Domov > iOS > Príklad konfigurácie dmz portov. Čo je DMZ a ako ho nastaviť na smerovači. Video o konfigurácii hostiteľa DMZ na smerovači


Príklad konfigurácie dmz portov. Čo je DMZ a ako ho nastaviť na smerovači. Video o konfigurácii hostiteľa DMZ na smerovači





Kivšenko Alexey, 1880

Tento článok poskytuje prehľad päť možnosti riešenia problému organizácie prístupu k službám podnikovej siete z internetu. Súčasťou preskúmania je analýza možností bezpečnosti a uskutočniteľnosti, ktorá pomôže pochopiť podstatu problému, osviežiť a systematizovať ich znalosti pre začínajúcich aj skúsenejších odborníkov. Materiály článku môžu byť použité na zdôvodnenie vašich rozhodnutí o dizajne.

Pri zvažovaní možností si ako príklad zoberme sieť, kde chcete publikovať:

  1. Firemný poštový server (Web-mail).
  2. Firemný terminálový server (RDP).
  3. Extranetová služba pre protistrany (Web-API).

Možnosť 1. Plochá sieť

Pri tejto možnosti sú všetky uzly podnikovej siete obsiahnuté v jednej spoločnej sieti („Interná sieť“), v rámci ktorej nie je komunikácia medzi nimi obmedzená. Sieť je pripojená k internetu cez hraničný smerovač/firewall (ďalej len - IFW).

Uzly pristupujú na internet cez NAT a prístup k službám z internetu cez presmerovanie portov.

Výhody opcie:

  1. Minimálne požiadavky na funkčnosť IFW(dá sa to urobiť na takmer každom, aj domácom routeri).
  2. Minimálne požiadavky na znalosti pre špecialistu implementujúceho možnosť.
Nevýhody možnosti:
  1. Minimálna úroveň bezpečnosti. V prípade hacknutia, pri ktorom narušiteľ získa kontrolu nad jedným zo serverov zverejnených na internete, sa mu pre ďalšie útoky stanú dostupné všetky ostatné uzly a komunikačné kanály podnikovej siete.
Analógia zo skutočného života
Takáto sieť sa dá prirovnať k spoločnosti, kde sú zamestnanci a zákazníci v rovnakej spoločenskej miestnosti (otvorený priestor)


hrmaximum.ru

Možnosť 2.DMZ

Aby sa eliminovala vyššie uvedená nevýhoda, sieťové uzly prístupné z internetu sú umiestnené v špeciálne pridelenom segmente - demilitarizovanej zóne (DMZ). DMZ je organizovaný pomocou brán firewall, ktoré ho oddeľujú od internetu ( IFW) a z internej siete ( DFW).


V tomto prípade pravidlá filtrovania brány firewall vyzerajú takto:
  1. Z internej siete môžete iniciovať pripojenia k DMZ a k WAN (Wide Area Network).
  2. Z DMZ môžete iniciovať pripojenia k WAN.
  3. Z WAN môžete iniciovať pripojenia k DMZ.
  4. Iniciovanie pripojení z WAN a DMZ do internej siete je zakázané.


Výhody možnosti:
  1. Zvýšené zabezpečenie siete proti hacknutiu jednotlivých služieb. Aj keď je jeden zo serverov napadnutý, votrelec nebude mať prístup k zdrojom umiestneným vo vnútornej sieti (napríklad sieťové tlačiarne, video monitorovacie systémy atď.).
Nevýhody možnosti:
  1. Samotné odstránenie serverov v DMZ nezvyšuje ich bezpečnosť.
  2. Na oddelenie DMZ od internej siete je potrebný ďalší firewall.
Analógia zo skutočného života
Táto verzia sieťovej architektúry je podobná organizácii práce a klientskych oblastí v spoločnosti, kde zákazníci môžu byť iba v klientskej oblasti a zamestnanci môžu byť v klientskej aj pracovnej oblasti. Segment DMZ je presne obdobou klientskej zóny.


autobam.ru

Možnosť 3. Rozdelenie služieb na front-end a back-end

Ako už bolo uvedené, umiestnenie servera do DMZ nijakým spôsobom nezlepšuje bezpečnosť samotnej služby. Jednou z možností nápravy je rozdelenie funkcionality služby na dve časti: Front-End a Back-End. Okrem toho je každá časť umiestnená na samostatnom serveri, medzi ktorým je organizovaná sieťová interakcia. Front-end servery, ktoré implementujú funkčnosť interakcie s klientmi umiestnenými na internete, sú umiestnené v DMZ, zatiaľ čo back-end servery, ktoré implementujú zvyšok funkčnosti, sú ponechané vo vnútornej sieti. Pre interakciu medzi nimi DFW vytvoriť pravidlá, ktoré umožnia spustenie pripojenia z front-endu do back-endu.

Ako príklad si predstavte firemnú poštovú službu, ktorá slúži zákazníkom zo siete aj z internetu. Klienti zvnútra používajú POP3/SMTP a klienti z internetu pracujú cez webové rozhranie. Vo fáze implementácie si spoločnosti zvyčajne zvolia najjednoduchší spôsob nasadenia služby a umiestnia všetky jej komponenty na jeden server. Potom, ako sa realizuje potreba zabezpečiť informačnú bezpečnosť, je funkčnosť služby rozdelená na časti a časť, ktorá je zodpovedná za obsluhu zákazníkov z internetu (Front-End), je umiestnená na samostatnom serveri, ktorý interaguje cez sieť. so serverom, ktorý implementuje zostávajúcu funkčnosť (Back-End). V tomto prípade je Front-End umiestnený v DMZ, zatiaľ čo Back-End zostáva vo vnútornom segmente. Pre komunikáciu medzi front-end a back-end zapnutý DFW vytvorte pravidlo, ktoré umožňuje iniciovanie pripojení z front-endu na back-end.

