• Yerel ağın askerden arındırılması. Bir DMZ (askerden arındırılmış bölge) kurmak için en iyi dört uygulama

    DMZ veya askerden arındırılmış bölge (DMZ) harici bir ağdan gelen isteklere yanıt veren sunucuların özel bir ağ segmentinde bulunduğu ve ana ağ segmentlerine erişimin aşağıdakileri kullanarak sınırlandırıldığı bir ağ güvenlik teknolojisidir: güvenlik duvarı (güvenlik duvarı), bölgede bulunan hizmetlerden birinin hacklenmesi sırasında hasarı en aza indirmek için.

    Tek güvenlik duvarı yapılandırması

    Bir güvenlik duvarı ile şema

    Bu şemada DMZ iç ağ ve dış ağ, ağlar arasındaki bağlantıları kontrol eden yönlendiricideki (güvenlik duvarı görevi gören) farklı bağlantı noktalarına bağlıdır. Böyle bir planın uygulanması kolaydır ve yalnızca bir ek bağlantı noktası gerektirir. Ancak, yönlendirici saldırıya uğrarsa (veya yanlış yapılandırılırsa), ağ doğrudan dış ağdan açığa çıkar.

    Çift güvenlik duvarı yapılandırması

    ile konfigürasyonda 2 DMZ güvenlik duvarı biri harici ağdan gelen bağlantıları kısıtlayan iki yönlendiriciye bağlanır. DMZ ve ikinci kontrol bağlantıları DMZ dahili ağa. Böyle bir şema, harici ağla etkileşime giren herhangi bir güvenlik duvarı veya sunucuyu hacklemenin sonuçlarını en aza indirmenize olanak tanır - dahili güvenlik duvarı saldırıya uğrayana kadar, saldırganın dahili ağa rastgele erişimi olmayacaktır.

    Üç güvenlik duvarı yapılandırması

    Nadir bir tane var 3 güvenlik duvarı ile yapılandırma. Bu yapılandırmada, birincisi harici ağdan gelen istekleri alır, ikincisi DMZ ağ bağlantılarını kontrol eder ve üçüncüsü dahili ağ bağlantılarını kontrol eder. Böyle bir konfigürasyonda, genellikle DMZ ve dahili ağ arkasında gizlidir NAT (ağ adresi çevirisi).

    Anahtar özelliklerden biri DMZ yalnızca dahili güvenlik duvarındaki trafiği filtrelemekle kalmaz, aynı zamanda dahili ağın aktif ekipmanı arasındaki etkileşimde zorunlu güçlü şifreleme gereksinimi ve DMZ. Özellikle, sunucudan gelen bir isteği işleme koymanın mümkün olduğu hiçbir durum olmamalıdır. DMZ yetkilendirme olmadan. Çevre içindeki bilgileri içeriden sızıntıya karşı korumak için bir DMZ kullanılması durumunda, dahili ağdan gelen kullanıcı isteklerinin işlenmesi için benzer gereklilikler geçerlidir.

    Bu yazıda size ne olduğunu anlatacağım DMZ sunucusu veya bir yönlendirici üzerindeki bir sunucu. Ayrıca DMZ işlevini kullanarak bağlantı noktalarının nasıl açılacağı. Bu makaleyi zaten okuduğunuza göre, muhtemelen sanal sunucunun ne olduğunu ve bunu neden yapmanız gerektiğini zaten biliyorsunuzdur. O zaman değilse . Kısaca, diğer internet kullanıcılarıyla bir bilgisayardan dosya alışverişi yaptığınızda yönlendirici üzerinde bir port açmanız gerekir. Örneğin, bir ev bilgisayarında çalışan bir FTP sunucusunun veya bir torrent istemcisinin veya bir ağ oyununun çalışması için. Bu yazıda, TP-Link, Asus, Zyxel Keenetic ve Tenda yönlendiricileri örneğini kullanarak, sözde DMZ ana bilgisayarını kullanarak tüm bağlantı noktalarını aynı anda nasıl açacağımızı öğreneceğiz.

    DMZ("askerden arındırılmış bölge"), belirli bir cihazda kesinlikle tüm bağlantı noktalarını açabileceğiniz bir teknolojidir

    Bir yönlendiricide DMZ sunucusu nasıl kullanılır?

    Yukarıda açıklanan yöntemleri kullanarak, ağdaki bir cihaz için yalnızca bir bağlantı noktası açmak için yönlendiriciyi kullanırız. DMZ ana bilgisayarı aracılığıyla aynı anda birkaç bağlantı noktası açabilirsiniz. Bununla birlikte, bu yalnızca aşırı durumlarda yapılmalıdır, çünkü bu durumda cihaz İnternet'ten erişime kesinlikle açıktır. Ancak bazen, örneğin bir kayıt şirketi aracılığıyla bağlanan CCTV kameralarının ayarlarını görüntülemek veya bir oyun sunucusunu düzenlemek için bunu yapmak gerekir.

