Раздел: Документация
0 ... 27 28 29 30 31 32 33 ... 125 трафик между локальной сетью и Internet даже в случае неработоспособности proxy-сервера. Поэтому на нем достаточно всего одного сетевого адаптера, дающего ему возможность взаимодействовать и с клиентами в локальной сети, и с внешним маршрутизатором. Применение в межсетевом экране демилитаризованной зоны дает еще одно преимущество. После установки proxy-сервера на двухканальном компьютере вы неизбежно заметите некоторое замедление работы с Internet из локальной сети. Это связано с тем, что компьютеры и стандартные операционные системы не предназначены для оптимизации сетевого обмена. Обычный компьютер выполняет множество других задач, например запускает пользовательские приложения или управляет периферийными устройствами, такими как клавиатура или принтер. Маршрутизатор же, наоборот, разработан для обеспечения максимальной пропускной способности. Его не касаются очереди доступа к диску, запуск программ или вывод графики на монитор. Вместо этого он следит за подключенными к нему сетевыми интерфейсами и делает все возможное для того, чтобы быстрее доставить пакеты по назначению. На рис. 4.5 показано, что демилитаризованная зона может содержать несколько proxy-серверов. Используя несколько компьютеров (возможно, даже по компьютеру для каждой из служб), вы обнаружите, что управлять ими становится намного проще. При большой нагрузке на службы, работающие через proxy-серверы, применение нескольких серверов также позволит повысить скорость и эффективность обслуживания. В демилитаризованную зону можно поместить и некоторые другие типы узлов. Так, подключив Web-сервер, если он у вас есть, к Internet напрямую, вы будете полагаться только на его собственные механизмы безопасности для защиты от возможных атак. Но вы значительно усилите его защищенность, если вынесете его в демилитаризованную зону. Маршрутизатор с фильтрацией пакетов, находящийся между демилитаризованной зоной и Internet, удается настроить так, чтобы пропускался трафик HTTP и блокировался доступ по FTP. Внутренний же маршрутизатор, соединяющий демилитаризованную зону с локальной сетью, можно настроить таким образом, что команде разработчиков Web-сайта будет разрешено загружать на него файлы при помощи FTP. Для размещения в демилитаризованной зоне прекрасно подходит и модемный сервер. Не глупо ли иметь модемы на компьютерах в локальной сети после того, как вы потратили столько средств и усилий на установку и управление межсетевым экраном? Модем на одном из пользовательских компьютеров представляет собой «черный вход» в вашу сеть и способен подорвать всю вашу систему безопасности. Безопасность сети определяется самым слабым звеном! Вы, конечно, можете ввести строгую систему паролей и считать, что учетные записи пользователей абсолютно устойчивы к взлому. Но стоит ли рисковать? Если вам когда-либо приходилось увольнять нерадивых сотрудников, вы должны понимать суть проблемы. Даже заблокировав учетную запись пользователя, чтобы он не мог больше подключиться к сети по модему, нельзя быть абсолютно уверенным в том, что он не узнал пароли других пользователей. Цепочка экранированных подсетей Можно расширить концепцию экранированной подсети, поместив между локальной сетью и Internet несколько экранированных подсетей — например, с помощью трех, а не двух маршрутизаторов создать не одну, а две экранированные подсети. Внешняя подсеть, будучи наиболее уязвимой, больше подходит для размещения серверов, в отношении которых требования к надежности или безопасности не очень велики. Во внутренней экранированной подсети лучше расположить серверы, нуждающиеся в дополнительной защите. Чтобы такая схема работала, маршрутизаторы должны иметь разные наборы правил фильтрации пакетов. Иначе пройти второй маршрутизатор будет столь же просто, как и первый, и т.д. Кроме того, обычно в различных экранированных подсетях устанавливают разные межсетевые экраны (пакетные фильтры или proxy-серверы). Почему? Задача хакера усложняется, если для взлома каждого следующего компонента межсетевого экрана ему приходится начинать работу заново. Применение укрепленных и «беззащитных» компьютеров При выборе архитектуры экранированной подсети следует иметь в виду, что размещенные в демилитаризованной зоне proxy-серверы, должны быть в полной безопасности. В то время как клиенты в локальной сети защищены от прямого доступа из Internet, proxy-серверы специально предназначены для его реализации. Хотя пакетный фильтр и обеспечивает определенную защиту ргоху-серверов, он не в состоянии оградить их от всех возможных опасностей. Поэтому надо сделать все возможное для того, чтобы эти компьютеры могли выдержать атаку из Internet, и использовать все защитные механизмы, предоставляемые системой. Более подробную информацию о программах защиты вы можете найти в приложении 2. Предназначенный для этой цели хост-компьютер обозначается термином bastion host (укрепленный узел). С него удаляются все ненужные приложения и службы и максимально активизируются средства защиты, предоставляемые операционной системой. Сам факт его большей, в сравнении с клиентами в локальной сети, уязвимости для атак из Internet означает, что нужно мобилизоватьвсе средства для усиления его собственной защиты. Более подробную информацию о программах защиты вы можете найти в приложении 2. В отличие от рабочих станций или серверов в локальной сети, укрепленный узел рискует подвергнуться атаке любого потенциального нарушителя из Internet. Поскольку укрепленный узел находится в демилитаризованной зоне, для его успешной работы жизненно важно задействовать механизмы защиты операционной системы. В демилитаризованную зону могут также помещаться системы другого типа, которые являются в своем роде противоположными укрепленным узлам. Sacrificial host (беззащитный узел) служит в качестве приманки для предполагаемых хакеров. Вместо того, чтобы предотвращать попытки вторжения потенциальных нарушителей, он разрешает им проникнуть в систему и в большинстве случаев отслеживает их действия, записывая информацию, которая впоследствии может оказаться полезной для поиска злоумышленника или усиления защиты сети. Еще одно преимущество подобных узлов: они позволяют отвлечь усилия хакеров от попыток взлома более важных узлов в сети. Создание беззащитного узла не требует больших затрат. Поскольку этот компьютер не будет рабочим, он не обязательно должен обладать быстрым процессором Регистрируйте активность на всех узлах в демилитаризованной зоне Поскольку укрепленные узлы обычно находятся в демилитаризованной зоне, они больше других подвержены атакам. Какие бы меры для защиты укрепленного узла вы не приняли, удаляя все ненужные службы и приложения и используя все имеющиеся механизмы защиты операционной системы, никогда не думайте, что вам удалось полностью обезопасить его. Поэтому следует регулярно просматривать log-файлы операционной системы и proxy-серверов, чтобы обнаружить любое нежелательное проникновение до того, как оно превратится в серьезную проблему. Для систем UNIX можно также воспользоваться такими продуктами, как Tripwire. Эта программа вычисляет хэш-функции важных системных файлов и проверяет, не были ли они изменены. Если нарушителю удалось проникнуть на укрепленный узел и поместить на него «троянского коня» или изменить важный файл, программа обычно обнаруживает это. Вы можете загрузить бесплатную версию Tripwire с ftp://coast.cs.purdue.edu/pub/ COAST/Tnpwire или приобрести Коммерческую версию Tripwire у компании Tripwire Security Systems, Inc, Web-сайт которой находится по адресу http:// www.tripwiresecuritv.com. 0 ... 27 28 29 30 31 32 33 ... 125
|