Výhody možnosti:

  1. Vo všeobecnosti môžu útoky namierené proti chránenej službe „naraziť“ na front-end, čo neutralizuje alebo výrazne zníži možné poškodenie. Napríklad útoky TCP SYN Flood alebo pomalé čítanie http proti službe budú mať za následok nedostupnosť front-endového servera, zatiaľ čo back-end naďalej normálne funguje a obsluhuje používateľov.
  2. Back-End server vo všeobecnosti nemusí mať prístup na internet, čo, ak je napadnutý (napríklad lokálne spusteným škodlivým kódom), sťaží jeho vzdialenú správu z internetu.
  3. Front-end sa dobre hodí na hosťovanie brány firewall na úrovni aplikácie (napríklad brány firewall webových aplikácií) alebo systému prevencie narušenia (IPS, napríklad snort).
Nevýhody možnosti:
  1. Pre komunikáciu medzi front-end a back-end zapnutý DFW vzniká pravidlo, ktoré umožňuje inicializáciu spojenia z DMZ do vnútornej siete, čím vznikajú hrozby spojené s používaním tohto pravidla inými uzlami v DMZ (napríklad v dôsledku implementácie útokov IP spoofing, otravy ARP). , atď.)
  2. Nie všetky služby možno rozdeliť na front-end a back-end.
  3. Spoločnosť musí implementovať obchodné procesy na aktualizáciu pravidiel brány firewall.
  4. Spoločnosť musí zaviesť mechanizmy na ochranu pred útokmi narušiteľov, ktorí získali prístup na server v DMZ.
Poznámky
  1. V reálnom živote, dokonca aj bez rozdelenia serverov na front-end a back-end, servery z DMZ veľmi často potrebujú prístup k serverom umiestneným vo vnútornej sieti, takže uvedené nevýhody tejto možnosti budú platiť aj pre predchádzajúcu zvažovanú možnosť.
  2. Ak vezmeme do úvahy ochranu aplikácií bežiacich cez webové rozhranie, potom aj keď server nepodporuje oddelenie funkcií medzi front-end a back-end, pomocou http reverzného proxy servera (napríklad nginx) ako front-end End minimalizuje riziká spojené s útokmi na odmietnutie služby. Napríklad SYN flood útoky môžu spôsobiť, že http reverzný proxy nebude dostupný, zatiaľ čo Back-End bude naďalej fungovať.
Analógia zo skutočného života
Táto možnosť je v podstate podobná organizácii práce, pri ktorej sa pre vysoko zaťažených pracovníkov využívajú asistenti tajomníka. Potom bude Back-End analógom zaneprázdneného pracovníka a Front-End bude analógom sekretárky.


mln.kz

Možnosť 4: Chránené DMZ

DMZ je časť siete, ktorá je prístupná z internetu a v dôsledku toho je vystavená najvyššiemu riziku kompromitácie hostiteľa. Konštrukcia DMZ a prístupy v ňom použité by mali zabezpečiť maximálnu schopnosť prežitia v prípade, že narušiteľ získa kontrolu nad jedným z uzlov v DMZ. Za možné útoky považujte útoky, ktoré ovplyvňujú takmer všetky informačné systémy, ktoré pracujú s predvolenými nastaveniami:

Ochrana proti útokom súvisiacim s DHCP

Napriek tomu, že DHCP je určené na automatizáciu konfigurácie IP adries pre pracovné stanice, v niektorých spoločnostiach sa vyskytujú prípady, keď sú IP adresy pre servery prideľované cez DHCP, je to však dosť zlý postup. Preto na ochranu pred Rogue DHCP Server, DHCP hladom, sa odporúča úplne vypnúť DHCP v DMZ.

Ochrana proti útokom MAC povodne

Na ochranu pred záplavou MAC sú porty prepínača nakonfigurované tak, aby obmedzovali maximálnu intenzitu vysielania (pretože tieto útoky zvyčajne generujú vysielanie (vysielanie)). Útoky zahŕňajúce použitie špecifických (unicast) sieťových adries budú blokované filtrovaním MAC, o ktorom sme hovorili vyššie.

Ochrana proti záplavovým útokom UDP

Ochrana proti tomuto typu útoku je podobná ochrane pred MAC záplavou, ibaže filtrovanie sa vykonáva na úrovni IP (L3).

Ochrana proti záplavovým útokom TCP SYN

Na ochranu pred týmto útokom sú možné nasledujúce možnosti:
  1. Ochrana sieťového uzla technológiou TCP SYN Cookie.
  2. Ochrana brány firewall (za predpokladu, že DMZ je podsietená) obmedzením rýchlosti prevádzky obsahujúcej požiadavky TCP SYN.

Ochrana pred útokmi na sieťové služby a webové aplikácie

Univerzálne riešenie tohto problému neexistuje, no zaužívanou praxou je implementácia procesov riadenia softvérových zraniteľností (napríklad detekcia, inštalácia záplat atď.), ako aj používanie systémov detekcie a prevencie narušenia (IDS / IPS) .

Ochrana pred útokmi na obchádzanie autentifikácie

Rovnako ako v predchádzajúcom prípade neexistuje univerzálne riešenie tohto problému.
Zvyčajne v prípade veľkého počtu neúspešných pokusov o autorizáciu sú účty zablokované, aby sa predišlo výberu autentifikačných údajov (napríklad hesla). Tento prístup je však dosť kontroverzný a tu je dôvod.
Po prvé, Violator dokáže hrubou silou overiť informácie s intenzitou, ktorá nevedie k zablokovaniu účtu (sú prípady, keď bolo heslo hrubou silou niekoľko mesiacov s intervalom medzi pokusmi niekoľko desiatok minút).
Po druhé, túto funkciu možno použiť na útoky odmietnutia služby, pri ktorých narušiteľ úmyselne vykoná veľké množstvo pokusov o autorizáciu, aby zablokoval účty.
Najúčinnejšou možnosťou proti útokom tejto triedy bude použitie systémov IDS / IPS, ktoré pri zistení pokusov uhádnuť heslá nezablokujú účet, ale zdroj, z ktorého k tomuto prasknutiu dochádza (napríklad blokovanie IP adresy adresa porušovateľa).