    Size bir örnek vereyim - genellikle bir video gözetim kaydedici bağlanırken, varsayılan olarak 80 numaralı bağlantı noktası kullanılır ve bunu ayarlarda değiştirmek imkansızdır. Aynı zamanda bu port da router üzerinde meşguldür ve yönlendirme yapmak mümkün olmayacaktır. Bu durumda, yönlendiricideki DMZ ana bilgisayarı kurtarmaya gelir.

    Tenda yönlendirici üzerinde sanal DMZ sunucusu

    Tenda wifi yönlendiricilerinde, bağlantı noktalarını açma işlevi " olarak adlandırılır. Sanal sunucu". Yönetici panelinde "Ek ayarlar - Sanal sunucu" bölümünde bulabilirsiniz.

    Fakat öncelikle port yönlendirme yapmak istediğiniz bilgisayara statik bir IP adresi atamanız gerekiyor, aksi halde DHCP üzerinden bir dahaki sefere açtığınızda router ona farklı bir adres atayabilir ve tüm ayarlarımız başarısız olur. Bu nasıl yapılır, okuyun.

    Bilgisayar için belirli bir adres ayrıldığında, bunu "Dahili IP adresi" hücresindeki "Sanal Sunucu" bölümüne girin.


    • Yerel ağ bağlantı noktası - açılır listeden ihtiyaçlarımıza en uygun olanı seçin - ftp, http, pop3, SMTP vb ...
    • WAN bağlantı noktası - önceki durumda olduğu gibi belirtin
    • Protokol - TCP ve UDP'yi ayarlayın

    Ve "Ekle" düğmesini tıklayın

    Ayarları kaydettikten sonra, Tenda yönlendirici üzerinden port açılacak ve bilgisayardaki belirli kaynaklara internetten kolayca erişim sağlayabiliriz.

    Tenda wifi yönlendiricisinde DMZ ana bilgisayarının etkinleştirilmesi "Gelişmiş ayarlar"dadır. Burada her şey basit - geçiş anahtarını açık konuma getiriyoruz ve bilgisayarın veya tüm bağlantı noktalarını açmak istediğimiz diğer cihazın IP adresini giriyoruz

    Bir TP-Link yönlendiricisinde DMZ kurulumu

    Web arayüzünün yeni sürümündeki TP-Link yönlendiricisindeki DMZ işlevi, "Gelişmiş Ayarlar" bölümünde yer almaktadır. NAT yönlendirme - DMZ". Burada her şey basit - bir onay işaretiyle açın ve tüm bağlantı noktalarının açılacağı bilgisayarın IP adresini belirtin.

    Asus yönlendiricisinde DMZ ana bilgisayarı

    Asus yönlendiricide, ana bilgisayar DMZ ayarı aynıdır ve ana menü bölümünde bulunur " İnternet»

    Zyxel Keenetic DMZ Kurulumu

    Zyxel Keenetic yönlendirici de benzer bir işleve sahiptir, ancak adı DMZ değildir ve " Güvenlik - Güvenlik Duvarı«.

    Öncelikle, burada erişime izin vermek istediğimiz ağ türünü seçiyoruz - bu Ev Ağı (Ev ağı)
    Ardından "Kural Ekle" düğmesini tıklayın.


    Ardından, bir öğe - "Hedef IP adresi" dışında her şeyi varsayılan olarak bırakıyoruz. Burada "Bir" seçeneğini seçmeniz ve metin alanına tüm bağlantı noktalarını açmak istediğiniz bilgisayarın IP adresini yazmanız gerekir. Lütfen "Protokol" sütununda şimdi TCP'yi seçtiğimizi unutmayın.

    Her şeyi aşağıdaki resimdeki gibi yapıyoruz:

    Güncellenen Keenetic DMZ hattında ayrıca "" başlığı altında yapılandırılmıştır. güvenlik duvarı". Buraya tıklayın "Kural Ekle"

    Bir onay işaretiyle açın ve her şeyi Zyxel'in eski sürümündeki gibi yazın

    Ufkunuzu genişletmek için Zychsel şirketinin talimatlarını da okumanızı tavsiye ederim.

    Bir yönlendiricide DMZ Host'u yapılandırma hakkında video

    Yerel ağı ve internet erişimi olmayan herhangi bir şirketi temsil etmek gittikçe zorlaşıyor. Çalışmayı iyileştirmeye yardımcı olan, bilgilere hızlı erişim, belge alışverişi, veri sağlayan ortak bir teknoloji. Bu bir yandan. Öte yandan, internetin yaygınlaşmasıyla birlikte, bilgilerin ve yerel ağın korunması sorununu bir bütün olarak çözmek gerekli hale gelir. Bu sorun, şirketin ortak bir yerel alan ağında bulunan halka açık (kamuya açık) İnternet hizmetlerine (web ve ftp sunucuları, posta hizmetleri, çevrimiçi mağazalar) sahip olduğu durumlarda özellikle önemlidir.

