Автор работы: Пользователь скрыл имя, 26 Ноября 2015 в 18:53, лекция
Рассмотрена архитектура интернета. Вопросы организации доступа к интернет сотрудников компании. А также вопросы организации подключения к интернет, проектирования DMZ. Дано понятие трансляции адресов.
Интернет представляет огромные потенциальные возможности по развертыванию бизнеса, снижению затрат на обеспечение объема продаж, а также способствует повышению уровня обслуживания клиентов. Вместе с тем, интернет представляет собой повышенную опасность для информации и систем организации.
Лекция: Архитектура интернета
Рассмотрена архитектура интернета. Вопросы организации доступа к интернет сотрудников компании. А также вопросы организации подключения к интернет, проектирования DMZ. Дано понятие трансляции адресов.
Интернет представляет огромные потенциальные возможности по развертыванию бизнеса, снижению затрат на обеспечение объема продаж, а также способствует повышению уровня обслуживания клиентов. Вместе с тем, интернет представляет собой повышенную опасность для информации и систем организации. При использовании правильной сетевой архитектуры интернет может стать настоящим помощником, и при этом вы сможете контролировать угрозы, представляемые для информации и систем.
Первым вопросом, связанным с архитектурой интернета, на который необходимо дать ответ, является, какие службы будет предоставлять организация через интернет. От состава этих служб и от того, кто будет осуществлять к ним доступ, сильно зависит общая архитектура и даже место размещения служб.
Если доступна служба электронной почты, то она, как правило, предоставляется внутренним сотрудникам для отправки и получения сообщений. Эта служба требует, чтобы хотя бы один сервер был настроен на прием входящей почты. Если требуется больший уровень доступности, то необходимо использовать, по крайней мере, два почтовых сервера. Исходящая почта может передаваться через тот же самый сервер, либо в организации может быть разрешена отправка почты с рабочих станций непосредственно на системы назначения.
Не рекомендуется разрешать рабочим станциям прямую отправку почты на системы назначения. Однако если почтовые системы расположены в интернете, каждая рабочая станция будет отправлять и получать почту с системы, находящейся в интернете. В данном случае разумно ограничить соединения исходящей почты на рабочих станциях, разрешив соединения только с почтовым сервером в интернете.
В организации также может действовать коммутация публичных сообщений, например, для реализации групп обсуждения, основанных на электронной почте. Такие системы, как правило, называются серверами списков. Они позволяют внешним пользователям отправлять почту в систему, а система пересылает сообщение подписчикам списка. Серверы списков могут располагаться на тех же серверах, что и основные почтовые системы организации, однако здесь необходимо учитывать повышенные требования к пропускной способности канала в общей архитектуре соединений интернета.
Как правило, электронная почта не содержит секретной информации. Тем не менее, широкое использование интернета привело к тому, что секретную информацию стали пересылать и по электронной почте для экономии времени и вследствие низкой стоимости передачи данных по сравнению с обычными службами доставки. В данном случае рекомендуется шифровать содержимое электронной почты, чтобы защитить информацию.
В некоторых отраслях бизнеса (особенно в финансовых и здравоохранительных организациях) необходимо осуществлять шифрование секретных данных, связанных с клиентами и пациентами.
Осуществлять шифрование электронной почты можно посредством использования нескольких типов систем. Эти системы варьируются от программных средств рабочего стола (таких как PGP) до сетевых конструкций, располагаемых в почтовом потоке (например, Tovaris). Выбор системы зависит от того, сколько зашифрованной электронной почты требуется отправлять и получать, а также от ряда других требований организации, таких как восстановление и управление ключами (для получения более подробной информации по этой тематике обратитесь к.
Если в организации осуществляется публикация данных для клиентов или партнеров через интернет, необходимо создать веб-сервер и разместить на нем содержимое для публичного просмотра. Этот веб-сервер может располагаться в другом месте либо находиться внутри сети.
