Η κατανόηση της τεχνολογίας DMZ σε σχέση με τους δρομολογητές είναι αρκετά απλή. Εάν ένα πακέτο φτάσει από το «εξωτερικό» δίκτυο στη διεύθυνση IP του δρομολογητή, δηλαδή στην «εξωτερική» IP, τότε μεταδίδεται χωρίς αλλαγές στη διεύθυνση του τοπικού μηχανήματος. Και αντίστροφα: οποιοδήποτε πακέτο στέλνετε φαίνεται "από έξω" σαν να στάλθηκε από δρομολογητή IP. Σε αυτήν την περίπτωση, η τιμή της διεύθυνσης αλλάζει (σωστά λέγεται: "μετάδοση"), αλλά η τιμή της θύρας (στο ζεύγος θύρας διεύθυνσης IP: θύρα) δεν αλλάζει. Αυτό είναι το DMZ. Είναι πιο δύσκολο να καταλάβουμε γιατί το DMZ βρίσκεται σε έναν δρομολογητή (δηλαδή, όταν είναι απαραίτητο να το ενεργοποιήσετε, όταν δεν είναι).

Στην πραγματικότητα, η υπηρεσία DMZ χρειάζεται προγράμματα όπως το ICQ, το Skype και το u-Torrent. Εάν ο υπολογιστής είναι συνδεδεμένος "απευθείας" στον πάροχο (δηλαδή, χωρίς δρομολογητή), δεν απαιτείται DMZ. Αλλά αν έχετε δρομολογητή, απλά πρέπει να ρυθμίσετε τα πάντα (όπως θα συζητηθεί) και δεν θα προκύψουν προβλήματα. Η τεχνολογία DMZ είναι πολύ απλή. Αλλά πρέπει να πληρώσετε για αυτό. Ένας υπολογιστής μπορεί να λειτουργήσει μαζί του έχοντας μόνο μια «στατική» διεύθυνση IP. Πρώτα από όλα, ας το ρυθμίσουμε.

Ρύθμιση του υπολογιστή σας

Μεταβείτε στο φάκελο "Συνδέσεις δικτύου". Εδώ, αναζητούμε "σύνδεση" με το δρομολογητή ("τοπική σύνδεση", "ασύρματη σύνδεση"). Κάντε δεξί κλικ, ανοίγετε τις "Ιδιότητες".

Στις «Ιδιότητες» του πρωτοκόλλου TCP/IP (v4), πρέπει να το διαμορφώσετε ως εξής:

Δηλαδή, γνωρίζετε τη διεύθυνση της διεπαφής ιστού - στη συνέχεια προσδιορίστε την ως πύλη για έναν υπολογιστή - βρείτε έναν αριθμό (από το 2 έως το 49) και αφήστε τη μάσκα με το τελευταίο "0". Στο παράδειγμά μας, η IP του δρομολογητή ήταν 192.168.0.1 (και καταλήξαμε σε μια IP για τον υπολογιστή: 192.168.0.13).

Κάντε κλικ στο "OK" και η ρύθμιση του υπολογιστή για το DMZ έχει ολοκληρωθεί.

Λυρική παρέκβαση

Οποιοσδήποτε δρομολογητής έχει διακομιστή DHCP. «Διανέμει» τις διευθύνσεις IP τους σε όλους τους υπολογιστές (όπως το 192.168.0.xx, στο παράδειγμα για έναν δρομολογητή με IP 192.168.0.1). Το εύρος των διευθύνσεων που εκδίδονται από το DHCP μπορεί να αλλάξει (από προεπιλογή είναι 100-200 ή 50-200). Όλα όσα έπρεπε να ειπωθούν έχουν ήδη ειπωθεί. Δηλαδή, είναι δυνατό να βρείτε μια "στατική" θύρα για έναν υπολογιστή, αλλά χωρίς να παρασυρθείτε με μεγάλες τιμές. Και μέχρι το "50" θα είναι αρκετό.

Η εγκατάσταση γίνεται σε κάθε υπολογιστή, δεν έχει διαφορά αν είναι συνδεδεμένος στο router «μέσω wi-fi» ή «ενσύρματο». Αυτό γίνεται σε εκείνους τους υπολογιστές που απαιτούν DMZ (τα υπόλοιπα μπορούν να μείνουν στο "αυτόματο"). Ανά πάσα στιγμή, μέσω DMZ, μόνο ένας υπολογιστής στο τοπικό σας δίκτυο μπορεί να λειτουργήσει (και ποιος από αυτούς έχει ρυθμιστεί ακριβώς στις ρυθμίσεις του δρομολογητή).

Ρύθμιση του δρομολογητή

Πηγαίνουμε στην καρτέλα που είναι υπεύθυνη για το DMZ. Διαφορετικοί δρομολογητές έχουν διαφορετικά ονόματα, "Advanced" -> "DMZ" ή "Advanced" -> "Firewall-DMZ":

Το θέμα είναι να ενεργοποιήσετε αυτήν την υπηρεσία (δηλαδή, επιλέξτε "Ενεργοποιημένο" στο "DMZ"). Και - ορίστε τη διεύθυνση IP του υπολογιστή που λειτουργεί μέσω DMZ. Στο παράδειγμά μας: 192.168.0.13 (όπως καταλήξαμε νωρίτερα). Αφού κάνετε κλικ στο κουμπί "Εφαρμογή" ή "Αποθήκευση" και κάνετε επανεκκίνηση, η υπηρεσία DMZ λειτουργεί.

Και - τι τώρα;

Οποιοδήποτε πρόγραμμα που χρησιμοποιεί σύνδεση σε «εξωτερικό» δίκτυο θα πιστεύει ότι εκτελείται σε υπολογιστή με «εξωτερική» IP (που εκδίδεται από τον ISP σας). Τι - το ίδιο σαν να συνδέσατε μια κάρτα δικτύου υπολογιστή στο "καλώδιο" του παρόχου (χωρίς δρομολογητές).

Προγράμματα όπως το uTorrent και το ICQ "αρέσουν" αυτό. Όλα όσα δούλευαν πριν (χωρίς δρομολογητή) θα λειτουργήσουν. Ταυτόχρονα, η υπηρεσία DMZ θα παρέχει περισσότερες ευκαιρίες για επιθέσεις από το δίκτυο. Γι' αυτό, στον ίδιο τον υπολογιστή, πρέπει να υπάρχει τείχος προστασίας (τείχος προστασίας ή τείχος προστασίας). Αλλά αυτό είναι μια σύσταση.

Στην πραγματικότητα, το DMZ δεν είναι η πιο βολική υπηρεσία. Για παράδειγμα, έχετε την ίδια "λειτουργικότητα" εάν ενεργοποιήσετε την υπηρεσία UPNP. Τα περισσότερα σύγχρονα προγράμματα (ICQ έκδοση 6, νέο u-Torrent) μπορούν να λειτουργήσουν χρησιμοποιώντας UPNP (η έννοια είναι η ίδια), αλλά οι κάρτες δικτύου υπολογιστή δεν θα χρειαστεί να ρυθμιστούν. Εναπόκειται στον χρήστη να αποφασίσει ποιο είναι καλύτερο, DMZ ή UPNP.

Με την ευρεία χρήση του Διαδικτύου, υπάρχει ανάγκη να λυθεί το πρόβλημα της προστασίας των πληροφοριών και του τοπικού δικτύου συνολικά. Αυτό το ζήτημα προκύπτει ιδιαίτερα σημαντικά όταν μια εταιρεία διαθέτει δημόσια προσβάσιμες υπηρεσίες Διαδικτύου (διακομιστές web και ftp, υπηρεσίες email, ηλεκτρονικά καταστήματα), οι οποίες βρίσκονται σε ένα κοινό τοπικό δίκτυο.

Η πρόσβαση σε τέτοιους διακομιστές παρέχεται τις περισσότερες φορές ελεύθερα, δηλαδή, οποιοσδήποτε χρήστης μπορεί, χωρίς έλεγχο ταυτότητας με χρήση σύνδεσης και κωδικού πρόσβασης, να αποκτήσει πρόσβαση σε έναν πόρο που φιλοξενείται σε έναν διακομιστή web, σε τμήματα ενός διακομιστή ftp, ο διακομιστής αλληλογραφίας θα δέχεται αλληλογραφία από άλλους παρόμοιους διακομιστές αλληλογραφίας. Και δεν υπάρχει καμία εγγύηση ότι ο κακόβουλος κώδικας δεν θα καταλήξει στον διακομιστή μαζί με την αλληλογραφία και ότι μεταξύ εκατοντάδων χρηστών δεν θα υπάρχει κάποιος που θέλει, για οποιονδήποτε λόγο, να αποκτήσει πρόσβαση όχι μόνο σε δημόσιες υπηρεσίες, αλλά και σε τοπικό δίκτυο του οργανισμού. Και αν το δίκτυο είναι χτισμένο σε απλούς συγκεντρωτές (hubs), και όχι σε διακόπτες (διακόπτες), τότε θα εκτεθεί σε μεγάλο κίνδυνο.

Χακάροντας έναν από τους υπολογιστές, ένας χάκερ μπορεί να αποκτήσει πρόσβαση σε ολόκληρο το δίκτυο

Τι είναι αυτό; Έχοντας αποκτήσει πρόσβαση σε τουλάχιστον έναν υπολογιστή στο τοπικό δίκτυο, ένας χάκερ μπορεί να αποκτήσει κωδικούς πρόσβασης μέχρι τον κωδικό πρόσβασης διαχειριστή, που θα του επιτρέψουν να αποκτήσει πρόσβαση σε οποιαδήποτε πληροφορία που κυκλοφορεί ή είναι αποθηκευμένη στο δίκτυο, αλλάζει τους κωδικούς πρόσβασης με τέτοιο τρόπο ώστε Οι βάσεις δεδομένων θα είναι απρόσιτες ή απλώς θα αφαιρεθούν εκτός λειτουργίας. Επιπλέον, έχοντας αποκτήσει πρόσβαση σε έναν διακομιστή ιστού, μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων DoS, οι οποίες μπορούν να εμποδίσουν τη λειτουργικότητα όλων των εσωτερικών εταιρικών πόρων.