Konečný zoznam ochranných opatrení pre túto možnosť:

  1. DMZ je rozdelená na IP podsiete na základe samostatnej podsiete pre každého hostiteľa.
  2. IP adresy sú prideľované manuálne administrátormi. DHCP sa nepoužíva.
  3. Na sieťových rozhraniach, ku ktorým sú pripojené uzly DMZ, je aktivované filtrovanie MAC a IP, ako aj obmedzenia intenzity vysielania a prevádzky obsahujúcej požiadavky TCP SYN.
  4. Na prepínačoch je vypnuté automatické vyjednávanie typu portu, používanie natívnej VLAN je zakázané.
  5. Hostitelia DMZ a interné sieťové servery, ku ktorým sa títo hostitelia pripájajú, sú nakonfigurovaní pomocou TCP SYN Cookie.
  6. Správa softvérových zraniteľností je implementovaná pre hostiteľov DMZ (a pokiaľ možno pre zvyšok siete).
  7. V segmente DMZ sa implementujú systémy detekcie a prevencie narušenia IDS/IPS.
Výhody možnosti:
  1. Vysoký stupeň bezpečnosti.
Nevýhody možnosti:
  1. Zvýšené požiadavky na funkčnosť zariadenia.
  2. Mzdové náklady pri implementácii a podpore.
Analógia zo skutočného života
Ak sme skôr porovnávali DMZ s klientskou oblasťou vybavenou pohovkami a pohovkami, potom bude bezpečné DMZ vyzerať skôr ako obrnená pokladňa.


valmax.com.ua

Možnosť 5. Spätné pripojenie

Ochranné opatrenia uvažované v predchádzajúcej verzii boli založené na skutočnosti, že v sieti bolo zariadenie (switch / router / firewall), ktoré ich dokáže implementovať. Ale v praxi, napríklad pri použití virtuálnej infraštruktúry (virtuálne prepínače majú často veľmi obmedzené možnosti), takéto zariadenie nemusí existovať.

Za týchto podmienok sa narušiteľovi sprístupnia mnohé z útokov, o ktorých sa uvažovalo skôr, z ktorých najnebezpečnejší bude:

  • útoky, ktoré umožňujú zachytávanie a modifikáciu prevádzky (ARP Poisoning, pretečenie CAM tabuľky + TCP session hijacking atď.);
  • útoky súvisiace so zneužívaním zraniteľností interných sieťových serverov, ku ktorým je možné nadviazať spojenie z DMZ (čo je možné obídením pravidiel filtrovania DFW kvôli spoofingu IP a MAC).
Ďalšou dôležitou vlastnosťou, o ktorej sme predtým neuvažovali, ale ktorá z toho neprestáva byť menej dôležitá, je, že aj používateľské pracovné stanice (AWP) môžu byť zdrojom (napríklad pri infikovaní vírusmi alebo trójskymi koňmi) škodlivých účinkov na serverov.

Stojíme teda pred úlohou chrániť servery internej siete pred útokmi narušiteľa z DMZ aj z internej siete (infekciu AWP trójskym koňom možno interpretovať ako akcie narušiteľa z internej siete sieť).

Nižšie navrhovaný prístup je zameraný na zníženie počtu kanálov, cez ktoré môže útočník útočiť na servery, pričom existujú aspoň dva takéto kanály. Prvým je pravidlo pre DFW, ktorý umožňuje prístup k internému sieťovému serveru z DMZ (aj keď je obmedzený IP adresami) a druhým je sieťový port otvorený na serveri, na ktorom sa očakávajú požiadavky na pripojenie.

Tieto kanály môžete zatvoriť, ak interný sieťový server sám vytvára spojenia so serverom v DMZ a robí to pomocou kryptograficky bezpečných sieťových protokolov. Potom nebude žiadny otvorený port, žiadne pravidlo DFW.

Problém je však v tom, že bežné serverové služby nemôžu takto fungovať a na implementáciu tohto prístupu je potrebné použiť tunelovanie siete, implementované napríklad pomocou SSH alebo VPN a už v rámci tunelov umožňujú pripojenie zo servera v DMZ na interný sieťový server.

Všeobecná schéma tejto možnosti je nasledovná:

  1. Server SSH/VPN je nainštalovaný na serveri v DMZ a klient SSH/VPN je nainštalovaný na serveri vo vnútornej sieti.
  2. Interný sieťový server iniciuje výstavbu sieťového tunela k serveru v DMZ. Tunel je vytvorený so vzájomnou autentifikáciou klienta a servera.
  3. Server z DMZ v rámci vybudovaného tunela iniciuje spojenie so serverom vo vnútornej sieti, cez ktorý sa prenášajú chránené dáta.
  4. Na internom sieťovom serveri je nakonfigurovaný lokálny firewall na filtrovanie prevádzky prechádzajúcej cez tunel.

Použitie tejto možnosti v praxi ukázalo, že je vhodné budovať sieťové tunely pomocou OpenVPN, pretože má nasledujúce dôležité vlastnosti:

  • Viacplatformový. Komunikáciu môžete organizovať na serveroch s rôznymi operačnými systémami.
  • Schopnosť budovať tunely so vzájomnou autentifikáciou klienta a servera.
  • Schopnosť používať certifikovanú kryptografiu.
Na prvý pohľad sa môže zdať, že táto schéma je príliš komplikovaná a keďže stále potrebujete nainštalovať lokálny firewall na interný sieťový server, je jednoduchšie, aby sa server z DMZ, ako obvykle, pripojil k internému sieťovému serveru. sám, ale urobte to pomocou šifrovaného pripojenia. Táto možnosť skutočne vyrieši veľa problémov, ale nebude schopná poskytnúť hlavnú vec - ochranu pred útokmi na zraniteľné miesta interného sieťového servera, ktorá sa vykonáva obídením brány firewall pomocou spoofingu IP a MAC.

