Budowanie bezpiecznej strefy zdemilitaryzowanej
Dostarczenie użytkownikom dostępu do internetu jest całkiem łatwe. Przeważnie zapewniamy im ochronę przed światem zewnętrznym w postaci zapory ogniowej. Kłopoty pojawiają się, gdy dopuszczamy gości do sieci korporacyjnej. Zupełnie świadomie chronimy ich przy wykorzystaniu wspólnej zapory ogniowej. Niezależnie od zastosowanej metody uwierzytelniania, musimy mieć pewność, że tacy użytkownicy uzyskują dostęp wyłącznie do wskazanych aplikacji. Jeżeli utworzymy dwie niezależne sieci - dla użytkowników wewnętrznych i zewnętrznych - będzie to idealne rozwiązanie. Tu z pomocą przychodzi nam rozwiązanie DMZ (strefa zdemilitaryzowana). Utworzenie jednej lub więcej stref DMZ może stanowić doskonałą technikę bezpieczeństwa.
Bezpieczniejszym rozwiązaniem jest umieszczenie DMZ poza zaporą ogniową, ale w takim miejscu, które nie będzie pośredniczyło w bezpośrednim ruchu użytkowników wewnętrznych. Można to zrealizować przez podłączenie serwera DMZ do odseparowanego interfejsu rutera, bezpośrednio przyłączonego do Internetu. Ochronę nadal zapewniał będzie wyłącznie ruter, ale ruch sieci wewnętrznej nie będzie podróżował przez DMZ. Dodatkowo ruter może zapewniać filtrację pomiędzy sieciami.
Najbardziej bezpiecznym i znanym rozwiązaniem jest umieszczenie DMZ za zaporą ogniową, wyposażoną w trzy interfejsy sieciowe. W celu zwiększenie bezpieczeństwa, interfejsy wykorzystywane są na strefę DMZ, połączenie do Internetu oraz sieć wewnętrzną. Architektura taka określana jest mianem DMZ pojedynczej zapory. Zapora staje się jedynym punktem inteligentnej sieci i musi przetwarzać cały ruch przesyłany zarówno do DMZ oraz wewnętrznej sieci. Umożliwia to uzyskanie pełnej ochrony ruchu na zaporze ogniowej. Typowa konfiguracja przypisuje do każdego interfejsu poziom bezpieczeństwa, a następnie definiuje mniej i bardziej bezpieczne interfejsy. Zapora ogniowa powinna pozwalać na ruch z bardziej bezpiecznej do mniej bezpiecznej sieci, ale nie w kierunku przeciwnym. Warto upewnić się przed dokonaniem wdrożenia, że każda wykorzystywana aplikacja pracuje poprawnie w takiej konfiguracji. Być może trzeba będzie usunąć część zabezpieczeń i narazić sieć na ryzyko utraty integralności.
Jedną z metod chroniącą serwery przed skompromitowaniem jest wykorzystanie wielokrotnego DMZ. Realizacja takiego scenariusza nie stanowi problemu, gdy nasza zapora ogniowa wspiera wystarczającą liczbę interfejsów. Powinniśmy stworzyć kilka stref DMZ, z różnymi poziomami bezpieczeństwa, w zależności od wspieranych usług. Dzięki izolacji pomiędzy strefami, wpływ zagrożeń jest znacznie zredukowany. Istnieje także wersja ekstremalna tego rozwiązania. Jeden DMZ przeznaczony na jeden serwer jest prawdopodobnie najbardziej bezpieczną opcją, ale w rzeczywistości najmniej praktyczną. Alternatywą jest segregacja portów poprzez konfiguracją VLAN, które logicznie izolują każdy port przełącznika.
***
Tekst powstał na podstawie materiałów TechWold.com
Komentarze (0)
- Skanery WiFi na platformę Android
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- MDT 2012: Microsoft aktualizuje Deployment Toolkit
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...