    Bu tür sunuculara erişim genellikle ücretsizdir, yani herhangi bir kullanıcı web sunucusunda barındırılan kaynağa, ftp sunucusunun bölümlerine oturum açma ve parola doğrulaması yapmadan erişebilir, posta sunucusu diğer benzer posta sunucularından posta alır. Ve kötü amaçlı kodun postayla birlikte sunucuya ulaşmayacağının, yüzlerce kullanıcı arasında yalnızca kamu hizmetlerine değil, herhangi bir nedenle kuruluşun yerel ağına da erişmek isteyen hiç kimsenin olmayacağının garantisi yoktur. . Ve ağ, anahtarlar (anahtarlar) yerine basit hub'lar (hub'lar) üzerine kuruluysa, o zaman büyük risk altında olacaktır.

    Bir bilgisayar korsanı, bilgisayarlardan birini hackleyerek tüm ağa erişebilir.

    Nedir? Yerel ağdaki en az bir bilgisayara erişim sağlayan bir bilgisayar korsanı, ağda dolaşan veya depolanan herhangi bir bilgiye erişmesine izin verecek yönetici parolasına kadar parolalar alabilir, erişim parolalarını veritabanlarına erişilemeyecek şekilde değiştirebilir. veya hizmet dışı olarak gösterilebilir. Ayrıca, web sunucusuna erişim sağlayarak, tüm kurum içi kaynakların performansını engelleyebilecek DoS saldırıları gerçekleştirmek için kullanılabilir.

    Bu nedenle, genel sunucular içeren sistemler oluşturmaya yönelik yaklaşım, dahili sunuculara dayalı sistemler oluşturmaya yönelik yaklaşımdan farklı olmalıdır. Bu, sunucunun halka açık olması nedeniyle ortaya çıkan belirli riskler tarafından belirlenir. Çözüm, yerel ağı ve genel sunucuları ayrı parçalara ayırmaktır. Kamu hizmetlerinin barındırılacağı bölgeye "askerden arındırılmış bölge" denir ( DMZ - Askerden Arındırılmış Bölge).

    DMZ - özel ilgi alanı

    DMZ'nin özü, ne dahili ne de harici ağa doğrudan dahil olmaması ve ona erişimin yalnızca önceden tanımlanmış güvenlik duvarı kurallarına göre gerçekleştirilebilmesidir. DMZ'de kullanıcı yoktur - orada yalnızca sunucular bulunur. Askerden arındırılmış bölge, yerel ağdan dışarıdan erişim gerektiren tüm hizmetleri özel bir bölgeye taşıyarak genellikle dış ağdan iç ağdaki ana bilgisayarlara erişimi engellemeye yarar. Aslında, bu bölgenin güvenlik duvarlarıyla genel ve kurumsal ağlardan korunan (veya ayrılmış) genel adreslere sahip ayrı bir alt ağ olacağı ortaya çıktı.

    Böyle bir bölge oluştururken, kurumsal ağ yöneticileri ek görevlerle karşı karşıya kalır. DMZ içerisinde yer alan kaynaklara ve sunuculara erişim kontrolü sağlamak, kullanıcılar bu kaynaklarla çalışırken iletilen bilgilerin gizliliğini sağlamak, kullanıcı hareketlerini kontrol etmek için gereklidir. Sunucularda bulunabilecek bilgilerle ilgili olarak aşağıdakiler söylenebilir. Kamu hizmetlerinin saldırıya uğrayabileceği göz önüne alındığında, en önemsiz bilgileri içermeli ve herhangi bir değerli bilgi, genel sunuculardan erişilemeyecek olan yerel ağa özel olarak yerleştirilmelidir.

    DMZ'de barındırılan sunucularda, kullanıcılar, şirket müşterileri, diğer gizli bilgiler hakkında herhangi bir bilgi bulunmamalı, çalışanların kişisel posta kutuları olmamalıdır - tüm bunlar yerel ağın güvenli bir bölümünde güvenli bir şekilde "gizlenmelidir". Ve genel sunucularda bulunacak bilgiler için, mümkün olan en az sıklıkta yedek arşivleme sağlamak gerekir. Ek olarak, bilgisayar korsanlığının sonuçlarını zamanında tespit etmek ve ortadan kaldırmak için bilgilerin durumunu sürekli olarak izleyen posta sunucuları ve web sunucuları için en az iki sunuculu bir hizmet modeli kullanılması önerilir.

    Bir DMZ oluştururken güvenlik duvarlarının kullanılması zorunludur

    Güvenlik duvarları, DMZ üzerinden şirket ağına sızmayı korumak için kullanılır. Yazılım ve donanım ekranları bulunmaktadır. Yazılım, UNIX veya Windows NT/2000 çalıştıran bir makine gerektirir. Bir donanım güvenlik duvarı kurmak için yalnızca onu ağa bağlamanız ve minimum yapılandırma gerçekleştirmeniz gerekir. Tipik olarak, yazılım ekranları, kullanıcılar için protokollerde esnek bant genişliği tahsisi ve trafik kısıtlamaları ile ilgili birçok ayar yapmaya gerek olmayan küçük ağları korumak için kullanılır. Ağ büyükse ve yüksek performans gerekiyorsa, donanım güvenlik duvarlarını kullanmak daha karlı hale gelir. Çoğu durumda, bir değil, iki güvenlik duvarı kullanılır - biri askerden arındırılmış bölgeyi dış etkilerden korur, ikincisi onu şirket ağının dahili kısmından ayırır.

