Архитектура интернета

Определение демилитаризованной зоны

DMZ создается посредством  реализации полузащищенной сетевой  зоны. Данная зона в обычном  порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ (см. рис. 16.7). Как правило, любая система, с которой может быть установлен прямой контакт внешним пользователем, должна находиться в демилитаризованной зоне.

Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.

Рис. 16.7.  Основные правила политики DMZ

Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ ко внутренним системам сети. По возможности соединение между внутренней системой и DMZ должно инициироваться внутренней системой. Внутренние системы могут осуществлять доступ к DMZ или в интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.

Системы, размещаемые в DMZ

Итак, мы имеем общую политику демилитаризованной зоны и список служб, которые будут предлагаться через интернет. Какие системы действительно следует размещать в DMZ? Давайте рассмотрим каждую службу по отдельности.

Почта

На рисунке 16.8 показаны службы, которые могут предоставляться в DMZ. Обратите внимание, что имеются внутренний и внешний почтовые серверы. Внешний почтовый сервер используется для приема входящей почты и для отправки исходящей почты. Новая почта принимается внешним почтовым сервером и передается на внутренний почтовый сервер. Внутренний почтовый сервер передает исходящую почту на внешний сервер. В идеальном случае все эти действия выполняются внутренним почтовым сервером с запрашиванием почты с внешнего почтового сервера.

Рис. 16.8.  Топология систем между DMZ и внутренней сетью

Некоторые межсетевые экраны могут выполнять функции почтовых серверов. При использовании межсетевого экрана с почтовым сервером последний функционирует как внешний почтовый сервер. В данном случае внешний почтовый сервер становится избыточным и может быть удален.

Примечание

Если почтовые серверы действительно важны для работы, то все почтовые серверы должны являться избыточными. Речь идет о серверах во внутренней сети, а также тех серверах, которые расположены в демилитаризованной зоне.

Веб

Общедоступные веб-серверы располагаются в демилитаризованной зоне. На рисунке 16.8 изображен сервер приложений в DMZ. Многие веб-сайты предоставляют активное содержимое, функционирующее на основе вводимых пользователем данных. Данные, вводимые пользователем, обрабатываются, и из базы данных извлекается нужная информация. База данных содержит важную информацию, и ее не следует располагать в демилитаризованной зоне. Веб-сервер сам по себе мог бы осуществлять обратную связь с сервером базы данных, но веб-сервер доступен из внешней среды и, таким образом, не пользуется полным доверием. В данном случае рекомендуется использовать третью систему для размещения на ней приложения, непосредственно соединяющегося с базой данных. Веб-сервер получает вводимые пользователем данные и предоставляет их серверу приложения для обработки. Сервер приложения запрашивает в базе данных нужную информацию и предоставляет ее веб-серверу для доставки пользователю.

Этот процесс может показаться сложным, однако такая архитектура обеспечивает защиту сервера базы данных и сокращает вычислительную нагрузку веб-сервера, т. к. последнему не приходится выполнять запросы.

Примечание

Так как сервер базы данных может содержать некоторую очень важную для организации информацию, его целесообразно также защитить еще одним межсетевым экраном. В данном случае межсетевой экран будет отделять секретную базу данных от внутренней сети и, таким образом, еще больше ограничивать доступ к ней.

Системы, доступные из внешней среды

Все системы, доступные из внешней среды, должны быть размещены в демилитаризованной зоне. Также имейте в виду, что если система доступна через интерактивный сеанс (такой как telnet или SSH), то пользователи имеют возможность проведения атак против других систем, находящихся в DMZ. Может быть разумным создание второй демилитаризованной зоны для таких систем, чтобы защитить другие системы в DMZ.

