoare), atunci va fi expusă unui mare risc.

Prin piratarea unuia dintre computere, un hacker poate obține acces la întreaga rețea

Ce este? După ce a obținut acces la cel puțin un computer din rețeaua locală, un hacker poate obține parole până la parola administratorului, ceea ce îi va permite să acceseze orice informație care circulă sau stocată în rețea, să schimbe parolele de acces în așa fel încât bazele de date să fie inaccesibile , sau pur și simplu să fie afișat în afara serviciului. În plus, având acces la serverul web, acesta poate fi folosit pentru a efectua atacuri DoS, care pot bloca performanța tuturor resurselor intra-corporate.

Prin urmare, abordarea construirii sistemelor care includ servere publice ar trebui să fie diferită de abordarea construirii sistemelor bazate pe servere interne. Acest lucru este dictat de riscurile specifice care apar din cauza disponibilității publice a serverului. Soluția este separarea rețelei locale și a serverelor publice în părți separate. Cea în care vor fi găzduite serviciile publice se numește „zona demilitarizată” ( DMZ - Zona Demilitarizata).

Figura 13.2 - Schema unei rețele locale cu zonă demilitarizată

Esența DMZ este că nu este inclus direct nici în rețeaua internă, nici în rețeaua externă, iar accesul la acesta poate fi efectuat numai conform regulilor de firewall predefinite. Nu există utilizatori în DMZ - doar serverele sunt localizate acolo. Zona demilitarizată servește de obicei la prevenirea accesului din rețeaua externă la gazdele din rețeaua internă prin mutarea tuturor serviciilor care necesită acces din exterior din rețeaua locală într-o zonă specială. De fapt, se dovedește că această zonă va fi o subrețea separată cu adrese publice, protejată (sau separată) de rețelele publice și corporative prin firewall-uri.



Atunci când creează o astfel de zonă, administratorii de rețele corporative se confruntă cu sarcini suplimentare. Este necesar să se asigure controlul accesului la resursele și serverele situate în DMZ, pentru a asigura confidențialitatea informațiilor transmise atunci când utilizatorii lucrează cu aceste resurse, pentru a controla acțiunile utilizatorului. În ceea ce privește informațiile care pot fi localizate pe servere, se pot spune următoarele. Având în vedere că serviciile publice pot fi piratate, acestea ar trebui să conțină cele mai puțin importante informații, iar orice informație valoroasă ar trebui plasată exclusiv în rețeaua locală, care nu va fi accesibilă de pe serverele publice.

Pe serverele găzduite în DMZ, nu ar trebui să existe informații despre utilizatori, clienți ai companiei, alte informații confidențiale, nu ar trebui să existe cutii poștale personale ale angajaților - toate acestea ar trebui să fie „ascunse” în siguranță într-o parte securizată a rețelei locale. Iar pentru informațiile care vor fi disponibile pe serverele publice, este necesar să se prevadă arhivarea de rezervă cu cea mai mică frecvență posibilă. În plus, se recomandă utilizarea unui model de servicii cu cel puțin două servere pentru serverele de e-mail, iar serverele web să monitorizeze constant starea informațiilor pentru a detecta și elimina în timp util consecințele hackingului.

Utilizarea firewall-urilor este obligatorie la crearea unui DMZ

Firewall-urile sunt folosite pentru a proteja pătrunderea prin DMZ în rețeaua corporativă. Există ecrane software și hardware. Software-ul necesită o mașină care rulează UNIX sau Windows NT/2000. Pentru a instala un firewall hardware, trebuie doar să îl conectați la rețea și să efectuați o configurație minimă. În mod obișnuit, ecranele software sunt folosite pentru a proteja rețelele mici unde nu este nevoie să faceți multe setări legate de alocarea flexibilă a lățimii de bandă și restricțiile de trafic asupra protocoalelor pentru utilizatori. Dacă rețeaua este mare și este necesară o performanță ridicată, devine mai profitabilă utilizarea firewall-urilor hardware. În multe cazuri, nu se utilizează unul, ci două firewall - unul protejează zona demilitarizată de influențele externe, al doilea o separă de partea internă a rețelei corporative.



Dar, pe lângă faptul că mutarea serverelor publice într-o zonă demilitarizată protejează într-o anumită măsură rețeaua corporativă, este necesar să se gândească și să se asigure protecția DMZ-ului în sine. Procedând astfel, probleme precum:

protectie impotriva atacurilor asupra serverelor si echipamentelor de retea;

protecția serverelor individuale;

controlul corespondenței și al altor conținuturi;

auditul acțiunilor utilizatorilor.