Výhody možnosti:

  1. Architektonické zníženie počtu útočných vektorov na chránenom internom sieťovom serveri.
  2. Zabezpečenie bezpečnosti pri absencii filtrovania sieťovej prevádzky.
  3. Ochrana údajov prenášaných cez sieť pred neoprávneným prezeraním a úpravami.
  4. Schopnosť selektívne zvyšovať úroveň bezpečnosti služieb.
  5. Možnosť implementácie dvojslučkového ochranného systému, kde prvá slučka je zabezpečená pomocou firewallu a druhá je organizovaná na základe tejto možnosti.
Nevýhody možnosti:
  1. Implementácia a údržba tejto možnosti ochrany si vyžaduje dodatočné mzdové náklady.
  2. Nekompatibilita so systémami detekcie a prevencie narušenia siete (IDS/IPS).
  3. Dodatočné výpočtové zaťaženie serverov.
Analógia zo skutočného života
Hlavným zmyslom tejto možnosti je, že dôveryhodná osoba nadviaže vzťah s nedôveryhodnou osobou, čo je obdoba situácie, keď pri poskytovaní úverov samotné banky zavolajú potenciálnemu dlžníkovi, aby si overili údaje. Pridať značky

Zastupovať akúkoľvek spoločnosť, ktorá nemá lokálnu sieť a prístup na internet, je čoraz ťažšie. Spoločná technológia, ktorá pomáha zlepšovať prácu, poskytuje rýchly prístup k informáciám, výmenu dokumentov, údajov. Toto je na jednej strane. Na druhej strane, s rozšíreným používaním internetu je potrebné vyriešiť problém ochrany informácií a lokálnej siete ako celku. Tento problém je obzvlášť významný, ak má spoločnosť verejné (verejné) internetové služby (webové a ftp servery, poštové služby, internetové obchody), ktoré sú umiestnené v spoločnej lokálnej sieti.

Prístup k takýmto serverom je najčastejšie bezplatný, to znamená, že každý používateľ môže pristupovať k zdroju hosťovanému na webovom serveri, k častiam ftp servera bez vykonania overenia prihlasovacieho mena a hesla, poštový server bude prijímať poštu z iných podobných poštových serverov. A neexistuje žiadna záruka, že sa škodlivý kód nedostane na server spolu s poštou, že medzi stovkami používateľov nebude nikto, kto by chcel z akéhokoľvek dôvodu získať prístup nielen k verejným službám, ale aj k lokálnej sieti organizácie. . A ak je sieť postavená na jednoduchých rozbočovačoch (huboch), a nie na prepínačoch (prepínačoch), bude to vystavené veľkému riziku.

Hackovaním jedného z počítačov môže hacker získať prístup do celej siete

Čo je to? Po získaní prístupu aspoň k jednému počítaču v lokálnej sieti môže hacker získať heslá až po heslo správcu, čo mu umožní prístup k akýmkoľvek informáciám, ktoré kolujú alebo sú uložené v sieti, zmeniť prístupové heslá tak, aby boli databázy nedostupné alebo sa jednoducho zobrazí mimo prevádzky. Navyše s prístupom na webový server ho možno použiť na vykonávanie DoS útokov, ktoré môžu blokovať výkon všetkých vnútropodnikových zdrojov.

Preto by sa prístup k budovaniu systémov, ktoré zahŕňajú verejné servery, mal líšiť od prístupu k budovaniu systémov založených na interných serveroch. Je to dané špecifickými rizikami, ktoré vznikajú v dôsledku verejnej dostupnosti servera. Riešením je oddelenie lokálnej siete a verejných serverov do samostatných častí. Tá, v ktorej sa budú poskytovať verejné služby, sa nazýva „demilitarizovaná zóna“ ( DMZ – demilitarizovaná zóna).

DMZ - zóna osobitnej pozornosti

Podstatou DMZ je, že nie je priamo začlenená do internej ani externej siete a prístup k nej je možné realizovať len podľa vopred definovaných pravidiel firewallu. V DMZ nie sú žiadni používatelia - sú tam umiestnené iba servery. Demilitarizovaná zóna zvyčajne slúži na zamedzenie prístupu z vonkajšej siete k hostiteľom vo vnútornej sieti presunutím všetkých služieb, ktoré vyžadujú prístup zvonku z lokálnej siete do špeciálnej zóny. V skutočnosti sa ukazuje, že táto zóna bude samostatnou podsieťou s verejnými adresami, chránenou (alebo oddelenou) od verejných a firemných sietí firewallmi.

Pri vytváraní takejto zóny čelia správcovia podnikovej siete ďalším úlohám. Je potrebné zabezpečiť kontrolu prístupu k zdrojom a serverom umiestneným v DMZ, zabezpečiť dôvernosť informácií prenášaných pri práci používateľov s týmito zdrojmi, kontrolovať akcie používateľov. Pokiaľ ide o informácie, ktoré sa môžu nachádzať na serveroch, možno povedať nasledovné. Vzhľadom na to, že verejné služby môžu byť napadnuté, mali by obsahovať najmenej dôležité informácie a všetky cenné informácie by mali byť umiestnené výlučne v lokálnej sieti, ktorá nebude prístupná z verejných serverov.

Na serveroch hostovaných v DMZ by nemali byť žiadne informácie o užívateľoch, firemných klientoch, iné dôverné informácie, nemali by byť osobné schránky zamestnancov – to všetko by malo byť bezpečne „ukryté“ v zabezpečenej časti lokálnej siete. A pre informácie, ktoré budú dostupné na verejných serveroch, je potrebné zabezpečiť archiváciu záloh s čo najmenšou frekvenciou. Okrem toho sa odporúča používať aspoň dvojserverový model služieb pre poštové servery a pre webové servery neustále monitorovať stav informácií s cieľom včas odhaliť a odstrániť následky hackingu.