    Ancak kamu sunucularını askerden arındırılmış bir bölgeye taşımanın kurumsal ağı bir dereceye kadar korumasının yanı sıra, DMZ'nin kendisinin korunmasını düşünmek ve sağlamak gerekir. Bunu yaparken, aşağıdaki gibi sorunlar:

    • sunuculara ve ağ ekipmanına yönelik saldırılara karşı koruma;
    • bireysel sunucuların korunması;
    • posta ve diğer içeriklerin kontrolü;
    • kullanıcı eylemlerinin denetimi.

    Bu sorunlar nasıl çözülebilir? Hem harici yazışmalar hem de şirket içi yazışmalar için kullanılan posta sunucusunu iki bileşene "bölmek" arzu edilir - aslında bir geçiş sunucusu olacak ve DMZ'de yer alacak olan genel sunucu ve ana sunucu , kurumsal ağ içinde bulunur. Ana bileşen, dahili postanın dolaşımını sağlar, röleden alır ve ona harici yazışmalar gönderir.

    Ana zorluklardan biri, kurumsal intranetten kamu kaynaklarına ve uygulamalara güvenli erişim sağlamaktır. Onunla DMZ arasına bir güvenlik duvarı kurulu olsa da, çalışması için "şeffaf" olması gerekir. Kullanıcılara bu fırsatı sağlamak için çeşitli seçenekler vardır. Birincisi, terminal erişiminin kullanılmasıdır. İstemci ve sunucu arasındaki bu tür bir etkileşim organizasyonu ile, kurulan bağlantı aracılığıyla, aralarında virüslerin ve diğer kötü amaçlı içeriklerin bulunabileceği hiçbir program kodu iletilmez. Terminal istemcisinden sunucuya, klavyenin basılan tuşlarının kod akışı ve kullanıcının faresinin durumları izler ve sunucudan istemciye, tarayıcının sunucu oturumunun ekranlarının ikili görüntüleri veya geri döner. kullanıcının posta istemcisi gelir. Başka bir seçenek de VPN (Sanal Özel Ağ) kullanmaktır. Erişim kontrolü ve bilgilerin kriptografik koruması sayesinde VPN, özel bir ağın güvenliğine sahiptir ve aynı zamanda genel ağdan tam olarak yararlanır.

    DMZ'deki sunucuların ve ekipmanın korunmasına özel bir dikkatle yaklaşılmalıdır.

    Sunuculara ve ağ ekipmanlarına yönelik saldırılara karşı korunmak için özel izinsiz giriş tespit sistemleri kullanılır. Böyle bir sistemin kurulu olduğu bilgisayar, internetten DMZ'ye bilgi akışı yolundaki ilk bilgisayar olur. Sistemler, saldırılar tespit edildiğinde, erişimin tamamen engellenmesine kadar güvenlik duvarını yeniden yapılandırabilecek şekilde yapılandırılmıştır. Ek, ancak kalıcı olmayan kontrol amacıyla, özel yazılım kullanılır - ağın, sunucuların ve hizmetlerin, veritabanlarının güvenliğini kontrol eden güvenlik tarayıcıları. DMZ'de virüslere karşı koruma sağlamak için, içerik kontrol araçlarının yanı sıra virüsten koruma yazılımı yüklenir.

    DMZ'leri düzenlemek ve korumak için yazılım ve teknik çözümler çeşitli şirketler tarafından sunulmaktadır. Bunlar hem yabancı hem de Rus. Bunların arasında, örneğin Computer Associates, D-Link, Informzaschita, Trend Micro ve diğerleri bulunmaktadır.


    Kivşenko Aleksey, 1880

    Bu makale bir genel bakış sunar beşİnternetten kurumsal ağ hizmetlerine erişimi organize etme problemini çözmek için seçenekler. İncelemenin bir parçası olarak, hem acemi hem de daha deneyimli profesyoneller için sorunun özünü anlamaya, bilgilerini yenilemeye ve sistematik hale getirmeye yardımcı olacak güvenlik ve fizibilite seçeneklerinin bir analizi sunulmaktadır. Makalenin materyalleri, tasarım kararlarınızı doğrulamak için kullanılabilir.

    Seçenekleri değerlendirirken, örnek olarak yayınlamak istediğiniz ağı ele alalım:

    1. Kurumsal posta sunucusu (Web postası).
    2. Kurumsal terminal sunucusu (RDP).
    3. Karşı taraflar için extranet hizmeti (Web-API).

    Seçenek 1. Düz ağ

    Bu seçenekte, şirket ağının tüm düğümleri, aralarındaki iletişimin sınırlı olmadığı tek bir ortak ağda ("Dahili ağ") bulunur. Ağ, bir sınır yönlendiricisi/güvenlik duvarı (bundan sonra - IFW).