Επομένως, η προσέγγιση για την κατασκευή συστημάτων που περιλαμβάνουν δημόσιους διακομιστές θα πρέπει να είναι διαφορετική από την προσέγγιση για την κατασκευή συστημάτων που βασίζονται σε εσωτερικούς διακομιστές. Αυτό υπαγορεύεται από συγκεκριμένους κινδύνους που προκύπτουν λόγω της δημόσιας διαθεσιμότητας του διακομιστή. Η λύση είναι να χωρίσετε το τοπικό δίκτυο και τους δημόσιους διακομιστές σε ξεχωριστά μέρη. Αυτή στην οποία θα βρίσκονται οι δημόσιες υπηρεσίες ονομάζεται «αποστρατιωτικοποιημένη ζώνη» ( DMZ - Αποστρατιωτικοποιημένη Ζώνη).

Εικόνα 13.2 – Σχέδιο τοπικού δικτύου με αποστρατιωτικοποιημένη ζώνη

Η ουσία του DMZ είναι ότι δεν περιλαμβάνεται άμεσα ούτε στο εσωτερικό ούτε στο εξωτερικό δίκτυο και η πρόσβαση σε αυτό μπορεί να πραγματοποιηθεί μόνο σύμφωνα με προκαθορισμένους κανόνες τείχους προστασίας. Δεν υπάρχουν χρήστες στο DMZ - μόνο διακομιστές βρίσκονται εκεί. Μια αποστρατιωτικοποιημένη ζώνη συνήθως χρησιμεύει για να εμποδίζει την πρόσβαση από το εξωτερικό δίκτυο σε κεντρικούς υπολογιστές στο εσωτερικό δίκτυο μεταφέροντας όλες τις υπηρεσίες που απαιτούν πρόσβαση από το εξωτερικό από το τοπικό δίκτυο σε μια ειδική ζώνη. Στην πραγματικότητα, αποδεικνύεται ότι αυτή η ζώνη θα είναι ένα ξεχωριστό υποδίκτυο με δημόσιες διευθύνσεις, προστατευμένες (ή διαχωρισμένες) από δημόσια και εταιρικά δίκτυα με τείχη προστασίας.

Κατά τη δημιουργία μιας τέτοιας ζώνης, οι διαχειριστές εταιρικού δικτύου αντιμετωπίζουν πρόσθετες εργασίες. Είναι απαραίτητο να διασφαλιστεί η διαφοροποίηση της πρόσβασης σε πόρους και διακομιστές που βρίσκονται στο DMZ, να διασφαλιστεί η εμπιστευτικότητα των πληροφοριών που μεταδίδονται όταν οι χρήστες εργάζονται με αυτούς τους πόρους και να παρακολουθούνται οι ενέργειες των χρηστών. Όσον αφορά τις πληροφορίες που ενδέχεται να βρίσκονται στους διακομιστές, μπορούμε να πούμε τα εξής. Λαμβάνοντας υπόψη ότι οι δημόσιες υπηρεσίες μπορούν να παραβιαστούν, οι λιγότερο σημαντικές πληροφορίες θα πρέπει να βρίσκονται σε αυτές και κάθε πολύτιμη πληροφορία θα πρέπει να βρίσκεται αποκλειστικά στο τοπικό δίκτυο, το οποίο δεν θα είναι προσβάσιμο από δημόσιους διακομιστές.

Σε διακομιστές που βρίσκονται στο DMZ δεν πρέπει να υπάρχουν πληροφορίες σχετικά με τους χρήστες, τους πελάτες της εταιρείας ή άλλες εμπιστευτικές πληροφορίες, δεν θα πρέπει να υπάρχουν προσωπικά γραμματοκιβώτια υπαλλήλων - όλα αυτά θα πρέπει να είναι "κρυμμένα" με ασφάλεια σε ένα ασφαλές μέρος του τοπικού δικτύου. Και για τις πληροφορίες που θα είναι διαθέσιμες στους δημόσιους διακομιστές, είναι απαραίτητο να προβλεφθεί η αρχειοθέτηση αντιγράφων ασφαλείας με τη μικρότερη δυνατή συχνότητα. Επιπλέον, συνιστάται στους διακομιστές αλληλογραφίας να χρησιμοποιούν τουλάχιστον ένα μοντέλο υπηρεσίας δύο διακομιστών και στους διακομιστές ιστού να παρακολουθούν συνεχώς την κατάσταση των πληροφοριών για τον έγκαιρο εντοπισμό και την εξάλειψη των συνεπειών της εισβολής.

Η χρήση τείχους προστασίας είναι υποχρεωτική κατά τη δημιουργία ενός DMZ

Τα τείχη προστασίας χρησιμοποιούνται για την προστασία της διείσδυσης μέσω της αποστρατιωτικοποιημένης ζώνης στο εταιρικό δίκτυο. Υπάρχουν οθόνες λογισμικού και υλικού. Τα προγράμματα λογισμικού απαιτούν μηχάνημα με UNIX ή Windows NT/2000. Για να εγκαταστήσετε ένα τείχος προστασίας υλικού, χρειάζεται μόνο να το συνδέσετε στο δίκτυο και να εκτελέσετε ελάχιστη διαμόρφωση. Συνήθως, οι οθόνες λογισμικού χρησιμοποιούνται για την προστασία μικρών δικτύων όπου δεν χρειάζεται να γίνουν πολλές ρυθμίσεις που σχετίζονται με την ευέλικτη κατανομή του εύρους ζώνης και τους περιορισμούς κυκλοφορίας ανά πρωτόκολλο για τους χρήστες. Εάν το δίκτυο είναι μεγάλο και απαιτείται υψηλή απόδοση, γίνεται πιο κερδοφόρο να χρησιμοποιείτε τείχη προστασίας υλικού. Σε πολλές περιπτώσεις, χρησιμοποιούνται όχι ένα, αλλά δύο τείχη προστασίας - το ένα προστατεύει την αποστρατιωτικοποιημένη ζώνη από εξωτερική επιρροή, το δεύτερο τη χωρίζει από το εσωτερικό τμήμα του εταιρικού δικτύου.

Αλλά εκτός από το γεγονός ότι η μετακίνηση των δημόσιων διακομιστών σε μια αποστρατιωτικοποιημένη ζώνη προστατεύει το εταιρικό δίκτυο σε κάποιο βαθμό, είναι απαραίτητο να σκεφτούμε καλά και να διασφαλίσουμε την προστασία για το ίδιο το DMZ. Σε αυτήν την περίπτωση, είναι απαραίτητο να επιλυθούν ζητήματα όπως:

· προστασία από επιθέσεις σε διακομιστές και εξοπλισμό δικτύου.

· προστασία μεμονωμένων διακομιστών.

· Έλεγχος email και άλλου περιεχομένου.

· έλεγχος των ενεργειών των χρηστών.

Πώς μπορούν να επιλυθούν αυτά τα ζητήματα; Συνιστάται να «χωρίσετε» τον διακομιστή αλληλογραφίας, ο οποίος χρησιμοποιείται τόσο για εξωτερική αλληλογραφία όσο και για εσωτερική εταιρική αλληλογραφία, σε δύο στοιχεία - το δημόσιο, που θα είναι στην πραγματικότητα διακομιστής αναμετάδοσης και θα βρίσκεται στο DMZ και το κύριο ένα, που βρίσκεται εντός του εταιρικού δικτύου. Το κύριο εξάρτημα διασφαλίζει την κυκλοφορία της εσωτερικής αλληλογραφίας, λαμβάνει εξωτερική αλληλογραφία από τον επαναλήπτη και τη στέλνει σε αυτόν.

Μία από τις κύριες προκλήσεις είναι η διασφάλιση ασφαλούς πρόσβασης σε δημόσιους πόρους και εφαρμογές από το εταιρικό intranet. Αν και ένα τείχος προστασίας είναι εγκατεστημένο μεταξύ αυτού και της αποστρατιωτικοποιημένης ζώνης, πρέπει να είναι «διαφανές» για να λειτουργήσει. Υπάρχουν πολλές επιλογές για την παροχή αυτής της ευκαιρίας στους χρήστες. Το πρώτο είναι η χρήση της πρόσβασης τερματικού. Με αυτήν την οργάνωση αλληλεπίδρασης μεταξύ του πελάτη και του διακομιστή, δεν μεταδίδεται κανένας κώδικας προγράμματος μέσω της εγκατεστημένης σύνδεσης, η οποία θα μπορούσε να περιλαμβάνει ιούς και άλλα κακόβουλα εγκλείσματα. Από τον τερματικό πελάτη στον διακομιστή υπάρχει μια ροή κωδικών των πατημένων πλήκτρων του πληκτρολογίου και των καταστάσεων του ποντικιού του χρήστη, και πίσω, από τον διακομιστή στον πελάτη, δυαδικές εικόνες των οθονών της περιόδου λειτουργίας διακομιστή του προγράμματος περιήγησης ή του προγράμματος-πελάτη αλληλογραφίας του χρήστη είναι έλαβε. Μια άλλη επιλογή είναι να χρησιμοποιήσετε ένα VPN (Virtual Private Network). Χάρη στον έλεγχο πρόσβασης και την κρυπτοπροστασία των πληροφοριών, ένα VPN έχει την ασφάλεια ενός ιδιωτικού δικτύου και ταυτόχρονα εκμεταλλεύεται όλα τα πλεονεκτήματα ενός δημόσιου δικτύου.

Η ασφάλεια των διακομιστών και του εξοπλισμού σε ένα DMZ πρέπει να προσεγγίζεται με ιδιαίτερη προσοχή

Για την προστασία από επιθέσεις σε διακομιστές και εξοπλισμό δικτύου, χρησιμοποιούνται ειδικά συστήματα ανίχνευσης εισβολών. Ο υπολογιστής στον οποίο είναι εγκατεστημένο ένα τέτοιο σύστημα γίνεται ο πρώτος στη διαδρομή ροής πληροφοριών από το Διαδίκτυο στο DMZ. Τα συστήματα έχουν ρυθμιστεί έτσι ώστε όταν εντοπίζονται επιθέσεις, να μπορούν να ρυθμίσουν εκ νέου το τείχος προστασίας για να αποκλείσουν πλήρως την πρόσβαση. Για σκοπούς πρόσθετου, αλλά όχι μόνιμου ελέγχου, χρησιμοποιείται ειδικό λογισμικό - σαρωτές ασφαλείας που ελέγχουν την ασφάλεια του δικτύου, των διακομιστών και των υπηρεσιών και των βάσεων δεδομένων. Για προστασία από ιούς, εγκαθίστανται λογισμικό προστασίας από ιούς και εργαλεία ελέγχου περιεχομένου στην αποστρατιωτικοποιημένη ζώνη.