Pri vytváraní DMZ je povinné používanie brán firewall

Firewally slúžia na ochranu prieniku cez DMZ do podnikovej siete. Existujú obrazovky softvéru a hardvéru. Softvér vyžaduje počítač so systémom UNIX alebo Windows NT/2000. Ak chcete nainštalovať hardvérový firewall, stačí ho pripojiť k sieti a vykonať minimálnu konfiguráciu. Softvérové ​​obrazovky sa zvyčajne používajú na ochranu malých sietí, kde nie je potrebné vykonávať veľa nastavení súvisiacich s flexibilným prideľovaním šírky pásma a obmedzeniami prevádzky protokolov pre používateľov. Ak je sieť veľká a vyžaduje sa vysoký výkon, je výhodnejšie používať hardvérové ​​brány firewall. V mnohých prípadoch sa nepoužíva jeden, ale dva firewally – jeden chráni demilitarizovanú zónu pred vonkajšími vplyvmi, druhý ju oddeľuje od vnútornej časti podnikovej siete.

No okrem toho, že premiestnenie verejných serverov do demilitarizovanej zóny do istej miery chráni firemnú sieť, je potrebné premyslieť a zabezpečiť aj ochranu samotnej DMZ. Pritom problémy ako:

  • ochrana pred útokmi na servery a sieťové zariadenia;
  • ochrana jednotlivých serverov;
  • kontrola pošty a iného obsahu;
  • audit akcií používateľa.

Ako možno tieto problémy vyriešiť? Mailový server, ktorý sa používa na externú aj vnútropodnikovú korešpondenciu, je žiaduce „rozdeliť“ na dve zložky – verejnú, ktorá bude v skutočnosti prenosovým serverom a bude sa nachádzať v DMZ, a hlavnú. , ktorý sa nachádza vo vnútri podnikovej siete. Hlavná zložka zabezpečuje obeh internej pošty, prijíma z relé a odosiela naň externú korešpondenciu.

Jednou z hlavných výziev je zabezpečiť bezpečný prístup k verejným zdrojom a aplikáciám z podnikového intranetu. Aj keď je medzi ním a DMZ nainštalovaný firewall, musí byť „transparentný“, aby fungoval. Existuje niekoľko možností, ako túto možnosť používateľom poskytnúť. Prvým je použitie terminálového prístupu. Pri takejto organizácii interakcie medzi klientom a serverom sa cez vytvorené spojenie neprenáša žiadny programový kód, medzi ktorým by mohli byť vírusy a iné škodlivé inklúzie. Z terminálového klienta na server nasleduje prúd kódov stlačených klávesov klávesnice a stavov myši používateľa a späť zo servera na klienta binárne obrazy obrazoviek serverovej relácie prehliadača resp. príde poštový klient používateľa. Ďalšou možnosťou je použitie VPN (Virtual Private Network). Prostredníctvom riadenia prístupu a kryptografickej ochrany informácií má VPN bezpečnosť privátnej siete a zároveň naplno využíva výhody verejnej siete.

K ochrane serverov a zariadení v DMZ je potrebné pristupovať obzvlášť opatrne

Na ochranu pred útokmi na servery a sieťové zariadenia sa používajú špeciálne systémy detekcie narušenia. Počítač, na ktorom je takýto systém nainštalovaný, sa stáva prvým na ceste toku informácií z internetu do DMZ. Systémy sú nakonfigurované tak, že pri zistení útokov dokážu prekonfigurovať firewall až po úplné zablokovanie prístupu. Za účelom dodatočnej, nie však trvalej kontroly, sa používa špeciálny softvér - bezpečnostné skenery, ktoré kontrolujú bezpečnosť siete, serverov a služieb, databáz. Na ochranu pred vírusmi v DMZ je nainštalovaný antivírusový softvér, ako aj nástroje na kontrolu obsahu.

Softvérové ​​a technické riešenia na organizáciu a ochranu DMZ ponúkajú rôzne spoločnosti. Tie sú zahraničné aj ruské. Sú medzi nimi napríklad Computer Associates, D-Link, Informzaschita, Trend Micro a mnoho ďalších.

S rozšíreným používaním internetu je potrebné vyriešiť problém ochrany informácií a lokálnej siete ako celku. Tento problém je obzvlášť významný, ak má spoločnosť verejné (verejné) internetové služby (webové a ftp servery, poštové služby, internetové obchody), ktoré sú umiestnené v spoločnej lokálnej sieti.

Prístup k takýmto serverom je najčastejšie bezplatný, to znamená, že každý používateľ môže pristupovať k zdroju hosťovanému na webovom serveri, k častiam ftp servera bez vykonania overenia prihlasovacieho mena a hesla, poštový server bude prijímať poštu z iných podobných poštových serverov. A neexistuje žiadna záruka, že sa škodlivý kód nedostane na server spolu s poštou, že medzi stovkami používateľov nebude nikto, kto by chcel z akéhokoľvek dôvodu získať prístup nielen k verejným službám, ale aj k lokálnej sieti organizácie. . A ak je sieť postavená na jednoduchých rozbočovačoch (huboch), a nie na prepínačoch (prepínačoch), bude to vystavené veľkému riziku.

Hackovaním jedného z počítačov môže hacker získať prístup do celej siete

Čo je to? Po získaní prístupu aspoň k jednému počítaču v lokálnej sieti môže hacker získať heslá až po heslo správcu, čo mu umožní prístup k akýmkoľvek informáciám, ktoré kolujú alebo sú uložené v sieti, zmeniť prístupové heslá tak, aby boli databázy nedostupné alebo sa jednoducho zobrazí mimo prevádzky. Navyše s prístupom na webový server ho možno použiť na vykonávanie DoS útokov, ktoré môžu blokovať výkon všetkých vnútropodnikových zdrojov.