    Düğümler, İnternet'e NAT aracılığıyla erişir ve hizmetlere İnternet'ten Bağlantı Noktası iletme yoluyla erişim sağlar.

    Seçeneğin avantajları:

    1. Minimum işlevsellik gereksinimleri IFW(hemen hemen her ev yönlendiricisinde bile yapılabilir).
    2. Seçeneği uygulayan uzman için minimum bilgi gereksinimleri.
    Seçeneğin eksileri:
    1. Asgari güvenlik seviyesi. Davetsiz misafirin internette yayınlanan sunuculardan birinin kontrolünü ele geçirdiği bir saldırı durumunda, şirket ağının diğer tüm düğümleri ve iletişim kanalları, sonraki saldırılar için kendisine açık hale gelir.
    Gerçek hayat benzetmesi
    Böyle bir ağ, personel ve müşterilerin aynı ortak salonda (açık alan) bulunduğu bir şirkete benzetilebilir.


    hrmaximum.ru

    Seçenek 2.DMZ

    Daha önce belirtilen dezavantajı ortadan kaldırmak için, İnternetten erişilebilen ağ düğümleri, özel olarak tahsis edilmiş bir segmente - askerden arındırılmış bir bölgeye (DMZ) yerleştirilir. DMZ, onu internetten ayıran güvenlik duvarları kullanılarak organize edilmiştir ( IFW) ve dahili ağdan ( DFW).


    Bu durumda, güvenlik duvarı filtreleme kuralları şöyle görünür:
    1. Dahili ağdan, DMZ'ye ve WAN'a (Geniş Alan Ağı) bağlantılar başlatabilirsiniz.
    2. DMZ'den WAN'a bağlantılar başlatabilirsiniz.
    3. WAN'dan DMZ'ye bağlantılar başlatabilirsiniz.
    4. WAN ve DMZ'den dahili ağa bağlantı başlatmak yasaktır.


    Seçeneğin artıları:
    1. Bireysel hizmetlerin hacklenmesine karşı artırılmış ağ güvenliği. Sunuculardan biri saldırıya uğrasa bile, Saldırgan dahili ağda bulunan kaynaklara (örneğin, ağ yazıcıları, video gözetim sistemleri vb.) erişemez.
    Seçeneğin eksileri:
    1. Tek başına, DMZ'deki sunucuların kaldırılması güvenliklerini artırmaz.
    2. DMZ'yi dahili ağdan ayırmak için ek bir güvenlik duvarı gerekir.
    Gerçek hayat benzetmesi
    Ağ mimarisinin bu versiyonu, müşterilerin yalnızca müşteri alanında olabileceği ve personelin hem müşteri hem de çalışma alanlarında olabileceği bir şirketteki iş ve müşteri alanlarının organizasyonuna benzer. DMZ segmenti, tam olarak müşteri bölgesinin analoğudur.


    otobam.ru

    Seçenek 3. Hizmetlerin Ön Uç ve Arka Uç olarak ayrılması

    Daha önce belirtildiği gibi, DMZ'ye bir sunucu yerleştirmek, hizmetin güvenliğini hiçbir şekilde artırmaz. Durumu düzeltmek için seçeneklerden biri, hizmetin işlevselliğini iki bölüme ayırmaktır: Ön Uç ve Arka Uç. Ek olarak, her bölüm, aralarında ağ etkileşiminin düzenlendiği ayrı bir sunucuda bulunur. İnternette bulunan istemcilerle etkileşim işlevini uygulayan Ön Uç sunucular DMZ'ye yerleştirilirken, işlevselliğin geri kalanını uygulayan Arka Uç sunucular dahili ağda bırakılır. Aralarındaki etkileşim için DFWÖn Uçtan Arka Uca bağlantı başlatmaya izin veren kurallar oluşturun.

    Örnek olarak, müşterilere hem ağ içinden hem de internetten hizmet veren kurumsal bir posta hizmetini ele alalım. İçerideki istemciler POP3/SMTP'yi kullanır ve Internet'teki istemciler Web arabirimi aracılığıyla çalışır. Genellikle, uygulama aşamasında şirketler hizmeti dağıtmanın ve tüm bileşenlerini tek bir sunucuya yerleştirmenin en basit yolunu seçerler. Daha sonra bilgi güvenliğini sağlama ihtiyacı gerçekleştiğinde, hizmetin işlevselliği parçalara bölünür ve müşterilere internetten hizmet vermekten sorumlu olan kısım (Front-End), ağ üzerinden etkileşimde bulunan ayrı bir sunucuya yerleştirilir. kalan işlevselliği uygulayan sunucu ile (Arka Uç). Bu durumda, Ön Uç DMZ'ye yerleştirilirken Arka Uç dahili segmentte kalır. Ön Uç ve Arka Uç arasındaki iletişim için DFWÖn Uçtan Arka Uca bağlantıların başlatılmasına izin veren bir kural oluşturun.