Παγκόσμια Δίκτυα

Τα δίκτυα ευρείας περιοχής (WAN), που ονομάζονται επίσης εδαφικά δίκτυα υπολογιστών, χρησιμεύουν για να παρέχουν τις υπηρεσίες τους σε μεγάλο αριθμό τελικών συνδρομητών που είναι διάσπαρτοι σε μια μεγάλη περιοχή - σε μια περιοχή, περιοχή, χώρα, ήπειρο ή σε ολόκληρη την υδρόγειο. Λόγω του μεγάλου μήκους των καναλιών επικοινωνίας, η κατασκευή ενός παγκόσμιου δικτύου απαιτεί πολύ μεγάλο κόστος, το οποίο περιλαμβάνει το κόστος των καλωδίων και την εργασία για την εγκατάστασή τους, το κόστος του εξοπλισμού μεταγωγής και του εξοπλισμού ενδιάμεσης ενίσχυσης που παρέχει το απαραίτητο εύρος ζώνης καναλιού, καθώς και τη λειτουργία κόστος για τη συνεχή διατήρηση ενός διάσπαρτου δικτύου σε κατάσταση λειτουργίας σε μια μεγάλη περιοχή του εξοπλισμού του δικτύου.

Τυπικοί συνδρομητές ενός παγκόσμιου δικτύου υπολογιστών είναι τοπικά δίκτυα επιχειρήσεων που βρίσκονται σε διαφορετικές πόλεις και χώρες που πρέπει να ανταλλάσσουν δεδομένα μεταξύ τους. Οι μεμονωμένοι υπολογιστές χρησιμοποιούν επίσης τις υπηρεσίες παγκόσμιων δικτύων.

Τα WAN δημιουργούνται συνήθως από μεγάλες εταιρείες τηλεπικοινωνιών για την παροχή υπηρεσιών επί πληρωμή στους συνδρομητές. Τέτοια δίκτυα ονομάζονται δημόσια ή δημόσια. Υπάρχουν επίσης έννοιες όπως χειριστής δικτύου και πάροχος υπηρεσιών δικτύου. Διαχειριστής δικτύου είναι η εταιρεία που διατηρεί την κανονική λειτουργία του δικτύου. Ένας πάροχος υπηρεσιών, που συχνά ονομάζεται επίσης πάροχος υπηρεσιών, είναι μια εταιρεία που παρέχει υπηρεσίες επί πληρωμή σε συνδρομητές δικτύου. Ο ιδιοκτήτης, ο χειριστής και ο πάροχος υπηρεσιών μπορεί να είναι μία εταιρεία ή μπορεί να εκπροσωπούν διαφορετικές εταιρείες.

Πολύ λιγότερο συχνά, ένα παγκόσμιο δίκτυο δημιουργείται πλήρως από κάποια μεγάλη εταιρεία για τις εσωτερικές της ανάγκες. Σε αυτήν την περίπτωση, το δίκτυο ονομάζεται ιδιωτικό. Πολύ συχνά υπάρχει μια ενδιάμεση επιλογή - ένα εταιρικό δίκτυο χρησιμοποιεί τις υπηρεσίες ή τον εξοπλισμό ενός δημόσιου δικτύου ευρείας περιοχής, αλλά συμπληρώνει αυτές τις υπηρεσίες ή εξοπλισμό με το δικό του.

Ανάλογα με τα εξαρτήματα που πρέπει να ενοικιαστούν, είναι συνηθισμένο να γίνεται διάκριση μεταξύ δικτύων που δημιουργούνται χρησιμοποιώντας:

Αποκλειστικά κανάλια.

Εναλλαγή κυκλώματος;

Εναλλαγή πακέτων.

Η τελευταία περίπτωση αντιστοιχεί στο καλύτερο σενάριο, όπου ένα δίκτυο μεταγωγής πακέτων είναι διαθέσιμο σε όλες τις γεωγραφικές τοποθεσίες που πρέπει να συνδυαστούν σε ένα κοινό εταιρικό δίκτυο. Οι δύο πρώτες περιπτώσεις απαιτούν πρόσθετη εργασία για την κατασκευή ενός δικτύου μεταγωγής πακέτων με βάση τα μισθωμένα κεφάλαια.

Αποκλειστικά κανάλια

Τα αποκλειστικά (ή μισθωμένα) κυκλώματα μπορούν να ληφθούν από εταιρείες τηλεπικοινωνιών, οι οποίες διαθέτουν κυκλώματα μεγάλων αποστάσεων, ή από εταιρείες τηλεφωνίας, οι οποίες συνήθως μισθώνουν κυκλώματα εντός μιας πόλης ή περιοχής.

Μπορείτε να χρησιμοποιήσετε τις μισθωμένες γραμμές με δύο τρόπους. Το πρώτο είναι να οικοδομήσουμε με τη βοήθειά τους ένα εδαφικό δίκτυο μιας συγκεκριμένης τεχνολογίας, για παράδειγμα το Frame Relay, στο οποίο οι μισθωμένες μισθωμένες γραμμές χρησιμεύουν για τη σύνδεση ενδιάμεσων, γεωγραφικά κατανεμημένων μεταγωγέων πακέτων.

Η δεύτερη επιλογή είναι να συνδέσετε μόνο τα τοπικά δίκτυα που συνδέονται μέσω αποκλειστικών γραμμών, χωρίς να εγκαταστήσετε μεταγωγείς πακέτων διαμετακόμισης που λειτουργούν με την παγκόσμια τεχνολογία δικτύου. Η δεύτερη επιλογή είναι η απλούστερη από τεχνική άποψη, καθώς βασίζεται στη χρήση δρομολογητών ή απομακρυσμένων γεφυρών σε διασυνδεδεμένα τοπικά δίκτυα και στην απουσία παγκόσμιων τεχνολογικών πρωτοκόλλων όπως το X.25 ή το Frame Relay. Τα ίδια πακέτα δικτύου ή επιπέδου σύνδεσης μεταδίδονται μέσω παγκόσμιων καναλιών όπως και στα τοπικά δίκτυα.

Είναι η δεύτερη μέθοδος χρήσης παγκόσμιων καναλιών που έλαβε την ειδική ονομασία «dedicated channel services», αφού πραγματικά δεν χρησιμοποιεί τίποτα άλλο από τις τεχνολογίες των πραγματικών παγκόσμιων δικτύων με μεταγωγή πακέτων.

Τα αποκλειστικά κανάλια χρησιμοποιήθηκαν πολύ ενεργά στο πολύ πρόσφατο παρελθόν και χρησιμοποιούνται σήμερα, ειδικά όταν δημιουργούνται κρίσιμες συνδέσεις κορμού μεταξύ μεγάλων τοπικών δικτύων, καθώς αυτή η υπηρεσία εγγυάται την απόδοση του μισθωμένου καναλιού. Ωστόσο, με μεγάλο αριθμό γεωγραφικά απομακρυσμένων σημείων και ένα έντονο μικτό πρόγραμμα μεταξύ τους, η χρήση αυτής της υπηρεσίας οδηγεί σε υψηλό κόστος λόγω του μεγάλου αριθμού μισθωμένων καναλιών.

Σήμερα, υπάρχει μεγάλη ποικιλία αποκλειστικών καναλιών - από αναλογικά κανάλια φωνητικής συχνότητας με εύρος ζώνης 3,1 kHz έως ψηφιακά κανάλια τεχνολογίας SDN με απόδοση 155 και 622 Mbit/s.

Kivshenko Alexey, 1880

Αυτό το άρθρο περιέχει μια επισκόπηση πέντεεπιλογές για την επίλυση του προβλήματος της οργάνωσης της πρόσβασης σε υπηρεσίες εταιρικού δικτύου από το Διαδίκτυο. Η ανασκόπηση παρέχει μια ανάλυση επιλογών ασφάλειας και σκοπιμότητας, η οποία θα βοηθήσει τόσο τους αρχάριους όσο και τους πιο έμπειρους ειδικούς να κατανοήσουν την ουσία του ζητήματος, να ανανεώσουν και να συστηματοποιήσουν τις γνώσεις τους. Τα υλικά του άρθρου μπορούν να χρησιμοποιηθούν για να δικαιολογήσουν τις σχεδιαστικές σας αποφάσεις.

Όταν εξετάζετε τις επιλογές, ας πάρουμε ως παράδειγμα το δίκτυο στο οποίο θέλετε να δημοσιεύσετε:

1. Διακομιστής εταιρικής αλληλογραφίας (Web-mail).
2. Διακομιστής τερματικών επιχειρήσεων (RDP).
3. Υπηρεσία Extranet για αντισυμβαλλόμενους (Web-API).

Επιλογή 1: Επίπεδο δίκτυο

Σε αυτήν την επιλογή, όλοι οι κόμβοι του εταιρικού δικτύου περιέχονται σε ένα κοινό δίκτυο για όλους («Εσωτερικό δίκτυο»), εντός του οποίου οι επικοινωνίες μεταξύ τους δεν περιορίζονται. Το δίκτυο συνδέεται στο Διαδίκτυο μέσω δρομολογητή συνόρων/τείχους προστασίας (εφεξής IFW).

Οι κεντρικοί υπολογιστές έχουν πρόσβαση στο Διαδίκτυο μέσω NAT και πρόσβαση σε υπηρεσίες από το Διαδίκτυο μέσω της προώθησης θύρας.

Πλεονεκτήματα της επιλογής:

1. Ελάχιστες απαιτήσεις λειτουργικότητας IFW(μπορεί να γίνει σχεδόν σε οποιοδήποτε ρούτερ, ακόμα και σε οικιακό δρομολογητή).
2. Ελάχιστες απαιτήσεις γνώσεων για τον ειδικό που εφαρμόζει την επιλογή.

Μειονεκτήματα της επιλογής:

1. Ελάχιστο επίπεδο ασφάλειας. Σε περίπτωση hack κατά την οποία ο εισβολέας αποκτά τον έλεγχο ενός από τους διακομιστές που δημοσιεύονται στο Διαδίκτυο, όλοι οι άλλοι κόμβοι και τα κανάλια επικοινωνίας του εταιρικού δικτύου γίνονται διαθέσιμα σε αυτόν για περαιτέρω επιθέσεις.

Αναλογία με την πραγματική ζωή
Ένα τέτοιο δίκτυο μπορεί να συγκριθεί με μια εταιρεία όπου το προσωπικό και οι πελάτες βρίσκονται σε ένα κοινό δωμάτιο (ανοιχτός χώρος)


hrmaximum.ru

Επιλογή 2. DMZ

Για να εξαλειφθεί το προαναφερθέν μειονέκτημα, οι κόμβοι δικτύου που είναι προσβάσιμοι από το Διαδίκτυο τοποθετούνται σε ένα ειδικά καθορισμένο τμήμα - μια αποστρατιωτικοποιημένη ζώνη (DMZ). Το DMZ οργανώνεται χρησιμοποιώντας τείχη προστασίας που το χωρίζουν από το Διαδίκτυο ( IFW) και από το εσωτερικό δίκτυο ( DFW).