Cum pot fi rezolvate aceste probleme? Este de dorit să „împarți” serverul de e-mail, care este folosit atât pentru corespondența externă, cât și pentru corespondența intracorporativă, în două componente - cea publică, care va fi de fapt un server de retransmisie și va fi situat în DMZ, și cea principală. , situat în interiorul rețelei corporative. Componenta principală asigură circulația corespondenței interne, primește de la releu și îi trimite corespondență externă.

Una dintre principalele provocări este asigurarea accesului securizat la resursele publice și aplicațiile din intranetul corporativ. Deși este instalat un firewall între acesta și DMZ, acesta trebuie să fie „transparent” pentru a funcționa. Există mai multe opțiuni pentru a oferi această oportunitate utilizatorilor. Prima este utilizarea accesului la terminal. Cu o astfel de organizare a interacțiunii dintre client și server, prin conexiunea stabilită nu se transmite niciun cod de program, printre care ar putea exista viruși și alte incluziuni rău intenționate. De la clientul terminal la server, urmează un flux de coduri ale tastelor apăsate ale tastaturii și stări ale mouse-ului utilizatorului și înapoi, de la server la client, imagini binare ale ecranelor sesiunii de server a browserului sau clientul de mail al utilizatorului vine. O altă opțiune este să utilizați un VPN (Virtual Private Network). Prin controlul accesului și protecția criptografică a informațiilor, VPN are securitatea unei rețele private și, în același timp, profită din plin de rețeaua publică.

Protecția serverelor și echipamentelor din DMZ trebuie abordată cu o atenție deosebită

Pentru a proteja împotriva atacurilor asupra serverelor și echipamentelor de rețea, sunt utilizate sisteme speciale de detectare a intruziunilor. Calculatorul pe care este instalat un astfel de sistem devine primul pe calea fluxului de informații de la Internet către DMZ. Sistemele sunt configurate astfel încât, atunci când sunt detectate atacuri, să poată reconfigura firewall-ul până la blocarea completă a accesului. În scopul controlului suplimentar, dar nu permanent, se utilizează software special - scanere de securitate care verifică securitatea rețelei, serverelor și serviciilor, bazelor de date. Pentru a proteja împotriva virușilor în DMZ, este instalat software antivirus, precum și instrumente de control al conținutului.


Rețele globale

Wide Area Networks (WAN), care sunt numite și rețele de calculatoare teritoriale, servesc pentru a-și furniza serviciile unui număr mare de abonați finali împrăștiați pe o zonă mare - într-o zonă, regiune, țară, continent sau întregul glob. Datorită lungimii lungi a canalelor de comunicație, construirea unei rețele globale necesită costuri foarte mari, care includ costul cablurilor și pozarea acestora, costul echipamentelor de comutare și al echipamentelor intermediare de amplificare care asigură lățimea de bandă necesară a canalului, precum și costurile de operare pentru menținând în mod constant un împrăștiat pe o suprafață mare a echipamentelor de rețea.

Abonații tipici ai rețelei globale de calculatoare sunt rețele locale de întreprinderi situate în diferite orașe și țări care trebuie să facă schimb de date între ele. Serviciile rețelelor globale sunt utilizate și de computerele individuale.

Rețelele extinse sunt create de obicei de marile companii de telecomunicații pentru a oferi servicii plătite abonaților. Astfel de rețele sunt numite publice sau publice. Există, de asemenea, concepte precum operator de rețea și furnizor de servicii de rețea. Operatorul de rețea este compania care menține funcționarea normală a rețelei. Un furnizor de servicii, numit adesea și furnizor de servicii, este o companie care oferă servicii cu plată abonaților rețelei. Proprietarul, operatorul și furnizorul de servicii pot fi combinați într-o singură companie sau pot reprezenta companii diferite.

Mult mai rar, o rețea globală este complet creată de o corporație mare pentru nevoile sale interne. În acest caz, rețeaua se numește privată. Foarte des există o opțiune intermediară - rețeaua corporativă folosește serviciile sau echipamentele rețelei publice de zonă largă, dar completează aceste servicii sau echipamente cu propriile sale.

În funcție de componentele care trebuie închiriate, se obișnuiește să se facă distincția între rețelele construite folosind:

canale dedicate;

Comutarea canalului;

Comutare de pachete.