    Seçeneğin artıları:

    1. Genel durumda, korunan bir hizmete yönelik saldırılar Ön Uçta "tökezleyebilir" ve bu da olası hasarı etkisiz hale getirecek veya önemli ölçüde azaltacaktır. Örneğin, bir hizmete yönelik TCP SYN Taşması veya yavaş http okuma saldırıları, Arka Uç normal şekilde çalışmaya ve kullanıcılara hizmet vermeye devam ederken Ön Uç sunucusunun kullanılamamasına neden olur.
    2. Genel olarak, Arka Uç sunucusunun İnternet'e erişimi olmayabilir ve bu, saldırıya uğradığında (örneğin, yerel olarak başlatılan kötü amaçlı kod tarafından), İnternet'ten uzaktan yönetilmesini zorlaştıracaktır.
    3. Ön uç, uygulama düzeyinde bir güvenlik duvarını (Web uygulaması güvenlik duvarı gibi) veya izinsiz giriş önleme sistemini (snort gibi IPS) barındırmak için çok uygundur.
    Seçeneğin eksileri:
    1. Ön Uç ve Arka Uç arasındaki iletişim için DFW DMZ'den iç ağa bir bağlantının başlatılmasına izin veren bir kural oluşturulur ve bu kuralın DMZ'deki diğer düğümler tarafından kullanılmasıyla ilişkili tehditler oluşturur (örneğin, IP sahtekarlığı saldırılarının uygulanması nedeniyle, ARP zehirlenmesi) , vesaire.)
    2. Tüm hizmetler Ön Uç ve Arka Uç olarak bölünemez.
    3. Şirket, güvenlik duvarı kurallarını güncellemek için iş süreçleri uygulamalıdır.
    4. Şirket, DMZ'deki sunucuya erişim sağlayan İhlalcilerin saldırılarına karşı koruma mekanizmaları uygulamalıdır.
    notlar
    1. Gerçek hayatta, sunucuları Ön Uç ve Arka Uç olarak ayırmadan bile, DMZ'den gelen sunucuların genellikle iç ağda bulunan sunuculara erişmesi gerekir, bu nedenle bu seçeneğin belirtilen dezavantajları, dikkate alınan önceki seçenek için de geçerli olacaktır.
    2. Web arabirimi üzerinden çalışan uygulamaların korunmasını düşünürsek, sunucu, Front-End ve Back-End arasında işlevlerin ayrılmasını desteklemese bile, Ön- End, hizmet reddi saldırılarıyla ilişkili riskleri en aza indirecektir. Örneğin, SYN flood saldırıları, Back-End çalışmaya devam ederken http ters proxy'yi kullanılamaz hale getirebilir.
    Gerçek hayat benzetmesi
    Bu seçenek, esas olarak, sekreter yardımcılarının çok yüklü işçiler için kullanıldığı iş organizasyonuna benzer. Ardından, Arka Uç meşgul bir çalışanın bir benzeri olacak ve Ön Uç bir sekreterin bir benzeri olacaktır.


    mln.kz

    Seçenek 4: DMZ Korumalı

    DMZ, ağın internetten erişilebilen kısmıdır ve sonuç olarak, ana bilgisayarın tehlikeye girme riski en yüksektir. DMZ'nin tasarımı ve kullanılan yaklaşımlar, bir Davetsiz misafirin DMZ'deki düğümlerden birinin kontrolünü ele geçirmesi durumunda maksimum hayatta kalma sağlamalıdır. Muhtemel saldırılar olarak, varsayılan ayarlarla çalışan hemen hemen tüm bilgi sistemlerini etkileyen saldırıları düşünün:

    DHCP ile ilgili saldırılara karşı koruma

    DHCP'nin iş istasyonları için IP adreslerinin yapılandırmasını otomatikleştirmeyi amaçlamasına rağmen, bazı şirketlerde sunucular için IP adreslerinin DHCP aracılığıyla verildiği durumlar vardır, ancak bu oldukça kötü bir uygulamadır. Bu nedenle, Rogue DHCP Server , DHCP açlığına karşı koruma sağlamak için DMZ'de DHCP'yi tamamen devre dışı bırakmanız önerilir.

    MAC flood saldırılarına karşı koruma

    MAC taşmasına karşı koruma sağlamak için, anahtar bağlantı noktaları, yayın trafiğinin maksimum yoğunluğunu sınırlayacak şekilde yapılandırılır (çünkü bu saldırılar genellikle yayın trafiği (yayın) oluşturur). Belirli (tek noktaya yayın) ağ adreslerinin kullanımını içeren saldırılar, daha önce tartıştığımız MAC filtrelemesi tarafından engellenecektir.

    UDP sel saldırılarına karşı koruma

    Bu tür saldırılara karşı koruma, filtrelemenin IP düzeyinde (L3) gerçekleştirilmesi dışında MAC taşmasına karşı korumaya benzer.

