Головна > Ios > Приклад налаштування портів dmz. Що таке DMZ і як це налаштувати на роутері. Відео з налаштування DMZ Host на маршрутизаторі


Приклад налаштування портів dmz. Що таке DMZ і як це налаштувати на роутері. Відео з налаштування DMZ Host на маршрутизаторі





Кившенко Олексій, 1880

Ця стаття містить огляд п'ятиваріантів вирішення завдання організації доступу до сервісів корпоративної мережі з Інтернету. В рамках огляду наводиться аналіз варіантів на предмет безпеки та реалізованості, що допоможе розібратися в суті питання, освіжити і систематизувати свої знання як спеціалістам-початківцям, так і більш досвідченим. Матеріали статті можна використовувати для обґрунтування ваших проектних рішень.

При розгляді варіантів як приклад візьмемо мережу, у якій потрібно опублікувати:

  1. Корпоративний сервер пошти (Web-mail).
  2. Корпоративний термінальний сервер (RDP).
  3. Extranet - сервіс для контрагентів (Web-API).

Варіант 1. Плоска мережа

В даному варіанті всі вузли корпоративної мережі містяться в одній, спільній для всіх мережі («Внутрішня мережа»), в рамках якої комунікації між ними не обмежуються. Мережа підключена до Інтернету через прикордонний маршрутизатор/міжмережевий екран (далі - IFW).

Доступ вузлів до Інтернету здійснюється через NAT, а доступ до сервісів з Інтернету через Port forwarding.

Плюси варіанта:

  1. Мінімальні вимоги до функціоналу IFW(Можна зробити практично на будь-якому, навіть домашньому роутері).
  2. Мінімальні вимоги до знань спеціаліста, який здійснює реалізацію варіанта.
Мінуси варіанта:
  1. Мінімальний рівень безпеки. У разі злому, при якому Порушник отримає контроль над одним із опублікованих в Інтернеті серверів, йому для подальшої атаки стають доступні всі інші вузли та канали зв'язку корпоративної мережі.
Аналогія із реальним життям
Подібну мережу можна порівняти з компанією, де персонал та клієнти знаходяться в одній спільній кімнаті (open space)


hrmaximum.ru

Варіант 2. DMZ

Для усунення зазначеної раніше нестачі вузли мережі, доступні з Інтернету, поміщають у спеціально виділений сегмент – демілітаризовану зону (DMZ). DMZ організується за допомогою міжмережевих екранів, що відокремлюють її від Інтернету ( IFW) та від внутрішньої мережі ( DFW).


При цьому правила фільтрації міжмережевих екранів виглядають так:
  1. З внутрішньої мережі можна ініціювати з'єднання в DMZ і WAN (Wide Area Network).
  2. З DMZ можна ініціювати з'єднання WAN.
  3. З WAN можна ініціювати з'єднання DMZ.
  4. Ініціація з'єднань з WAN та DMZ до внутрішньої мережі заборонена.


Плюси варіанта:
  1. Підвищена захищеність мережі від зламування окремих сервісів. Навіть якщо один із серверів буде зламаний, Порушник не зможе отримати доступ до ресурсів, що знаходяться у внутрішній мережі (наприклад, мережевим принтерам, системам відеоспостереження тощо).
Мінуси варіанта:
  1. Сам собою винос серверів в DMZ не підвищує їх захищеність.
  2. Необхідний додатковий МЕ для відокремлення DMZ від внутрішньої мережі.
Аналогія із реальним життям
Даний варіант архітектури мережі схожий на організацію робочої та клієнтської зон у компанії, де клієнти можуть бути тільки у клієнтській зоні, а персонал може бути як у клієнтській, так і в робочих зонах. DMZ сегмент - це і є аналог клієнтської зони.


autobam.ru

Варіант 3. Поділ сервісів на Front-End та Back-End

Як зазначалося раніше, розміщення сервера в DMZ аж ніяк не покращує безпеку самого сервісу. Одним із варіантів виправлення ситуації є поділ функціоналу сервісу на дві частини: Front-End та Back-End. При цьому кожна частина розміщується на окремому сервері, між якими організується мережна взаємодія. Сервера Front-End, що реалізують функціонал взаємодії з клієнтами, що знаходяться в Інтернеті, розміщують у DMZ, а сервери Back-End, що реалізують решту функціоналу, залишають у внутрішній мережі. Для взаємодії між ними DFWстворюють правила, дозволяють ініціацію підключень від Front-End до Back-End.

Як приклад розглянемо корпоративний поштовий сервіс, який обслуговує клієнтів як зсередини мережі, і з Інтернет. Клієнти зсередини використовують POP3/SMTP, а клієнти з Інтернету працюють через Web-інтерфейс. Зазвичай на етапі впровадження компанії вибирають найпростіший спосіб розгортання сервісу та ставлять усі його компоненти на один сервер. Потім, у міру усвідомлення необхідності забезпечення інформаційної безпеки, функціонал сервісу поділяють на частини, і та частина, що відповідає за обслуговування клієнтів з Інтернету (Front-End), виноситься на окремий сервер, який по мережі взаємодіє з сервером, що реалізує функціонал, що залишився (Back -End). При цьому Front-End розміщують у DMZ, а Back-End залишається у внутрішньому сегменті. Для зв'язку між Front-End та Back-End на DFWстворюють правило, що дозволяє, ініціацію з'єднань від Front-End до Back-End.

