Компьютерные советы (сборник статей) - [27]

DMZ — сокращение от demilitarized zone (демилитаризованная зона) — подразумевает собой фрагмент сети, не являющийся полностью доверенным. Смысл создания DMZ заключается в том, чтобы оградить внутреннюю систему (в данном случае это наша защищенная LAN) от доступа, который осуществляется из Интернета. DMZ создается посредством реализации полузащищенной сетевой зоны, что достигается путем применения межсетевых экранов или маршрутизаторов со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ. Очевидно, что все системы, доступные из внешней среды, должны быть размещены в демилитаризованной зоне. Следует учитывать и то, что, если система доступна через интерактивный сеанс (такой, как telnet или SSH), то открывается возможность проведения атак против других систем, находящихся в DMZ. В качестве модели рассмотрим следующую. Одна из возможных архитектур безопасной LAN c использованием демилитаризованной зоны изображена на рис. 1:

В данном случае наша сеть включает в себя два межсетевых экрана, отделяющих DMZ от внешней и внутренней сети. Внешняя сеть оказывается между маршрутизатором провайдера и первым межсетевым экраном, в то время как демилитаризованная зона размещается между межсетевыми экранами № 1 и № 2. В настройках межсетевого экрана № 1 предусмотрено разрешение прохождения всего трафика DMZ, а также всего внутреннего трафика (за некоторым исключением). Межсетевой экран № 2 сконфигурирован более жестко с учетом того, что разрешен только исходящий интернет-трафик. Подобная конфигурация значительно повышает общий уровень безопасности LAN. Нельзя не согласиться с тем, что использование и обслуживание пары межсетевых экранов повышает стоимость архитектуры и требует дополнительных усилий по управлению и настройке, но… оно того стоит.

IDS

IDS — система обнаружения вторжений. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. Разновидностью IDS является IPS, возможности которой выходят за рамки простого обнаружения вторжений и дополняются возможностью превентивного противодействия. В настоящее время можно выделить, по крайней мере, два основных типа IDS:

узловые (HIDS);

и сетевые (NIDS).

Как правило, система HIDS размещается в узлах системы, отслеживая любую подозрительную активность, которую можно классифицировать как признаки атак на данный узел. HIDS представляют собой систему датчиков, загружаемых на различные серверы организации и управляемых центральным диспетчером. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик. Следует заметить, что система HIDS, как правило, стоит дороже, чем сетевая система, что объясняется тем, что каждый сервер должен иметь лицензию на датчик (датчики дешевле для одного сервера, однако общая стоимость датчиков больше по сравнению со стоимостью использования сетевых IDS). При использовании системы HIDS следует обратить внимание на то, что работа процесса датчика на сервере может занимать до 15 % общего процессорного времени. При активно используемой системе подобная трата системных ресурсов может отрицательно сказаться на производительности, и, таким образом, не исключено, что вам придется приобретать более производительную систему. NIDS представляет собой программный комплекс, работающий на специально выделенной системе. Принцип функционирования NIDS чем-то схож с работой сетевого сниффера: NIDS переводит работу сетевой карты в системе в promiscuous mode (беспорядочный режим — состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса). После получения пакетов происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. На рис. 2 показана возможность использования двух типов IDS:

NAT

Еще одним инструментом, который мы применим при проектировании безопасной LAN, станет NAT.

NAT — это технология трансляции одного или нескольких адресов в другие адреса. В большинстве случаев функции NAT реализуются посредством межсетевого экрана (хорошим примером является Kerio Win Rout Firewall с гибкой системой настройки NAT). Маршрутизаторы также могут выполнять эту функцию. Очевидно, что функция безопасности NAT реализуется благодаря тому, что скрытые адреса внутренних систем являются невидимыми из внешней сети — в частности, из сети Интернет. Следует учитывать и тот факт, что для защиты от инсайдерских атак NAT бесполезна: если злоумышленник находится внутри организации или имеет прямой доступ к внутренней сети через VPN или телефонное соединение, то NAT и вовсе никак не сможет защитить сеть.

Необходимый минимум

1. При построении безопасной LAN следует минимизировать количество служб и сервисов, предоставляемых сетью, используемых клиентами из сети Интернет.