Ultimul caz corespunde celui mai favorabil caz, când rețeaua cu comutare de pachete este disponibilă în toate locațiile geografice care trebuie combinate într-o rețea corporativă comună. Primele două cazuri necesită muncă suplimentară pentru a construi o rețea cu comutare de pachete pe baza fondurilor închiriate.

Canale dedicate

Circuitele închiriate (sau închiriate) pot fi obținute de la companii de telecomunicații care dețin circuite de lungă distanță sau de la companii de telefonie care închiriază de obicei circuite într-un oraș sau regiune.

Există două moduri de a utiliza liniile evidențiate. Primul este de a construi cu ajutorul lor o rețea teritorială de o anumită tehnologie, de exemplu, Frame Relay, în care liniile închiriate închiriate servesc la conectarea comutatoarelor de pachete intermediare, distribuite geografic.

A doua opțiune este conectarea prin linii închiriate numai a rețelelor locale unite, fără instalarea de comutatoare de pachete de tranzit care funcționează pe tehnologia rețelei globale. A doua opțiune este cea mai simplă din punct de vedere tehnic, deoarece se bazează pe utilizarea routerelor sau a podurilor la distanță în rețelele locale interconectate și pe absența protocoalelor tehnologice globale precum X.25 sau Frame Relay. Aceleași pachete ale rețelei sau ale stratului de legătură sunt transmise pe canale globale ca și în rețelele locale.

Este a doua modalitate de utilizare a canalelor globale care a primit denumirea specială de „servicii de canale dedicate”, deoarece într-adevăr nu mai folosește tehnologia rețelelor globale cu comutare de pachete propriu-zisă.

Canalele închiriate au fost utilizate foarte activ în trecutul recent și sunt folosite astăzi, în special atunci când se construiesc conexiuni principale critice între rețele locale mari, deoarece acest serviciu garantează lățimea de bandă a canalului închiriat. Cu toate acestea, având un număr mare de puncte îndepărtate geografic și un program mixt intens între ele, utilizarea acestui serviciu duce la costuri ridicate datorită numărului mare de canale închiriate.

Astăzi, există o gamă largă de canale dedicate - de la canale analogice cu frecvență vocală cu o lățime de bandă de 3,1 kHz până la canale digitale cu tehnologie SDN cu o lățime de bandă de 155 și 622 Mbps.

Abrevierea DMZ înseamnă Demilitarized Zone, adică „Demilitarized Zone”. Este neașteptat și de neînțeles ce legătură are asta cu routerul. Cu toate acestea, de fapt, acesta este un lucru foarte util în unele cazuri. Acest lucru va fi discutat în acest articol.

Scopul și utilizarea DMZ

Un DMZ este un segment de rețea creat pentru servicii și programe care necesită acces direct la Internet. Accesul direct este necesar pentru torrente, mesagerie instant, jocuri online și alte programe. Și, de asemenea, nu puteți face fără ea dacă doriți să instalați o cameră de supraveghere video și să aveți acces la ea prin Internet.

Dacă computerul pe care rulează programul se conectează direct la Internet, ocolind routerul, atunci nu este nevoie să utilizați DMZ. Dar dacă conexiunea se face printr-un router, atunci nu va fi posibil să „atingeți” programul de pe Internet, deoarece toate solicitările vor fi primite de router și nu vor fi transmise în interiorul rețelei locale.

Pentru a rezolva această problemă, de obicei se utilizează redirecționarea portului pe router. Acesta este pe site-ul nostru. Cu toate acestea, acest lucru nu este întotdeauna convenabil și cineva preferă să creeze un DMZ. Dacă configurați DMZ pe router și adăugați nodul de rețea dorit la acesta, de exemplu, un PC care rulează un server de jocuri sau un DVR la care este conectată o cameră IP, acest nod va fi vizibil din rețeaua externă ca și cum ar fi conectat direct la Internet. Pentru restul dispozitivelor din rețeaua dvs., nimic nu se va schimba - vor funcționa la fel ca înainte.

Ar trebui să luați în considerare cu atenție toate aceste setări. Deoarece atât redirecționarea portului, cât și DMZ sunt o posibilă gaură de securitate. Pentru a îmbunătăți securitatea, companiile mari creează adesea o rețea separată pentru DMZ. Pentru a bloca accesul din rețeaua DMZ la alte computere, se folosește un router suplimentar.

