Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Топология сети с нейтральной зоной(DMZ).

Рубрика: Безопасность -> Топология сети
Метки:
Четверг, 5 февраля 2009 г.
Просмотров: 9057

В сети любого предприятия наверняка есть обыкновенные рабочие станции (в частности, ком­пьютеры пользователей 1С, пользующихся услугами какого-то внутреннего сервера локальной сети) и узлы, предоставляющие услуги интернет-поль­зователям, к примеру Web-сервер, DNS-сервер.

     Самое разумное решение - разделение этих двух групп компьютеров. Компьютеры, дающие услуги интернет-пользователям, помеща­ются в нейтральную зону (DMZ, Demilitarized Zone). Преимущества нейтральной зоны(DMZ) заключаются в следующем. Если, например, Web-сервер будет взломан, то дальше крекер не сможет «добраться» до других узлов сети. Вот как будет выглядеть данная топология сети.


     Компьютер (или аппаратное устройство) А, работающий под управлением Linux, исполняет роль шлюза/маршрутизатора/брандмауэра. Компьютер А оснащен тремя сетевыми интерфейсами вместо двух, как можно было бы по­думать.

     Внешний интерфейс предназначен для подключения к Интернету, а два локальных - занимаются разделением локальной сети на две час­ти. Такое решение делает еще одну преграду в системе безопасности сети для крекера, так как пакеты двух частей вполне разделены и для каж­дой части сети используются свои правила фильтрации пакетов. Эта то­пология известна как «треногая» топология сети (three-legged).

     Также в сети, кроме Web- и DNS-сервера, бывают и другие серверы. Это не означает, что все серверы сети нужно поместить в DMZ-зону. Внут­ренние серверы, такие как SMB/NFS и NIS-серверы, обычно отделяют от Web, FTP, DNS и почтовых серверов. Этими серверами могут воспользоваться как внутренние, так и внешние пользователи (интернет-пользователями).

     С точки зрения безопасности, самое неудач­ное решение - это запускать на одной машине все внешние сервисы (DNS, Web, FTP, SMTP/POP) . Конечно, это выгодно по деньгам, но, как говорится, скупой платит дважды.

     Получив доступ к такому комбинированному серверу, крекер может конт­ролировать все сервисы сети - DNS, Web, FTP и почту. А этого нельзя допустить. Следовательно, нужно для каждого сервиса использовать от­дельный компьютер: взломав, например DNS-сервер, крекер получит доступ только к этому сервису, а не ко всем остальным.

     Для каждого сервиса по большому счету нужно подбирать свой компьютер. В частности, для файлового сервера подойдет компьютер с жесткими дисками большого объема, а для сервера баз данных MySQL больше подойдет компьютер с большим объемом оперативной па­мяти и жестким диском SCSI умеренного объема (к примеру, 9-18 Гб).

     Внутренняя локальная сеть, показанная на рисунке, является довольно заурядной, но в это же время она может быть легко расширена при необ­ходимости.

     Чтобы увеличить число компьютеров внутренней сети, к коммутатору В можно подключить еще один коммутатор или концентратор. Для расширения сети лучше использовать коммутатор - его производитель­ность выше, а стоит он едва ли не столько же сколько и концентратор (это рань­ше хабы стоили намного дешевле). Обычно бюджет не дает возможности пользоваться технологией Gigabit Ethernet для всей сети, но все же не мешало бы использовать ее для «узких» мест сети: нейтральной зоны, соединения между сетями А и В, соединения внутренних серверов локальной сети с В. В этих местах поток трафика мак­симальный.

     Не нужно создавать других соединений между внутрен­ней сетью и нейтральной зоной (например, с целью увеличить скорость). От этого будут только проблемы с настройкой маршрутизатора и брандмауэра. Все машины внутренней сети подключаются к Интернету через коммутатор В и брандмауэр/маршрутизатор. Ник­то из пользователей не должен подключаться к Интернету с помощью модема - это убивает на корню все преимущества «треногой» модели и создает еще одну «дыру» в системе безопасности сети.

     Для повышения отказоустойчивости сети также можно подключить дополнительный сервер в сеть: в случае отказа или перегрузки основного сервера будет автоматом использоваться до­полнительный. Такая модель себя оправдывает, поскольку позволяет мини­мизировать время простоя, но требует дополнительной настройки програм­много обеспечения - вплоть до изменения таблиц маршрутизации.

     Беспроводный доступ крайне популярн­а в последнее время, поэтому есть вероятность того, что в сети будет хотя бы одна точка доступа. По своей природе беспроводные соединения - наиболее незащищенные, следовательно, ни в коем случае нельзя размещать точку доступа во внутренней сети, вместо этого нужно установить точку в нейтральной зоне. Для этого придется изменить некоторые правила брандмауэра.