Безопасность в Internet- Intranet



         

Типичный пример реализации системы защиты при доступе к Internet


Структура сети и ее вклад в политику защиты

Схема

При построении системы защиты очень важен выбор структуры сети. Правильный выбор структуры сети обычно облегчает разработку политики безопасности и управлении firewall и повышает устойчивость защиты. Во многих случаях неудачное размещение какого-либо сетевого объекта может создать трудности при контроле некоторых видов трафика и детектировании попыток взлома сети. Примерная схема сети компании, реализующей полнофункциональное подключение к Internet, приведена на рисунке. В некоторых случаях (где часть сервисов предоставляет провайдер) отдельные элементы схемы могут отсутствовать. Практически, реализация данной схемы не зависит от величины компании, важно только наличие или отсутствие соответствующих сетевых сервисов.

Распределенная DMZ и минимизация внутренних угроз

Одним из примеров решения по выбору структуры сети является размещение общедоступных серверов - Web, FTP, SMTP, DNS в распределенной демилитаризованной зоне. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. В достаточно крупной компании администратор не может контролировать все подключения к этим серверам, так как это заняло бы как минимум весь рабочий день. С другой стороны, именно эта часть системы подвержена наибольшему риску оказаться объектом атаки как по причине своей очевидной доступности, так и из-за массы известных и регулярно обнаруживаемых новых ошибок в реализации программ, обеспечивающих эти типы сервиса. Даже при безупречном программном обеспечении существуют некоторые возможности прервать работу публичных серверов, используя особенности реализации стека TCP/IP. Так или иначе, даже если администраторы сети постоянно следят за всеми публикациями об обнаруженных ошибках и устанавливают все выпускаемые "заплатки", нет никакой гарантии, что некто не сможет получить доступ к открытым серверам. Пока единственной гарантией может служить только полная изоляция сервера.

Поэтому все доступные извнесерверы обычно размещают в специально отведенной только для них зоне так, чтобы в худшем случае под угрозой оказался только один участок сети. Еще более предпочтительным вариантом является подключение каждого из открытых серверов на отдельный сетевой интерфейс firewall. Это дает возможность со стопроцентной уверенностью контролировать весь трафик такого сервера и гарантирует защиту одного открытого сервера от другого в случае нарушения безопасности одного из них. В случае размещения всех серверов в одной сети такой возможности не существует, и, получив доступ к одной из машин, нарушить работу остальных достаточно просто.




Содержание  Назад  Вперед