Плюси варіанта:

  1. У загальному випадку атаки, спрямовані проти сервісу, що захищається, можуть «спіткнутися» про Front-End, що дозволить нейтралізувати або істотно знизити можливу шкоду. Наприклад, атаки типу TCP SYN Flood або slow http read, спрямовані на сервіс, призведуть до того, що Front-End сервер може виявитися недоступним, тоді як Back-End продовжуватиме нормально функціонувати та обслуговувати користувачів.
  2. У загальному випадку на Back-End сервері може не бути доступу до Інтернету, що у разі його злому (наприклад, локально запущеним шкідливим кодом) ускладнить віддалене керування ним з Інтернету.
  3. Front-End добре підходить для розміщення на ньому міжмережевого екрана рівня програм (наприклад, Web application firewall) або системи запобігання вторгненням (IPS, наприклад snort).
Мінуси варіанта:
  1. Для зв'язку між Front-End та Back-End на DFWстворюється правило, що дозволяє ініціацію з'єднання з DMZ у внутрішню мережу, що породжує загрози, пов'язані з використанням цього правила з боку інших вузлів у DMZ (наприклад, за рахунок реалізації атак IP spoofing, ARP poisoning тощо)
  2. Не всі послуги можуть бути поділені на Front-End і Back-End.
  3. У компанії мають бути реалізовані бізнес-процеси актуалізації правил міжмережевого екранування.
  4. У компанії мають бути реалізовані механізми захисту від атак з боку Порушників, які отримали доступ до сервера DMZ.
Примітки
  1. У реальному житті навіть без поділу серверів на Front-End та Back-End серверам з DMZ дуже часто необхідно звертатися до серверів, що знаходяться у внутрішній мережі, тому зазначені мінуси цього варіанта будуть також справедливі і для попереднього розглянутого варіанта.
  2. Якщо розглядати захист програм, що працюють через Web-інтерфейс, то навіть якщо сервер не підтримує рознесення функцій на Front-End і Back-End, застосування http reverse proxy сервера (наприклад, nginx) як Front-End дозволить мінімізувати ризики, пов'язані з атаками на відмову в обслуговуванні. Наприклад, атаки типу SYN flood можуть зробити http reverse proxy недоступним, тоді як Back-End продовжуватиме працювати.
Аналогія із реальним життям
Даний варіант по суті схожий на організацію праці, коли для високо завантажених працівників використовують помічників - секретарів. Тоді Back-End буде аналогом завантаженого працівника, а Front-End – аналогом секретаря.


mln.kz

Варіант 4. Захищений DMZ

DMZ це частина мережі, доступна з Internet, і, як наслідок, схильна до максимального ризику компрометації вузлів. Дизайн DMZ та застосовувані в ній підходи повинні забезпечувати максимальну живучість в умовах, коли Порушник отримав контроль над одним із вузлів у DMZ. Як можливі атаки розглянемо атаки, яким схильні практично всі інформаційні системи, що працюють з налаштуваннями за умовчанням:

Захист від атак, пов'язаних із DHCP

Незважаючи на те, що DHCP призначений для автоматизації конфігурування IP-адрес робочих станцій, в деяких компаніях трапляються випадки, коли через DHCP видаються IP-адерса для серверів, але це досить погана практика. Тому для захисту від Rogue DHCP Server , DHCP starvation рекомендується повна відмова від DHCP в DMZ.

Захист від атак MAC flood

Для захисту від MAC flood проводять налаштування на портах комутатора щодо обмеження граничної інтенсивності широкомовного трафіку (оскільки зазвичай при даних атаках генерується широкомовний трафік (broadcast)). Атаки, пов'язані з використанням конкретних (unicast) мережевих адрес, будуть заблоковані MAC фільтрацією, яку ми розглянули раніше.

Захист від атак UDP flood

Захист від цього типу атак здійснюється аналогічно захисту від MAC flood, крім того, що фільтрація здійснюється лише на рівні IP (L3).

Захист від атак TCP SYN flood

Для захисту від цієї атаки можливі варіанти:
  1. Захист на вузлі мережі за допомогою технології TCP SYN Cookie.
  2. Захист на рівні міжмережевого екрана (за умови поділу DMZ на підмережі) шляхом обмеження інтенсивності трафіку, що містить запити TCP SYN.

Захист від атак на мережеві служби та Web-додатки

Універсального вирішення цієї проблеми немає, але усталеної практикою є впровадження процесів управління вразливістю ПЗ (виявлення, встановлення патчів і т.д., наприклад, так), а також використання систем виявлення та запобігання вторгненням (IDS/IPS).

Захист від атак на обхід засобів автентифікації

Як і попереднього випадку універсального вирішення цієї проблеми немає.
Зазвичай у разі великої кількості невдалих спроб авторизації облікові записи, щоб уникнути підборів автентифікаційних даних (наприклад, пароля) блокують. Але такий підхід досить спірний, і ось чому.
По-перше, Порушник може проводити добір автентифікаційної інформації з інтенсивністю, що не призводить до блокування облікових записів (трапляються випадки, коли пароль підбирався протягом кількох місяців з інтервалом між спробами кілька десятків хвилин).
По-друге, цю особливість можна використовувати для атак типу відмова в обслуговуванні, при яких Порушник навмисне проводитиме велику кількість спроб авторизації для того, щоб заблокувати облікові записи.
Найбільш ефективним варіантом від атак даного класу буде використання систем IDS/IPS, які при виявленні спроб підбору паролів блокуватимуть не обліковий запис, а джерело, звідки цей підбір відбувається (наприклад, блокувати IP-адресу Порушника).