Σε αυτήν την περίπτωση, οι κανόνες φιλτραρίσματος τείχους προστασίας μοιάζουν με αυτό:

1. Από το εσωτερικό δίκτυο μπορείτε να ξεκινήσετε συνδέσεις με το DMZ και το WAN (Δίκτυο ευρείας περιοχής).
2. Από το DMZ μπορείτε να ξεκινήσετε συνδέσεις στο WAN.
3. Από το WAN μπορείτε να ξεκινήσετε συνδέσεις με το DMZ.
4. Απαγορεύεται η εκκίνηση συνδέσεων από το WAN και το DMZ στο εσωτερικό δίκτυο.

Πλεονεκτήματα της επιλογής:

1. Αυξημένη ασφάλεια δικτύου κατά της εισβολής μεμονωμένων υπηρεσιών. Ακόμα κι αν ένας από τους διακομιστές παραβιαστεί, ο εισβολέας δεν θα μπορεί να έχει πρόσβαση σε πόρους που βρίσκονται στο εσωτερικό δίκτυο (για παράδειγμα, εκτυπωτές δικτύου, συστήματα παρακολούθησης βίντεο κ.λπ.).

Μειονεκτήματα της επιλογής:

1. Η μετακίνηση διακομιστών στο DMZ από μόνη της δεν αυξάνει την ασφάλειά τους.
2. Απαιτείται ένα πρόσθετο τείχος προστασίας για τον διαχωρισμό του DMZ από το εσωτερικό δίκτυο.

Αναλογία με την πραγματική ζωή
Αυτή η έκδοση της αρχιτεκτονικής δικτύου είναι παρόμοια με την οργάνωση των περιοχών εργασίας και πελατών σε μια εταιρεία, όπου οι πελάτες μπορούν να βρίσκονται μόνο στην περιοχή πελατών και το προσωπικό μπορεί να βρίσκεται τόσο στον πελάτη όσο και στον τομέα εργασίας. Το τμήμα DMZ είναι ακριβώς ένα ανάλογο της ζώνης πελάτη.


autobam.ru

Επιλογή 3. Διαίρεση υπηρεσιών σε Front-End και Back-End

Όπως αναφέρθηκε προηγουμένως, η τοποθέτηση ενός διακομιστή σε ένα DMZ δεν βελτιώνει σε καμία περίπτωση την ασφάλεια της ίδιας της υπηρεσίας. Μία από τις επιλογές για τη διόρθωση της κατάστασης είναι να χωρίσετε τη λειτουργικότητα της υπηρεσίας σε δύο μέρη: Front-End και Back-End. Επιπλέον, κάθε τμήμα βρίσκεται σε ξεχωριστό διακομιστή, μεταξύ του οποίου οργανώνεται η αλληλεπίδραση δικτύου. Οι διακομιστές Front-End, οι οποίοι υλοποιούν τη λειτουργικότητα της αλληλεπίδρασης με πελάτες που βρίσκονται στο Διαδίκτυο, τοποθετούνται στο DMZ και οι διακομιστές Back-End, οι οποίοι υλοποιούν την υπόλοιπη λειτουργικότητα, αφήνονται στο εσωτερικό δίκτυο. Για την αλληλεπίδραση μεταξύ τους DFWδημιουργήστε κανόνες που επιτρέπουν την εκκίνηση των συνδέσεων από το Front-End στο Back-End.

Για παράδειγμα, εξετάστε μια εταιρική υπηρεσία email που εξυπηρετεί πελάτες τόσο μέσα από το δίκτυο όσο και από το Διαδίκτυο. Οι πελάτες από το εσωτερικό χρησιμοποιούν το POP3/SMTP και οι πελάτες από το Διαδίκτυο εργάζονται μέσω της διεπαφής Ιστού. Συνήθως, στο στάδιο της υλοποίησης, οι εταιρείες επιλέγουν την απλούστερη μέθοδο ανάπτυξης της υπηρεσίας και τοποθετούν όλα τα στοιχεία της σε έναν διακομιστή. Στη συνέχεια, καθώς γίνεται αντιληπτή η ανάγκη διασφάλισης της ασφάλειας των πληροφοριών, η λειτουργικότητα της υπηρεσίας χωρίζεται σε μέρη και το τμήμα που είναι υπεύθυνο για την εξυπηρέτηση πελατών από το Διαδίκτυο (Front-End) μεταφέρεται σε ξεχωριστό διακομιστή, ο οποίος αλληλεπιδρά μέσω του δικτύου με τον διακομιστή που υλοποιεί την υπόλοιπη λειτουργικότητα (Back -End). Σε αυτήν την περίπτωση, το Front-End τοποθετείται στο DMZ και το Back-End παραμένει στο εσωτερικό τμήμα. Για επικοινωνία μεταξύ Front-End και Back-End on DFWδημιουργήστε έναν κανόνα που επιτρέπει την εκκίνηση των συνδέσεων από το Front-End στο Back-End.

Πλεονεκτήματα της επιλογής:

1. Γενικά, οι επιθέσεις που στρέφονται κατά της προστατευμένης υπηρεσίας μπορεί να «σκοντάψουν» πάνω από το Front-End, κάτι που θα εξουδετερώσει ή θα μειώσει σημαντικά πιθανή ζημιά. Για παράδειγμα, επιθέσεις όπως το TCP SYN Flood ή η αργή ανάγνωση http που στοχεύουν σε μια υπηρεσία θα οδηγήσουν στο γεγονός ότι ο διακομιστής Front-End μπορεί να μην είναι διαθέσιμος, ενώ το Back-End θα συνεχίσει να λειτουργεί κανονικά και να εξυπηρετεί τους χρήστες.
2. Γενικά, ο διακομιστής Back-End ενδέχεται να μην έχει πρόσβαση στο Διαδίκτυο, το οποίο, εάν παραβιαστεί (για παράδειγμα, εκτελώντας τοπικά κακόβουλο κώδικα), θα είναι δύσκολη η απομακρυσμένη διαχείρισή του από το Διαδίκτυο.
3. Το Front-End είναι κατάλληλο για τη φιλοξενία ενός τείχους προστασίας σε επίπεδο εφαρμογής (για παράδειγμα, ενός τείχους προστασίας εφαρμογών Web) ή ενός συστήματος πρόληψης εισβολής (IPS, για παράδειγμα, snort).

Μειονεκτήματα της επιλογής:

1. Για επικοινωνία μεταξύ Front-End και Back-End on DFWδημιουργείται ένας κανόνας που επιτρέπει την έναρξη μιας σύνδεσης από το DMZ στο εσωτερικό δίκτυο, το οποίο δημιουργεί απειλές που σχετίζονται με τη χρήση αυτού του κανόνα από άλλους κόμβους στο DMZ (για παράδειγμα, μέσω της υλοποίησης επιθέσεων πλαστογράφησης IP, δηλητηρίασης ARP, και τα λοιπά.)
2. Δεν μπορούν να χωριστούν όλες οι υπηρεσίες σε Front-End και Back-End.
3. Η εταιρεία πρέπει να εφαρμόσει επιχειρηματικές διαδικασίες για την ενημέρωση των κανόνων του τείχους προστασίας.
4. Η εταιρεία πρέπει να εφαρμόσει μηχανισμούς για την προστασία από επιθέσεις από εισβολείς που έχουν αποκτήσει πρόσβαση σε διακομιστή στο DMZ.

Σημειώσεις

1. Στην πραγματική ζωή, ακόμη και χωρίς τη διαίρεση των διακομιστών σε Front-End και Back-End, οι διακομιστές από το DMZ χρειάζεται πολύ συχνά πρόσβαση σε διακομιστές που βρίσκονται στο εσωτερικό δίκτυο, επομένως τα αναφερόμενα μειονεκτήματα αυτής της επιλογής θα ισχύουν και για την προηγούμενη εξεταζόμενη επιλογή.
2. Εάν λάβουμε υπόψη την προστασία των εφαρμογών που εκτελούνται μέσω της διεπαφής Ιστού, τότε ακόμη και αν ο διακομιστής δεν υποστηρίζει τον διαχωρισμό των λειτουργιών σε Front-End και Back-End, η χρήση ενός http reverse server proxy (για παράδειγμα, nginx) ως Το Front-End θα ελαχιστοποιήσει τους κινδύνους που σχετίζονται με επιθέσεις για άρνηση υπηρεσίας. Για παράδειγμα, οι επιθέσεις πλημμύρας SYN μπορούν να καταστήσουν τον αντίστροφο διακομιστή μεσολάβησης http μη διαθέσιμο ενώ το Back-End συνεχίζει να λειτουργεί.

Αναλογία με την πραγματική ζωή
Αυτή η επιλογή είναι ουσιαστικά παρόμοια με την οργάνωση της εργασίας, στην οποία χρησιμοποιούνται βοηθοί - γραμματείς - για εργάτες με μεγάλο φορτίο. Τότε το Back-End θα είναι το ανάλογο ενός πολυάσχολου υπαλλήλου και το Front-End θα είναι το ανάλογο ενός γραμματέα.


εκατ.kz

Επιλογή 4: Ασφαλίστε το DMZ

Το DMZ είναι μέρος του δικτύου προσβάσιμο από το Διαδίκτυο και, ως εκ τούτου, υπόκειται στον μέγιστο κίνδυνο παραβίασης του κεντρικού υπολογιστή. Ο σχεδιασμός του DMZ και οι προσεγγίσεις που χρησιμοποιούνται σε αυτό θα πρέπει να παρέχουν μέγιστη επιβίωση σε συνθήκες όπου ο εισβολέας έχει αποκτήσει τον έλεγχο ενός από τους κόμβους του DMZ. Ως πιθανές επιθέσεις, ας εξετάσουμε τις επιθέσεις στις οποίες είναι ευαίσθητα σχεδόν όλα τα συστήματα πληροφοριών που λειτουργούν με προεπιλεγμένες ρυθμίσεις:

Προστασία από επιθέσεις DHCP

Παρά το γεγονός ότι το DHCP προορίζεται να αυτοματοποιήσει τη διαμόρφωση των διευθύνσεων IP των σταθμών εργασίας, σε ορισμένες εταιρείες υπάρχουν περιπτώσεις όπου οι διευθύνσεις IP για διακομιστές εκδίδονται μέσω DHCP, αλλά αυτό είναι μια μάλλον κακή πρακτική. Ως εκ τούτου, για προστασία από τον απατεώνα διακομιστή DHCP, την ασιτία DHCP, συνιστάται να απενεργοποιήσετε πλήρως το DHCP στο DMZ.