Веб-серверы предоставляют пользователям простое статическое содержимое либо подключаются к системам электронной коммерции, обеспечивающую отображение динамического содержимого и позволяющую осуществлять прием заказов. Доступ к веб-сайту может быть общим либо ограниченным посредством использования некоторого механизма аутентификации (как правило, это идентификатор пользователя или пароль). Если содержимое сайта предусматривает ограниченный доступ или является секретным, следует использовать HTTPS (применяющий протокол защищенных сокетов SSL). HTTPS работает через порт 443 вместо порта 80, что нормально для веб-трафика. HTTPS - это шифрующая версия протокола HTTP, используемого для веб-трафика, и она, как правило, применяется для веб-страниц, содержащих секретную информацию или требующих аутентификацию. Выбор метода реализации веб-сайта влияет на ожидаемый объем трафика и важность самого веб-сервера.
Организация может предоставлять сервер FTP в качестве составной части веб-сервера. FTP-сервер позволяет внешним лицам получать или отправлять файлы. Доступ к этой службе осуществляется через веб-браузер или клиент FTP. Доступ может быть анонимным либо требующим указания входного идентификатора и пароля.
Способ доступа сотрудников в интернет должен регламентироваться политикой организации. В некоторых организациях сотрудникам разрешается осуществлять доступ в интернет с использованием любой нужной службы, включая мгновенный обмен сообщениями, чат и потоковое видео или аудио. В других компаниях доступ в интернет разрешается только отдельным сотрудникам и только к определенным сайтам. Здесь выбранный метод предоставления доступа влияет на потенциальный объем трафика и на работу сотрудников. В таблице ниже приведен общий набор служб, разрешенных для использования сотрудниками.
Даже если в организации принято решение запретить потоковое видео и аудио, многие сайты в настоящее время предоставляют эти возможности через HTTP; следовательно, этот трафик не будет отличаться от обычного веб-трафика. Аналогично, в интернете могут использоваться службы, предусматривающие равноправное соединение двух узлов (peer-to-peer), которое можно настроить на работу через порт 80. Такие службы несут угрозу несанкционированного доступа лиц к внутренним системам.
Служба |
Описание |
HTTP (порт 80) и HTTPS (порт 443) |
Позволяет сотрудникам осуществлять доступ к веб. |
FTP (порты 21 и 22) |
Позволяет сотрудникам передавать файлы. |
Telnet (порт 23) и SSH (порт 22) |
Позволяет сотрудникам создавать интерактивные сеансы на удаленных системах. |
POP 3 (порт 110) и IMAP (порт 143) |
Позволяет сотрудникам осуществлять доступ к удаленным учетным записям электронной почты. |
NNTP (порт 119) |
Позволяет сотрудникам осуществлять доступ к удаленным сетевым серверам новостей. |
Внешний доступ к внутренним системам с секретными данными всегда является очень тонким вопросом безопасности для сотрудников, связанных с обеспечением безопасности и поддержки сети. Под внутренними системами в данном случае подразумеваются системы, главным образом используемые для внутренней обработки данных. Это не те системы, которые предназначены только для внешнего доступа, как, например, веб-серверы и почтовые серверы.
Внешний доступ можно разделить на две разновидности: доступ сотрудников (как правило, из удаленных мест расположения для выполнения должностных обязанностей) и доступ лиц, не являющихся сотрудниками организации. Доступ сотрудников ко внутренним системам из удаленных местоположений, как правило, осуществляется посредством использования виртуальной частной сети (VPN) через интернет, коммутируемых телефонных линий для реализации удаленного доступа к серверу либо арендуемого канала связи. Выбор метода такого соединения влияет на архитектуру сети интернет в организации. Гораздо большее влияние на нее будет оказано в том случае, если внешним организациям потребуется доступ ко внутренним системам рассматриваемой организации. Внешний доступ может осуществляться посредством использования VPN, коммутируемых телефонных линий, арендуемых каналов либо посредством прямого нешифруемого доступа (например, telnet) через интернет, в зависимости от цели соединения.
Нешифруемый доступ через интернет осуществлять не рекомендуется; тем не менее, некоторые деловые соглашения могут предусматривать такой тип доступа. В данном случае необходимо предпринять все усилия для того, чтобы внутренние системы, к которым осуществляется доступ, были расположены вне внутренней сети - в некоторой сети с ограниченным доступом (см. раздел "Конструирование демилитаризованной зоны" далее в этой лекции).
Для безошибочного функционирования сети и интернет-соединения необходимо использовать определенные службы. Разрешение или запрет на использование этих служб зависит от политики организации.
Служба Domain Name Service (DNS) используется для разрешения системных имен и их преобразования в IP-адреса. Без этой функции внутренние пользователи не смогут осуществлять обработку адресов веб-сайтов, и, таким образом, интернет станет для них бесполезным. Как правило, внутренние системы запрашивают разрешение во внутренней службе DNS всех адресов. Внутренняя служба DNS может запросить DNS на провайдере для обработки внешних адресов. Остальные внутренние системы не запрашивают внешние DNS-системы.
DNS работает также и с внешними пользователями, которым требуется доступ к вашему веб-сайту. Для этого в организации или у провайдера DNS должна быть в наличии. Выбор одного из вариантов хостинга DNS влияет на архитектуру сети интернет. Если вы выберете хостинг своей собственной DNS, то эта система должна быть расположена отдельно от внутренней DNS. Внутренние системы не должны быть включены во внешние DNS (иначе называется совмещенная DNS).
Еще одной службой контроля, поддерживающей функционирование сети, является протокол Internet Control Message Protocol (ICMP). ICMP предоставляет такие службы, как ping (используется для выяснения того, в рабочем ли состоянии находится система). Помимо ping ICMP генерирует сообщения "Сеть и узел недоступны" и "Время жизни пакета истекло". Эти сообщения помогают обеспечить эффективную работу в сети.
Данные службы можно запретить или заблокировать, что влияет на функционирование сети. Например, если удаленный веб-сервер недоступен, и внутренний пользователь пытается осуществить к нему доступ, в ответ на запрос доступа будет отправлено сообщение "Узел ICMP недоступен". Если ICMP заблокирована во внутренней сети, пользователю придется ждать, пока истечет интервал ожидания в браузере, т.к. сообщение "Страница не найдена" не будет получено сразу.
Служба NTP (Network Time Ptotocol) используется для синхронизации времени между различными системами. В интернете есть сайты, являющиеся источниками точного времени. Если использовать эту службу, то одна из систем рассматриваемого сайта должна являться основным локальным источником времени, и только этой системе разрешается соединение через интернет с NTP. Все остальные внутренние системы должны синхронизировать свое время с использованием локального источника времени.
Архитектура интернета должна реализовываться так, чтобы соответствовать необходимым для работы службам. Службы, не являющиеся необходимыми, предоставляться не должны. При создании архитектуры сети интернет не следует разрешать использование ряда служб, обуславливающих значительную степень риска.
Ниже приведен их список.
Служба |
Описание |
Службы NetBIOS (порты 135, 137, 138 и 139) |
Используется системами Windows для предоставления общего доступа к файлам и выполнения удаленных команд. |
Unix RPC (порт 111) |
Используется системами Unix для удаленного вызова процедур. |
NFS (порт 2049) |
Используется для работы Network File Services (NFS). |
X (порты 6000-6100) |
Используется для удаленных сеансов X Window System. |
Службы "r" (rlogin порт 513, rsh порт 514, rexec порт 512) |
Позволяет осуществлять удаленное взаимодействие с системой без использования пароля. |
Telnet (порт 23) |
Не рекомендуется, так как пользовательский идентификатор и пароль передаются в открытом виде через интернет и могут быть перехвачены. Если необходимо разрешить интерактивный сеанс, рекомендуется использовать SSH при работе через telnet. |
FTP (порт 21 и 20) |
Не рекомендуется по той же причине, что и telnet. Если данная возможность требуется, то передачу файлов можно осуществлять через SSH. |
TFTP (Trivial FileTransfer Protocol)(порт 69) |
Аналогична FTP, однако не требует идентификаторов и паролей пользователей для доступа к файлам. |
NetMeeting |
Потенциально представляет опасность, так как требует открытия верхних портов для правильной работы. Вместо того чтобы открывать эти порты, следует использовать H.323 proxy. |
Remote Control Protocols (Протоколы удаленного контроля) |
Включают программы типа PC Anywhere и VNC. Если эти протоколы необходимы для разрешения контроля удаленными пользователями внутренних систем, они должны использоваться через VPN. |
SNMP (Simple Network Management Protocol)(порт 169) |
Используется для управления сетью организации, однако не рекомендуется применять ее с удаленного сайта для управления внутренними системами сети. |