Підсумковий перелік захисних заходів за цим варіантом:

  1. DMZ поділяється на IP-підмережі з розрахунку окрема підмережа для кожного вузла.
  2. IP-адреси призначаються вручну адміністраторами. DHCP не використовується.
  3. На мережевих інтерфейсах, до яких підключені вузли DMZ, активується MAC та IP фільтрація, обмеження інтенсивності широкомовного трафіку і трафіку, що містить TCP SYN запити.
  4. На комутаторах відключається автоматичне узгодження типів портів, забороняється використання native VLAN.
  5. На вузлах DMZ і серверах внутрішньої мережі, до яких підключаються дані вузли, налаштовується TCP SYN Cookie.
  6. Щодо вузлів DMZ (і бажано решти мережі) впроваджується управління вразливими програмами.
  7. У DMZ-сегменті впроваджуються системи виявлення та запобігання вторгненням IDS/IPS.
Плюси варіанта:
  1. Високий рівень безпеки.
Мінуси варіанта:
  1. Підвищені вимоги до функціональних можливостей обладнання.
  2. Трудовитрати у впровадженні та підтримці.
Аналогія із реальним життям
Якщо раніше DMZ ми порівняли з клієнтською зоною, оснащеною диванами та пуфами, то захищений DMZ буде більше схожий на броньовану касу.


valmax.com.ua

Варіант 5. Back connect

Розглянуті в попередньому варіанті заходи захисту були засновані на тому, що в мережі був присутній пристрій (комутатор/маршрутизатор/міжмережевий екран), здатний їх реалізовувати. Але на практиці, наприклад, при використанні віртуальної інфраструктури (віртуальні комутатори часто мають дуже обмежені можливості), такого пристрою може й не бути.

У цих умовах Порушнику стають доступні багато з розглянутих раніше атак, найбільш небезпечними з яких будуть:

  • атаки, що дозволяють перехоплювати та модифікувати трафік (ARP Poisoning, CAM table overflow + TCP session hijacking та ін.);
  • атаки, пов'язані з експлуатацією вразливостей серверів внутрішньої мережі, до яких можна ініціювати підключення з DMZ (що можливо шляхом обходу правил фільтрації DFWза рахунок IP та MAC spoofing).
Наступною важливою особливістю, яку ми раніше не розглядали, але яка не перестає бути від цього менш важливою, те, що автоматизовані робочі місця (АРМ) користувачів також можуть бути джерелом (наприклад, при зараженні вірусами або троянами) шкідливого впливу на сервера.

Таким чином, перед нами постає завдання захистити сервери внутрішньої мережі від атак Порушника як із DMZ, так і з внутрішньої мережі (зараження АРМа трояном можна інтерпретувати як дії Порушника із внутрішньої мережі).

Пропонований далі підхід спрямовано зменшення числа каналів, якими Порушник може атакувати сервера, а таких каналу як мінімум два. Перший це правило на DFW, що дозволяє доступ до сервера внутрішньої мережі з DMZ (нехай навіть і з обмеженням за IP-адресами), а другий - це відкритий на сервері мережевий порт, яким очікуються запити на підключення.

Закрити вказані канали можна, якщо сервер внутрішньої мережі сам будуватиме з'єднання до сервера в DMZ і робитиме це за допомогою криптографічно захищених мережевих протоколів. Тоді не буде ні відкритого порту, ні правила на DFW.

Але проблема в тому, що звичайні серверні служби не вміють працювати подібним чином, і для реалізації зазначеного підходу необхідно застосовувати тунелювання, реалізоване, наприклад, за допомогою SSH або VPN, а вже в рамках тунелів дозволяти підключення від сервера в DMZ до сервера внутрішньої мережі .

Загальна схема роботи даного варіанта виглядає так:

  1. На сервер у DMZ встановлюється SSH/VPN сервер, а сервер у внутрішній мережі встановлюється SSH/VPN клієнт.
  2. Сервер внутрішньої мережі ініціює побудову мережевого тунелю до сервера DMZ. Тунель будується із взаємною автентифікацією клієнта та сервера.
  3. Сервер з DMZ в рамках побудованого тунелю ініціює з'єднання до сервера у внутрішній мережі, по якому передаються дані, що захищаються.
  4. На сервері внутрішньої мережі налаштовується локальний міжмережевий екран, що фільтрує трафік, що проходить тунелем.

Використання даного варіанту на практиці показало, що мережеві тунелі зручно будувати за допомогою OpenVPN, оскільки він має такі важливі властивості:

  • Кросплатформність. Можна організовувати зв'язок на серверах із різними операційними системами.
  • Можливість побудови тунелів із взаємною автентифікацією клієнта та сервера.
  • Можливість використання сертифікованої криптографії.
На перший погляд може здатися, що дана схема надмірно ускладнена і що, раз на сервері внутрішньої мережі все одно потрібно встановлювати локальний міжмережевий екран, то простіше зробити, щоб сервер з DMZ, як завжди, сам підключався до сервера внутрішньої мережі, але робив це шифроване з'єднання. Справді, цей варіант закриє багато проблем, але він не зможе забезпечити головного - захист від атак на вразливості сервера внутрішньої мережі, що здійснюються за рахунок обходу міжмережевого екрану за допомогою IP та MAC spoofing.

Плюси варіанта:

  1. Архітектурне зменшення кількості векторів атак на сервер внутрішньої мережі, що захищається.
  2. Забезпечення безпеки за умов відсутності фільтрації мережного трафіку.
  3. Захист даних, що передаються через мережу, від несанкціонованого перегляду та зміни.
  4. Можливість вибіркового підвищення рівня безпеки сервісів.
  5. Можливість реалізації двоконтурної системи захисту, де перший контур забезпечується з допомогою міжмережевого екранування, а другий організується з урахуванням даного варианта.
Мінуси варіанта:
  1. Впровадження та супровід даного варіанту захисту потребує додаткових трудових витрат.
  2. Несумісність із мережевими системами виявлення та запобігання вторгненням (IDS/IPS).
  3. Додаткове обчислювальне навантаження на сервер.
Аналогія із реальним життям
Основний зміст цього варіанта в тому, що довірена особа встановлює зв'язок з не довіреною, що схоже на ситуацію, коли при видачі кредитів Банки самі передзвонюють потенційному позичальнику з метою перевірки даних. Додати теги

Уявити якусь компанію, у якої відсутня локальна мережа і немає доступу до Інтернету, стає все складніше і складніше. Звичайна технологія, що допомагає покращити роботу, забезпечити швидкий доступ до інформації, обміну документами, даними. Це – з одного боку. З іншого боку, при широкому використанні мережі Інтернет виникає необхідність вирішення проблеми захисту інформації та локальної мережі в цілому. Особливо суттєво це питання постає тоді, коли компанія має загальнодоступні (публічні) інтернет-сервіси (веб- та ftp-сервери, поштові сервіси, онлайнові магазини), які розміщені у спільній локальній мережі.

До таких серверів доступ найчастіше надається вільний, тобто будь-який користувач може без виконання автентифікації за логіном та паролем отримати доступ до розміщеного на веб-сервері ресурсу, до розділів ftp-сервера, поштовий сервер прийматиме пошту від інших аналогічних поштових серверів. І немає жодної гарантії в тому, що разом із поштою не потрапить на сервер шкідливий код, що серед сотень користувачів не виявиться такого, хто захоче з будь-яких спонукань отримати доступ не лише до публічних сервісів, а й до локальної мережі організації. І якщо мережа побудована на простих концентраторах (хабах), а не на комутаторах (свитчах), то вона буде схильна до великої небезпеки.

Зламавши один із комп'ютерів, хакер зможе отримати доступ до всієї мережі

У чому полягає? Отримавши доступ до хоча б одного комп'ютера локальної мережі, хакер може отримати паролі до пароля адміністратора, що дозволить йому отримати доступ до будь-якої інформації, що циркулює або зберігається в мережі, змінити паролі доступу таким чином, що виявляться недоступними бази даних, або просто будуть виведені з ладу. Крім того, отримавши доступ до веб-сервера, його можуть використовувати для проведення DoS-атак, що може заблокувати працездатність усіх внутрішньокорпоративних ресурсів.

Тому підхід до побудови систем, що включають публічні сервери, повинен бути іншим, ніж підхід до побудови систем на базі внутрішніх серверів. Диктується це специфічними ризиками, які виникають через публічну доступність сервера. Рішення полягає у розділенні локальної мережі та публічних серверів на окремі частини. Та, в якій будуть розміщені публічні послуги, називається "демілітаризованою зоною" ( DMZ - Demilitarized Zone).

DMZ - зона особливої ​​уваги

Суть DMZ полягає в тому, що вона не входить безпосередньо ні у внутрішню, ні у зовнішню мережу, і доступ до неї може здійснюватися тільки за заданими правилами міжмережевого екрану. У DMZ немає користувачів - там розміщуються лише сервери. Демілітаризована зона зазвичай служить для запобігання доступу із зовнішньої мережі до хостів внутрішньої мережі за рахунок винесення з локальної мережі в особливу зону всіх сервісів, що вимагають доступу ззовні. Фактично виходить, що ця зона буде окремою підмережею з публічними адресами, захищеною (або відокремленою) від публічних та корпоративних мереж міжмережевими екранами.

Під час створення такої зони перед адміністраторами корпоративної мережі виникають додаткові завдання. Необхідно забезпечити розмежування доступу до ресурсів і серверів, розміщених у DMZ, забезпечити конфіденційність інформації, що передається під час роботи користувачів з цими ресурсами, вести контроль за діями користувачів. Щодо інформації, яка може бути на серверах, можна сказати таке. Враховуючи, що публічні сервіси можуть бути зламані, на них повинна бути найменш важлива інформація, а будь-яка цінна інформація повинна розміщуватися виключно в локальній мережі, яка не буде доступна з публічних серверів.

На серверах, розміщених у DMZ, не повинно бути жодної інформації про користувачів, клієнтів компанії, іншої конфіденційної інформації, не повинно бути особистих поштових скриньок співробітників - це все має бути надійно "заховано" у захищеній частині локальної мережі. А для інформації, яка буде доступна на публічних серверах, необхідно передбачити проведення резервного архівування з можливо меншою періодичністю. Крім цього, рекомендується для поштових серверів застосовувати як мінімум двосерверну модель обслуговування, а для веб-серверів вести постійний моніторинг стану інформації для своєчасного виявлення та усунення наслідків злому.

Використання міжмережевих екранів є обов'язковим під час створення DMZ

Для захисту проникнення через демілітаризовану зону до корпоративної мережі використовуються міжмережові екрани. Існують програмні та апаратні екрани. Для програмних засобів потрібна машина, що працює під UNIX або Windows NT/2000. Для встановлення апаратного брандмауера потрібно лише підключити його до мережі та виконати мінімальне конфігурування. Зазвичай програмні екрани використовуються для захисту невеликих мереж, де немає необхідності виконувати багато налаштувань, пов'язаних із гнучким розподілом смуги пропускання та обмеження трафіку протоколами для користувачів. Якщо мережа велика і потрібна висока продуктивність, вигідніше використовувати апаратні міжмережові екрани. У багатьох випадках використовують не один, а два міжмережевих екрани - один захищає демілітаризовану зону від зовнішнього впливу, другий відокремлює її від внутрішньої частини корпоративної мережі.

Але крім того, що винесення публічних серверів у демілітаризовану зону певною мірою захищає корпоративну мережу, необхідно продумати та забезпечити захист DMZ. При цьому необхідно вирішити такі питання, як:

  • захист від атак на сервери та мережеве обладнання;
  • захист окремих серверів;
  • контроль поштового та іншого контенту;
  • аудит дій користувачів.

Яким чином можуть вирішуватись ці питання? Поштовий сервер, який використовується як для зовнішнього листування, так і для внутрішньокорпоративного, бажано "розділити" на дві складові - публічну, яка фактично буде сервером-ретранслятором і розміщуватиметься в DMZ, і основну, розміщену всередині корпоративної мережі. Основна складова забезпечує звернення внутрішньої пошти, приймає з ретранслятора та відправляє на нього зовнішню кореспонденцію.

Однією з основних проблем є забезпечення безпечного доступу до публічних ресурсів та додатків із корпоративної внутрішньої мережі. Хоча між нею та демілітаризованою зоною встановлюють міжмережевий екран, але він має бути "прозорим" для роботи. Є кілька варіантів надання такої можливості користувачам. Перший – використання термінального доступу. За такої організації взаємодії клієнта та сервера через встановлене з'єднання не передається будь-який програмний код, серед якого могли б бути і віруси та інші шкідливі включення. Від термінального клієнта до сервера слідує потік кодів натиснутих клавіш клавіатури та станів миші користувача, а назад, від сервера клієнту надходять бінарні образи екранів серверної сесії браузера або поштового клієнта користувача. Інший варіант – використання VPN (Virtual Private Network). Завдяки контролю доступу та криптозахисту інформації VPN має захищеність приватної мережі, і в той же час використовує всі переваги мережі загального користування.

До захисту серверів та обладнання у DMZ потрібно підходити з особливою ретельністю

Для захисту від атак на сервери та мережеве обладнання використовують спеціальні системи виявлення вторгнення (Intrusion Detection). Комп'ютер, на якому встановлюють таку систему, стає першим на шляху інформаційного потоку з Інтернету до DMZ. Системи налаштовують таким чином, щоб при виявленні атак вони могли переконфігурувати міжмережевого екрану аж до повного блокування доступу. З метою додаткового, але не постійного контролю використовують спеціальне програмне забезпечення — сканери безпеки, що перевіряють захищеність мережі, серверів і сервісів, баз даних. Для захисту від вірусів у демілітаризованій зоні встановлюється антивірусне програмне забезпечення, а також засоби контролю контенту.

Програмні та технічні рішення для організації та захисту DMZ пропонують різні компанії. Це і зарубіжні, і російські. Серед них можна, наприклад, назвати Computer Associates, D-Link, "Інформзахист", Trend Micro та багато інших.

При широкому використанні Інтернету виникає необхідність вирішення проблеми захисту інформації та локальної мережі в цілому. Особливо суттєво це питання постає тоді, коли компанія має загальнодоступні (публічні) інтернет-сервіси (веб- та ftp-сервери, поштові сервіси, онлайнові магазини), які розміщені у спільній локальній мережі.

До таких серверів доступ найчастіше надається вільний, тобто будь-який користувач може без виконання автентифікації за логіном та паролем отримати доступ до розміщеного на веб-сервері ресурсу, до розділів ftp-сервера, поштовий сервер прийматиме пошту від інших аналогічних поштових серверів. І немає жодної гарантії в тому, що разом із поштою не потрапить на сервер шкідливий код, що серед сотень користувачів не виявиться такого, хто захоче з будь-яких спонукань отримати доступ не лише до публічних сервісів, а й до локальної мережі організації. І якщо мережа побудована на простих концентраторах (хабах), а не на комутаторах (свитчах), то вона буде схильна до великої небезпеки.

Зламавши один із комп'ютерів, хакер зможе отримати доступ до всієї мережі

У чому полягає? Отримавши доступ до хоча б одного комп'ютера локальної мережі, хакер може отримати паролі до пароля адміністратора, що дозволить йому отримати доступ до будь-якої інформації, що циркулює або зберігається в мережі, змінити паролі доступу таким чином, що виявляться недоступними бази даних, або просто будуть виведені з ладу. Крім того, отримавши доступ до веб-сервера, його можуть використовувати для проведення DoS-атак, що може заблокувати працездатність усіх внутрішньокорпоративних ресурсів.

Тому підхід до побудови систем, що включають публічні сервери, повинен бути іншим, ніж підхід до побудови систем на базі внутрішніх серверів. Диктується це специфічними ризиками, які виникають через публічну доступність сервера. Рішення полягає у розділенні локальної мережі та публічних серверів на окремі частини. Та, в якій будуть розміщені публічні послуги, називається "демілітаризованою зоною" ( DMZ - Demilitarized Zone).

Рисунок 13.2 – Схема локальної мережі з демілітаризованою зоною

Суть DMZ полягає в тому, що вона не входить безпосередньо ні у внутрішню, ні у зовнішню мережу, і доступ до неї може здійснюватися тільки за заданими правилами міжмережевого екрану. У DMZ немає користувачів - там розміщуються лише сервери. Демілітаризована зона зазвичай служить для запобігання доступу із зовнішньої мережі до хостів внутрішньої мережі за рахунок винесення з локальної мережі в особливу зону всіх сервісів, що вимагають доступу ззовні. Фактично виходить, що ця зона буде окремою підмережею з публічними адресами, захищеною (або - відокремленою) від публічних та корпоративних мереж міжмережевими екранами.



Під час створення такої зони перед адміністраторами корпоративної мережі виникають додаткові завдання. Необхідно забезпечити розмежування доступу до ресурсів і серверів, розміщених у DMZ, забезпечити конфіденційність інформації, що передається під час роботи користувачів з цими ресурсами, вести контроль за діями користувачів. Щодо інформації, яка може бути на серверах, можна сказати таке. Враховуючи, що публічні сервіси можуть бути зламані, на них повинна бути найменш важлива інформація, а будь-яка цінна інформація повинна розміщуватися виключно в локальній мережі, яка не буде доступна з публічних серверів.

На серверах, розміщених у DMZ, не повинно бути жодної інформації про користувачів, клієнтів компанії, іншої конфіденційної інформації, не повинно бути особистих поштових скриньок співробітників - це все має бути надійно "заховано" у захищеній частині локальної мережі. А для інформації, яка буде доступна на публічних серверах, необхідно передбачити проведення резервного архівування з можливо меншою періодичністю. Крім цього, рекомендується для поштових серверів застосовувати як мінімум двосерверну модель обслуговування, а для веб-серверів вести постійний моніторинг стану інформації для своєчасного виявлення та усунення наслідків злому.

Використання міжмережевих екранів є обов'язковим під час створення DMZ

Для захисту проникнення через демілітаризовану зону до корпоративної мережі використовуються міжмережові екрани. Існують програмні та апаратні екрани. Для програмних засобів потрібна машина, що працює під UNIX або Windows NT/2000. Для встановлення апаратного брандмауера потрібно лише підключити його до мережі та виконати мінімальне конфігурування. Зазвичай програмні екрани використовуються для захисту невеликих мереж, де немає необхідності виконувати багато налаштувань, пов'язаних із гнучким розподілом смуги пропускання та обмеження трафіку протоколами для користувачів. Якщо мережа велика і потрібна висока продуктивність - вигідніше використовувати апаратні міжмережові екрани. У багатьох випадках використовують не один, а два міжмережевих екрани – один захищає демілітаризовану зону від зовнішнього впливу, другий відокремлює її від внутрішньої частини корпоративної мережі.



Але крім того, що винесення публічних серверів у демілітаризовану зону певною мірою захищає корпоративну мережу, необхідно продумати та забезпечити захист DMZ. При цьому необхідно вирішити такі питання, як:

· Захист від атак на сервери та мережеве обладнання;

· Захист окремих серверів;

· Контроль поштового та іншого контенту;

· Аудит дій користувачів.

Яким чином можуть вирішуватись ці питання? Поштовий сервер, який використовується як для зовнішнього листування, так і для внутрішньокорпоративного, бажано "розділити" на дві складові - публічну, яка фактично буде сервером-ретранслятором і розміщуватиметься в DMZ, і основну, розміщену всередині корпоративної мережі. Основна складова забезпечує звернення внутрішньої пошти, приймає з ретранслятора та відправляє на нього зовнішню кореспонденцію.

Однією з основних проблем є забезпечення безпечного доступу до публічних ресурсів та додатків із корпоративної внутрішньої мережі. Хоча між нею та демілітаризованою зоною встановлюють міжмережевий екран, але він має бути "прозорим" для роботи. Є кілька варіантів надання такої можливості користувачам. Перший – використання термінального доступу. За такої організації взаємодії клієнта та сервера через встановлене з'єднання не передається будь-який програмний код, серед якого могли б бути і віруси та інші шкідливі включення. Від термінального клієнта до сервера слідує потік кодів натиснутих клавіш клавіатури та станів миші користувача, а назад, від сервера клієнту надходять бінарні образи екранів серверної сесії браузера або поштового клієнта користувача. Інший варіант – використання VPN (Virtual Private Network). Завдяки контролю доступу та криптозахисту інформації VPN має захищеність приватної мережі, і в той же час використовує всі переваги мережі загального користування.