Προστασία από πλημμύρες MAC

Για προστασία από πλημμύρα MAC, οι θύρες μεταγωγέα έχουν ρυθμιστεί ώστε να περιορίζουν τη μέγιστη ένταση της κυκλοφορίας μετάδοσης (καθώς αυτές οι επιθέσεις συνήθως δημιουργούν κυκλοφορία εκπομπής). Οι επιθέσεις που περιλαμβάνουν τη χρήση συγκεκριμένων (unicast) διευθύνσεων δικτύου θα αποκλειστούν από το φιλτράρισμα MAC, το οποίο συζητήσαμε νωρίτερα.

Προστασία από επιθέσεις πλημμύρας UDP

Η προστασία έναντι αυτού του τύπου επίθεσης είναι παρόμοια με την προστασία από πλημμύρα MAC, με τη διαφορά ότι το φιλτράρισμα πραγματοποιείται σε επίπεδο IP (L3).

Προστασία από επιθέσεις πλημμύρας TCP SYN

Για προστασία από αυτήν την επίθεση, είναι δυνατές οι ακόλουθες επιλογές:

1. Προστασία στον κόμβο δικτύου με χρήση τεχνολογίας Cookie TCP SYN.
2. Προστασία σε επίπεδο τείχους προστασίας (με την επιφύλαξη υποδικτύωσης του DMZ) περιορίζοντας την ένταση της κίνησης που περιέχει αιτήματα TCP SYN.

Προστασία από επιθέσεις σε υπηρεσίες δικτύου και διαδικτυακές εφαρμογές

Δεν υπάρχει καθολική λύση σε αυτό το πρόβλημα, αλλά καθιερωμένη πρακτική είναι η εφαρμογή διαδικασιών διαχείρισης ευπάθειας λογισμικού (για παράδειγμα αναγνώριση, εγκατάσταση ενημερώσεων κώδικα κ.λπ.), καθώς και η χρήση συστημάτων ανίχνευσης και πρόληψης εισβολών (IDS/IPS).

Προστασία από επιθέσεις παράκαμψης ελέγχου ταυτότητας

Όπως και στην προηγούμενη περίπτωση, δεν υπάρχει καθολική λύση σε αυτό το πρόβλημα.
Συνήθως, σε περίπτωση μεγάλου αριθμού αποτυχημένων προσπαθειών εξουσιοδότησης, οι λογαριασμοί μπλοκάρονται για να αποφευχθεί η εικασία των δεδομένων ελέγχου ταυτότητας (για παράδειγμα, ένας κωδικός πρόσβασης). Αλλά αυτή η προσέγγιση είναι αρκετά αμφιλεγόμενη, και να γιατί.
Πρώτον, ο εισβολέας μπορεί να πραγματοποιήσει την επιλογή των πληροφοριών επαλήθευσης ταυτότητας με ένταση που δεν οδηγεί σε αποκλεισμό λογαριασμών (υπάρχουν περιπτώσεις που ο κωδικός πρόσβασης επιλέχθηκε σε αρκετούς μήνες με ένα διάστημα μεταξύ των προσπαθειών πολλών δεκάδων λεπτών).
Δεύτερον, αυτή η δυνατότητα μπορεί να χρησιμοποιηθεί για επιθέσεις άρνησης υπηρεσίας, στις οποίες ο εισβολέας θα κάνει σκόπιμα μεγάλο αριθμό προσπαθειών εξουσιοδότησης προκειμένου να αποκλείσει λογαριασμούς.
Η πιο αποτελεσματική επιλογή ενάντια σε επιθέσεις αυτής της κατηγορίας θα είναι η χρήση συστημάτων IDS/IPS, τα οποία, κατά τον εντοπισμό προσπαθειών εικασίας κωδικού πρόσβασης, θα μπλοκάρουν όχι τον λογαριασμό, αλλά την πηγή από την οποία προκύπτει αυτή η εικασία (για παράδειγμα, μπλοκάρει τη διεύθυνση IP του ο εισβολέας).

Ο τελικός κατάλογος των προστατευτικών μέτρων για αυτήν την επιλογή:

1. Το DMZ χωρίζεται σε υποδίκτυα IP με ξεχωριστό υποδίκτυο για κάθε κόμβο.
2. Οι διευθύνσεις IP εκχωρούνται με μη αυτόματο τρόπο από τους διαχειριστές. Το DHCP δεν χρησιμοποιείται.
3. Στις διεπαφές δικτύου στις οποίες είναι συνδεδεμένοι οι κόμβοι DMZ, ενεργοποιείται το φιλτράρισμα MAC και IP, οι περιορισμοί στην ένταση της κυκλοφορίας μετάδοσης και η κίνηση που περιέχει αιτήματα TCP SYN.
4. Η αυτόματη διαπραγμάτευση των τύπων θύρας είναι απενεργοποιημένη στους διακόπτες και η χρήση εγγενούς VLAN απαγορεύεται.
5. Ένα TCP SYN Cookie έχει ρυθμιστεί σε κόμβους DMZ και διακομιστές εσωτερικού δικτύου στους οποίους συνδέονται αυτοί οι κόμβοι.
6. Η διαχείριση ευπάθειας λογισμικού εφαρμόζεται για κόμβους DMZ (και κατά προτίμηση για το υπόλοιπο δίκτυο).
7. Τα συστήματα ανίχνευσης και πρόληψης εισβολών IDS/IPS εφαρμόζονται στο τμήμα DMZ.

Πλεονεκτήματα της επιλογής:

1. Υψηλός βαθμός ασφάλειας.

Μειονεκτήματα της επιλογής:

1. Αυξημένες απαιτήσεις για τη λειτουργικότητα του εξοπλισμού.
2. Κόστος εργασίας για υλοποίηση και υποστήριξη.

Αναλογία με την πραγματική ζωή
Εάν συγκρίναμε προηγουμένως το DMZ με μια περιοχή πελατών εξοπλισμένη με καναπέδες και οθωμανούς, τότε ένα ασφαλές DMZ θα μοιάζει περισσότερο με θωρακισμένη ταμειακή μηχανή.


valmax.com.ua

Επιλογή 5. Πίσω σύνδεση

Τα μέτρα προστασίας που εξετάστηκαν στην προηγούμενη έκδοση βασίστηκαν στο γεγονός ότι υπήρχε μια συσκευή στο δίκτυο (διακόπτης / δρομολογητής / τείχος προστασίας) ικανή να τα εφαρμόσει. Αλλά στην πράξη, για παράδειγμα, όταν χρησιμοποιείτε μια εικονική υποδομή (οι εικονικοί διακόπτες έχουν συχνά πολύ περιορισμένες δυνατότητες), μια τέτοια συσκευή μπορεί να μην υπάρχει.

Υπό αυτές τις συνθήκες, πολλές από τις επιθέσεις που συζητήθηκαν προηγουμένως γίνονται διαθέσιμες στον παραβάτη, οι πιο επικίνδυνες από τις οποίες θα είναι:

• επιθέσεις που σας επιτρέπουν να παρακολουθείτε και να τροποποιείτε την κυκλοφορία (Δηλητηρίαση ARP, υπερχείλιση πίνακα CAM + εισβολή περιόδων σύνδεσης TCP, κ.λπ.).
• επιθέσεις που σχετίζονται με την εκμετάλλευση τρωτών σημείων σε διακομιστές εσωτερικού δικτύου στους οποίους μπορούν να ξεκινήσουν οι συνδέσεις από το DMZ (κάτι που είναι δυνατό με παράκαμψη κανόνων φιλτραρίσματος DFWλόγω πλαστογράφησης IP και MAC).

Το επόμενο σημαντικό χαρακτηριστικό, το οποίο δεν έχουμε εξετάσει προηγουμένως, αλλά δεν παύει να είναι λιγότερο σημαντικό, είναι ότι οι αυτοματοποιημένοι σταθμοί εργασίας (AWS) των χρηστών μπορούν επίσης να αποτελέσουν πηγή (για παράδειγμα, όταν έχουν μολυνθεί από ιούς ή Trojans) επιβλαβών επιπτώσεων σε διακομιστές.

Έτσι, βρισκόμαστε αντιμέτωποι με το καθήκον να προστατεύσουμε τους διακομιστές του εσωτερικού δικτύου από επιθέσεις από τον εισβολέα τόσο από το DMZ όσο και από το εσωτερικό δίκτυο (η μόλυνση του σταθμού εργασίας με έναν Trojan μπορεί να ερμηνευθεί ως ενέργειες του εισβολέα από το εσωτερικό δίκτυο ).

Η προσέγγιση που προτείνεται παρακάτω στοχεύει στη μείωση του αριθμού των καναλιών μέσω των οποίων ένας εισβολέας μπορεί να επιτεθεί σε διακομιστές, και υπάρχουν τουλάχιστον δύο τέτοια κανάλια. Ο πρώτος είναι ο κανόνας DFW, που επιτρέπει την πρόσβαση στον εσωτερικό διακομιστή δικτύου από το DMZ (ακόμα και αν περιορίζεται από διευθύνσεις IP) και το δεύτερο είναι μια ανοιχτή θύρα δικτύου στον διακομιστή μέσω της οποίας αναμένονται αιτήματα σύνδεσης.

Μπορείτε να κλείσετε αυτά τα κανάλια εάν ο ίδιος ο εσωτερικός διακομιστής δικτύου δημιουργεί συνδέσεις με τον διακομιστή στο DMZ και το κάνει αυτό χρησιμοποιώντας κρυπτογραφικά ασφαλή πρωτόκολλα δικτύου. Τότε δεν θα υπάρχει ούτε ανοιχτή θύρα ούτε κανόνας DFW.

Αλλά το πρόβλημα είναι ότι οι συνηθισμένες υπηρεσίες διακομιστή δεν ξέρουν πώς να λειτουργούν με αυτόν τον τρόπο και για την εφαρμογή αυτής της προσέγγισης είναι απαραίτητο να χρησιμοποιήσετε τη σήραγγα δικτύου, που υλοποιείται, για παράδειγμα, χρησιμοποιώντας SSH ή VPN, και εντός των σηράγγων επιτρέπονται οι συνδέσεις από τον διακομιστή στο DMZ στον εσωτερικό διακομιστή δικτύου.

Το γενικό σχήμα λειτουργίας αυτής της επιλογής έχει ως εξής:

1. Ένας διακομιστής SSH/VPN είναι εγκατεστημένος στον διακομιστή στο DMZ και ένας πελάτης SSH/VPN εγκαθίσταται στον διακομιστή στο εσωτερικό δίκτυο.
2. Ο εσωτερικός διακομιστής δικτύου ξεκινά την κατασκευή μιας σήραγγας δικτύου στον διακομιστή στο DMZ. Η σήραγγα είναι κατασκευασμένη με αμοιβαίο έλεγχο ταυτότητας πελάτη και διακομιστή.
3. Ο διακομιστής από το DMZ, μέσα στο κατασκευασμένο τούνελ, ξεκινά μια σύνδεση με τον διακομιστή στο εσωτερικό δίκτυο, μέσω του οποίου μεταδίδονται τα προστατευμένα δεδομένα.
4. Ένα τοπικό τείχος προστασίας έχει ρυθμιστεί στον εσωτερικό διακομιστή δικτύου για να φιλτράρει την κίνηση που διέρχεται από τη σήραγγα.

Η χρήση αυτής της επιλογής στην πράξη έχει δείξει ότι είναι βολικό να δημιουργείτε τούνελ δικτύου χρησιμοποιώντας το OpenVPN, καθώς έχει τις ακόλουθες σημαντικές ιδιότητες:

• Cross-platform. Μπορείτε να οργανώσετε την επικοινωνία σε διακομιστές με διαφορετικά λειτουργικά συστήματα.
• Δυνατότητα κατασκευής τούνελ με αμοιβαίο έλεγχο ταυτότητας πελάτη και διακομιστή.
• Δυνατότητα χρήσης πιστοποιημένης κρυπτογραφίας.

Με την πρώτη ματιά, μπορεί να φαίνεται ότι αυτό το σχήμα είναι αδικαιολόγητα περίπλοκο και ότι, δεδομένου ότι εξακολουθείτε να χρειάζεται να εγκαταστήσετε ένα τοπικό τείχος προστασίας στον εσωτερικό διακομιστή δικτύου, θα ήταν ευκολότερο να κάνετε τον διακομιστή από το DMZ, ως συνήθως, να συνδεθεί στο εσωτερικό δίκτυο διακομιστή, αλλά κάντε το με κρυπτογραφημένη σύνδεση. Πράγματι, αυτή η επιλογή θα λύσει πολλά προβλήματα, αλλά δεν θα είναι σε θέση να παρέχει το κύριο πράγμα - προστασία από επιθέσεις σε ευπάθειες διακομιστή εσωτερικού δικτύου που πραγματοποιούνται με παράκαμψη του τείχους προστασίας χρησιμοποιώντας πλαστογράφηση IP και MAC.

Πλεονεκτήματα της επιλογής:

1. Αρχιτεκτονική μείωση του αριθμού των διανυσμάτων επίθεσης στον προστατευμένο εσωτερικό διακομιστή δικτύου.
2. Διασφάλιση ασφάλειας απουσία φιλτραρίσματος κίνησης δικτύου.
3. Προστασία δεδομένων που μεταδίδονται μέσω του δικτύου από μη εξουσιοδοτημένη προβολή και τροποποίηση.
4. Δυνατότητα επιλεκτικής αύξησης του επιπέδου ασφάλειας των υπηρεσιών.
5. Η δυνατότητα υλοποίησης ενός συστήματος προστασίας δύο κυκλωμάτων, όπου το πρώτο κύκλωμα παρέχεται με χρήση τείχους προστασίας και το δεύτερο οργανώνεται με βάση αυτήν την επιλογή.

Μειονεκτήματα της επιλογής:

1. Η εφαρμογή και η συντήρηση αυτής της επιλογής προστασίας απαιτεί πρόσθετο κόστος εργασίας.
2. Ασυμβατότητα με συστήματα εντοπισμού και πρόληψης εισβολών στο δίκτυο (IDS/IPS).
3. Πρόσθετος υπολογιστικός φόρτος σε διακομιστές.

Αναλογία με την πραγματική ζωή
Το κύριο νόημα αυτής της επιλογής είναι ότι το έμπιστο πρόσωπο δημιουργεί μια σύνδεση με το μη αξιόπιστο άτομο, κάτι που μοιάζει με την κατάσταση όταν, όταν εκδίδουν δάνεια, οι ίδιες οι τράπεζες καλούν τον πιθανό δανειολήπτη για να ελέγξουν τα δεδομένα.

εταιρικά δίκτυα

Προσθήκη ετικετών

Προς το παρόν, θα μιλήσω για μια πολύ χρήσιμη λειτουργία για όσους τρέχουν έναν διακομιστή παιχνιδιών στο σπίτι ή πρέπει να ανοίξουν πρόσβαση στη συσκευή εγγραφής κάμερας CCTV από εξωτερικό δίκτυο. Συνήθως, για αυτούς τους σκοπούς συνήθως πρέπει να προωθήσετε θύρες, αλλά μερικές φορές μπορεί να αντιμετωπίσετε μια σειρά από δυσκολίες. Για παράδειγμα, όταν σε μια συσκευή εγγραφής βίντεο η διεπαφή Ιστού χρησιμοποιεί τη θύρα 80 και δεν μπορεί να αλλάξει, αλλά σε έναν δρομολογητή WiFi είναι επίσης απασχολημένη και δεν θα είναι δυνατή η προώθηση της. Ορισμένοι διαχειριστές καταφεύγουν σε ανακατεύθυνση χρησιμοποιώντας ένα τείχος προστασίας. Αλλά υπάρχει ένας ευκολότερος τρόπος? απλά προσθέστε την IP σε μια ειδική ζώνη DMZ στο δρομολογητή. Μετά από αυτό, η πρόσβαση στη συσκευή από το εξωτερικό θα είναι εντελώς ανοιχτή. Ας ρίξουμε μια πιο προσεκτική ματιά σε αυτό.
Αποστρατιωτικοποιημένη Ζώνη; DMZ (Αποστρατιωτικοποιημένη Ζώνη) ; Αυτός είναι ένας ειδικός τομέας του τοπικού δικτύου στον οποίο βρίσκονται οι υπηρεσίες που πρέπει να είναι πλήρως προσβάσιμες τόσο από το εσωτερικό όσο και από το εξωτερικό δίκτυο. Παρ' όλα αυτά, το προσωπικό δίκτυο εξακολουθεί να είναι κλειστό πίσω από το ρούτερ. Δεν θα υπάρχουν διαφορές στη δουλειά της. Αλλά ο κεντρικός υπολογιστής DMZ είναι πλέον πλήρως προσβάσιμος από το Διαδίκτυο και παρέχει τη δική του ασφάλεια. Με άλλα λόγια, όλες οι ανοιχτές θύρες του είναι ορατές από έξω σε λευκό? διεύθυνση IP. Στην περίπτωση ενός καταχωρητή, αρκεί απλώς να αλλάξετε τον προεπιλεγμένο κωδικό πρόσβασης, αλλά εάν πρόκειται για διακομιστή παιχνιδιών, τότε θα πρέπει να δώσετε ιδιαίτερη προσοχή στις ρυθμίσεις του τείχους προστασίας.

Ρύθμιση αποστρατιωτικοποιημένης ζώνης σε δρομολογητή ή μόντεμ

Οι απλοί φθηνοί δρομολογητές δεν μπορούν να οργανώσουν μια πλήρη αποστρατιωτικοποιημένη ζώνη για έναν ολόκληρο τομέα και αυτό δεν απαιτείται από συσκευές αυτής της κατηγορίας. Αλλά σας επιτρέπουν να συνδέσετε μόνο έναν από τους κόμβους δικτύου σε αυτό, καθιστώντας τον κεντρικό υπολογιστή DMZ, ανοίγοντας όλες τις διαθέσιμες θύρες του στο εξωτερικό δίκτυο. Και αυτό χρειαζόμαστε! Πώς να το κάνετε αυτό;
Εκκινούμε το πρόγραμμα περιήγησης, εισάγουμε τη διεύθυνση IP του δρομολογητή (συνήθως 192.168.1.1 ή 192.168.0.1) και μπαίνουμε στο πρόγραμμα διαμόρφωσης ιστού. Και μετά πρέπει να βρείτε την ενότητα DMZ στο μενού. Για συσκευές από την Asus. Αυτή είναι μια καρτέλα στην ενότητα Internet:

Στο TP-Link. Αυτό είναι ένα υποστοιχείο της ενότητας Ανακατεύθυνση. (Προώθηση):

Για τους δρομολογητές D-Link, αυτή η λειτουργία βρίσκεται στο Τείχος προστασίας. Σε ορισμένα μοντέλα, για παράδειγμα Zyxel Keenetic, μπορεί να εντοπιστεί στις παραμέτρους NAT.
Η μέθοδος που πρέπει να ακολουθήσετε είναι απλή. πρέπει να ενεργοποιήσετε τη λειτουργία επιλέγοντας το κατάλληλο πλαίσιο.
Παρακάτω θα υπάρχει ένα πεδίο στο οποίο πρέπει να εισαγάγετε τη διεύθυνση IP του διακομιστή, του υπολογιστή ή της συσκευής εγγραφής βίντεο, την οποία θα εμφανίσουμε στο DMZ.
Εφαρμογή συναρτήσεων. Ετοιμος!

ΑΠΟστρατιωτικοποιημένη (DMZ) ΖΩΝΗ

Η ουσία του DMZ είναι ότι δεν περιλαμβάνεται άμεσα ούτε στο εσωτερικό ούτε στο εξωτερικό δίκτυο και η πρόσβαση σε αυτό μπορεί να πραγματοποιηθεί μόνο σύμφωνα με προκαθορισμένους κανόνες τείχους προστασίας. Δεν υπάρχουν χρήστες στο DMZ - μόνο διακομιστές βρίσκονται εκεί. Μια αποστρατιωτικοποιημένη ζώνη, κατά κανόνα, χρησιμεύει για την αποτροπή πρόσβασης από το εξωτερικό δίκτυο σε κεντρικούς υπολογιστές στο εσωτερικό δίκτυο μεταφέροντας όλες τις υπηρεσίες που απαιτούν πρόσβαση από το εξωτερικό από το τοπικό δίκτυο σε μια ειδική ζώνη. Στην πραγματικότητα, αποδεικνύεται ότι αυτή η ζώνη θα είναι ένα ξεχωριστό υποδίκτυο, προστατευμένο (ή διαχωρισμένο) από δημόσια και εταιρικά δίκτυα με τείχη προστασίας.

Τα τείχη προστασίας χρησιμοποιούνται για την προστασία της διείσδυσης μέσω της αποστρατιωτικοποιημένης ζώνης στο εταιρικό δίκτυο. Υπάρχουν οθόνες λογισμικού και υλικού. Τα προγράμματα λογισμικού απαιτούν ξεχωριστό μηχάνημα. Για να εγκαταστήσετε ένα τείχος προστασίας υλικού, χρειάζεται μόνο να το συνδέσετε στο δίκτυο και να εκτελέσετε ελάχιστη διαμόρφωση. Συνήθως, οι οθόνες λογισμικού χρησιμοποιούνται για την προστασία δικτύων όπου δεν χρειάζεται να κάνετε πολλές ρυθμίσεις που σχετίζονται με την ευέλικτη κατανομή του εύρους ζώνης και τους περιορισμούς κυκλοφορίας ανά πρωτόκολλο για τους χρήστες. Εάν το δίκτυο είναι μεγάλο και απαιτείται υψηλή απόδοση, γίνεται πιο κερδοφόρο να χρησιμοποιείτε τείχη προστασίας υλικού. Σε πολλές περιπτώσεις, χρησιμοποιούνται όχι ένα, αλλά δύο τείχη προστασίας - το ένα προστατεύει την αποστρατιωτικοποιημένη ζώνη από εξωτερική επιρροή, το δεύτερο τη χωρίζει από το εσωτερικό τμήμα του εταιρικού δικτύου. Αυτό ακριβώς είναι το σχέδιο που θα χρησιμοποιήσουμε για να οργανώσουμε την αποστρατιωτικοποιημένη ζώνη της εταιρείας CorpUTY.

Θα τοποθετήσουμε διακομιστές αλληλογραφίας, web και FTP στο DMZ, καθώς και εξωτερικό DNS και διακομιστή απομακρυσμένης πρόσβασης RAS.

Το δίκτυο ενός οργανισμού περιέχει υποδίκτυα και, κατά συνέπεια, οι διακομιστές που χρειάζονται πρόσβαση τόσο από έξω όσο και από μέσα βρίσκονται σε ένα υποδίκτυο (ονομάζεται επίσης DMZ, αποστρατιωτικοποιημένη ζώνη) και οι χρήστες και οι τοπικοί πόροι βρίσκονται σε άλλα υποδίκτυα. Με αυτήν την τοπολογία, οι διακομιστές που βρίσκονται στο DMZ πρέπει να διαχωρίζονται από ένα τείχος προστασίας από το Διαδίκτυο και ένα άλλο από το τοπικό δίκτυο. Ταυτόχρονα, το εξωτερικό τείχος προστασίας πρέπει να παρέχει πρόσβαση «από έξω» στους απαραίτητους πόρους

Ωστόσο, δεν μπορούν όλοι, ειδικά οι μικρές εταιρείες, να αντέξουν οικονομικά να χρησιμοποιήσουν δύο διακομιστές για την προστασία του δικτύου τους. Ως εκ τούτου, συχνά καταφεύγουν σε μια φθηνότερη επιλογή: τη χρήση ενός διακομιστή με τρεις διεπαφές δικτύου. Στη συνέχεια, η μία διεπαφή «κοιτάζει» στο Διαδίκτυο, η δεύτερη στο DMZ και η τρίτη στο τοπικό δίκτυο.

Θα ονομάσουμε τον προσαρμογέα δικτύου που είναι συνδεδεμένος στο Internet WAN, τη διεπαφή που είναι συνδεδεμένη στην αποστρατιωτικοποιημένη ζώνη - DMZ και τη διεπαφή που είναι συνδεδεμένη στο τοπικό δίκτυο - LAN.

Στο Σχ. Το σχήμα 8 δείχνει δύο επιλογές για τη σύνδεση ενός τείχους προστασίας. Στην περίπτωση «a», χρησιμοποιούνται δύο τείχη προστασίας, ένα συνδεδεμένο στο WAN και το DMZ και το δεύτερο στο DMZ και στο LAN, στην περίπτωση «b» - ένα τείχος προστασίας συνδεδεμένο και στο WAN, στο LAN και στο DMZ.

Εικόνα 8. Επιλογές ανάπτυξης τείχους προστασίας και αποστρατιωτικοποιημένης ζώνης

Κατά την εφαρμογή της δεύτερης επιλογής, πρέπει να δώσετε προσοχή στα μειονεκτήματά της. Πρώτα απ 'όλα, πρόκειται για μια γενική μείωση της αξιοπιστίας του δικτύου. Εάν ο διακομιστής κολλήσει ή γίνει επανεκκίνηση, οι πόροι που βρίσκονται στο DMZ δεν θα είναι προσωρινά διαθέσιμοι στους χρήστες. Για παράδειγμα, εάν έχετε έναν διακομιστή αλληλογραφίας στο δίκτυό σας και βρίσκεται σε μια αποστρατιωτικοποιημένη ζώνη, τότε όταν το τείχος προστασίας είναι απενεργοποιημένο, δεν θα είναι διαθέσιμο και οι χρήστες στο πρόγραμμα-πελάτη αλληλογραφίας θα αρχίσουν να λαμβάνουν μηνύματα σφάλματος σύνδεσης. Ως αποτέλεσμα, μια πλημμύρα κλήσεων και παραπόνων προς τον διαχειριστή του συστήματος για αλειτουργία του δικτύου.

Ένα άλλο μειονέκτημα της χρήσης ενός διακομιστή είναι ότι εάν αποτύχει, όλο το χρόνο που αφιερώνετε για την αντικατάστασή του, το τοπικό δίκτυο του οργανισμού θα είναι πρακτικά μη λειτουργικό.

Και τέλος, ίσως το πιο σημαντικό μειονέκτημα αυτής της τοπολογίας είναι ότι εάν ένας εισβολέας καταφέρει να διεισδύσει στον διακομιστή, θα μπορεί να αποκτήσει πρόσβαση τόσο στο DMZ όσο και στο τοπικό δίκτυο.

Εάν χρησιμοποιούνται δύο τείχη προστασίας, τότε όλες αυτές οι αδυναμίες μπορούν να εξαλειφθούν εν μέρει ή πλήρως. Εάν ένα από αυτά αποτύχει μέσα σε λίγα μόνο λεπτά, το δίκτυο από την επιλογή "a" μπορεί να μετατραπεί σε επιλογή "b" προσθέτοντας μια άλλη κάρτα δικτύου στον διακομιστή και κάνοντας τις κατάλληλες αλλαγές στις ρυθμίσεις. Επιπλέον, η ασφάλεια του δικτύου αυξάνεται όταν χρησιμοποιείτε δύο τείχη προστασίας. Για παράδειγμα, εάν ένας εισβολέας κατάφερε να διεισδύσει σε έναν διακομιστή που είναι συνδεδεμένος στο WAN και στο DMZ, τότε δεν θα έχει πρόσβαση στους πόρους του τοπικού δικτύου.

Για να δημιουργήσετε ένα ενδιάμεσο DMZ που χρησιμοποιεί δύο τείχη προστασίας που βασίζονται σε διακομιστή ISA, θα χρειαστείτε δύο διακομιστές, δύο αντίγραφα των Windows 2000 ή 2003, δύο αντίγραφα του διακομιστή ISA, τέσσερις διεπαφές δικτύου (δύο ανά διακομιστή) και έναν διακόπτη για το DMZ. Συχνά τέτοιο κόστος αποδεικνύεται υπερβολικό για την εταιρεία.

Κατά το σχεδιασμό του εταιρικού δικτύου CorpUTY, θα χρησιμοποιήσουμε την επιλογή "a", αλλά ο ISA Server 2004 θα χρησιμοποιηθεί ως εσωτερικό τείχος προστασίας και ο δρομολογητής Cisco Catalyst 3800 ως εξωτερικό τείχος προστασίας.

Συνεχίζοντας να χρησιμοποιούμε προϊόντα Cisco, θα επιλέξουμε τον δρομολογητή Cisco Catalyst 3800 ως δρομολογητή συνόρων μεταξύ του εξωτερικού τείχους προστασίας και του Διαδικτύου Αυτή η συσκευή υποστηρίζει διάφορες μονάδες διασύνδεσης WAN και παρέχει υποστήριξη για δρομολόγηση υψηλής απόδοσης σε ταχύτητα φορέα. σε λειτουργίες ασφαλείας και δυνατότητες σύγκλισης, που επιτρέπει την αξιόπιστη προστασία των επικοινωνιών μεταξύ των υποκαταστημάτων της εταιρείας και ταυτόχρονα την υλοποίηση κεντρικής διαχείρισης από το κεντρικό γραφείο. Επιπλέον, ο επιλεγμένος δρομολογητής υποστηρίζει δυνατότητες τείχους προστασίας κατάστασης, καθώς και μια μηχανή προστασίας Cyber ​​​​Attack Defence Engine που σταματά τις κοινές επιθέσεις σε δίκτυα, διασφαλίζοντας υψηλά επίπεδα διαθεσιμότητας για κρίσιμες για την αποστολή εφαρμογές Διαδικτύου. Επιπλέον, το τείχος προστασίας υποστηρίζει τον μηχανισμό διευθύνσεων NAT και τη δυνατότητα προώθησης θυρών.

Δεδομένου ότι το λεγόμενο φίλτρο πακέτων είναι ενσωματωμένο στον επιλεγμένο δρομολογητή, δεν χρειάζεται να χρησιμοποιήσετε ξεχωριστό (αυτόνομο) τείχος προστασίας για να διαχωρίσετε το DMZ από το Διαδίκτυο.

Πρωτόκολλο NAT

Οι περισσότεροι σύγχρονοι δρομολογητές υποστηρίζουν το πρωτόκολλο NAT (Network Address Translation), το οποίο βασίζεται στο επίπεδο περιόδου λειτουργίας και είναι ουσιαστικά ένα πρωτόκολλο μετάφρασης διευθύνσεων δικτύου. Το NAT σάς επιτρέπει να εφαρμόσετε πολλαπλή πρόσβαση υπολογιστών σε τοπικό (ιδιωτικό) δίκτυο (καθένα από τα οποία έχει τη δική του εσωτερική διεύθυνση IP) στο Διαδίκτυο χρησιμοποιώντας μόνο μία εξωτερική διεύθυνση IP της θύρας WAN του δρομολογητή. Σε αυτήν την περίπτωση, όλοι οι υπολογιστές στο εσωτερικό τοπικό δίκτυο γίνονται αόρατοι από έξω, αλλά για καθέναν από αυτούς το εξωτερικό δίκτυο είναι προσβάσιμο. Το πρωτόκολλο NAT επιτρέπει μόνο δεδομένα από το Διαδίκτυο να εισέρχονται στο δίκτυο που ελήφθησαν ως αποτέλεσμα αιτήματος από έναν υπολογιστή στο τοπικό δίκτυο.

Το πρωτόκολλο NAT επιλύει δύο βασικά προβλήματα:

βοηθά στην αντιμετώπιση της έλλειψης διευθύνσεων IP, η οποία γίνεται εντονότερη όσο αυξάνεται ο αριθμός των υπολογιστών.

διασφαλίζει την ασφάλεια του εσωτερικού δικτύου - οι υπολογιστές τοπικού δικτύου που προστατεύονται από δρομολογητή με ενεργοποιημένο πρωτόκολλο NAT (συσκευή NAT) γίνονται απρόσιτοι από το εξωτερικό δίκτυο.

Αν και το NAT δεν αντικαθιστά ένα τείχος προστασίας, εξακολουθεί να είναι ένα σημαντικό στοιχείο ασφάλειας.

Η αρχή λειτουργίας του πρωτοκόλλου NAT είναι αρκετά απλή. Όταν ένας πελάτης εσωτερικού δικτύου επικοινωνεί με έναν εξωτερικό διακομιστή δικτύου, ανοίγει μια υποδοχή, η οποία προσδιορίζεται από τη διεύθυνση IP προέλευσης, τη θύρα προέλευσης, τη διεύθυνση IP προορισμού, τη θύρα προορισμού και το πρωτόκολλο δικτύου. Όταν μια εφαρμογή στέλνει δεδομένα μέσω αυτής της υποδοχής, η διεύθυνση IP προέλευσης και η θύρα προέλευσης εισάγονται στο πακέτο στα πεδία παραμέτρων πηγής. Τα πεδία επιλογών προορισμού θα περιέχουν τη διεύθυνση IP του διακομιστή και του διακομιστή θύρας.

Η συσκευή NAT (δρομολογητής) παρεμποδίζει το πακέτο που προέρχεται από το εσωτερικό δίκτυο και εισάγει στον εσωτερικό του πίνακα μια αντιστοίχιση των θυρών προέλευσης και προορισμού του πακέτου χρησιμοποιώντας τη διεύθυνση IP προορισμού, τη θύρα προορισμού, την εξωτερική διεύθυνση IP της συσκευής NAT, την εξωτερική θύρα , πρωτόκολλο δικτύου και εσωτερικές IP - διεύθυνση και θύρα πελάτη. Στη συνέχεια, η συσκευή NAT μεταφράζει το πακέτο, μετατρέποντας τα πεδία πηγής στο πακέτο: η εσωτερική διεύθυνση IP και η θύρα του πελάτη αντικαθίστανται από την εξωτερική διεύθυνση IP και τη θύρα της συσκευής NAT.

Το μετατρεπόμενο πακέτο αποστέλλεται μέσω του εξωτερικού δικτύου και τελικά φτάνει στον καθορισμένο διακομιστή. Έχοντας λάβει το πακέτο, ο διακομιστής θα προωθήσει πακέτα απόκρισης στην εξωτερική διεύθυνση IP και θύρα της συσκευής NAT (δρομολογητής), υποδεικνύοντας τη δική του διεύθυνση IP και θύρα στα πεδία πηγής.

Η συσκευή NAT λαμβάνει αυτά τα πακέτα από τον διακομιστή και αναλύει τα περιεχόμενά τους με βάση τον πίνακα αντιστοίχισης θυρών της. Εάν βρεθεί μια αντιστοίχιση θύρας στον πίνακα για την οποία η διεύθυνση IP προέλευσης, η θύρα προέλευσης, η θύρα προορισμού και το πρωτόκολλο δικτύου από το εισερχόμενο πακέτο ταιριάζουν με τη διεύθυνση IP του απομακρυσμένου κεντρικού υπολογιστή, την απομακρυσμένη θύρα και το πρωτόκολλο δικτύου που καθορίζονται στην αντιστοίχιση θύρας, τότε NAT θα εκτελέσει την αντίστροφη μετάφραση : Αντικαθιστά την εξωτερική διεύθυνση IP και την εξωτερική θύρα στα πεδία προορισμού του πακέτου με τη διεύθυνση IP και την εσωτερική θύρα του εσωτερικού δικτύου πελάτη. Ωστόσο, εάν δεν υπάρχει αντιστοίχιση στον πίνακα αντιστοίχισης θυρών, το εισερχόμενο πακέτο απορρίπτεται και η σύνδεση διακόπτεται.

Αποφασίστηκε να χρησιμοποιηθεί ένα τείχος προστασίας λογισμικού. Για να γίνει αυτό, πρέπει να διαθέσετε ένα ξεχωριστό, αρκετά ισχυρό μηχάνημα με πολλές διεπαφές. Ο Microsoft ISA Server 2004 Standard Edition υποτίθεται ότι χρησιμοποιείται ως τείχος προστασίας λογισμικού.

Το εσωτερικό δίκτυο του κτιρίου Α (στο εσωτερικό) συνδέεται με μια από τις διεπαφές του υπολογιστή με ένα τείχος προστασίας λογισμικού. Το άλλο είναι ένας διακόπτης για το συνδυασμό διακομιστών που τοποθετούνται σε μια ζώνη DMZ (θα επιλέξουμε Cisco Catalyst 2960). Κατά την επιλογή αυτού του μεταγωγέα, θα υπάρχει προμήθεια θυρών, επομένως η προσθήκη διακομιστών στη ζώνη DMZ στο μέλλον δεν θα είναι δύσκολη.

Ο διακομιστής Microsoft Internet Security and Acceleration (ISA) χρησιμεύει ως τείχος προστασίας εταιρικής κλίμακας και προσωρινή μνήμη Ιστού. Ο ISA Server μπορεί να εγκατασταθεί σε τρεις λειτουργίες: είτε ως διακομιστής προσωρινής αποθήκευσης (διακομιστής μεσολάβησης), ως τείχος προστασίας ή σε ενσωματωμένη λειτουργία (αυτή η λειτουργία παρέχει λειτουργίες αποθήκευσης στην κρυφή μνήμη και τείχος προστασίας). Εφόσον χρησιμοποιούμε τον ISA Server ως τείχος προστασίας, θα πρέπει να επιλέξουμε είτε Τείχος προστασίας είτε Ενσωματωμένη λειτουργία. Χρησιμοποιώντας τον ISA Server, μπορείτε να παρακολουθείτε την πρόσβαση των πελατών εσωτερικού δικτύου σε πόρους Διαδικτύου.

Το εσωτερικό δίκτυο καθορίζεται εισάγοντας το κατάλληλο εύρος διευθύνσεων IP στον Πίνακα τοπικών διευθύνσεων (LAT) του διακομιστή ISA. Εφόσον ο ISA Server επιτρέπει μόνο ένα LAT, θα είναι δυνατή η παροχή πλήρους προστασίας μόνο σε ένα δίκτυο (εσωτερικό).

Ο ISA Server χρησιμοποιεί κανόνες πρόσβασης τοποθεσίας και τύπου περιεχομένου, κανόνες πρωτοκόλλου, φίλτρα πακέτων IP, κανόνες δημοσίευσης στο Web και κανόνες δημοσίευσης διακομιστή για τη διαμόρφωση των πολιτικών εισερχόμενης και εξερχόμενης κυκλοφορίας στον ISA Server. Οι κανόνες πρόσβασης στον ιστότοπο και τον τύπο περιεχομένου ελέγχουν τον τρόπο με τον οποίο οι εσωτερικοί χρήστες μπορούν να έχουν πρόσβαση και πρόσβαση σε συγκεκριμένους εξωτερικούς ιστότοπους ή στο περιεχόμενό τους ανά τύπο περιεχομένου. Οι κανόνες πρωτοκόλλου ελέγχουν ποια πρωτόκολλα μπορούν να χρησιμοποιήσουν οι εσωτερικοί πελάτες για να αποκτήσουν πρόσβαση σε υπολογιστές στο Διαδίκτυο. Τα φίλτρα πακέτων IP σάς επιτρέπουν να ελέγχετε ποιους τύπους πακέτων δέχεται ο ISA Server από το Διαδίκτυο και ποιους τύπους πακέτων δέχεται από εσωτερικούς υπολογιστές. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε ένα φίλτρο IP για να επιτρέψετε τη διέλευση πακέτων Ping ή PPTP. Οι κανόνες δημοσίευσης Ιστού θα καταστήσουν τους εσωτερικούς διακομιστές Ιστού διαθέσιμους σε εξωτερικούς πελάτες στο Διαδίκτυο. Αυτοί οι κανόνες μπορούν να χρησιμοποιηθούν για τον έλεγχο των εισερχόμενων αιτημάτων Ιστού με βάση σχετικούς λογαριασμούς, διευθύνσεις πελατών, διευθύνσεις προορισμού και διαδρομή. Χρησιμοποιώντας κανόνες δημοσίευσης διακομιστή, θα είναι δυνατό να γίνουν άλλοι διακομιστές (για παράδειγμα, διακομιστές SMTP) προσβάσιμοι στον έξω κόσμο. Οι κανόνες δημοσίευσης διακομιστή θα σας επιτρέψουν να διαχειριστείτε τα εισερχόμενα αιτήματα σε αυτούς τους διακομιστές ανάλογα με τη διεύθυνση IP του πελάτη.

Όταν ένας εσωτερικός υπολογιστής-πελάτης προσπαθεί να συνδεθεί σε έναν υπολογιστή στο Διαδίκτυο, ο διακομιστής ISA ελέγχει το αίτημα για να δει εάν πληροί τους κανόνες πρωτοκόλλου. Εάν το αίτημα είναι HTTP ή HTTP Secure (HTTPS), ο ISA Server το ελέγχει επιπλέον με τους κανόνες πρόσβασης στον ιστότοπο και τον τύπο περιεχομένου του ιστότοπου. Όταν ο διακομιστής ISA λαμβάνει μια εισερχόμενη αίτηση από έναν πελάτη Διαδικτύου, ο διακομιστής ISA ελέγχει το αίτημα έναντι του φίλτρου πακέτου IP. Εάν το αίτημα είναι αίτημα HTTP ή HTTPS, ο ISA Server το ελέγχει επιπλέον με τους κανόνες δημοσίευσης στο Web. Σε άλλες περιπτώσεις, ο ISA Server ελέγχει το αίτημα σε σχέση με τους κανόνες δημοσίευσης διακομιστή.