Preto by sa prístup k budovaniu systémov, ktoré zahŕňajú verejné servery, mal líšiť od prístupu k budovaniu systémov založených na interných serveroch. Je to dané špecifickými rizikami, ktoré vznikajú v dôsledku verejnej dostupnosti servera. Riešením je oddelenie lokálnej siete a verejných serverov do samostatných častí. Tá, v ktorej sa budú poskytovať verejné služby, sa nazýva „demilitarizovaná zóna“ ( DMZ – demilitarizovaná zóna).

Obrázok 13.2 - Schéma lokálnej siete s demilitarizovanou zónou

Podstatou DMZ je, že nie je priamo začlenená do internej ani externej siete a prístup k nej je možné realizovať len podľa vopred definovaných pravidiel firewallu. V DMZ nie sú žiadni používatelia - sú tam umiestnené iba servery. Demilitarizovaná zóna zvyčajne slúži na zamedzenie prístupu z vonkajšej siete k hostiteľom vo vnútornej sieti presunutím všetkých služieb, ktoré vyžadujú prístup zvonku z lokálnej siete do špeciálnej zóny. V skutočnosti sa ukazuje, že táto zóna bude samostatnou podsieťou s verejnými adresami, chránenou (alebo oddelenou) od verejných a firemných sietí firewallmi.



Pri vytváraní takejto zóny čelia správcovia podnikovej siete ďalším úlohám. Je potrebné zabezpečiť kontrolu prístupu k zdrojom a serverom umiestneným v DMZ, zabezpečiť dôvernosť informácií prenášaných pri práci používateľov s týmito zdrojmi, kontrolovať akcie používateľov. Pokiaľ ide o informácie, ktoré sa môžu nachádzať na serveroch, možno povedať nasledovné. Vzhľadom na to, že verejné služby môžu byť napadnuté, mali by obsahovať najmenej dôležité informácie a všetky cenné informácie by mali byť umiestnené výlučne v lokálnej sieti, ktorá nebude prístupná z verejných serverov.

Na serveroch hostovaných v DMZ by nemali byť žiadne informácie o užívateľoch, firemných klientoch, iné dôverné informácie, nemali by byť osobné schránky zamestnancov – to všetko by malo byť bezpečne „ukryté“ v zabezpečenej časti lokálnej siete. A pre informácie, ktoré budú dostupné na verejných serveroch, je potrebné zabezpečiť archiváciu záloh s čo najmenšou frekvenciou. Okrem toho sa odporúča používať aspoň dvojserverový model služieb pre poštové servery a pre webové servery neustále monitorovať stav informácií s cieľom včas odhaliť a odstrániť následky hackingu.

Pri vytváraní DMZ je povinné používanie brán firewall

Firewally slúžia na ochranu prieniku cez DMZ do podnikovej siete. Existujú obrazovky softvéru a hardvéru. Softvér vyžaduje počítač so systémom UNIX alebo Windows NT/2000. Ak chcete nainštalovať hardvérový firewall, stačí ho pripojiť k sieti a vykonať minimálnu konfiguráciu. Softvérové ​​obrazovky sa zvyčajne používajú na ochranu malých sietí, kde nie je potrebné vykonávať veľa nastavení súvisiacich s flexibilným prideľovaním šírky pásma a obmedzeniami prevádzky protokolov pre používateľov. Ak je sieť veľká a vyžaduje sa vysoký výkon, je výhodnejšie používať hardvérové ​​brány firewall. V mnohých prípadoch sa nepoužíva jeden, ale dva firewally – jeden chráni demilitarizovanú zónu pred vonkajšími vplyvmi, druhý ju oddeľuje od vnútornej časti podnikovej siete.



No okrem toho, že premiestnenie verejných serverov do demilitarizovanej zóny do istej miery chráni firemnú sieť, je potrebné premyslieť a zabezpečiť aj ochranu samotnej DMZ. Pritom problémy ako:

ochrana pred útokmi na servery a sieťové zariadenia;

ochrana jednotlivých serverov;

kontrola pošty a iného obsahu;

audit akcií používateľa.

Ako možno tieto problémy vyriešiť? Mailový server, ktorý sa používa na externú aj vnútropodnikovú korešpondenciu, je žiaduce „rozdeliť“ na dve zložky – verejnú, ktorá bude v skutočnosti prenosovým serverom a bude sa nachádzať v DMZ, a hlavnú. , ktorý sa nachádza vo vnútri podnikovej siete. Hlavná zložka zabezpečuje obeh internej pošty, prijíma z relé a odosiela naň externú korešpondenciu.

Jednou z hlavných výziev je zabezpečiť bezpečný prístup k verejným zdrojom a aplikáciám z podnikového intranetu. Aj keď je medzi ním a DMZ nainštalovaný firewall, musí byť „transparentný“, aby fungoval. Existuje niekoľko možností, ako túto možnosť používateľom poskytnúť. Prvým je použitie terminálového prístupu. Pri takejto organizácii interakcie medzi klientom a serverom sa cez vytvorené spojenie neprenáša žiadny programový kód, medzi ktorým by mohli byť vírusy a iné škodlivé inklúzie. Z terminálového klienta na server nasleduje prúd kódov stlačených klávesov klávesnice a stavov myši používateľa a späť zo servera na klienta binárne obrazy obrazoviek serverovej relácie prehliadača resp. príde poštový klient používateľa. Ďalšou možnosťou je použitie VPN (Virtual Private Network). Prostredníctvom riadenia prístupu a kryptografickej ochrany informácií má VPN bezpečnosť privátnej siete a zároveň naplno využíva výhody verejnej siete.

