Wiadomości

Budowanie bezpiecznej strefy zdemilitaryzowanej

21 stycznia 2008 10:13,
Kamil Folga

Dostarczenie użytkownikom dostępu do internetu jest całkiem łatwe. Przeważnie zapewniamy im ochronę przed światem zewnętrznym w postaci zapory ogniowej. Kłopoty pojawiają się, gdy dopuszczamy gości do sieci korporacyjnej. Zupełnie świadomie chronimy ich przy wykorzystaniu wspólnej zapory ogniowej. Niezależnie od zastosowanej metody uwierzytelniania, musimy mieć pewność, że tacy użytkownicy uzyskują dostęp wyłącznie do wskazanych aplikacji. Jeżeli utworzymy dwie niezależne sieci - dla użytkowników wewnętrznych i zewnętrznych - będzie to idealne rozwiązanie. Tu z pomocą przychodzi nam rozwiązanie DMZ (strefa zdemilitaryzowana). Utworzenie jednej lub więcej stref DMZ może stanowić doskonałą technikę bezpieczeństwa.

Najłatwiejszym rozwiązaniem jest umieszczenie DMZ poza zaporą ogniową chroniącą wewnętrzną sieć użytkowników. Użytkownicy zewnętrzni uzyskują w ten sposób dostęp do połączeń z internetem. Zapora ogniowa zapobiega przenikaniu ruchu z DMZ do sieci wewnętrznej, ale pozwala wewnętrznym użytkownikom na dostęp do internetu. Nie sugerujemy tego rozwiązania z dwóch powodów. Nie możemy ustanowić nawet niskiego poziomu bezpieczeństwa dla dostępu do naszych publicznych serwerów za pomocą wykorzystywanej zapory. Komputery ze strefy DMZ mogą komunikować się z serwerami bez pośrednictwa zapory. Istnieje możliwość kontroli tego ruchu jedynie na ruterze przyłączonym bezpośrednio do ISP. Dodatkowym problemem jest ruch od użytkowników wewnętrznych przechodzący przez strefę zdemilitaryzowaną, która znajduje się na drodze do Internetu. Jeżeli serwer DMZ zostanie skompromitowany, łatwiej będzie przeprowadzić przykładowy atak "Man-In-The-Middle" Taka konfiguracja jest często nazywana architektura DMZ podwójnej zapory. Pierwsza zapora powinna pozwalać na ruch przeznaczony zarówno dla sieci wewnętrznej oraz DMZ. Druga zapora pozwala na ruch przeznaczony dla wewnętrznej sieci, który nie pochodzi z DMZ.

Bezpieczniejszym rozwiązaniem jest umieszczenie DMZ poza zaporą ogniową, ale w takim miejscu, które nie będzie pośredniczyło w bezpośrednim ruchu użytkowników wewnętrznych. Można to zrealizować przez podłączenie serwera DMZ do odseparowanego interfejsu rutera, bezpośrednio przyłączonego do Internetu. Ochronę nadal zapewniał będzie wyłącznie ruter, ale ruch sieci wewnętrznej nie będzie podróżował przez DMZ. Dodatkowo ruter może zapewniać filtrację pomiędzy sieciami.

Najbardziej bezpiecznym i znanym rozwiązaniem jest umieszczenie DMZ za zaporą ogniową, wyposażoną w trzy interfejsy sieciowe. W celu zwiększenie bezpieczeństwa, interfejsy wykorzystywane są na strefę DMZ, połączenie do Internetu oraz sieć wewnętrzną. Architektura taka określana jest mianem DMZ pojedynczej zapory. Zapora staje się jedynym punktem inteligentnej sieci i musi przetwarzać cały ruch przesyłany zarówno do DMZ oraz wewnętrznej sieci. Umożliwia to uzyskanie pełnej ochrony ruchu na zaporze ogniowej. Typowa konfiguracja przypisuje do każdego interfejsu poziom bezpieczeństwa, a następnie definiuje mniej i bardziej bezpieczne interfejsy. Zapora ogniowa powinna pozwalać na ruch z bardziej bezpiecznej do mniej bezpiecznej sieci, ale nie w kierunku przeciwnym. Warto upewnić się przed dokonaniem wdrożenia, że każda wykorzystywana aplikacja pracuje poprawnie w takiej konfiguracji. Być może trzeba będzie usunąć część zabezpieczeń i narazić sieć na ryzyko utraty integralności.

Jedną z metod chroniącą serwery przed skompromitowaniem jest wykorzystanie wielokrotnego DMZ. Realizacja takiego scenariusza nie stanowi problemu, gdy nasza zapora ogniowa wspiera wystarczającą liczbę interfejsów. Powinniśmy stworzyć kilka stref DMZ, z różnymi poziomami bezpieczeństwa, w zależności od wspieranych usług. Dzięki izolacji pomiędzy strefami, wpływ zagrożeń jest znacznie zredukowany. Istnieje także wersja ekstremalna tego rozwiązania. Jeden DMZ przeznaczony na jeden serwer jest prawdopodobnie najbardziej bezpieczną opcją, ale w rzeczywistości najmniej praktyczną. Alternatywą jest segregacja portów poprzez konfiguracją VLAN, które logicznie izolują każdy port przełącznika.

***
Tekst powstał na podstawie materiałów TechWold.com
Ocena:
Twoja ocena:

Komentarze (0)

Reklama

Huawei celuje w rynek biznesowy

Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.


Polecane

Koniec Windows XP początkiem problemów?

Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...


Spokój i luz administratora

Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...


04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2011 IDG Poland SA