Системы контроля

В демилитаризованной зоне должны присутствовать внешние DNS-серверы. Если в организации планируется содержать собственную DNS, то сервер DNS должен быть доступен для запросов из внешней среды. DNS также является важной частью инфраструктуры организации. По этой причине можно выбрать наличие избыточных систем DNS либо использовать ISP в качестве альтернативной DNS. При выборе последнего варианта DNS провайдера должна будет осуществлять зональные переходы из DNS вашей организации. Ни одной системе больше не потребуется выполнять эти переходы.

Если будет выбрано использование NTP, то в демилитаризованной зоне необходимо наличие главного локального NTP-сервера. Внутренние системы будут запрашивать главный NTP-сервер для обновления времени. В качестве альтернативы функции главного локального NTP-сервера могут выполняться межсетевым экраном.

Подходящие архитектуры DMZ

Существует множество архитектур демилитаризованных зон. Как и в большинстве вопросов безопасности, имеют место преимущества и недостатки каждой архитектуры, и для каждой организации следует в отдельном порядке осуществлять выбор конкретной архитектуры DMZ. В трех следующих разделах мы подробно рассмотрим три наиболее распространенных архитектуры.

Примечание

Каждая архитектура демилитаризованной зоны содержит межсетевые экраны.

Маршрутизатор и межсетевой экран

На рисунке 16.9 показана простая архитектура с использованием маршрутизатора и межсетевого экрана. Маршрутизатор подключен к каналу связи с провайдером и к внешней сети организации. Межсетевой экран контролирует доступ во внутреннюю сеть.

Демилитаризованная зона приравнивается ко внешней сети, и в ней располагаются системы, к которым будет осуществляться доступ из интернета. Так как эти системы размещены во внешней сети, они полностью открыты для атак из интернета. Чтобы некоторым образом снизить этот риск, на маршрутизаторе можно разместить фильтры, чтобы в DMZ проникал только трафик, связанный со службами, предоставляемыми системами, находящимися в демилитаризованной зоне.

Рис. 16.9.  Архитектура DMZ с маршрутизатором и межсетевым экраном

Еще одним способом снижения риска является их блокировка таким образом, чтобы единственными службами, функционирующими в каждой системе, были только те, которые предоставляются в демилитаризованной зоне. Это означает, что на веб-сервере должен работать только веб-сервер. Telnet, FTP, а другие службы должны быть отключены. В системы следует устанавливать самые последние обновления и внимательно следить за их работой.

Во многих случаях маршрутизатор принадлежит провайдеру и управляется им. Если это так, могут возникнуть трудности со сменой фильтров или их правильной настройкой. Если владельцем и субъектом управления маршрутизатора является организация-клиент, то эта проблема сводится к минимуму. Однако следует иметь в виду, что на маршрутизаторах часто используются элементы управления, работающие из командной строки, и для правильной работы фильтров их необходимо корректно настраивать и располагать в правильном порядке.

Один межсетевой экран

Для создания демилитаризованной зоны может использоваться один межсетевой экран. При этом DMZ отделяется от внешней сети, как показано на рис. 16.10. Внешняя сеть формируется маршрутизатором ISP и маршрутизатором. DMZ реализуется на третьем интерфейсе межсетевого экрана. Межсетевой экран самостоятельно контролирует доступ к демилитаризованной зоне.

Рис. 16.10.  Архитектура демилитаризованной зоны с одним межсетевым экраном

При использовании архитектуры с одним межсетевым экраном весь трафик принудительно проходит через межсетевой экран. Межсетевой экран должен быть настроен на пропуск трафика для определенных служб на каждой системе DMZ. На межсетевом экране также следует вести журналы для фиксации данных о трафике, как пропущенном, так и заблокированном.

Межсетевой экран представляет собой единственную точку сбоя и потенциальное "узкое место" для трафика. Если ключевым аспектом безопасности общей архитектуры сети является доступность, межсетевой экран должен быть настроен на обход ошибок. Аналогично, если предполагается, что DMZ будет принимать большой объем трафика, межсетевой экран должен уметь обрабатывать этот трафик, а также трафик, исходящий из внутренней сети и направленный в интернет.