K ochrane serverov a zariadení v DMZ je potrebné pristupovať obzvlášť opatrne

Na ochranu pred útokmi na servery a sieťové zariadenia sa používajú špeciálne systémy detekcie narušenia. Počítač, na ktorom je takýto systém nainštalovaný, sa stáva prvým na ceste toku informácií z internetu do DMZ. Systémy sú nakonfigurované tak, že pri zistení útokov dokážu prekonfigurovať firewall až po úplné zablokovanie prístupu. Za účelom dodatočnej, nie však trvalej kontroly, sa používa špeciálny softvér - bezpečnostné skenery, ktoré kontrolujú bezpečnosť siete, serverov a služieb, databáz. Na ochranu pred vírusmi v DMZ je nainštalovaný antivírusový softvér, ako aj nástroje na kontrolu obsahu.


globálne siete

Wide Area Networks (WAN), ktoré sa nazývajú aj teritoriálne počítačové siete, slúžia na poskytovanie svojich služieb veľkému počtu koncových účastníkov roztrúsených na veľkom území – v rámci oblasti, regiónu, krajiny, kontinentu alebo celej zemegule. Vzhľadom na veľkú dĺžku komunikačných kanálov si vybudovanie globálnej siete vyžaduje veľmi vysoké náklady, ktoré zahŕňajú náklady na káble a ich kladenie, náklady na spínacie zariadenia a medziľahlé zosilňovacie zariadenia, ktoré poskytujú potrebnú šírku pásma kanálov, ako aj prevádzkové náklady. neustále udržiavanie rozptýleného sieťového zariadenia na veľkej ploche.

Typickými predplatiteľmi globálnej počítačovej siete sú lokálne siete podnikov nachádzajúcich sa v rôznych mestách a krajinách, ktoré si potrebujú navzájom vymieňať údaje. Služby globálnych sietí využívajú aj jednotlivé počítače.

Rozľahlé siete zvyčajne vytvárajú veľké telekomunikačné spoločnosti na poskytovanie platených služieb predplatiteľom. Takéto siete sa nazývajú verejné alebo verejné. Existujú aj pojmy ako operátor siete a poskytovateľ sieťových služieb. Prevádzkovateľ siete je spoločnosť, ktorá udržiava normálnu prevádzku siete. Poskytovateľ služieb, často nazývaný aj poskytovateľ služieb, je spoločnosť, ktorá poskytuje platené služby predplatiteľom siete. Vlastník, prevádzkovateľ a poskytovateľ služieb môžu byť spojení do jednej spoločnosti alebo môžu zastupovať rôzne spoločnosti.

Oveľa menej často je globálna sieť úplne vytvorená nejakou veľkou korporáciou pre jej interné potreby. V tomto prípade sa sieť nazýva súkromná. Veľmi často existuje medziľahlá možnosť - podniková sieť využíva služby alebo zariadenia verejnej siete, ale dopĺňa tieto služby alebo zariadenia vlastnými.

V závislosti od toho, ktoré komponenty je potrebné prenajať, je obvyklé rozlišovať medzi sieťami vybudovanými pomocou:

špecializované kanály;

Prepínanie kanálov;

Prepínanie paketov.

Posledný prípad zodpovedá najpriaznivejšiemu prípadu, keď je sieť s prepínaním paketov dostupná vo všetkých geografických lokalitách, ktoré je potrebné spojiť do spoločnej podnikovej siete. Prvé dva prípady vyžadujú dodatočnú prácu, aby bolo možné vybudovať sieť s prepínaním paketov na základe prenajatých prostriedkov.

Vyhradené kanály

Prenajaté (alebo prenajaté) okruhy je možné získať od telekomunikačných spoločností, ktoré vlastnia diaľkové okruhy, alebo od telefónnych spoločností, ktoré si okruhy zvyčajne prenajímajú v rámci mesta alebo regiónu.

Existujú dva spôsoby použitia zvýraznených čiar. Prvým je s ich pomocou vybudovať teritoriálnu sieť určitej technológie, napríklad Frame Relay, v ktorej prenajaté prenajaté linky slúžia na prepojenie medziľahlých, geograficky distribuovaných paketových prepínačov.

Druhou možnosťou je pripojenie prenajatými okruhmi iba zjednotených lokálnych sietí, bez inštalácie tranzitných paketových prepínačov pracujúcich na technológii globálnej siete. Druhá možnosť je z technického hľadiska najjednoduchšia, keďže je založená na použití smerovačov alebo vzdialených mostov v prepojených lokálnych sieťach a absencii globálnych technologických protokolov ako X.25 alebo Frame Relay. Rovnaké pakety siete alebo spojovej vrstvy sa prenášajú cez globálne kanály ako v lokálnych sieťach.

Je to druhý spôsob využívania globálnych kanálov, ktorý dostal špeciálny názov „služby vyhradených kanálov“, keďže v skutočnosti už nepoužíva technológiu vlastných globálnych sietí s prepínaním paketov.

Prenajaté kanály boli v nedávnej minulosti veľmi aktívne využívané a využívajú sa aj dnes, najmä pri budovaní kritických chrbticových spojení medzi veľkými lokálnymi sieťami, keďže táto služba zaručuje šírku pásma prenajatého kanála. Avšak s veľkým počtom geograficky vzdialených bodov a intenzívnym zmiešaným harmonogramom medzi nimi vedie používanie tejto služby k vysokým nákladom v dôsledku veľkého počtu prenajatých kanálov.

Dnes existuje široký výber vyhradených kanálov – od analógových hlasových kanálov so šírkou pásma 3,1 kHz až po digitálne kanály technológie SDN so šírkou pásma 155 a 622 Mbps.

Skratka DMZ znamená DeMilitarized Zone, čiže demilitarizovaná zóna. Je neočakávané a nepochopiteľné, čo to má spoločné s routerom. V skutočnosti je to však v niektorých prípadoch veľmi užitočná vec. O tom sa bude diskutovať v tomto článku.

Účel a využitie DMZ

DMZ je sieťový segment vytvorený pre služby a programy, ktoré vyžadujú priamy prístup na internet. Priamy prístup vyžadujú torrenty, instant messenger, online hry a niektoré ďalšie programy. A tiež sa bez nej nezaobídete, ak chcete nainštalovať kameru na sledovanie videa a mať k nej prístup cez internet.