    TCP SYN taşma saldırılarına karşı koruma

    Bu saldırıya karşı korunmak için aşağıdaki seçenekler mümkündür:
    1. TCP SYN Cookie teknolojisi ile ağ düğümü koruması.
    2. TCP SYN isteklerini içeren trafik oranını sınırlayarak güvenlik duvarı koruması (DMZ'nin alt ağa bağlı olması koşuluyla).

    Ağ hizmetlerine ve Web uygulamalarına yönelik saldırılara karşı koruma

    Bu sorunun evrensel bir çözümü yoktur, ancak yerleşik uygulama, yazılım güvenlik açığı yönetim süreçlerinin (örneğin, algılama, yamaların yüklenmesi vb.) yanı sıra saldırı tespit ve önleme sistemlerinin (IDS / IPS) kullanılmasıdır. .

    Kimlik doğrulama baypas saldırılarına karşı koruma

    Önceki durumda olduğu gibi, bu soruna evrensel bir çözüm yoktur.
    Genellikle, çok sayıda başarısız yetkilendirme girişimi olması durumunda, kimlik doğrulama verilerinin (örneğin bir parola) seçilmesini önlemek için hesaplar bloke edilir. Ancak bu yaklaşım oldukça tartışmalıdır ve işte nedeni budur.
    İlk olarak, İhlal Eden kişi, kimlik doğrulama bilgilerini hesabın bloke edilmesine yol açmayan bir yoğunlukta kaba kuvvetle denetleyebilir (şifrenin birkaç on dakikalık denemeler arasında bir aralıkla birkaç ay boyunca kaba kuvvet olduğu durumlar vardır).
    İkincisi, bu özellik, saldırganın kasıtlı olarak gerçekleştireceği hizmet reddi saldırıları için kullanılabilir. çok sayıda hesapları engellemek için yetkilendirme girişimleri.
    Bu sınıfın saldırılarına karşı en etkili seçenek, şifreleri tahmin etme girişimlerinin tespit edilmesi üzerine hesabı değil, bu çatlamanın meydana geldiği kaynağı (örneğin, IP'yi bloke edecek) IDS / IPS sistemlerinin kullanılması olacaktır. ihlal edenin adresi).

    Bu seçenek için koruyucu önlemlerin son listesi:

    1. DMZ, her ana bilgisayar için ayrı bir alt ağa dayalı olarak IP alt ağlarına bölünmüştür.
    2. IP adresleri yöneticiler tarafından manuel olarak atanır. DHCP kullanılmaz.
    3. DMZ düğümlerinin bağlı olduğu ağ arayüzlerinde, MAC ve IP filtrelemenin yanı sıra yayın trafiğinin yoğunluğu ve TCP SYN isteklerini içeren trafik üzerindeki kısıtlamalar etkinleştirilir.
    4. Anahtarlarda otomatik port tipi anlaşması devre dışıdır, yerel VLAN kullanımı yasaktır.
    5. DMZ ana bilgisayarları ve bu ana bilgisayarların bağlandığı dahili ağ sunucuları, bir TCP SYN Tanımlama Bilgisi ile yapılandırılır.
    6. Yazılım güvenlik açığı yönetimi, DMZ ana bilgisayarları (ve tercihen ağın geri kalanı) için uygulanır.
    7. DMZ segmentinde, IDS/IPS izinsiz giriş tespit ve önleme sistemleri uygulanmaktadır.
    Seçeneğin artıları:
    1. Yüksek derecede güvenlik.
    Seçeneğin eksileri:
    1. Ekipmanın işlevselliği için artan gereksinimler.
    2. Uygulama ve destekte işçilik maliyetleri.
    Gerçek hayat benzetmesi
    Daha önce DMZ'yi kanepeler ve sedirlerle donatılmış bir müşteri alanıyla karşılaştırırsak, güvenli bir DMZ daha çok zırhlı bir kasa gibi görünecektir.


    valmax.com.ua

    Seçenek 5. Geri bağlantı

    Önceki sürümde ele alınan koruma önlemleri, ağda (anahtar / yönlendirici / güvenlik duvarı) bunları uygulayabilecek bir cihazın bulunmasına dayanıyordu. Ancak pratikte, örneğin bir sanal altyapı kullanılırken (sanal anahtarlar genellikle çok sınırlı yeteneklere sahiptir), böyle bir cihaz mevcut olmayabilir.

    Bu koşullar altında, daha önce ele alınan saldırıların çoğu Saldırgan tarafından kullanılabilir hale gelir ve bunlardan en tehlikelisi:

    • trafiğin kesilmesine ve değiştirilmesine izin veren saldırılar (ARP Zehirlenmesi, CAM tablosu taşması + TCP oturumu ele geçirilmesi, vb.);
    • DMZ'den bağlantıların başlatılabileceği dahili ağ sunucularının güvenlik açıklarının kullanılmasıyla ilgili saldırılar (bu, filtreleme kurallarını atlayarak mümkündür) DFW IP ve MAC sahtekarlığı nedeniyle).
    Daha önce dikkate almadığımız ancak bundan daha az önemli olmaya devam eden bir sonraki önemli özellik, kullanıcı iş istasyonlarının (AWP'ler) aynı zamanda (örneğin, virüsler veya truva atları bulaştığında) zararlı etkilerin kaynağı olabilmesidir. sunucular.