Администрирование рассматриваемой архитектуры упрощено относительно маршрутизатора и межсетевого экрана, так как только межсетевой экран настраивается на разрешение или запрет прохождения трафика. Маршрутизатор не требует использования фильтров, хотя некоторые функции фильтрации могут сделать межсетевой экран более эффективным. Кроме того, системы в демилитаризованной зоне в некоторой степени защищены межсетевым экраном, и поэтому задача по их полной защите упрощается. Однако ошибочно полагать, что в DMZ могут находиться незащищенные системы. Здесь лишь говорится о том, что межсетевой экран обеспечивает защиту таким же образом, как фильтрующий маршрутизатор и, в некоторой степени, исключает необходимость удаления ненужных служб.

Два межсетевых экрана

Третья архитектура демилитаризованной зоны изображена на рис. 16.11. Здесь используются два межсетевых экрана для отделения DMZ от внешней и внутренней сети. Внешняя сеть по-прежнему находится между маршрутизатором провайдера и первым межсетевым экраном. Демилитаризованная зона теперь располагается между межсетевыми экранами 1 и 2. Межсетевой экран 1 настроен на разрешение прохождения всего трафика DMZ, а также всего внутреннего трафика. Конфигурация межсетевого экрана 2 более ограничительна и предусматривает только пропуск исходящего трафика в интернет.

Архитектура с двумя межсетевыми экранами требует, чтобы межсетевой экран 1 мог обрабатывать достаточный объем трафика, если системы в DMZ будут работать с большим объемом трафика. Межсетевой экран 2 может быть менее производительной системой, так как он обрабатывает только внутренний трафик. Кроме того, межсетевые экраны бывают двух различных типов.

Такая конфигурация повышает общий уровень безопасности, так как одна единственная атака вряд ли приведет к злоумышленному воздействию на оба межсетевых экрана. По аналогии с системами, имеющими один межсетевой экран, системы DMZ защищены от интернета межсетевым экраном 1.

Пара межсетевых экранов повышает стоимость архитектуры и требует дополнительных усилий по управлению и настройке.

Рис. 16.11.  Архитектура демилитаризованной зоны с двумя межсетевыми экранами

Примечание

Для обеспечения еще большего уровня защиты на каждой системе в DMZ можно установить межсетевые экраны или системы обнаружения вторжений узлового уровня. В этом случае взлом одной системы в DMZ не позволит злоумышленнику получить неограниченный доступ к другим системам в DMZ

 

ПОНЯТИЕ ТРАНСЛЯЦИИ СЕТЕВЫХ АДРЕСОВ

На первый взгляд IP-адресация не является обширной темой, которой можно посвятить целую книгу. Адресация систем является только вопросом администрирования. Что ж, это не совсем так. В любой организации, планирующей установить межсетевой экран, приходится считаться с вопросами адресации. Действительно, адресация, недостаточно хорошо продуманная и настроенная, может вызвать множество проблем. Корень всех бед заключается в недостатке разрядов IP-адреса. Дело в том, что количество знакомых нам 32-битных адресов, записываемых через точки (xxx.yyy.zzz.aaa), просто подходит к концу. По этой причине провайдеры предпочитают не выделять клиентам большие блоки адресов. Большая часть провайдеров предоставляет блоки от 16 до 32 адресов (что, по сути, означает от 14 до 30 адресов, если принимать в расчет адреса пересылки). Тридцати адресов недостаточно для небольшой организации, не говоря уж о средних и крупных компаниях. В большей части организаций присутствует более 30 систем. Так что же делать? Решением данной проблемы является трансляция сетевых адресов (NAT).

Что такое трансляция сетевых адресов?

NAT - это технология трансляции  одного или нескольких адресов в другие адреса. Каким же образом она может помочь? При построении сетей мы используем 30 (или около того) адресов, предоставляемых провайдером, которые должны быть видны из интернета. Внутри сети мы используем адреса, невидимые из внешней среды, но являющиеся транслированными для связи с интернетом.