Демілітаризована зона
Уявити будь-яку компанію, у якої відсутня локальна мережа і немає доступу до Інтернету стає все складніше і складніше. Звичайна технологія, яка допомагає поліпшити роботу, забезпечити швидкий доступ до інформації, обміну документами, даними. Це - з одного боку. З іншого боку при широкому використанні мережі Інтернет виникає необхідність вирішення проблеми захисту інформації та локальної мережі в цілому. Особливо істотно це питання постає тоді, коли компанія має загальнодоступні (публічні) інтернет-сервіси (веб-і ftp-сервери, поштові сервіси, онлайнові магазини), які розміщені в загальній локальної мережі.
До таких серверів доступ найчастіше надається вільний, тобто будь-який користувач може без виконання аутентифікації за логіном і паролем отримати доступ до розміщеного на веб-сервері ресурсу, до розділів ftp-сервера, поштовий сервер буде приймати пошту від інших аналогічних поштових серверів. І немає ніякої гарантії в тому, що разом з поштою не потрапить на сервер шкідливий код, що серед сотень користувачів не виявиться такого, хто захоче з будь-яких мотивів отримати доступ не тільки до публічних сервісів, а й до локальної мережі організації.
Отримавши доступ до хоча б одного комп'ютера локальної мережі, хакер може отримати паролі аж до пароля адміністратора, що дозволить йому отримати доступ до будь-якої інформації, що циркулює або зберігається в мережі, змінити паролі доступу таким чином, що виявляться недоступними бази даних, або просто будуть виведені з ладу. З іншого боку, отримавши доступ до веб-сервера, його можуть використовувати для проведення DoS-атаки, що може заблокувати працездатність всіх внутрішньокорпоративних ресурсів.
 |
| Мережа без DMZ, компанія напряму отримує інформацію з Інтернету |
Тому підхід до побудови систем, що включають у себе публічні сервери, повинен бути іншим, ніж підхід до побудови систем на базі внутрішніх серверів. Диктується це специфічними ризиками, які виникають через публічної доступності сервера. Рішення полягає в поділі локальної мережі і публічних серверів на окремі частини. Та, в якій будуть розміщені публічні сервіси, називається "демілітаризованою зоною" (DMZ - Demilitarized Zone).
Суть DMZ полягає в тому, що вона не входить безпосередньо у внутрішню, ні в зовнішню мережу, і доступ до неї може здійснюватися тільки за заздалегідь заданими правилами брандмауера. У DMZ немає користувачів - там розташовуються тільки сервери. Демілітаризована зона як правило служить для запобігання доступу із зовнішньої мережі до хостів внутрішньої мережі за рахунок виносу з локальної мережі в особливу зону всіх сервісів, що вимагають доступу ззовні. Фактично виходить, що ця зона буде окремою підмережею з публічними адресами, захищеної (або - відокремленої) від публічних і корпоративних мереж міжмережевими екранами.
При створенні такої зони перед адміністраторами корпоративної мережі виникають додаткові завдання. Необхідно забезпечити розмежування доступу до ресурсів і серверів, розташованим в DMZ, забезпечити кофіденціальность інформації, переданої при роботі користувачів з цими ресурсами, вести конроль за діями користувачів. Відносно інформації, яка може перебувати на серверах, можна сказати наступне. З огляду на, що публічні сервіси можуть бути зламані, на них повинна знаходитися найменш важлива інформація, а будь-яка цінна інформація повинна розміщуватися виключно в локальній мережі, яка не буде доступна з публічних серверів.
 |
| Приклад мережі із демілітаризованою зоною |
На серверах, розміщених в DMZ, не повинно бути ніякої інформації про користувачів, клієнтів компанії, іншої конфіденційної інформації, не повинно бути особистих поштових скриньок співробітників - це все повинно бути надійно "заховано" в захищеній частині локальної мережі. А для тієї інформації, яка буде доступна на публічних серверах, необхідно передбачити проведення резервного архівування з можливо меншою періодичністю. Крім цього рекомендується для поштових серверів застосовувати як мінімум двухсерверную модель обслуговування, а для веб-серверів вести постійний моніторинг стану інформації для своєчасного виявлення і усунення наслідків злому.
Для захисту проникнення через демілітаризовану зону в корпоративну мережу використовуються міжмережеві екрани. Існують програмні й апаратні екрани. Для установки апаратного брандмауера потрібно лише підключити його в мережу і виконати мінімальну конфігурацію. Зазвичай програмні екрани використовуються для захисту невеликих мереж, де немає необхідності проводити багато налаштувань, пов'язаних з гнучким розподілом смуги пропускання і обмеження трафіку по протоколах для користувачів. Якщо мережа велика і потрібна висока продуктивність - вигідніше стає використовувати апаратні міжмережеві екрани. У багатьох випадках використовують не один, а два міжмережевих екрану - один захищає демілітаризовану зону від зовнішнього впливу, другий відділяє її від внутрішньої частини корпоративної мережі.
 |
| Приклад мережі з декількома DMZ |
Але крім того, що винесення публічних серверів в демілітаризовану зону певною мірою захищає корпоративну мережу, необхідно продумати і забезпечити захист і самої DMZ.
При цьому необхідно вирішити такі питання, як:
• захист від атак на сервери та мережеве обладнання;
• захист окремих серверів;
• контроль поштового та іншого контенту;
• аудит дій користувачів.
Яким чином можуть вирішуватися ці питання? Поштовий сервер, який використовується як для зовнішньої переписки, так і для внутрішньокорпоративної, бажано "розділити" на дві складові - публічну, яка фактично буде сервером-ретранслятором і буде розміщуватися в DMZ, і основну, розміщену всередині корпоративної мережі. Основна складова забезпечує звернення внутрішньої пошти, приймає з ретранслятора і відправляє на нього зовнішню кореспонденцію.
Однією з основних проблем є забезпечення безпечного доступу до публічних ресурсів і додатків з корпоративної внутрішньої мережі. Хоча між нею і демілітаризованою зоною встановлюють міжмережевий екран, але він повинен бути "прозорий" для роботи. Є кілька варіантів надання такої можливості користувачам. Перший - використання термінального доступу. При такій організації взаємодії клієнта і сервера через встановлене з'єднання не передається будь-якої програмний код, серед якого могли б бути і віруси і інші шкідливі включення. Від термінального клієнта до сервера слід потік кодів натиснутих клавіш клавіатури і станів миші користувача, а назад, від сервера клієнту, надходять бінарні образи екранів серверної сесії браузера або поштового клієнта користувача. Інший варіант - використання VPN (Virtual Private Network). Завдяки контролю доступу та криптозахисті інформації VPN володіє захищеністю приватної мережі, і в той же час використовує всі переваги мережі загального користування.
Для захисту від атак на сервери та мережеве обладнання використовують спеціальні системи виявлення вторгнення (Intrusion Detection). Комп'ютер, на якому встановлюють таку систему, стає першим на шляху розповсюдження інформації з Інтернету в DMZ. Системи налаштовують таким чином, щоб при виявленні атак вони могли виконати переконфігуруванні брандмауера аж до повного блокування доступу. З метою додаткового, але не постійного контролю, використовують спеціальне програмне забезпечення - сканери безпеки, перевіряючі захищеність мережі, серверів і сервісів, баз даних. Для захисту від вірусів в демілітаризованій зоні встановлюється антивірусне ПЗ, а також засоби контролю контенту.
• захист від атак на сервери та мережеве обладнання;
• захист окремих серверів;
• контроль поштового та іншого контенту;
• аудит дій користувачів.
Яким чином можуть вирішуватися ці питання? Поштовий сервер, який використовується як для зовнішньої переписки, так і для внутрішньокорпоративної, бажано "розділити" на дві складові - публічну, яка фактично буде сервером-ретранслятором і буде розміщуватися в DMZ, і основну, розміщену всередині корпоративної мережі. Основна складова забезпечує звернення внутрішньої пошти, приймає з ретранслятора і відправляє на нього зовнішню кореспонденцію.
Однією з основних проблем є забезпечення безпечного доступу до публічних ресурсів і додатків з корпоративної внутрішньої мережі. Хоча між нею і демілітаризованою зоною встановлюють міжмережевий екран, але він повинен бути "прозорий" для роботи. Є кілька варіантів надання такої можливості користувачам. Перший - використання термінального доступу. При такій організації взаємодії клієнта і сервера через встановлене з'єднання не передається будь-якої програмний код, серед якого могли б бути і віруси і інші шкідливі включення. Від термінального клієнта до сервера слід потік кодів натиснутих клавіш клавіатури і станів миші користувача, а назад, від сервера клієнту, надходять бінарні образи екранів серверної сесії браузера або поштового клієнта користувача. Інший варіант - використання VPN (Virtual Private Network). Завдяки контролю доступу та криптозахисті інформації VPN володіє захищеністю приватної мережі, і в той же час використовує всі переваги мережі загального користування.
Для захисту від атак на сервери та мережеве обладнання використовують спеціальні системи виявлення вторгнення (Intrusion Detection). Комп'ютер, на якому встановлюють таку систему, стає першим на шляху розповсюдження інформації з Інтернету в DMZ. Системи налаштовують таким чином, щоб при виявленні атак вони могли виконати переконфігуруванні брандмауера аж до повного блокування доступу. З метою додаткового, але не постійного контролю, використовують спеціальне програмне забезпечення - сканери безпеки, перевіряючі захищеність мережі, серверів і сервісів, баз даних. Для захисту від вірусів в демілітаризованій зоні встановлюється антивірусне ПЗ, а також засоби контролю контенту.
Ресурси:
1.Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. — СПб.: Питер, 2016. — 992 с.: ил.2.Таненбаум Э., Уэзеролл Д. Компьютерные сети. 5-е изд. — СПб.: Питер, 2012. — 960 с.: ил.
Коментарі
Дописати коментар