До захисту серверів та обладнання у DMZ потрібно підходити з особливою ретельністю

Для захисту від атак на сервери та мережеве обладнання використовують спеціальні системи виявлення вторгнення (Intrusion Detection). Комп'ютер, на якому встановлюють таку систему, стає першим на шляху інформаційного потоку з Інтернету до DMZ. Системи налаштовують таким чином, щоб при виявленні атак вони могли переконфігурувати міжмережевого екрану аж до повного блокування доступу. З метою додаткового, але не постійного контролю використовують спеціальне програмне забезпечення - сканери безпеки, що перевіряють захищеність мережі, серверів і сервісів, баз даних. Для захисту від вірусів у демілітаризованій зоні встановлюється антивірусне програмне забезпечення, а також засоби контролю контенту.


Глобальні Мережі

Глобальні мережі (Wide Area Networks, WAN), які також називають територіальними комп'ютерними мережами, служать для того, щоб надавати свої послуги великій кількості кінцевих абонентів, розкиданих по великій території - в межах області, регіону, країни, континенту або всієї земної кулі. Зважаючи на велику протяжність каналів зв'язку, побудова глобальної мережі вимагає дуже великих витрат, в які входить вартість кабелів і робіт з їх прокладання, витрати на комутаційне обладнання і проміжну підсилювальну апаратуру, що забезпечує необхідну смугу пропускання каналу, а також експлуатаційні витрати на постійну підтримку в працездатному стані. на великій території апаратури мережі.

Типовими абонентами глобальної комп'ютерної мережі є локальні мережі підприємств, що у різних містах та країнах, яким потрібно обмінюватися даними між собою. Послугами глобальних мереж користуються також окремі комп'ютери.

Глобальні мережі зазвичай створюються великими телекомунікаційними компаніями надання платних послуг абонентам. Такі мережі називають публічними чи громадськими. Існують також такі поняття, як оператор мережі та постачальник послуг мережі. Оператор мережі (network operator) - це компанія, яка підтримує нормальну роботу мережі. Постачальник послуг, який часто називають також провайдером (service provider), - та компанія, яка надає платні послуги абонентам мережі. Власник, оператор і постачальник послуг можуть об'єднуватися в одну компанію, а можуть представляти різні компанії.

Набагато рідше глобальна мережа повністю створюється якоюсь великою корпорацією своїх внутрішніх потреб. І тут мережа називається приватної. Найчастіше зустрічається і проміжний варіант - корпоративна мережа користується послугами чи обладнанням громадської глобальної мережі, але доповнює ці послуги чи устаткування своїми власними.

Залежно від цього, які компоненти доводиться брати у найм, прийнято розрізняти мережі, побудовані з використанням:

виділених каналів;

Комутації каналів;

Комутація пакетів.

Останній випадок відповідає найсприятливішому випадку, коли мережа з комутацією пакетів доступна у всіх географічних точках, які потрібно об'єднати у загальну корпоративну мережу. Перші два випадки вимагають проведення додаткових робіт, щоб на підставі взятих в оренду коштів збудувати мережу з комутацією пакетів.

Виділені канали

Виділені (або орендовані - leased) канали можна отримати у телекомунікаційних компаній, які володіють каналами телекомунікації, або від телефонних компаній, які зазвичай здають в оренду канали в межах міста або регіону.

Використовувати виділені лінії можна двома способами. Перший полягає в побудові за допомогою територіальної мережі певної технології, наприклад Frame Relay, в якій виділені лінії, що орендуються, служать для з'єднання проміжних, територіально розподілених комутаторів пакетів.

Другий варіант - з'єднання виділеними лініями тільки локальних мереж, що об'єднуються, без встановлення транзитних комутаторів пакетів, що працюють за технологією глобальної мережі. Другий варіант є найбільш простим з технічної точки зору, оскільки заснований на використанні маршрутизаторів або віддалених мостів в локальних мережах, що об'єднуються, і відсутності протоколів глобальних технологій, таких як Х.25 або Frame Relay. По глобальних каналах передаються самі пакети мережного чи канального рівня, що у локальних мережах.

Саме другий спосіб використання глобальних каналів отримав спеціальну назву "послуги виділених каналів", оскільки в ньому справді більше нічого з технологій власне глобальних мереж з комутацією пакетів не використовується.

Виділені канали дуже активно застосовувалися зовсім у недалекому минулому і застосовуються сьогодні, особливо при побудові відповідальних магістральних зв'язків між великими локальними мережами, оскільки ця послуга гарантує пропускну спроможність каналу, що орендується. Однак при великій кількості географічно віддалених точок та інтенсивному змішаному графіку між ними користування цієї служби призводить до високих витрат за рахунок великої кількості каналів, що орендуються.

Сьогодні існує великий вибір виділених каналів – від аналогових каналів тональної частоти зі смугою пропускання 3,1 кГц до цифрових каналів технології SDN із пропускною здатністю 155 та 622 Мбіт/с.

Абревіатура DMZ розшифровується як DeMilitarized Zone, тобто Демілітаризована зона. Несподівано і незрозуміло, яке це відношення має до роутера. Однак насправді це дуже корисна у ряді випадків річ. Про це й йтиметься у цій статті.

Призначення та використання DMZ

DMZ – це сегмент мережі, створюваний для сервісів та програм, яким потрібний прямий доступ до Інтернету. Прямий доступ необхідний для торентів, месенджерів, онлайн-ігор, деяких інших програм. А також без нього не обійтися, якщо ви хочете встановити камеру відеоспостереження та мати доступ до неї через інтернет.

Якщо комп'ютер, на якому запущена програма, безпосередньо підключається до Інтернету, минаючи роутер, то необхідності використовувати DMZ немає. Але якщо підключення здійснюється через роутер, то достукатися до програми з інтернету не вийде, тому що всі запити будуть отримані роутером і не переправлені всередину локальної мережі.

Для вирішення цієї проблеми зазвичай використовують прокидання портів на роутері. Про це на нашому сайті є. Однак це не завжди зручно і хтось вважає за краще налаштовувати DMZ. Якщо ви налаштуєте DMZ на вашому роутері і додайте до неї потрібний вузол мережі, наприклад, ПК, на якому запущено ігровий сервер або відеореєстратор, до якого підключена IP-камера, цей вузол буде видно із зовнішньої мережі так, ніби він підключений до інтернету безпосередньо . Для інших пристроїв вашої мережі нічого не зміниться – вони працюватимуть так само, як і раніше.

Слід уважно ставитися до всіх цих налаштувань. Так як і прокидання портів і DMZ - це потенційна дірка в безпеці. Для підвищення безпеки у великих компаніях найчастіше створюють окрему мережу для DMZ. Для того, щоб закрити доступ із мережі DMZ до інших комп'ютерів, використовують додатковий маршрутизатор.

Налаштування DMZ на роутері

Роутери дозволяють додати до DMZ лише один пристрій. Роутер повинен отримувати «білу» IP-адресу. Тільки в цьому випадку буде можливий доступ до нього із глобальної мережі. Інформацію про це можна отримати у вашого інтернет-провайдера. Деякі провайдери безкоштовно видають зовнішню IP-адресу, але найчастіше за цю послугу потрібна додаткова плата.

Встановлення статичної IP-адреси

Додати до DMZ можна лише комп'ютер, що має статичну IP-адресу. Тому насамперед змінюємо його. Для цього відкриваємо властивості мережного підключення та в налаштуваннях TCP/IP прописуємо статичну IP-адресу в діапазоні адрес вашої мережі. Наприклад, якщо у вашого роутера IP 192.168.0.1, для комп'ютера можна вказати 192.168.0.10. Маска стандартної підмережі – 255.255.255.0. А у полі «Шлюз» потрібно вказати адресу вашого роутера.

Слід звернути увагу, що IP-адреса, задана комп'ютеру, не повинна бути в діапазоні адрес, що роздаються .

На цьому налаштування комп'ютера завершено і можна переходити до роутера.

Налаштування роутера

Насамперед DMZ на роутері потрібно включити, оскільки за умовчанням вона завжди вимкнена.

Знаходимо відповідний пункт меню у веб-інтерфейсі пристрою:

  • На роутерах Asus потрібна вкладка і називається – DMZ.
  • На роутерах TP-Link відкрийте пункт "Переадресація", а в ньому буде підпункт DMZ.
  • У D-Link шукайте пункт "Міжмережевий екран".

У будь-якому випадку на вкладці налаштувань потрібно поставити галочку у полі "Увімкнути". А поруч знайти поле, яке називається "Адреса вузла DMZ" або "Адреса видимої станції" (залежно від моделі роутера можуть бути інші варіанти). У це поле вписуємо статичну адресу комп'ютера або іншого пристрою, який потрібно додати до DMZ. У разі це 192.168.0.10.

Збережіть налаштування та перезапустіть роутер. На цьому все: всі порти на вибраному ПК відкриті. Будь-яка програма, яка використовує вхідні підключення, думатиме, що виходить у мережу безпосередньо. Усі інші програми працюватимуть у штатному режимі.

Нижче наведено приклад налаштування маршрутизатора з англомовним інтерфейсом.

Створення DMZ зручний спосіб спростити роботу потрібних програм, проте слід мати на увазі, що відкритий доступ до ПК підвищує ризики мережевих атак та зараження вірусами.

Тому на пристрої, що використовується як вузл DMZ, потрібно обов'язково встановити фаєрвол і антивірусну програму.

Опис

Демілітаризована зона або DMZ – це сегмент мережі з білою адресацією, відокремлений міжмережевим екраном від Інтернету та локальної мережі організації. У DMZ зазвичай розміщують сервери, які мають бути доступні з інтернету, наприклад поштовий або веб-сервер. Оскільки сервери в DMZ-мережі відокремлені від локальної мережі міжмережевим екраном, у разі їх злому зловмисник не зможе отримати доступ до ресурсів локальної мережі.

Налаштування

Демілітаризована зона створюється в модулі «провайдери та мережі». При її створенні необхідно вказати IP-адресу Інтернет Контроль Сервера та маску DMZ-мережі, а також вибрати мережний інтерфейс для DMZ. З міркувань безпеки для DMZ зазвичай використовують окремий мережевий інтерфейс.

За промовчанням сервери, які перебувають у DMZ не мають доступу до Інтернету та локальної мережі, тому доступ для них необхідно налаштовувати правилами міжмережевого екрану.

Прапорець NAT з локальних мереж дозволяє керувати трансляцією локальних адрес в DMZ-мережа. За умовчанням він вимкнено, тобто. сервіс NAT для інтерфейсу DMZ-мережі не працює, адреси транслюються без змін.

Важливо: Власне NAT для DMZ-мережі на зовнішніх інтерфейсах ІКС вимкнено, тому для її адресації мають використовуватися «білі» ip-адреси. Налаштовувати мережу DMZ є сенс, якщо вам необхідно керувати доступом ззовні до сервера в локальній мережі, що має «білі» ip-адреси. В інших випадках налаштовується звичайна локальна мережу.