Ak sa počítač, na ktorom je program spustený, pripája k internetu priamo a obchádza smerovač, potom nie je potrebné používať DMZ. Ak sa však pripojenie uskutoční prostredníctvom smerovača, nebude možné „dosiahnuť“ program z internetu, pretože všetky požiadavky budú prijímané smerovačom a nebudú sa posielať ďalej v rámci lokálnej siete.

Na vyriešenie tohto problému sa zvyčajne používa presmerovanie portov na smerovači. Toto je na našej webovej stránke. Nie vždy to však vyhovuje a niekto si radšej zriadi DMZ. Ak na svojom routeri nastavíte DMZ a pridáte k nemu požadovaný sieťový uzol, napríklad PC s herným serverom alebo DVR, ku ktorému je pripojená IP kamera, tento uzol bude viditeľný z externej siete, ako keby bol priamo pripojený k internetu. Pre ostatné zariadenia vo vašej sieti sa nič nezmení – budú fungovať rovnako ako predtým.

Všetky tieto nastavenia by ste mali starostlivo zvážiť. Keďže presmerovanie portov aj DMZ sú potenciálnou bezpečnostnou dierou. Na zlepšenie bezpečnosti veľké spoločnosti často vytvárajú samostatnú sieť pre DMZ. Na zablokovanie prístupu zo siete DMZ k iným počítačom sa používa ďalší smerovač.

Nastavenie DMZ na smerovači

Smerovače umožňujú pridanie iba jedného zariadenia do DMZ. Router musí dostať „bielu“ IP adresu. Iba v tomto prípade bude možné získať prístup z globálnej siete. Informácie o tom môžete získať od svojho poskytovateľa internetu. Niektorí poskytovatelia poskytujú externú IP adresu zadarmo, ale za túto službu sa často účtuje príplatok.

Nastavenie statickej IP adresy

Do DMZ je možné pridať iba počítač, ktorý má statickú IP adresu. Takže prvá vec, ktorú urobíme, je zmeniť to. Ak to chcete urobiť, otvorte vlastnosti sieťového pripojenia a v nastaveniach TCP / IP predpíšeme statickú IP adresu v rozsahu adries vašej siete. Napríklad, ak má váš smerovač IP 192.168.0.1, potom môžete pre počítač zadať 192.168.0.10. Maska podsiete je štandardná - 255.255.255.0. A v poli "Brána" musíte zadať adresu smerovača.

Upozorňujeme, že IP adresa pridelená počítaču nesmie byť v rozsahu poskytnutých adries.

Tým sa dokončí nastavenie počítača a môžete prejsť k nastaveniam smerovača.

Nastavenie smerovača

Prvým krokom je povoliť DMZ na smerovači, pretože je predvolene vždy zakázané.

Príslušnú položku ponuky nájdeme vo webovom rozhraní zariadenia:

  • Na smerovačoch Asus sa požadovaná karta nazýva DMZ.
  • Na smerovačoch TP-Link otvorte položku „Preposielanie“ a bude v nej podpoložka DMZ.
  • V D-Link vyhľadajte položku "Firewall".

V každom prípade na karte nastavení musíte začiarknuť políčko „Povoliť“. A vedľa neho nájdite pole s názvom „Adresa hostiteľa DMZ“ alebo „Adresa viditeľnej stanice“ (v závislosti od modelu smerovača môžu existovať aj iné možnosti). Do tohto poľa zadajte statickú adresu počítača alebo iného zariadenia, ktoré chcete pridať do DMZ. V našom prípade je to 192.168.0.10.

Uložte nastavenia a reštartujte smerovač. To je všetko: všetky porty na vybranom počítači sú otvorené. Každý program, ktorý používa prichádzajúce pripojenia, si bude myslieť, že priamo pristupuje k sieti. Všetky ostatné programy budú fungovať normálne.

Nižšie je uvedený príklad konfigurácie smerovača s anglickým rozhraním.

Vytvorenie DMZ je pohodlný spôsob, ako zjednodušiť prácu s programami, ktoré potrebujete, ale majte na pamäti, že otvorený prístup k PC zvyšuje riziko sieťových útokov a vírusov.

Preto musí byť na zariadení používanom ako hostiteľ DMZ nainštalovaný firewall a antivírusový program.

Popis

Demilitarizovaná zóna alebo DMZ je segment siete na bielej listine oddelený firewallom od internetu a lokálnej siete organizácie. DMZ zvyčajne obsahuje servery, ktoré musia byť prístupné z internetu, ako napríklad poštový alebo webový server. Keďže servery v sieti DMZ sú oddelené od lokálnej siete firewallom, v prípade ich napadnutia útočník nebude mať prístup k zdrojom lokálnej siete.

Nastavenie

Demilitarizovaná zóna je vytvorená v module „poskytovatelia a siete“. Pri vytváraní musíte zadať IP adresu Internet Control Server a masku siete DMZ, ako aj vybrať sieťové rozhranie pre DMZ. Z bezpečnostných dôvodov sa pre DMZ zvyčajne používa samostatné sieťové rozhranie.

Servery umiestnené v DMZ štandardne nemajú prístup k internetu a lokálnej sieti, takže prístup pre ne musí byť nakonfigurovaný pravidlami brány firewall.

Zaškrtávacie políčko „NAT z miestnych sietí“ vám umožňuje ovládať preklad lokálnych adries do siete DMZ. Štandardne je vypnutá, t.j. služba NAT pre sieťové rozhranie DMZ nefunguje, adresy sú preložené bez zmien.

Dôležité: V skutočnosti je NAT pre sieť DMZ na externých rozhraniach ICS zakázaný, takže na jeho adresovanie sa musia použiť „biele“ adresy IP. Má zmysel nastaviť sieť DMZ, ak potrebujete ovládať prístup zvonku k serveru v lokálnej sieti, ktorý má „biele“ adresy IP. Vo všetkých ostatných prípadoch je nakonfigurovaná bežná lokálna sieť.