    Bu nedenle, dahili ağ sunucularını Davetsiz Misafirin hem DMZ'den hem de dahili ağdan gelen saldırılarına karşı koruma göreviyle karşı karşıyayız (AWP'nin bir Truva Atı ile bulaşması, Davetsiz misafirin dahili sistemden gelen eylemleri olarak yorumlanabilir. ağ).

    Aşağıda önerilen yaklaşım, Saldırganın sunuculara saldırabileceği kanalların sayısını azaltmayı amaçlamaktadır ve bu türden en az iki kanal vardır. İlki, kuraldır DFW, DMZ'den iç ağ sunucusuna erişime izin veren (IP adresleri ile sınırlı olsa bile) ve ikincisi, sunucuda açık olan ve bağlantı isteklerinin beklendiği ağ bağlantı noktasıdır.

    Dahili ağ sunucusunun kendisi DMZ'deki sunucuya bağlantılar oluşturuyorsa ve bunu kriptografik olarak güvenli ağ protokolleri kullanarak yapıyorsa, bu kanalları kapatabilirsiniz. O zaman açık port olmayacak, hiçbir kural olmayacak DFW.

    Ancak sorun şu ki, sıradan sunucu hizmetleri bu şekilde çalışamaz ve bu yaklaşımı uygulamak için, örneğin SSH veya VPN kullanılarak uygulanan ve zaten tünellerin içinde bir sunucudan bağlantılara izin veren ağ tünelini kullanmak gerekir. DMZ'yi bir dahili ağ sunucusuna .

    Bu seçeneğin genel şeması aşağıdaki gibidir:

    1. DMZ'deki bir sunucuya bir SSH/VPN sunucusu kurulur ve dahili ağdaki bir sunucuya bir SSH/VPN istemcisi kurulur.
    2. Dahili ağ sunucusu, DMZ'deki sunucuya bir ağ tüneli inşasını başlatır. Tünel, karşılıklı istemci ve sunucu kimlik doğrulaması ile oluşturulmuştur.
    3. Oluşturulan tünel içindeki DMZ'den gelen sunucu, korunan verilerin iletildiği dahili ağdaki sunucuya bir bağlantı başlatır.
    4. Tünelden geçen trafiği filtrelemek için dahili ağ sunucusunda yerel bir güvenlik duvarı yapılandırılmıştır.

    Bu seçeneği pratikte kullanmak, aşağıdaki önemli özelliklere sahip olduğundan, OpenVPN kullanarak ağ tünelleri oluşturmanın uygun olduğunu göstermiştir:

    • Çapraz platform. Farklı işletim sistemlerine sahip sunucularda iletişimi organize edebilirsiniz.
    • Karşılıklı istemci ve sunucu kimlik doğrulaması ile tünel oluşturma yeteneği.
    • Sertifikalı kriptografi kullanma becerisi.
    İlk bakışta, bu şema aşırı derecede karmaşık görünebilir ve dahili ağ sunucusuna hala yerel bir güvenlik duvarı kurmanız gerektiğinden, her zamanki gibi DMZ'den sunucuyu dahili ağ sunucusuna bağlamak daha kolaydır. kendisi, ancak şifreli bağlantı ile yapın. Aslında, bu seçenek birçok sorunu kapatacaktır, ancak asıl şeyi sağlayamayacaktır - IP ve MAC sahtekarlığı kullanılarak güvenlik duvarını atlayarak gerçekleştirilen dahili ağ sunucusunun güvenlik açıklarına yönelik saldırılara karşı koruma.

    Seçeneğin artıları:

    1. Korunan dahili ağ sunucusundaki saldırı vektörlerinin sayısında mimari azalma.
    2. Ağ trafiği filtreleme yokluğunda güvenliğin sağlanması.
    3. Ağ üzerinden iletilen verilerin yetkisiz görüntüleme ve değişiklikten korunması.
    4. Hizmetlerin güvenlik düzeyini seçici olarak artırma yeteneği.
    5. İlk döngünün güvenlik duvarı yardımıyla sağlandığı ve ikincisinin bu seçeneğe göre düzenlendiği iki döngülü bir koruma sistemi uygulama olasılığı.
    Seçeneğin eksileri:
    1. Bu koruma seçeneğinin uygulanması ve sürdürülmesi ek işçilik maliyetleri gerektirir.
    2. Ağ saldırı tespit ve önleme sistemleri (IDS/IPS) ile uyumsuzluk.
    3. Sunucularda ek hesaplama yükü.
    Gerçek hayat benzetmesi
    Bu seçeneğin ana anlamı, güvenilen bir kişinin güvenilmeyen biriyle bir ilişki kurmasıdır; bu, bankaların verileri doğrulamak için kredi verirken potansiyel bir borçluyu kendilerinin geri aradığı duruma benzer.
  • kurumsal ağlar
    • Etiket ekle
    Devamını oku: