บ้าน > iOS > ตัวอย่างการกำหนดค่าพอร์ต dmz DMZ คืออะไรและจะตั้งค่าอย่างไรบนเราเตอร์ วิดีโอเกี่ยวกับการกำหนดค่าโฮสต์ DMZ บนเราเตอร์


ตัวอย่างการกำหนดค่าพอร์ต dmz DMZ คืออะไรและจะตั้งค่าอย่างไรบนเราเตอร์ วิดีโอเกี่ยวกับการกำหนดค่าโฮสต์ DMZ บนเราเตอร์





Kivshenko Alexey, 2423

บทความนี้แสดงภาพรวม ห้าตัวเลือกสำหรับการแก้ปัญหาการจัดการการเข้าถึงบริการเครือข่ายองค์กรจากอินเทอร์เน็ต ในส่วนของการทบทวน มีการวิเคราะห์ทางเลือกเพื่อความปลอดภัยและความเป็นไปได้ ซึ่งจะช่วยให้เข้าใจสาระสำคัญของปัญหา ฟื้นฟูและจัดระบบความรู้สำหรับทั้งมือใหม่และมืออาชีพที่มีประสบการณ์ เนื้อหาของบทความสามารถใช้เพื่อยืนยันการตัดสินใจในการออกแบบของคุณได้

เมื่อพิจารณาตัวเลือก ลองพิจารณาเครือข่ายที่คุณต้องการเผยแพร่เป็นตัวอย่าง:

  1. เซิร์ฟเวอร์จดหมายขององค์กร (เว็บเมล)
  2. เซิร์ฟเวอร์เทอร์มินัลขององค์กร (RDP)
  3. บริการเอกซ์ทราเน็ตสำหรับคู่สัญญา (Web-API)

ตัวเลือก 1. เครือข่ายแบบแบน

ในตัวเลือกนี้ โหนดทั้งหมดของเครือข่ายองค์กรจะรวมอยู่ในเครือข่ายเดียวกัน (“เครือข่ายภายใน”) ซึ่งภายในนั้นไม่มีข้อจำกัดในการสื่อสารระหว่างกัน เครือข่ายเชื่อมต่อกับอินเทอร์เน็ตผ่านเราเตอร์ชายแดน/ไฟร์วอลล์ (ต่อไปนี้ - ไอเอฟดับบลิว).

โหนดเข้าถึงอินเทอร์เน็ตผ่าน NAT และเข้าถึงบริการจากอินเทอร์เน็ตผ่านการส่งต่อพอร์ต

ข้อดีของตัวเลือก:

  1. ข้อกำหนดการทำงานขั้นต่ำ ไอเอฟดับบลิว(ทำได้แทบทุกอย่าง แม้แต่เราเตอร์ที่บ้าน)
  2. ข้อกำหนดความรู้ขั้นต่ำสำหรับผู้เชี่ยวชาญที่ใช้ตัวเลือก
ข้อเสียของตัวเลือก:
  1. ระดับความปลอดภัยขั้นต่ำ ในกรณีที่มีการแฮ็ก ซึ่งผู้บุกรุกเข้าควบคุมหนึ่งในเซิร์ฟเวอร์ที่เผยแพร่บนอินเทอร์เน็ต โหนดและช่องทางการสื่อสารอื่นๆ ทั้งหมดของเครือข่ายองค์กรจะพร้อมใช้งานสำหรับการโจมตีเพิ่มเติม
การเปรียบเทียบชีวิตจริง
เครือข่ายดังกล่าวเปรียบได้กับบริษัทที่พนักงานและลูกค้าอยู่ในห้องส่วนกลางเดียวกัน (พื้นที่เปิดโล่ง)


hrmaximum.ru

ตัวเลือก 2.DMZ

เพื่อกำจัดข้อเสียที่กล่าวถึงก่อนหน้านี้ โหนดเครือข่ายที่เข้าถึงได้จากอินเทอร์เน็ตจะถูกวางไว้ในส่วนที่จัดสรรเป็นพิเศษ - เขตปลอดทหาร (DMZ) DMZ ถูกจัดระเบียบโดยใช้ไฟร์วอลล์ที่แยกจากอินเทอร์เน็ต ( ไอเอฟดับบลิว) และจากเครือข่ายภายใน ( ดีเอฟดับบลิว).


ในกรณีนี้ กฎการกรองไฟร์วอลล์มีลักษณะดังนี้:
  1. จากเครือข่ายภายใน คุณสามารถเริ่มต้นการเชื่อมต่อกับ DMZ และไปยัง WAN (Wide Area Network)
  2. จาก DMZ คุณสามารถเริ่มต้นการเชื่อมต่อกับ WAN
  3. จาก WAN คุณสามารถเริ่มต้นการเชื่อมต่อกับ DMZ
  4. ห้ามเริ่มการเชื่อมต่อจาก WAN และ DMZ ไปยังเครือข่ายภายใน


ข้อดีของตัวเลือก:
  1. เพิ่มความปลอดภัยเครือข่ายจากการแฮ็กบริการแต่ละรายการ แม้ว่าเซิร์ฟเวอร์ตัวใดตัวหนึ่งจะถูกแฮ็ก ผู้บุกรุกจะไม่สามารถเข้าถึงทรัพยากรที่อยู่ในเครือข่ายภายในได้ (เช่น เครื่องพิมพ์เครือข่าย ระบบกล้องวงจรปิด เป็นต้น)
ข้อเสียของตัวเลือก:
  1. ด้วยตัวเอง การลบเซิร์ฟเวอร์ใน DMZ ไม่ได้เพิ่มความปลอดภัย
  2. จำเป็นต้องมีไฟร์วอลล์เพิ่มเติมเพื่อแยก DMZ ออกจากเครือข่ายภายใน
การเปรียบเทียบชีวิตจริง
สถาปัตยกรรมเครือข่ายเวอร์ชันนี้คล้ายกับการจัดระบบงานและพื้นที่ไคลเอ็นต์ในบริษัท โดยลูกค้าสามารถอยู่ในพื้นที่ไคลเอ็นต์เท่านั้น และพนักงานสามารถอยู่ได้ทั้งในไคลเอ็นต์และพื้นที่ทำงาน ส่วน DMZ เป็นอะนาล็อกของโซนไคลเอ็นต์ทุกประการ


autobam.ru

ตัวเลือกที่ 3 การแยกบริการออกเป็น Front-End และ Back-End

ตามที่ระบุไว้ก่อนหน้านี้ การวางเซิร์ฟเวอร์ใน DMZ ไม่ได้ช่วยเพิ่มความปลอดภัยของบริการแต่อย่างใด หนึ่งในตัวเลือกสำหรับการแก้ไขสถานการณ์คือการแบ่งฟังก์ชันการทำงานของบริการออกเป็นสองส่วน: ส่วนหน้าและส่วนหลัง นอกจากนี้ แต่ละส่วนจะอยู่บนเซิร์ฟเวอร์ที่แยกจากกัน ซึ่งจะจัดระเบียบระหว่างการโต้ตอบกับเครือข่าย เซิร์ฟเวอร์ส่วนหน้าที่ใช้ฟังก์ชันการโต้ตอบกับไคลเอนต์ที่อยู่บนอินเทอร์เน็ตจะอยู่ใน DMZ ในขณะที่เซิร์ฟเวอร์ส่วนหลังที่ใช้ฟังก์ชันที่เหลือจะถูกทิ้งไว้ในเครือข่ายภายใน เพื่อการโต้ตอบระหว่างกัน ดีเอฟดับบลิวสร้างกฎที่อนุญาตให้เริ่มต้นการเชื่อมต่อจากส่วนหน้าไปยังส่วนหลัง

ตัวอย่างเช่น ลองพิจารณาบริการอีเมลขององค์กรที่ให้บริการลูกค้าทั้งจากภายในเครือข่ายและจากอินเทอร์เน็ต ไคลเอนต์จากภายในใช้ POP3/SMTP และไคลเอนต์จากอินเทอร์เน็ตทำงานผ่านเว็บอินเตอร์เฟส โดยปกติแล้ว ในขั้นตอนการนำไปใช้งาน บริษัทต่างๆ จะเลือกวิธีที่ง่ายที่สุดในการปรับใช้บริการและวางส่วนประกอบทั้งหมดไว้ในเซิร์ฟเวอร์เดียว จากนั้น เมื่อจำเป็นต้องรับรองความปลอดภัยของข้อมูล ฟังก์ชันของบริการจึงถูกแบ่งออกเป็นส่วน ๆ และส่วนที่รับผิดชอบในการให้บริการลูกค้าจากอินเทอร์เน็ต (Front-End) จะถูกวางไว้บนเซิร์ฟเวอร์แยกต่างหากที่โต้ตอบผ่านเครือข่าย กับเซิร์ฟเวอร์ที่ใช้ฟังก์ชันที่เหลือ (Back -End) ในกรณีนี้ Front-End จะอยู่ใน DMZ ในขณะที่ Back-End ยังคงอยู่ในส่วนภายใน สำหรับการสื่อสารระหว่าง Front-End และ Back-End ดีเอฟดับบลิวสร้างกฎที่อนุญาตให้เริ่มต้นการเชื่อมต่อจากส่วนหน้าไปยังส่วนหลัง

ข้อดีของตัวเลือก:

  1. ในกรณีทั่วไป การโจมตีโดยตรงกับบริการที่ได้รับการป้องกันสามารถ "สะดุด" กับ Front-End ซึ่งจะทำให้เป็นกลางหรือลดความเสียหายที่อาจเกิดขึ้นได้อย่างมาก ตัวอย่างเช่น TCP SYN Flood หรือการโจมตีการอ่าน http ที่ช้าต่อบริการจะส่งผลให้เซิร์ฟเวอร์ Front-End ไม่พร้อมใช้งาน ในขณะที่ Back-End ยังคงทำงานตามปกติและให้บริการแก่ผู้ใช้
  2. โดยทั่วไปแล้ว เซิร์ฟเวอร์ Back-End อาจไม่สามารถเข้าถึงอินเทอร์เน็ตได้ ซึ่งถ้าถูกแฮ็ก (เช่น โดยรหัสที่เป็นอันตรายที่เปิดใช้งานในเครื่อง) จะทำให้ยากต่อการจัดการจากระยะไกลจากอินเทอร์เน็ต
  3. ส่วนหน้าเหมาะสำหรับการโฮสต์ไฟร์วอลล์ระดับแอปพลิเคชัน (เช่น ไฟร์วอลล์ของแอปพลิเคชันบนเว็บ) หรือระบบป้องกันการบุกรุก (IPS เช่น snort)
ข้อเสียของตัวเลือก:
  1. สำหรับการสื่อสารระหว่าง Front-End และ Back-End ดีเอฟดับบลิวมีการสร้างกฎที่อนุญาตให้เริ่มต้นการเชื่อมต่อจาก DMZ ไปยังเครือข่ายภายใน ซึ่งสร้างภัยคุกคามที่เกี่ยวข้องกับการใช้กฎนี้โดยโหนดอื่นๆ ใน DMZ (ตัวอย่างเช่น เนื่องจากการดำเนินการโจมตีการปลอมแปลง IP, พิษ ARP ฯลฯ)
  2. ไม่สามารถแบ่งบริการทั้งหมดออกเป็น Front-End และ Back-End ได้
  3. บริษัทต้องใช้กระบวนการทางธุรกิจสำหรับการอัปเดตกฎไฟร์วอลล์
  4. บริษัทต้องใช้กลไกเพื่อป้องกันการโจมตีโดยผู้ละเมิดที่เข้าถึงเซิร์ฟเวอร์ใน DMZ
หมายเหตุ
  1. ในชีวิตจริง แม้จะไม่ได้แยกเซิร์ฟเวอร์ออกเป็น Front-End และ Back-End เซิร์ฟเวอร์จาก DMZ ก็มักจะต้องเข้าถึงเซิร์ฟเวอร์ที่อยู่บนเครือข่ายภายใน ดังนั้นข้อเสียที่ระบุของตัวเลือกนี้จะเป็นจริงสำหรับตัวเลือกก่อนหน้านี้ที่พิจารณาด้วย
  2. หากเราพิจารณาถึงการป้องกันแอปพลิเคชันที่ทำงานผ่านเว็บอินเตอร์เฟส แม้ว่าเซิร์ฟเวอร์จะไม่รองรับการแยกฟังก์ชันระหว่าง Front-End และ Back-End โดยใช้ http reverse proxy server (เช่น nginx) เป็น Front- End จะลดความเสี่ยงที่เกี่ยวข้องกับการโจมตีเพื่อปฏิเสธบริการ ตัวอย่างเช่น การโจมตีแบบท่วมท้นของ SYN สามารถทำให้ http reverse proxy ไม่สามารถใช้งานได้ในขณะที่ Back-End ยังคงทำงานต่อไป
การเปรียบเทียบชีวิตจริง
ตัวเลือกนี้โดยพื้นฐานแล้วจะคล้ายกับการจัดระบบแรงงาน ซึ่งผู้ช่วยเลขานุการจะใช้กับพนักงานที่มีภาระงานมาก จากนั้น Back-End จะเป็นอะนาล็อกของคนงานที่ยุ่งและ Front-End จะเป็นอะนาล็อกของเลขานุการ


mln.kz

ตัวเลือก 4: ป้องกัน DMZ

DMZ เป็นส่วนหนึ่งของเครือข่ายที่สามารถเข้าถึงได้จากอินเทอร์เน็ต และเป็นผลให้มีความเสี่ยงสูงสุดที่โฮสต์จะถูกประนีประนอม การออกแบบ DMZ และวิธีการที่ใช้ในนั้นควรรับประกันความสามารถในการอยู่รอดสูงสุดในกรณีที่ผู้บุกรุกเข้าควบคุมโหนดใดโหนดหนึ่งใน DMZ การโจมตีที่เป็นไปได้ ให้พิจารณาการโจมตีที่ส่งผลกระทบต่อระบบข้อมูลเกือบทั้งหมดที่ทำงานด้วยการตั้งค่าเริ่มต้น:

ป้องกันการโจมตีที่เกี่ยวข้องกับ DHCP

แม้จะมีข้อเท็จจริงที่ว่า DHCP มีจุดประสงค์เพื่อทำให้การกำหนดค่าที่อยู่ IP สำหรับเวิร์กสเตชันเป็นไปโดยอัตโนมัติ แต่ก็มีบางกรณีในบางบริษัทที่ออกที่อยู่ IP สำหรับเซิร์ฟเวอร์ผ่าน DHCP แต่นี่เป็นวิธีปฏิบัติที่ค่อนข้างแย่ ดังนั้น เพื่อป้องกัน Rogue DHCP Server , DHCP starvation ขอแนะนำให้ปิดการใช้งาน DHCP ใน DMZ โดยสมบูรณ์

ป้องกันการโจมตีน้ำท่วมของ MAC

เพื่อป้องกันการท่วมของ MAC พอร์ตสวิตช์ได้รับการกำหนดค่าให้จำกัดความเข้มสูงสุดของทราฟฟิกที่ออกอากาศ (เนื่องจากการโจมตีเหล่านี้มักจะสร้างทราฟฟิกที่ออกอากาศ (ออกอากาศ)) การโจมตีที่เกี่ยวข้องกับการใช้ที่อยู่เครือข่ายเฉพาะ (unicast) จะถูกบล็อกโดยการกรอง MAC ซึ่งเราได้กล่าวถึงก่อนหน้านี้

การป้องกันการโจมตีน้ำท่วม UDP

การป้องกันการโจมตีประเภทนี้คล้ายกับการป้องกันการท่วมของ MAC ยกเว้นว่าการกรองจะดำเนินการที่ระดับ IP (L3)

ป้องกันการโจมตีน้ำท่วม TCP SYN

เพื่อป้องกันการโจมตีนี้ มีตัวเลือกดังต่อไปนี้:
  1. การป้องกันโหนดเครือข่ายด้วยเทคโนโลยี TCP SYN Cookie
  2. การป้องกันไฟร์วอลล์ (หาก DMZ เป็นเครือข่ายย่อย) โดยการจำกัดอัตราการรับส่งข้อมูลที่มีคำขอ TCP SYN

การป้องกันการโจมตีบริการเครือข่ายและเว็บแอปพลิเคชัน

ไม่มีวิธีแก้ปัญหาที่เป็นสากลสำหรับปัญหานี้ แต่แนวทางปฏิบัติที่กำหนดไว้คือการใช้กระบวนการจัดการช่องโหว่ของซอฟต์แวร์ (เช่น การตรวจจับ การติดตั้งแพตช์ เป็นต้น) รวมถึงการใช้ระบบตรวจจับและป้องกันการบุกรุก (IDS / IPS) .

ป้องกันการโจมตีบายพาสการรับรองความถูกต้อง

เช่นเดียวกับในกรณีก่อนหน้านี้ ไม่มีวิธีแก้ปัญหาที่เป็นสากลสำหรับปัญหานี้
โดยปกติแล้ว ในกรณีที่พยายามให้สิทธิ์ไม่สำเร็จหลายครั้ง บัญชีจะถูกบล็อกเพื่อหลีกเลี่ยงการเลือกข้อมูลการตรวจสอบสิทธิ์ (เช่น รหัสผ่าน) แต่แนวทางนี้ค่อนข้างขัดแย้ง และนี่คือเหตุผล
ประการแรก ผู้ละเมิดสามารถบังคับเดรัจฉานข้อมูลการพิสูจน์ตัวตนด้วยความเข้มข้นที่ไม่นำไปสู่การบล็อกบัญชี (มีหลายกรณีที่รหัสผ่านถูกเดรัจฉานบังคับเป็นเวลาหลายเดือนโดยมีช่วงเวลาระหว่างการพยายามหลายสิบนาที)
ประการที่สอง ฟีเจอร์นี้สามารถใช้สำหรับการโจมตีแบบปฏิเสธการให้บริการ ซึ่งผู้บุกรุกจะทำการพยายามอนุญาตจำนวนมากโดยจงใจเพื่อบล็อกบัญชี
ตัวเลือกที่มีประสิทธิภาพมากที่สุดในการป้องกันการโจมตีของคลาสนี้คือการใช้ระบบ IDS / IPS ซึ่งเมื่อตรวจพบการพยายามเดารหัสผ่านจะไม่บล็อกบัญชี แต่แหล่งที่มาของการถอดรหัสนี้เกิดขึ้น (เช่น บล็อก IP ที่อยู่ของผู้ฝ่าฝืน)

รายการมาตรการป้องกันขั้นสุดท้ายสำหรับตัวเลือกนี้:

  1. DMZ แบ่งออกเป็นเครือข่ายย่อย IP ตามเครือข่ายย่อยแยกต่างหากสำหรับแต่ละโฮสต์
  2. ผู้ดูแลระบบกำหนดที่อยู่ IP ด้วยตนเอง ไม่ได้ใช้ DHCP
  3. บนอินเทอร์เฟซเครือข่ายที่โหนด DMZ เชื่อมต่ออยู่ การกรอง MAC และ IP จะถูกเปิดใช้งาน เช่นเดียวกับข้อจำกัดเกี่ยวกับความเข้มของทราฟฟิกที่ออกอากาศและทราฟฟิกที่มีคำขอ TCP SYN
  4. บนสวิตช์ การเจรจาประเภทพอร์ตอัตโนมัติถูกปิดใช้งาน ห้ามใช้ VLAN ดั้งเดิม
  5. โฮสต์ DMZ และเซิร์ฟเวอร์เครือข่ายภายในที่โฮสต์เหล่านี้เชื่อมต่อได้รับการกำหนดค่าด้วย TCP SYN Cookie
  6. การจัดการช่องโหว่ของซอฟต์แวร์ถูกนำมาใช้กับโฮสต์ DMZ (และควรเป็นส่วนที่เหลือของเครือข่าย)
  7. ในส่วน DMZ มีการใช้ระบบตรวจจับและป้องกันการบุกรุก IDS/IPS
ข้อดีของตัวเลือก:
  1. ความปลอดภัยระดับสูง
ข้อเสียของตัวเลือก:
  1. ข้อกำหนดที่เพิ่มขึ้นสำหรับการทำงานของอุปกรณ์
  2. ต้นทุนแรงงานในการดำเนินการและการสนับสนุน
การเปรียบเทียบชีวิตจริง
หากก่อนหน้านี้เราเปรียบเทียบ DMZ กับพื้นที่ไคลเอนต์ที่มีโซฟาและที่วางเท้า DMZ ที่ปลอดภัยจะดูคล้ายกับโต๊ะเงินสดหุ้มเกราะมากกว่า


valmax.com.ua

ตัวเลือก 5. เชื่อมต่อกลับ

มาตรการป้องกันที่พิจารณาในเวอร์ชันก่อนหน้านั้นขึ้นอยู่กับข้อเท็จจริงที่ว่ามีอุปกรณ์ในเครือข่าย (สวิตช์ / เราเตอร์ / ไฟร์วอลล์) ที่สามารถใช้งานได้ แต่ในทางปฏิบัติ ตัวอย่างเช่น เมื่อใช้โครงสร้างพื้นฐานเสมือน (สวิตช์เสมือนมักมีความสามารถจำกัดมาก) อุปกรณ์ดังกล่าวอาจไม่มีอยู่จริง

ภายใต้เงื่อนไขเหล่านี้ การโจมตีจำนวนมากที่พิจารณาก่อนหน้านี้จะพร้อมใช้งานสำหรับผู้บุกรุก ซึ่งอันตรายที่สุดคือ:

  • การโจมตีที่อนุญาตให้สกัดกั้นและแก้ไขทราฟฟิก (ARP Poisoning, CAM table overflow + TCP session hijacking เป็นต้น)
  • การโจมตีที่เกี่ยวข้องกับการใช้ช่องโหว่ของเซิร์ฟเวอร์เครือข่ายภายในที่สามารถเริ่มต้นการเชื่อมต่อได้จาก DMZ (ซึ่งเป็นไปได้โดยการข้ามกฎการกรอง ดีเอฟดับบลิวเนื่องจากการปลอมแปลง IP และ MAC)
คุณลักษณะสำคัญถัดไปที่เรายังไม่ได้พิจารณามาก่อน แต่ที่สำคัญไม่น้อยไปกว่านี้คือ User Workstations (AWPs) ยังสามารถเป็นแหล่ง (เช่น เมื่อติดไวรัสหรือโทรจัน) ของผลกระทบที่เป็นอันตรายต่อ เซิร์ฟเวอร์

ดังนั้นเราจึงต้องเผชิญกับภารกิจในการปกป้องเซิร์ฟเวอร์ของเครือข่ายภายในจากการโจมตีโดยผู้บุกรุกทั้งจาก DMZ และจากเครือข่ายภายใน (การติดไวรัสของ AWP ด้วยโทรจันสามารถตีความได้ว่าเป็นการกระทำของผู้บุกรุกจากภายใน เครือข่าย).

แนวทางที่เสนอด้านล่างมีเป้าหมายเพื่อลดจำนวนช่องทางที่ผู้บุกรุกสามารถโจมตีเซิร์ฟเวอร์ได้ และมีช่องดังกล่าวอย่างน้อยสองช่อง ข้อแรกคือกฎสำหรับ ดีเอฟดับบลิวซึ่งอนุญาตให้เข้าถึงเซิร์ฟเวอร์เครือข่ายภายในจาก DMZ (แม้ว่าจะถูกจำกัดด้วยที่อยู่ IP) และอันที่สองคือพอร์ตเครือข่ายที่เปิดอยู่บนเซิร์ฟเวอร์ซึ่งคาดว่าจะมีการร้องขอการเชื่อมต่อ

คุณสามารถปิดช่องทางเหล่านี้ได้หากเซิร์ฟเวอร์เครือข่ายภายในสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ใน DMZ และทำสิ่งนี้โดยใช้โปรโตคอลเครือข่ายที่ปลอดภัยด้วยการเข้ารหัส จากนั้นจะไม่มีการเปิดพอร์ต ไม่มีกฎ ดีเอฟดับบลิว.

แต่ปัญหาคือบริการเซิร์ฟเวอร์ทั่วไปไม่สามารถทำงานได้ในลักษณะนี้ และเพื่อดำเนินการตามแนวทางนี้ จำเป็นต้องใช้เครือข่ายทันเนล ดำเนินการ เช่น ใช้ SSH หรือ VPN และภายในอุโมงค์อนุญาตให้มีการเชื่อมต่อจากเซิร์ฟเวอร์ใน DMZ ไปยังเซิร์ฟเวอร์เครือข่ายภายใน

รูปแบบทั่วไปของตัวเลือกนี้มีดังต่อไปนี้:

  1. มีการติดตั้งเซิร์ฟเวอร์ SSH/VPN บนเซิร์ฟเวอร์ใน DMZ และติดตั้งไคลเอนต์ SSH/VPN บนเซิร์ฟเวอร์ในเครือข่ายภายใน
  2. เซิร์ฟเวอร์เครือข่ายภายในเริ่มสร้างอุโมงค์เครือข่ายไปยังเซิร์ฟเวอร์ใน DMZ อุโมงค์ถูกสร้างขึ้นด้วยการรับรองความถูกต้องของไคลเอนต์และเซิร์ฟเวอร์ร่วมกัน
  3. เซิร์ฟเวอร์จาก DMZ ภายในอุโมงค์ที่สร้างขึ้นจะเริ่มต้นการเชื่อมต่อกับเซิร์ฟเวอร์ในเครือข่ายภายใน ซึ่งส่งผ่านข้อมูลที่ได้รับการป้องกัน
  4. ไฟร์วอลล์ในเครื่องได้รับการกำหนดค่าบนเซิร์ฟเวอร์เครือข่ายภายในเพื่อกรองการรับส่งข้อมูลที่ผ่านอุโมงค์

การใช้ตัวเลือกนี้ในทางปฏิบัติแสดงให้เห็นว่าสะดวกในการสร้างอุโมงค์เครือข่ายโดยใช้ OpenVPN เนื่องจากมีคุณสมบัติที่สำคัญดังต่อไปนี้:

  • ข้ามแพลตฟอร์ม คุณสามารถจัดระเบียบการสื่อสารบนเซิร์ฟเวอร์ที่มีระบบปฏิบัติการต่างกัน
  • ความสามารถในการสร้างช่องสัญญาณด้วยไคลเอนต์และการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ร่วมกัน
  • ความสามารถในการใช้การเข้ารหัสที่ผ่านการรับรอง
เมื่อมองแวบแรก อาจดูเหมือนว่าโครงร่างนี้ซับซ้อนเกินไป และเนื่องจากคุณยังต้องติดตั้งไฟร์วอลล์ในเครื่องบนเซิร์ฟเวอร์เครือข่ายภายใน จึงง่ายกว่าที่จะสร้างเซิร์ฟเวอร์จาก DMZ ตามปกติ เชื่อมต่อกับเซิร์ฟเวอร์เครือข่ายภายใน ตัวเอง แต่ทำโดยการเชื่อมต่อที่เข้ารหัส แน่นอนว่าตัวเลือกนี้จะปิดปัญหามากมาย แต่จะไม่สามารถให้สิ่งสำคัญได้ - การป้องกันการโจมตีช่องโหว่ของเซิร์ฟเวอร์เครือข่ายภายในที่ดำเนินการโดยข้ามไฟร์วอลล์โดยใช้การปลอมแปลง IP และ MAC

ข้อดีของตัวเลือก:

  1. การลดจำนวนเวกเตอร์การโจมตีทางสถาปัตยกรรมบนเซิร์ฟเวอร์เครือข่ายภายในที่ได้รับการป้องกัน
  2. รับประกันความปลอดภัยในกรณีที่ไม่มีการกรองทราฟฟิกเครือข่าย
  3. การป้องกันข้อมูลที่ส่งผ่านเครือข่ายจากการดูและแก้ไขโดยไม่ได้รับอนุญาต
  4. ความสามารถในการเลือกเพิ่มระดับความปลอดภัยของบริการ
  5. ความเป็นไปได้ของการใช้ระบบป้องกันแบบสองวงโดยที่วงแรกมีให้โดยใช้ไฟร์วอลล์และวงที่สองได้รับการจัดระเบียบตามตัวเลือกนี้
ข้อเสียของตัวเลือก:
  1. การดำเนินการและการบำรุงรักษาตัวเลือกการป้องกันนี้จำเป็นต้องมีต้นทุนแรงงานเพิ่มเติม
  2. เข้ากันไม่ได้กับระบบตรวจจับและป้องกันการบุกรุกเครือข่าย (IDS/IPS)
  3. โหลดการคำนวณเพิ่มเติมบนเซิร์ฟเวอร์
การเปรียบเทียบชีวิตจริง
ความหมายหลักของตัวเลือกนี้คือบุคคลที่เชื่อถือได้สร้างความสัมพันธ์กับบุคคลที่ไม่น่าเชื่อถือซึ่งคล้ายกับสถานการณ์เมื่อออกสินเชื่อ ธนาคารจะโทรกลับผู้กู้ที่มีศักยภาพเพื่อตรวจสอบข้อมูล เพิ่มแท็ก

การเป็นตัวแทนของบริษัทใดๆ ที่ไม่มีเครือข่ายท้องถิ่นและไม่สามารถเข้าถึงอินเทอร์เน็ตได้นั้นยากขึ้นเรื่อยๆ เทคโนโลยีทั่วไปที่ช่วยปรับปรุงการทำงาน เข้าถึงข้อมูล แลกเปลี่ยนเอกสารข้อมูลได้อย่างรวดเร็ว นี่คือในแง่หนึ่ง ในทางกลับกัน ด้วยการใช้อินเทอร์เน็ตอย่างแพร่หลาย จำเป็นต้องแก้ปัญหาการปกป้องข้อมูลและเครือข่ายท้องถิ่นโดยรวม ปัญหานี้มีความสำคัญอย่างยิ่งเมื่อบริษัทมีบริการอินเทอร์เน็ตสาธารณะ (สาธารณะ) (เว็บและเซิร์ฟเวอร์ ftp บริการอีเมล ร้านค้าออนไลน์) ที่อยู่ในเครือข่ายท้องถิ่นทั่วไป

การเข้าถึงเซิร์ฟเวอร์ดังกล่าวมักจะฟรี กล่าวคือ ผู้ใช้ทุกคนสามารถเข้าถึงทรัพยากรที่โฮสต์บนเว็บเซิร์ฟเวอร์ ส่วนของเซิร์ฟเวอร์ ftp โดยไม่ต้องทำการเข้าสู่ระบบและการตรวจสอบรหัสผ่าน เซิร์ฟเวอร์อีเมลจะรับอีเมลจากเซิร์ฟเวอร์อีเมลอื่นที่คล้ายคลึงกัน และไม่มีการรับประกันว่ารหัสที่เป็นอันตรายจะไม่เข้าถึงเซิร์ฟเวอร์พร้อมกับอีเมล ในหมู่ผู้ใช้หลายร้อยคนจะไม่มีใครต้องการเข้าถึงไม่เพียง แต่บริการสาธารณะ แต่ยังรวมถึงเครือข่ายท้องถิ่นขององค์กรไม่ว่าจะด้วยเหตุผลใดก็ตาม . และหากเครือข่ายสร้างขึ้นบนฮับธรรมดา (ฮับ) ไม่ใช่บนสวิตช์ (สวิตช์) ก็จะมีความเสี่ยงสูง

แฮ็กเกอร์สามารถเข้าถึงเครือข่ายทั้งหมดได้โดยการแฮ็กคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง

มันคืออะไร? เมื่อเข้าถึงคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องในเครือข่ายท้องถิ่น แฮ็กเกอร์สามารถรับรหัสผ่านได้ถึงรหัสผ่านผู้ดูแลระบบ ซึ่งจะทำให้เขาสามารถเข้าถึงข้อมูลใด ๆ ที่หมุนเวียนหรือจัดเก็บไว้ในเครือข่าย เปลี่ยนรหัสผ่านการเข้าถึงในลักษณะที่ฐานข้อมูลไม่สามารถเข้าถึงได้ หรือเพียงแค่แสดงออกจากบริการ นอกจากนี้ การเข้าถึงเว็บเซิร์ฟเวอร์ก็สามารถใช้เพื่อทำการโจมตี DoS ซึ่งสามารถบล็อกประสิทธิภาพของทรัพยากรภายในองค์กรทั้งหมดได้

ดังนั้น แนวทางการสร้างระบบที่มีเซิร์ฟเวอร์สาธารณะควรแตกต่างจากแนวทางการสร้างระบบตามเซิร์ฟเวอร์ภายใน สิ่งนี้ถูกกำหนดโดยความเสี่ยงเฉพาะที่เกิดขึ้นเนื่องจากความพร้อมใช้งานของเซิร์ฟเวอร์สาธารณะ วิธีแก้ไขคือแยก local network และ public server ออกเป็นส่วนๆ พื้นที่ที่ให้บริการสาธารณะจะถูกเรียกว่า "เขตปลอดทหาร" ( DMZ - เขตปลอดทหาร).

DMZ - โซนที่ต้องให้ความสนใจเป็นพิเศษ

สาระสำคัญของ DMZ คือไม่ได้รวมอยู่ในเครือข่ายภายในหรือภายนอกโดยตรง และการเข้าถึงทำได้ตามกฎไฟร์วอลล์ที่กำหนดไว้ล่วงหน้าเท่านั้น ไม่มีผู้ใช้ใน DMZ - มีเพียงเซิร์ฟเวอร์เท่านั้นที่อยู่ที่นั่น เขตปลอดทหารมักจะทำหน้าที่ป้องกันการเข้าถึงจากเครือข่ายภายนอกไปยังโฮสต์บนเครือข่ายภายใน โดยย้ายบริการทั้งหมดที่ต้องการการเข้าถึงจากภายนอกจากเครือข่ายท้องถิ่นไปยังโซนพิเศษ ในความเป็นจริง ปรากฎว่าโซนนี้จะเป็นซับเน็ตแยกต่างหากที่มีที่อยู่สาธารณะ ป้องกัน (หรือแยก) จากเครือข่ายสาธารณะและเครือข่ายองค์กรด้วยไฟร์วอลล์

เมื่อสร้างโซนดังกล่าว ผู้ดูแลระบบเครือข่ายขององค์กรต้องเผชิญกับงานเพิ่มเติม จำเป็นต้องมีการควบคุมการเข้าถึงทรัพยากรและเซิร์ฟเวอร์ที่อยู่ใน DMZ เพื่อให้มั่นใจถึงความลับของข้อมูลที่ส่งเมื่อผู้ใช้ทำงานกับทรัพยากรเหล่านี้ เพื่อควบคุมการกระทำของผู้ใช้ สำหรับข้อมูลที่อาจอยู่บนเซิร์ฟเวอร์ อาจกล่าวได้ดังต่อไปนี้ เนื่องจากบริการสาธารณะสามารถถูกแฮ็กได้ จึงควรมีข้อมูลที่สำคัญน้อยที่สุด และข้อมูลที่มีค่าใดๆ ควรอยู่ในเครือข่ายท้องถิ่นโดยเฉพาะ ซึ่งจะไม่สามารถเข้าถึงได้จากเซิร์ฟเวอร์สาธารณะ

บนเซิร์ฟเวอร์ที่โฮสต์ใน DMZ ไม่ควรมีข้อมูลใด ๆ เกี่ยวกับผู้ใช้ ลูกค้าของบริษัท ข้อมูลที่เป็นความลับอื่น ๆ ไม่ควรมีกล่องจดหมายส่วนตัวของพนักงาน ทั้งหมดนี้ควร "ซ่อน" อย่างปลอดภัยในส่วนที่ปลอดภัยของเครือข่ายท้องถิ่น และสำหรับข้อมูลที่จะพร้อมใช้งานบนเซิร์ฟเวอร์สาธารณะ จำเป็นต้องจัดให้มีการสำรองข้อมูลถาวรด้วยความถี่ที่น้อยที่สุดเท่าที่จะเป็นไปได้ นอกจากนี้ ขอแนะนำให้ใช้โมเดลบริการสองเซิร์ฟเวอร์เป็นอย่างน้อยสำหรับเมลเซิร์ฟเวอร์และสำหรับเว็บเซิร์ฟเวอร์เพื่อตรวจสอบสถานะของข้อมูลอย่างต่อเนื่อง เพื่อตรวจจับและกำจัดผลที่ตามมาจากการแฮ็กอย่างทันท่วงที

การใช้ไฟร์วอลล์เป็นสิ่งจำเป็นเมื่อสร้าง DMZ

ไฟร์วอลล์ถูกใช้เพื่อป้องกันการเจาะผ่าน DMZ เข้าสู่เครือข่ายองค์กร มีหน้าจอซอฟต์แวร์และฮาร์ดแวร์ ซอฟต์แวร์ต้องการเครื่องที่ใช้ UNIX หรือ Windows NT/2000 ในการติดตั้งไฟร์วอลล์ฮาร์ดแวร์ คุณจะต้องเชื่อมต่อกับเครือข่ายและดำเนินการกำหนดค่าเพียงเล็กน้อยเท่านั้น โดยทั่วไปแล้ว หน้าจอซอฟต์แวร์จะใช้เพื่อป้องกันเครือข่ายขนาดเล็ก ซึ่งไม่จำเป็นต้องทำการตั้งค่ามากมายที่เกี่ยวข้องกับการจัดสรรแบนด์วิธที่ยืดหยุ่นและการจำกัดทราฟฟิกบนโปรโตคอลสำหรับผู้ใช้ หากเครือข่ายมีขนาดใหญ่และต้องการประสิทธิภาพสูง การใช้ฮาร์ดแวร์ไฟร์วอลล์จะทำกำไรได้มากกว่า ในหลายกรณี ไม่ได้ใช้ไฟร์วอลล์เพียงตัวเดียว แต่มีไฟร์วอลล์สองตัว ตัวหนึ่งป้องกันเขตปลอดทหารจากอิทธิพลภายนอก ส่วนที่สองแยกออกจากส่วนภายในของเครือข่ายองค์กร

แต่นอกเหนือจากข้อเท็จจริงที่ว่าการย้ายเซิร์ฟเวอร์สาธารณะไปยังเขตปลอดทหารจะปกป้องเครือข่ายขององค์กรได้ในระดับหนึ่ง จำเป็นต้องคิดทบทวนและตรวจสอบการป้องกันของ DMZ ด้วย ในการทำเช่นนั้น ประเด็นต่างๆ เช่น:

  • การป้องกันการโจมตีเซิร์ฟเวอร์และอุปกรณ์เครือข่าย
  • การป้องกันเซิร์ฟเวอร์แต่ละตัว
  • การควบคุมจดหมายและเนื้อหาอื่น ๆ
  • การตรวจสอบการกระทำของผู้ใช้

ปัญหาเหล่านี้จะแก้ไขได้อย่างไร? เป็นที่พึงปรารถนาที่จะ "แบ่ง" เซิร์ฟเวอร์อีเมลซึ่งใช้ทั้งสำหรับการโต้ตอบภายนอกและสำหรับการโต้ตอบภายในองค์กรออกเป็นสององค์ประกอบ - เซิร์ฟเวอร์สาธารณะซึ่งจริง ๆ แล้วจะเป็นเซิร์ฟเวอร์รีเลย์และจะอยู่ใน DMZ และเซิร์ฟเวอร์หลัก ซึ่งอยู่ภายในเครือข่ายองค์กร องค์ประกอบหลักช่วยให้การไหลเวียนของจดหมายภายในได้รับจากรีเลย์และส่งการติดต่อภายนอก

หนึ่งในความท้าทายหลักคือการให้การเข้าถึงทรัพยากรสาธารณะและแอปพลิเคชันอย่างปลอดภัยจากอินทราเน็ตขององค์กร แม้ว่าจะมีการติดตั้งไฟร์วอลล์ระหว่างไฟร์วอลล์กับ DMZ แต่ไฟร์วอลล์นั้นจะต้อง "โปร่งใส" จึงจะทำงานได้ มีหลายทางเลือกในการมอบโอกาสนี้ให้กับผู้ใช้ ประการแรกคือการใช้การเข้าถึงเทอร์มินัล ด้วยการจัดระเบียบของการโต้ตอบระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ จึงไม่มีการส่งรหัสโปรแกรมผ่านการเชื่อมต่อที่สร้างขึ้น ซึ่งอาจมีไวรัสและการรวมที่เป็นอันตรายอื่นๆ จากไคลเอนต์เทอร์มินัลไปยังเซิร์ฟเวอร์ สตรีมของรหัสของปุ่มกดของแป้นพิมพ์และสถานะของเมาส์ของผู้ใช้จะตามมา และกลับจากเซิร์ฟเวอร์ไปยังไคลเอ็นต์ ภาพไบนารีของหน้าจอเซสชันเซิร์ฟเวอร์ของเบราว์เซอร์หรือ เมลไคลเอ็นต์ของผู้ใช้มา อีกทางเลือกหนึ่งคือการใช้ VPN (Virtual Private Network) ด้วยการควบคุมการเข้าถึงและการป้องกันข้อมูลแบบเข้ารหัส VPN มีการรักษาความปลอดภัยของเครือข่ายส่วนตัว และในขณะเดียวกันก็ใช้ประโยชน์จากเครือข่ายสาธารณะอย่างเต็มที่

การป้องกันเซิร์ฟเวอร์และอุปกรณ์ใน DMZ จะต้องได้รับการดูแลเป็นพิเศษ

เพื่อป้องกันการโจมตีบนเซิร์ฟเวอร์และอุปกรณ์เครือข่าย จึงใช้ระบบตรวจจับการบุกรุกแบบพิเศษ คอมพิวเตอร์ที่ติดตั้งระบบดังกล่าวจะกลายเป็นเครื่องแรกในเส้นทางการไหลของข้อมูลจากอินเทอร์เน็ตไปยัง DMZ ระบบได้รับการกำหนดค่าในลักษณะที่เมื่อตรวจพบการโจมตี พวกเขาสามารถกำหนดค่าไฟร์วอลล์ใหม่ได้จนถึงการปิดกั้นการเข้าถึงอย่างสมบูรณ์ เพื่อจุดประสงค์ในการควบคุมเพิ่มเติม แต่ไม่ใช่การควบคุมถาวร ซอฟต์แวร์พิเศษจึงถูกนำมาใช้ - เครื่องสแกนความปลอดภัยที่ตรวจสอบความปลอดภัยของเครือข่าย เซิร์ฟเวอร์และบริการ ฐานข้อมูล เพื่อป้องกันไวรัสใน DMZ มีการติดตั้งซอฟต์แวร์ป้องกันไวรัสรวมถึงเครื่องมือควบคุมเนื้อหา

ซอฟต์แวร์และโซลูชันทางเทคนิคสำหรับการจัดระเบียบและปกป้อง DMZ มีให้บริการโดยบริษัทต่างๆ เหล่านี้เป็นทั้งต่างประเทศและรัสเซีย ตัวอย่างเช่น Computer Associates, D-Link, Informzaschita, Trend Micro และอื่น ๆ อีกมากมาย

ด้วยการใช้อินเทอร์เน็ตอย่างแพร่หลายจำเป็นต้องแก้ปัญหาการปกป้องข้อมูลและเครือข่ายท้องถิ่นโดยรวม ปัญหานี้มีความสำคัญอย่างยิ่งเมื่อบริษัทมีบริการอินเทอร์เน็ตสาธารณะ (สาธารณะ) (เว็บและเซิร์ฟเวอร์ ftp บริการอีเมล ร้านค้าออนไลน์) ที่อยู่ในเครือข่ายท้องถิ่นทั่วไป

การเข้าถึงเซิร์ฟเวอร์ดังกล่าวมักจะฟรี กล่าวคือ ผู้ใช้ทุกคนสามารถเข้าถึงทรัพยากรที่โฮสต์บนเว็บเซิร์ฟเวอร์ ส่วนของเซิร์ฟเวอร์ ftp โดยไม่ต้องทำการเข้าสู่ระบบและการตรวจสอบรหัสผ่าน เซิร์ฟเวอร์อีเมลจะรับอีเมลจากเซิร์ฟเวอร์อีเมลอื่นที่คล้ายคลึงกัน และไม่มีการรับประกันว่ารหัสที่เป็นอันตรายจะไม่เข้าถึงเซิร์ฟเวอร์พร้อมกับอีเมล ในหมู่ผู้ใช้หลายร้อยคนจะไม่มีใครต้องการเข้าถึงไม่เพียง แต่บริการสาธารณะ แต่ยังรวมถึงเครือข่ายท้องถิ่นขององค์กรไม่ว่าจะด้วยเหตุผลใดก็ตาม . และหากเครือข่ายสร้างขึ้นบนฮับธรรมดา (ฮับ) ไม่ใช่บนสวิตช์ (สวิตช์) ก็จะมีความเสี่ยงสูง

แฮ็กเกอร์สามารถเข้าถึงเครือข่ายทั้งหมดได้โดยการแฮ็กคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง

มันคืออะไร? เมื่อเข้าถึงคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องในเครือข่ายท้องถิ่น แฮ็กเกอร์สามารถรับรหัสผ่านได้ถึงรหัสผ่านผู้ดูแลระบบ ซึ่งจะทำให้เขาสามารถเข้าถึงข้อมูลใด ๆ ที่หมุนเวียนหรือจัดเก็บไว้ในเครือข่าย เปลี่ยนรหัสผ่านการเข้าถึงในลักษณะที่ฐานข้อมูลไม่สามารถเข้าถึงได้ หรือเพียงแค่แสดงออกจากบริการ นอกจากนี้ การเข้าถึงเว็บเซิร์ฟเวอร์ก็สามารถใช้เพื่อทำการโจมตี DoS ซึ่งสามารถบล็อกประสิทธิภาพของทรัพยากรภายในองค์กรทั้งหมดได้

ดังนั้น แนวทางการสร้างระบบที่มีเซิร์ฟเวอร์สาธารณะควรแตกต่างจากแนวทางการสร้างระบบตามเซิร์ฟเวอร์ภายใน สิ่งนี้ถูกกำหนดโดยความเสี่ยงเฉพาะที่เกิดขึ้นเนื่องจากความพร้อมใช้งานของเซิร์ฟเวอร์สาธารณะ วิธีแก้ไขคือแยก local network และ public server ออกเป็นส่วนๆ พื้นที่ที่ให้บริการสาธารณะจะถูกเรียกว่า "เขตปลอดทหาร" ( DMZ - เขตปลอดทหาร).

รูปที่ 13.2 - แผนผังของเครือข่ายท้องถิ่นที่มีเขตปลอดทหาร

สาระสำคัญของ DMZ คือไม่ได้รวมอยู่ในเครือข่ายภายในหรือภายนอกโดยตรง และการเข้าถึงทำได้ตามกฎไฟร์วอลล์ที่กำหนดไว้ล่วงหน้าเท่านั้น ไม่มีผู้ใช้ใน DMZ - มีเพียงเซิร์ฟเวอร์เท่านั้นที่อยู่ที่นั่น เขตปลอดทหารมักจะทำหน้าที่ป้องกันการเข้าถึงจากเครือข่ายภายนอกไปยังโฮสต์บนเครือข่ายภายใน โดยย้ายบริการทั้งหมดที่ต้องการการเข้าถึงจากภายนอกจากเครือข่ายท้องถิ่นไปยังโซนพิเศษ ในความเป็นจริง ปรากฎว่าโซนนี้จะเป็นซับเน็ตแยกต่างหากที่มีที่อยู่สาธารณะ ป้องกัน (หรือแยก) จากเครือข่ายสาธารณะและเครือข่ายองค์กรด้วยไฟร์วอลล์



เมื่อสร้างโซนดังกล่าว ผู้ดูแลระบบเครือข่ายขององค์กรต้องเผชิญกับงานเพิ่มเติม จำเป็นต้องมีการควบคุมการเข้าถึงทรัพยากรและเซิร์ฟเวอร์ที่อยู่ใน DMZ เพื่อให้มั่นใจถึงความลับของข้อมูลที่ส่งเมื่อผู้ใช้ทำงานกับทรัพยากรเหล่านี้ เพื่อควบคุมการกระทำของผู้ใช้ สำหรับข้อมูลที่อาจอยู่บนเซิร์ฟเวอร์ อาจกล่าวได้ดังต่อไปนี้ เนื่องจากบริการสาธารณะสามารถถูกแฮ็กได้ จึงควรมีข้อมูลที่สำคัญน้อยที่สุด และข้อมูลที่มีค่าใดๆ ควรอยู่ในเครือข่ายท้องถิ่นโดยเฉพาะ ซึ่งจะไม่สามารถเข้าถึงได้จากเซิร์ฟเวอร์สาธารณะ

บนเซิร์ฟเวอร์ที่โฮสต์ใน DMZ ไม่ควรมีข้อมูลใด ๆ เกี่ยวกับผู้ใช้ ลูกค้าของบริษัท ข้อมูลที่เป็นความลับอื่น ๆ ไม่ควรมีกล่องจดหมายส่วนตัวของพนักงาน ทั้งหมดนี้ควร "ซ่อน" อย่างปลอดภัยในส่วนที่ปลอดภัยของเครือข่ายท้องถิ่น และสำหรับข้อมูลที่จะพร้อมใช้งานบนเซิร์ฟเวอร์สาธารณะ จำเป็นต้องจัดให้มีการสำรองข้อมูลถาวรด้วยความถี่ที่น้อยที่สุดเท่าที่จะเป็นไปได้ นอกจากนี้ ขอแนะนำให้ใช้โมเดลบริการสองเซิร์ฟเวอร์เป็นอย่างน้อยสำหรับเมลเซิร์ฟเวอร์และสำหรับเว็บเซิร์ฟเวอร์เพื่อตรวจสอบสถานะของข้อมูลอย่างต่อเนื่อง เพื่อตรวจจับและกำจัดผลที่ตามมาจากการแฮ็กอย่างทันท่วงที

การใช้ไฟร์วอลล์เป็นสิ่งจำเป็นเมื่อสร้าง DMZ

ไฟร์วอลล์ถูกใช้เพื่อป้องกันการเจาะผ่าน DMZ เข้าสู่เครือข่ายองค์กร มีหน้าจอซอฟต์แวร์และฮาร์ดแวร์ ซอฟต์แวร์ต้องการเครื่องที่ใช้ UNIX หรือ Windows NT/2000 ในการติดตั้งไฟร์วอลล์ฮาร์ดแวร์ คุณจะต้องเชื่อมต่อกับเครือข่ายและดำเนินการกำหนดค่าเพียงเล็กน้อยเท่านั้น โดยทั่วไปแล้ว หน้าจอซอฟต์แวร์จะใช้เพื่อป้องกันเครือข่ายขนาดเล็ก ซึ่งไม่จำเป็นต้องทำการตั้งค่ามากมายที่เกี่ยวข้องกับการจัดสรรแบนด์วิธที่ยืดหยุ่นและการจำกัดทราฟฟิกบนโปรโตคอลสำหรับผู้ใช้ หากเครือข่ายมีขนาดใหญ่และต้องการประสิทธิภาพสูง การใช้ฮาร์ดแวร์ไฟร์วอลล์จะทำกำไรได้มากกว่า ในหลายกรณี ไม่ได้ใช้ไฟร์วอลล์เพียงตัวเดียว แต่มีไฟร์วอลล์สองตัว ตัวหนึ่งป้องกันเขตปลอดทหารจากอิทธิพลภายนอก ส่วนที่สองแยกออกจากส่วนภายในของเครือข่ายองค์กร



แต่นอกเหนือจากข้อเท็จจริงที่ว่าการย้ายเซิร์ฟเวอร์สาธารณะไปยังเขตปลอดทหารจะปกป้องเครือข่ายขององค์กรได้ในระดับหนึ่ง จำเป็นต้องคิดทบทวนและตรวจสอบการป้องกันของ DMZ ด้วย ในการทำเช่นนั้น ประเด็นต่างๆ เช่น:

การป้องกันการโจมตีเซิร์ฟเวอร์และอุปกรณ์เครือข่าย

การป้องกันเซิร์ฟเวอร์แต่ละตัว

การควบคุมจดหมายและเนื้อหาอื่น ๆ

การตรวจสอบการกระทำของผู้ใช้

ปัญหาเหล่านี้จะแก้ไขได้อย่างไร? เป็นที่พึงปรารถนาที่จะ "แบ่ง" เซิร์ฟเวอร์อีเมลซึ่งใช้ทั้งสำหรับการโต้ตอบภายนอกและสำหรับการโต้ตอบภายในองค์กรออกเป็นสององค์ประกอบ - เซิร์ฟเวอร์สาธารณะซึ่งจริง ๆ แล้วจะเป็นเซิร์ฟเวอร์รีเลย์และจะอยู่ใน DMZ และเซิร์ฟเวอร์หลัก ซึ่งอยู่ภายในเครือข่ายองค์กร องค์ประกอบหลักช่วยให้การไหลเวียนของจดหมายภายในได้รับจากรีเลย์และส่งการติดต่อภายนอก

หนึ่งในความท้าทายหลักคือการให้การเข้าถึงทรัพยากรสาธารณะและแอปพลิเคชันอย่างปลอดภัยจากอินทราเน็ตขององค์กร แม้ว่าจะมีการติดตั้งไฟร์วอลล์ระหว่างไฟร์วอลล์กับ DMZ แต่ไฟร์วอลล์นั้นจะต้อง "โปร่งใส" จึงจะทำงานได้ มีหลายทางเลือกในการมอบโอกาสนี้ให้กับผู้ใช้ ประการแรกคือการใช้การเข้าถึงเทอร์มินัล ด้วยการจัดระเบียบของการโต้ตอบระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ จึงไม่มีการส่งรหัสโปรแกรมผ่านการเชื่อมต่อที่สร้างขึ้น ซึ่งอาจมีไวรัสและการรวมที่เป็นอันตรายอื่นๆ จากไคลเอนต์เทอร์มินัลไปยังเซิร์ฟเวอร์ สตรีมของรหัสของปุ่มกดของแป้นพิมพ์และสถานะของเมาส์ของผู้ใช้จะตามมา และกลับจากเซิร์ฟเวอร์ไปยังไคลเอ็นต์ ภาพไบนารีของหน้าจอเซสชันเซิร์ฟเวอร์ของเบราว์เซอร์หรือ เมลไคลเอ็นต์ของผู้ใช้มา อีกทางเลือกหนึ่งคือการใช้ VPN (Virtual Private Network) ด้วยการควบคุมการเข้าถึงและการป้องกันข้อมูลแบบเข้ารหัส VPN มีการรักษาความปลอดภัยของเครือข่ายส่วนตัว และในขณะเดียวกันก็ใช้ประโยชน์จากเครือข่ายสาธารณะอย่างเต็มที่

การป้องกันเซิร์ฟเวอร์และอุปกรณ์ใน DMZ จะต้องได้รับการดูแลเป็นพิเศษ

เพื่อป้องกันการโจมตีบนเซิร์ฟเวอร์และอุปกรณ์เครือข่าย จึงใช้ระบบตรวจจับการบุกรุกแบบพิเศษ คอมพิวเตอร์ที่ติดตั้งระบบดังกล่าวจะกลายเป็นเครื่องแรกในเส้นทางการไหลของข้อมูลจากอินเทอร์เน็ตไปยัง DMZ ระบบได้รับการกำหนดค่าในลักษณะที่เมื่อตรวจพบการโจมตี พวกเขาสามารถกำหนดค่าไฟร์วอลล์ใหม่ได้จนถึงการปิดกั้นการเข้าถึงอย่างสมบูรณ์ เพื่อจุดประสงค์ในการควบคุมเพิ่มเติม แต่ไม่ใช่การควบคุมถาวร ซอฟต์แวร์พิเศษจึงถูกนำมาใช้ - เครื่องสแกนความปลอดภัยที่ตรวจสอบความปลอดภัยของเครือข่าย เซิร์ฟเวอร์และบริการ ฐานข้อมูล เพื่อป้องกันไวรัสใน DMZ มีการติดตั้งซอฟต์แวร์ป้องกันไวรัสรวมถึงเครื่องมือควบคุมเนื้อหา


เครือข่ายทั่วโลก

เครือข่ายบริเวณกว้าง (WANs) ซึ่งเรียกอีกอย่างว่าเครือข่ายคอมพิวเตอร์ในอาณาเขต ทำหน้าที่ให้บริการแก่สมาชิกปลายทางจำนวนมากที่กระจายอยู่ในพื้นที่ขนาดใหญ่ - ภายในพื้นที่ ภูมิภาค ประเทศ ทวีป หรือทั้งโลก เนื่องจากช่องทางการสื่อสารมีความยาว การสร้างเครือข่ายทั่วโลกจึงต้องใช้ต้นทุนที่สูงมาก ซึ่งรวมถึงต้นทุนของสายเคเบิลและการวางสายเคเบิล ต้นทุนของอุปกรณ์สวิตชิ่งและอุปกรณ์ขยายสัญญาณระดับกลางที่ให้แบนด์วิธของช่องสัญญาณที่จำเป็น ตลอดจนต้นทุนการดำเนินงานสำหรับ การบำรุงรักษาเครือข่ายที่กระจัดกระจายในสภาพการทำงานอย่างต่อเนื่องในพื้นที่ขนาดใหญ่ของอุปกรณ์เครือข่าย

สมาชิกทั่วไปของเครือข่ายคอมพิวเตอร์ทั่วโลกคือเครือข่ายท้องถิ่นขององค์กรที่ตั้งอยู่ในเมืองและประเทศต่างๆ ซึ่งจำเป็นต้องแลกเปลี่ยนข้อมูลระหว่างกัน บริการของเครือข่ายทั่วโลกยังถูกใช้โดยคอมพิวเตอร์แต่ละเครื่อง

เครือข่ายบริเวณกว้างมักจะสร้างโดยบริษัทโทรคมนาคมขนาดใหญ่เพื่อให้บริการแบบชำระเงินแก่ผู้ใช้บริการ เครือข่ายดังกล่าวเรียกว่าสาธารณะหรือสาธารณะ นอกจากนี้ยังมีแนวคิดเช่นผู้ให้บริการเครือข่ายและผู้ให้บริการเครือข่าย ผู้ให้บริการเครือข่ายคือบริษัทที่ดูแลการทำงานตามปกติของเครือข่าย ผู้ให้บริการ หรือเรียกอีกอย่างว่าผู้ให้บริการ คือบริษัทที่ให้บริการแบบชำระเงินแก่สมาชิกเครือข่าย เจ้าของ ผู้ดำเนินการ และผู้ให้บริการอาจรวมกันเป็นบริษัทเดียว หรืออาจเป็นตัวแทนของบริษัทอื่น

บ่อยครั้งที่เครือข่ายทั่วโลกถูกสร้างขึ้นอย่างสมบูรณ์โดยองค์กรขนาดใหญ่บางแห่งสำหรับความต้องการภายใน ในกรณีนี้เครือข่ายเรียกว่าส่วนตัว บ่อยครั้งที่มีตัวเลือกระดับกลาง - เครือข่ายองค์กรใช้บริการหรืออุปกรณ์ของเครือข่ายบริเวณกว้างสาธารณะ แต่เสริมบริการหรืออุปกรณ์เหล่านี้ด้วยตัวเอง

ขึ้นอยู่กับส่วนประกอบที่ต้องเช่า เป็นเรื่องปกติที่จะต้องแยกความแตกต่างระหว่างเครือข่ายที่สร้างขึ้นโดยใช้:

ช่องเฉพาะ;

การสลับช่อง;

การสลับแพ็คเก็ต

กรณีสุดท้ายสอดคล้องกับกรณีที่ดีที่สุด เมื่อเครือข่ายที่สลับแพ็กเก็ตพร้อมใช้งานในตำแหน่งที่ตั้งทางภูมิศาสตร์ทั้งหมดซึ่งจำเป็นต้องรวมเป็นเครือข่ายองค์กรทั่วไป สองกรณีแรกต้องการงานเพิ่มเติมเพื่อสร้างเครือข่ายที่สลับแพ็กเก็ตตามเงินที่เช่า

ช่องเฉพาะ

สามารถรับวงจรเช่า (หรือเช่า) ได้จากบริษัทโทรคมนาคมที่เป็นเจ้าของวงจรทางไกล หรือจากบริษัทโทรศัพท์ที่โดยทั่วไปจะเช่าวงจรภายในเมืองหรือภูมิภาค

มีสองวิธีในการใช้เส้นที่เน้นสี ประการแรกคือการสร้างเครือข่ายอาณาเขตของเทคโนโลยีบางอย่างด้วยความช่วยเหลือของพวกเขา ตัวอย่างเช่น Frame Relay ซึ่งสายเช่าที่เช่าไว้ทำหน้าที่เชื่อมต่อแพ็กเก็ตสวิตช์ระดับกลางและกระจายตามภูมิศาสตร์

ตัวเลือกที่สองคือการเชื่อมต่อด้วยสายเช่าของเครือข่ายท้องถิ่นที่รวมกันเท่านั้น โดยไม่ต้องติดตั้งสวิตช์แพ็กเก็ตการขนส่งที่ทำงานบนเทคโนโลยีของเครือข่ายทั่วโลก ตัวเลือกที่สองนั้นง่ายที่สุดจากมุมมองทางเทคนิค เนื่องจากขึ้นอยู่กับการใช้เราเตอร์หรือบริดจ์ระยะไกลในเครือข่ายท้องถิ่นที่เชื่อมต่อถึงกัน และไม่มีโปรโตคอลเทคโนโลยีระดับโลก เช่น X.25 หรือ Frame Relay แพ็กเก็ตเดียวกันของเครือข่ายหรือเลเยอร์ลิงก์จะถูกส่งผ่านช่องสัญญาณทั่วโลกเช่นเดียวกับในเครือข่ายท้องถิ่น

เป็นวิธีที่สองในการใช้ช่องทางทั่วโลกที่ได้รับชื่อพิเศษว่า "บริการช่องสัญญาณเฉพาะ" เนื่องจากไม่ได้ใช้เทคโนโลยีของเครือข่ายทั่วโลกที่สลับแพ็กเก็ตอีกต่อไป

ช่องสัญญาณเช่าถูกใช้อย่างแข็งขันในอดีตที่ผ่านมา และถูกนำมาใช้ในปัจจุบัน โดยเฉพาะอย่างยิ่งเมื่อสร้างการเชื่อมต่อแกนหลักที่สำคัญระหว่างเครือข่ายท้องถิ่นขนาดใหญ่ เนื่องจากบริการนี้รับประกันแบนด์วิธของช่องสัญญาณที่เช่า อย่างไรก็ตาม ด้วยจุดที่ห่างไกลทางภูมิศาสตร์จำนวนมากและตารางเวลาที่เข้มข้นระหว่างกัน การใช้บริการนี้ทำให้มีค่าใช้จ่ายสูงเนื่องจากมีช่องสัญญาณให้เช่าจำนวนมาก

วันนี้มีช่องเฉพาะให้เลือกมากมายตั้งแต่ช่องความถี่เสียงอะนาล็อกที่มีแบนด์วิดท์ 3.1 kHz ไปจนถึงช่องดิจิตอลของเทคโนโลยี SDN ที่มีแบนด์วิดท์ 155 และ 622 Mbps

ตัวย่อ DMZ ย่อมาจาก DeMilitarized Zone ซึ่งก็คือ "Demilitarized Zone" เป็นสิ่งที่คาดไม่ถึงและไม่สามารถเข้าใจได้ว่าสิ่งนี้เกี่ยวข้องกับเราเตอร์ อย่างไรก็ตาม อันที่จริงแล้วสิ่งนี้มีประโยชน์มากในบางกรณี สิ่งนี้จะกล่าวถึงในบทความนี้

วัตถุประสงค์และการใช้ DMZ

DMZ เป็นส่วนเครือข่ายที่สร้างขึ้นสำหรับบริการและโปรแกรมที่ต้องการการเข้าถึงอินเทอร์เน็ตโดยตรง จำเป็นต้องมีการเข้าถึงโดยตรงสำหรับทอร์เรนต์ โปรแกรมส่งข้อความด่วน เกมออนไลน์ และโปรแกรมอื่นๆ บางโปรแกรม และคุณไม่สามารถทำได้หากไม่มีหากคุณต้องการติดตั้งกล้องวงจรปิดและเข้าถึงผ่านอินเทอร์เน็ต

หากคอมพิวเตอร์ที่โปรแกรมกำลังทำงานอยู่เชื่อมต่อกับอินเทอร์เน็ตโดยตรงโดยผ่านเราเตอร์ ก็ไม่จำเป็นต้องใช้ DMZ แต่ถ้าทำการเชื่อมต่อผ่านเราเตอร์ก็จะไม่สามารถ "เข้าถึง" โปรแกรมจากอินเทอร์เน็ตได้เนื่องจากเราเตอร์จะได้รับคำขอทั้งหมดและจะไม่ส่งต่อภายในเครือข่ายท้องถิ่น

เพื่อแก้ปัญหานี้ มักใช้การส่งต่อพอร์ตบนเราเตอร์ นี้บนเว็บไซต์ของเรา อย่างไรก็ตาม วิธีนี้ไม่สะดวกเสมอไป และบางคนต้องการตั้งค่า DMZ หากคุณตั้งค่า DMZ บนเราเตอร์ของคุณและเพิ่มโหนดเครือข่ายที่ต้องการ ตัวอย่างเช่น พีซีที่ใช้เซิร์ฟเวอร์เกมหรือ DVR ที่เชื่อมต่อกับกล้อง IP โหนดนี้จะมองเห็นได้จากเครือข่ายภายนอกราวกับว่ามันเป็น เชื่อมต่อโดยตรงกับอินเทอร์เน็ต สำหรับอุปกรณ์ที่เหลือในเครือข่ายของคุณ จะไม่มีอะไรเปลี่ยนแปลง - อุปกรณ์เหล่านั้นจะทำงานเหมือนเดิม.

คุณควรพิจารณาการตั้งค่าเหล่านี้อย่างรอบคอบ เนื่องจากทั้งการส่งต่อพอร์ตและ DMZ เป็นช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น เพื่อปรับปรุงความปลอดภัย บริษัทขนาดใหญ่มักจะสร้างเครือข่ายแยกต่างหากสำหรับ DMZ เพื่อบล็อกการเข้าถึงจากเครือข่าย DMZ ไปยังคอมพิวเตอร์เครื่องอื่น จะใช้เราเตอร์เพิ่มเติม

การตั้งค่า DMZ บนเราเตอร์

เราเตอร์อนุญาตให้เพิ่มอุปกรณ์หนึ่งเครื่องใน DMZ เท่านั้น เราเตอร์ต้องได้รับที่อยู่ IP "สีขาว" เฉพาะในกรณีนี้เท่านั้นที่จะสามารถเข้าถึงได้จากเครือข่ายทั่วโลก. สามารถรับข้อมูลเกี่ยวกับเรื่องนี้ได้จากผู้ให้บริการอินเทอร์เน็ตของคุณ ผู้ให้บริการบางรายให้ที่อยู่ IP ภายนอกฟรี แต่มักมีค่าใช้จ่ายเพิ่มเติมสำหรับบริการนี้

การตั้งค่าที่อยู่ IP แบบคงที่

สามารถเพิ่มได้เฉพาะคอมพิวเตอร์ที่มีที่อยู่ IP แบบคงที่ใน DMZ สิ่งแรกที่เราทำคือเปลี่ยนมัน ในการทำเช่นนี้ให้เปิดคุณสมบัติของการเชื่อมต่อเครือข่ายและในการตั้งค่า TCP / IP เราจะกำหนดที่อยู่ IP แบบคงที่ในช่วงที่อยู่ของเครือข่ายของคุณ ตัวอย่างเช่น หากเราเตอร์ของคุณมี IP 192.168.0.1 คุณก็สามารถระบุ 192.168.0.10 สำหรับคอมพิวเตอร์ได้ ซับเน็ตมาสก์เป็นมาตรฐาน - 255.255.255.0 และในช่อง "เกตเวย์" คุณต้องระบุที่อยู่ของเราเตอร์ของคุณ

โปรดทราบว่าที่อยู่ IP ที่กำหนดให้กับคอมพิวเตอร์จะต้องไม่อยู่ในช่วงของที่อยู่ที่ได้รับ

การตั้งค่าคอมพิวเตอร์เสร็จสมบูรณ์ และคุณสามารถดำเนินการต่อไปยังการตั้งค่าเราเตอร์

การตั้งค่าเราเตอร์

ขั้นตอนแรกคือการเปิดใช้งาน DMZ บนเราเตอร์ เนื่องจากค่าเริ่มต้นจะถูกปิดใช้งานเสมอ

เราพบรายการเมนูที่เกี่ยวข้องในเว็บอินเตอร์เฟสของอุปกรณ์:

  • บนเราเตอร์ Asus แท็บที่ต้องการจะเรียกว่า DMZ
  • บนเราเตอร์ TP-Link ให้เปิดรายการ "การส่งต่อ" และจะมีรายการย่อย DMZ อยู่ในนั้น
  • ที่ D-Link ให้มองหารายการ "ไฟร์วอลล์"

ไม่ว่าในกรณีใดบนแท็บการตั้งค่าคุณต้องทำเครื่องหมายที่ช่อง "เปิดใช้งาน" และถัดจากนั้น ให้หาช่องที่ชื่อว่า “DMZ Host Address” หรือ “Visible Station Address” (อาจมีตัวเลือกอื่นๆ ขึ้นอยู่กับรุ่นของเราเตอร์) ในฟิลด์นี้ ให้ป้อนที่อยู่คงที่ของคอมพิวเตอร์หรืออุปกรณ์อื่นๆ ที่คุณต้องการเพิ่มใน DMZ ในกรณีของเรา นี่คือ 192.168.0.10

บันทึกการตั้งค่าของคุณและรีสตาร์ทเราเตอร์ของคุณ นั่นคือทั้งหมด: พอร์ตทั้งหมดในพีซีที่เลือกเปิดอยู่ โปรแกรมใด ๆ ที่ใช้การเชื่อมต่อขาเข้าจะคิดว่ากำลังเข้าถึงเครือข่ายโดยตรง โปรแกรมอื่นๆใช้งานได้ปกติ

ด้านล่างนี้คือตัวอย่างการกำหนดค่าเราเตอร์ด้วยอินเทอร์เฟซภาษาอังกฤษ

การสร้าง DMZ เป็นวิธีที่สะดวกในการทำให้การทำงานของโปรแกรมที่คุณต้องการง่ายขึ้น แต่โปรดจำไว้ว่าการเข้าถึงแบบเปิดไปยังพีซีจะเพิ่มความเสี่ยงของการโจมตีเครือข่ายและไวรัส

ดังนั้นจึงต้องติดตั้งไฟร์วอลล์และโปรแกรมป้องกันไวรัสบนอุปกรณ์ที่ใช้เป็นโฮสต์ DMZ

คำอธิบาย

เขตปลอดทหารหรือ DMZ เป็นส่วนเครือข่ายที่อนุญาตพิเศษซึ่งคั่นด้วยไฟร์วอลล์จากอินเทอร์เน็ตและเครือข่ายท้องถิ่นขององค์กร DMZ มักจะมีเซิร์ฟเวอร์ที่ต้องเข้าถึงได้จากอินเทอร์เน็ต เช่น เมลหรือเว็บเซิร์ฟเวอร์ เนื่องจากเซิร์ฟเวอร์ในเครือข่าย DMZ ถูกแยกออกจากเครือข่ายท้องถิ่นด้วยไฟร์วอลล์ หากถูกแฮ็ก ผู้โจมตีจะไม่สามารถเข้าถึงทรัพยากรของเครือข่ายท้องถิ่นได้

การตั้งค่า

เขตปลอดทหารถูกสร้างขึ้นในโมดูล "ผู้ให้บริการและเครือข่าย" เมื่อสร้างคุณต้องระบุที่อยู่ IP ของเซิร์ฟเวอร์ควบคุมอินเทอร์เน็ตและมาสก์เครือข่าย DMZ รวมทั้งเลือกอินเทอร์เฟซเครือข่ายสำหรับ DMZ ด้วยเหตุผลด้านความปลอดภัย โดยปกติจะใช้อินเทอร์เฟซเครือข่ายแยกต่างหากสำหรับ DMZ

ตามค่าเริ่มต้น เซิร์ฟเวอร์ที่อยู่ใน DMZ จะไม่สามารถเข้าถึงอินเทอร์เน็ตและเครือข่ายท้องถิ่นได้ ดังนั้น การเข้าถึงสำหรับเซิร์ฟเวอร์เหล่านั้นจะต้องได้รับการกำหนดค่าตามกฎของไฟร์วอลล์

ช่องทำเครื่องหมาย "NAT จากเครือข่ายท้องถิ่น" ช่วยให้คุณควบคุมการแปลที่อยู่ในท้องถิ่นเป็นเครือข่าย DMZ มันถูกปิดใช้งานโดยค่าเริ่มต้น เช่น บริการ NAT สำหรับอินเทอร์เฟซเครือข่าย DMZ ไม่ทำงาน ที่อยู่จะถูกแปลโดยไม่มีการเปลี่ยนแปลง

ข้อสำคัญ: ที่จริงแล้ว NAT สำหรับเครือข่าย DMZ บนอินเทอร์เฟซภายนอกของ ICS ถูกปิดใช้งาน ดังนั้นจึงต้องใช้ที่อยู่ IP "สีขาว" เพื่อระบุที่อยู่ คุณควรตั้งค่าเครือข่าย DMZ หากคุณต้องการควบคุมการเข้าถึงจากภายนอกไปยังเซิร์ฟเวอร์บนเครือข่ายท้องถิ่นที่มีที่อยู่ IP "สีขาว" ในกรณีอื่นๆ ทั้งหมด จะมีการกำหนดค่าเครือข่ายท้องถิ่นปกติ