Configurarea DMZ pe router

Routerele permit adăugarea unui singur dispozitiv la DMZ. Routerul trebuie să primească o adresă IP „albă”. Numai în acest caz se va putea accesa din rețeaua globală. Informații despre acest lucru pot fi obținute de la furnizorul dvs. de internet. Unii furnizori oferă gratuit o adresă IP externă, dar adesea există o taxă suplimentară pentru acest serviciu.

Setarea unei adrese IP statice

Doar un computer care are o adresă IP statică poate fi adăugat la DMZ. Deci primul lucru pe care îl facem este să-l schimbăm. Pentru a face acest lucru, deschideți proprietățile conexiunii la rețea și în setările TCP / IP prescriem o adresă IP statică în domeniul de adrese a rețelei dvs. De exemplu, dacă routerul dvs. are un IP de 192.168.0.1, atunci puteți specifica 192.168.0.10 pentru computer. Masca de subrețea este standard - 255.255.255.0. Și în câmpul „Gateway” trebuie să specificați adresa routerului dvs.

Vă rugăm să rețineți că adresa IP atribuită computerului nu trebuie să fie în intervalul de adrese distribuite.

Aceasta completează configurarea computerului și puteți trece la setările routerului.

Configurarea unui router

Primul pas este să activați DMZ pe router, deoarece este întotdeauna dezactivat în mod implicit.

Găsim elementul de meniu corespunzător în interfața web a dispozitivului:

  • Pe routerele Asus, fila dorită se numește DMZ.
  • Pe routerele TP-Link, deschideți elementul „Redirecționare” și va fi un subarticol DMZ în el.
  • La D-Link, căutați elementul „Firewall”.

În orice caz, în fila de setări, trebuie să bifați caseta „Activare”. Și lângă el, găsiți un câmp numit „Adresa gazdă DMZ” sau „Adresa stației vizibile” (în funcție de modelul de router, pot exista și alte opțiuni). În acest câmp, introduceți adresa statică a computerului sau a altui dispozitiv pe care doriți să-l adăugați la DMZ. În cazul nostru, acesta este 192.168.0.10.

Salvați setările și reporniți routerul. Asta e tot: toate porturile de pe PC-ul selectat sunt deschise. Orice program care folosește conexiuni de intrare va crede că accesează direct rețeaua. Toate celelalte programe vor funcționa normal.

Mai jos este un exemplu de configurare a unui router cu o interfață în limba engleză.

Crearea unui DMZ este o modalitate convenabilă de a simplifica munca programelor de care aveți nevoie, dar rețineți că accesul deschis la un computer crește riscul de atacuri de rețea și de viruși.

Prin urmare, pe dispozitivul folosit ca gazdă DMZ trebuie instalate un firewall și un program antivirus.

Descriere

O zonă demilitarizată sau DMZ este un segment de rețea pe lista albă, separat printr-un firewall de Internet și de rețeaua locală a organizației. DMZ conține de obicei servere care trebuie să fie accesibile de pe Internet, cum ar fi un server de e-mail sau web. Deoarece serverele din rețeaua DMZ sunt separate de rețeaua locală printr-un firewall, dacă sunt piratate, un atacator nu va putea accesa resursele rețelei locale.

Setare

Zona demilitarizată este creată în modulul „furnizori și rețele”. Când îl creați, trebuie să specificați adresa IP a serverului de control Internet și masca de rețea DMZ, precum și să selectați interfața de rețea pentru DMZ. Din motive de securitate, o interfață de rețea separată este de obicei utilizată pentru DMZ.

În mod implicit, serverele situate în DMZ nu au acces la Internet și la rețeaua locală, așa că accesul pentru ele trebuie configurat prin reguli de firewall.

Caseta de selectare „NAT din rețelele locale” vă permite să controlați traducerea adreselor locale în rețeaua DMZ. Este dezactivat implicit, de ex. serviciul NAT pentru interfața de rețea DMZ nu funcționează, adresele sunt traduse fără modificări.

Important: De fapt, NAT pentru rețeaua DMZ pe interfețele externe ale ICS este dezactivat, așa că adresele IP „albe” trebuie folosite pentru a-l adresa. Este logic să configurați o rețea DMZ dacă trebuie să controlați accesul din exterior la un server din rețeaua locală care are adrese IP „albe”. În toate celelalte cazuri, este configurată o rețea locală obișnuită.