Демілітаризована зона isa, windows it pro
Захист корпоративної мережі за допомогою буферної області Багато організацій не використовують в своїх мережах демілітаризовану зону, DMZ. Замість цього вони розміщують свої сервери (наприклад, Web-сервери) в тій же внутрішньої мережі, де розташовані сервери і робочі станції компанії.
Надіслати заявку на отримання матеріалів
Захист корпоративної мережі за допомогою буферної області
Багато організацій не використовують в своїх мережах демілітаризовану зону, DMZ. Замість цього вони розміщують свої сервери (наприклад, Web-сервери) в тій же внутрішньої мережі, де розташовані сервери і робочі станції компанії. Без DMZ, яка відділяє загальнодоступні сервери від внутрішньої мережі, остання піддається додатковому ризику. Коли атакуючий отримає можливість управління Web-сервером, він зможе використовувати його для атаки на важливі ресурси, такі як фінансові програми та файлові сервери. Саме «коли», а не «якщо». Тому що незалежно від того, як захищений Web-сервер, рано чи пізно він піддасться атаці. Отже, необхідно проектувати мережу і робочі процеси з урахуванням мінімізації збитку від вторгнень і гарантії їх швидкого відновлення. Однією з таких стратегій є стратегія виділення робочих зон і використання демілітаризованої зони (DMZ).
При формуванні DMZ створюється дві фізично розділені мережі: одна - для загальнодоступних серверів, інша - для внутрішніх серверів і робочих станцій. Залежно від типу DMZ і числа використовуваних брандмауерів, застосовується та чи інша політика маршрутизації для кожної з мереж і жорстко контролюється доступ між:
- Internet і DMZ;
- Internet і внутрішньою мережею;
- DMZ і внутрішньою мережею.
Головна перевага використання DMZ замість простого брандмауера полягає в тому, що при атаці на загальнодоступний сервер ризик компрометації внутрішніх серверів знижується, оскільки загальнодоступні і внутрішні сервери відокремлені один від одного. Якщо скомпрометований сервер знаходиться в DMZ, зловмисник не зможе безпосередньо атакувати інші, більш важливі сервери, розташовані у внутрішній мережі. Брандмауер блокує будь-які спроби комп'ютерів з DMZ під'єднатися до комп'ютерів внутрішньої мережі, за винятком спеціально дозволених з'єднань. Наприклад, можна налаштувати брандмауер так, щоб дозволити Web-сервера, що знаходиться в DMZ, приєднуватися до внутрішньої системи з Microsoft SQL через спеціальний TCP-порт. Якщо зловмисник захопить Web-сервер, він зможе організувати атаку на систему SQL Server через цей порт. Однак зловмисник не зможе атакувати інші служби і порти системи з SQL Server, так само як і інші комп'ютери у внутрішній мережі.
Застосування DMZ дає ще деякі переваги.
Малюнок 1. DMZ з трьома інтерфейсами
DMZ на базі ISA Server з трьома інтерфейсами
Щоб дозволити користувачам з Internet доступ до серверів, що знаходяться в DMZ, доведеться створити пакетний фільтр, який відкриє відповідні порти на кожному з серверів в DMZ. Наприклад, якщо є Web-сервер і шлюз SMTP в DMZ, потрібно буде створити фільтр, який відкриє TCP-порт 80 на Web-сервері (або TCP-порт 443, якщо використовується HTTP Secure, HTTPS). Потім потрібно створити два фільтри, які дозволять встановлювати вхідні з'єднання до TCP-порту 25 і вихідні з'єднання від TCP-порту 25 на SMTP-шлюзі.
Уникнути ризиків, пов'язаних з використанням SQL Server, важче, ніж зробити це в Exchange, оскільки ISA Server не містить прикладних фільтрів для SQL Server. Проте можна максимально утруднити злом SQL Server. Наприклад, необхідно використовувати хороші складні паролі і усунути можливості несанкціонованого управління системою з встановленим SQL Server навіть в тому випадку, якщо доступ до SQL Server дозволений тільки довіреній Web-серверу. Необхідно переконатися, що Web-додатки зберігають секретність облікового запису і пароля під час з'єднання з SQL Server, іншими словами, не дозволяйте вказувати ім'я і пароль для доступу до SQL Server в коді програми. Важливо переконатися, що права облікового запису, що використовується для доступу до SQL Server, обмежені до необхідного мінімуму. Web-додатки для з'єднання з SQL Server не повинні використовувати обліковий запис системного адміністратора (SA). Замість цього слід створити для Web-додатків обліковий запис з обмеженими правами.
Нарешті, треба буде розв'язати, чи використовувати протокол захищеного HTTP (HTTPS) для захисту областей на Web-сайті. Організувати застосування HTTPS в DMZ з трьома інтерфейсами не складає труднощів, оскільки ISA Server просто маршрутизує пакети між Internet і DMZ. Застосування HTTPS в такому типі DMZ зажадає серверного сертифіката, який необхідно отримати в загальнодоступному центрі сертифікатів Certificate Authority (CA) і встановити на Web-сервер в DMZ.
Демілітаризована зона проміжного типу
Використання HTTPS для захисту важливих областей Web-сайту в DMZ проміжного типу відрізняється від застосування HTTPS в DMZ з трьома мережевими інтерфейсами. Замість установки на Web-сервері серверного сертифіката, отриманого від загальнодоступного центру сертифікації (СА), необхідно встановити сертифікат на ISA Server. Відповідно, коли клієнт з Internet отримує доступ до захищеної області Web-сайту, Internet Explorer клієнта встановлює захищене SSL-з'єднання (Secure Sockets Layer) між клієнтським комп'ютером і ISA Server. ISA Server, в свою чергу, перенаправляє запити на Web-сервер в DMZ.
Можна або налаштувати ISA Server на перенаправлення запитів в текстовому форматі звичайного HTTP, або встановити нове HTTPS-з'єднання з Web-сервером. Якщо Web-сервер є єдиним сервером в DMZ, рекомендую використовувати HTTP для економії ресурсів комп'ютера. Імовірність, що хто-небудь перехопить з'єднання, невелика, оскільки Web-сервер знаходиться в захищеній мережі DMZ. Якщо ж Web-сервер - не єдиний сервер в DMZ, можливо, доведеться встановлювати нові HTTPS-з'єднання. Важливо пам'ятати, що процес шифрування зменшує продуктивність як ISA Server, так і Web-серверів. Іншою можливістю, що дозволяє ізолювати трафік між ISA Server і Web-сервером, є використання віртуальних мереж Virtual LAN (VLAN) на комутаторі мережі DMZ.
Захищайте свою мережу!
Установка і використання ISA Server в якості захисного екрана
Microsoft Internet Security and Acceleration (ISA) Server виконує функції захисного екрану масштабу підприємства і Web-кешу. ISA Server може бути встановлений в трьох режимах: або в якості кешуючого (proxy-сервера), або в якості брандмауера, або в інтегральному режимі (цей режим забезпечує як функції кешування, так і функції захисного екрану). Оскільки ми використовуємо ISA Server в якості брандмауера, необхідно буде вибрати або режим Firewall, або Integrated. За допомогою ISA Server можна відстежувати процеси доступу клієнтів внутрішньої мережі до ресурсів Internet.
Поділіться матеріалом з колегами і друзями