Budowanie bezpiecznej strefy zdemilitaryzowanej
21 stycznia 2008 10:13
Kamil Folga
Dostarczenie użytkownikom dostępu do internetu jest całkiem łatwe. Przeważnie zapewniamy im ochronę przed światem zewnętrznym w postaci zapory ogniowej. Kłopoty pojawiają się, gdy dopuszczamy gości do sieci korporacyjnej. Zupełnie świadomie chronimy ich przy wykorzystaniu wspólnej zapory ogniowej. Niezależnie od zastosowanej metody uwierzytelniania, musimy mieć pewność, że tacy użytkownicy uzyskują dostęp wyłącznie do wskazanych aplikacji. Jeżeli utworzymy dwie niezależne sieci - dla użytkowników wewnętrznych i zewnętrznych - będzie to idealne rozwiązanie. Tu z pomocą przychodzi nam rozwiązanie DMZ (strefa zdemilitaryzowana). Utworzenie jednej lub więcej stref DMZ może stanowić doskonałą technikę bezpieczeństwa.
Najłatwiejszym rozwiązaniem jest umieszczenie DMZ poza zaporą ogniową chroniącą wewnętrzną sieć użytkowników. Użytkownicy zewnętrzni uzyskują w ten sposób dostęp do połączeń z internetem. Zapora ogniowa zapobiega przenikaniu ruchu z DMZ do sieci wewnętrznej, ale pozwala wewnętrznym użytkownikom na dostęp do internetu. Nie sugerujemy tego rozwiązania z dwóch powodów. Nie możemy ustanowić nawet niskiego poziomu bezpieczeństwa dla dostępu do naszych publicznych serwerów za pomocą wykorzystywanej zapory. Komputery ze strefy DMZ mogą komunikować się z serwerami bez pośrednictwa zapory. Istnieje możliwość kontroli tego ruchu jedynie na ruterze przyłączonym bezpośrednio do ISP. Dodatkowym problemem jest ruch od użytkowników wewnętrznych przechodzący przez strefę zdemilitaryzowaną, która znajduje się na drodze do Internetu. Jeżeli serwer DMZ zostanie skompromitowany, łatwiej będzie przeprowadzić przykładowy atak "Man-In-The-Middle" Taka konfiguracja jest często nazywana architektura DMZ podwójnej zapory. Pierwsza zapora powinna pozwalać na ruch przeznaczony zarówno dla sieci wewnętrznej oraz DMZ. Druga zapora pozwala na ruch przeznaczony dla wewnętrznej sieci, który nie pochodzi z DMZ.
Bezpieczniejszym rozwiązaniem jest umieszczenie DMZ poza zaporą ogniową, ale w takim miejscu, które nie będzie pośredniczyło w bezpośrednim ruchu użytkowników wewnętrznych. Można to zrealizować przez podłączenie serwera DMZ do odseparowanego interfejsu rutera, bezpośrednio przyłączonego do Internetu. Ochronę nadal zapewniał będzie wyłącznie ruter, ale ruch sieci wewnętrznej nie będzie podróżował przez DMZ. Dodatkowo ruter może zapewniać filtrację pomiędzy sieciami.
Najbardziej bezpiecznym i znanym rozwiązaniem jest umieszczenie DMZ za zaporą ogniową, wyposażoną w trzy interfejsy sieciowe. W celu zwiększenie bezpieczeństwa, interfejsy wykorzystywane są na strefę DMZ, połączenie do Internetu oraz sieć wewnętrzną. Architektura taka określana jest mianem DMZ pojedynczej zapory. Zapora staje się jedynym punktem inteligentnej sieci i musi przetwarzać cały ruch przesyłany zarówno do DMZ oraz wewnętrznej sieci. Umożliwia to uzyskanie pełnej ochrony ruchu na zaporze ogniowej. Typowa konfiguracja przypisuje do każdego interfejsu poziom bezpieczeństwa, a następnie definiuje mniej i bardziej bezpieczne interfejsy. Zapora ogniowa powinna pozwalać na ruch z bardziej bezpiecznej do mniej bezpiecznej sieci, ale nie w kierunku przeciwnym. Warto upewnić się przed dokonaniem wdrożenia, że każda wykorzystywana aplikacja pracuje poprawnie w takiej konfiguracji. Być może trzeba będzie usunąć część zabezpieczeń i narazić sieć na ryzyko utraty integralności.
Jedną z metod chroniącą serwery przed skompromitowaniem jest wykorzystanie wielokrotnego DMZ. Realizacja takiego scenariusza nie stanowi problemu, gdy nasza zapora ogniowa wspiera wystarczającą liczbę interfejsów. Powinniśmy stworzyć kilka stref DMZ, z różnymi poziomami bezpieczeństwa, w zależności od wspieranych usług. Dzięki izolacji pomiędzy strefami, wpływ zagrożeń jest znacznie zredukowany. Istnieje także wersja ekstremalna tego rozwiązania. Jeden DMZ przeznaczony na jeden serwer jest prawdopodobnie najbardziej bezpieczną opcją, ale w rzeczywistości najmniej praktyczną. Alternatywą jest segregacja portów poprzez konfiguracją VLAN, które logicznie izolują każdy port przełącznika.
***
Tekst powstał na podstawie materiałów TechWold.com
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...