Демілітаризована зона ISA

Версія для друку

Ренді Франклін Сміт

Захист корпоративної мережі за допомогою буферної області

Багато організацій не використовують у своїх мережах демілітаризовану зону, DMZ. Натомість вони розміщують свої сервери (наприклад, Web-сервери) у тій самій внутрішній мережі, де знаходяться сервери та робочі станції компанії. Без DMZ, що відокремлює загальнодоступні сервери від внутрішньої мережі, остання наражається на додатковий ризик. Коли атакуючий отримає можливість управління Web-сервером, він зможе використовувати його для атаки на важливі ресурси, такі як фінансові програми та файлові сервери. Саме «коли», а не «якщо». Тому що незалежно від того, як захищений Web-сервер, рано чи пізно він зазнає атаки. Отже, необхідно проектувати мережу та робочі процеси з урахуванням мінімізації збитків від вторгнень та гарантії їх швидкого відновлення. Однією з таких стратегій є стратегія виділення робочих зон та використання демілітаризованої зони (DMZ).

При формуванні DMZ створюється дві фізично розділені мережі: одна – для загальнодоступних серверів, інша – для внутрішніх серверів та робочих станцій. Залежно від типу DMZ та числа брандмауерів, застосовується та чи інша політика маршрутизації для кожної з мереж і жорстко контролюється доступ між:

  • Internet та DMZ;
  • Internet та внутрішньою мережею;
  • DMZ та внутрішньою мережею.

Головна перевага використання DMZ замість простого брандмауера полягає в тому, що при атаці на загальнодоступний сервер ризик компрометації внутрішніх серверів знижується, оскільки загальнодоступні та внутрішні сервери відокремлені один від одного. Якщо скомпрометований сервер знаходиться в DMZ, зловмисник не зможе безпосередньо атакуватиінші, важливіші сервери, які у внутрішньої мережі. Брандмауер блокує будь-які спроби комп'ютерів з DMZ приєднатися до комп'ютерів внутрішньої мережі, крім спеціально дозволених з'єднань. Наприклад, можна налаштувати брандмауер так, щоб дозволити Web-серверу, що знаходиться в DMZ, приєднуватись до внутрішньої системи з Microsoft SQL через спеціальний TCP-порт. Якщо зловмисник захопить Web-сервер, він зможе організувати атаку на SQL Server через цей порт. Однак зловмисник не зможе атакувати інші служби та порти системи з SQL Server, як і інші комп'ютери у внутрішній мережі.

Застосування DMZ дає деякі переваги.

Хоча переваги використання DMZ великі, можливо, за них доведеться заплатити зниженням продуктивності через розміщення брандмауера між загальнодоступними серверами та Internet. Можливо, різниця і не буде одразу помітна. Це залежить від багатьох факторів, таких як пропускна здатність каналу, завантаження каналу, програмне забезпечення і т.д. Однак деяким великим сайтам не вдасться уникнути відчутного зниження продуктивності, і їм доведеться балансувати між захистом Web-сервера та пасивною системою виявлення вторгнень Intrusion Detection Systems (IDS). Тепер, коли ми обговорили переваги та недоліки використання DMZ, розглянемо фактори, що впливають на вибір того чи іншого варіанту реалізації DMZ. Крім того, слід знати про деякі небезпеки та технічні особливості при розробці DMZ. У цій статті ми розглянемо, як створити DMZ на основі Microsoft Internet Security and Acceleration (ISA) Server 2000. Надалі читачі зможуть поширити ці принципи на інші брандмауери. Тим, хто не знайомий з ISA Server, рекомендую прочитати врізку «Установката використання ISA Server як брандмауера» .

Internet
Малюнок 1. DMZ з трьома інтерфейсами

DMZ на базі ISA Server із трьома інтерфейсами

Щоб дозволити користувачам з Інтернету доступ до серверів, що знаходяться в DMZ, доведеться створити пакетний фільтр, який відкриє відповідні порти на кожному із серверів у DMZ. Наприклад, якщо є Web-сервер та шлюз SMTP у DMZ, потрібно буде створити фільтр, який відкриє TCP-порт 80 на Web-сервері (або TCP-порт 443, якщо використовується HTTP Secure, HTTPS). Потім потрібно створити два фільтри, які дозволять встановлювати вхідні з'єднання до TCP-порту 25 і вихідні з'єднання від TCP-порту 25 на SMTP-шлюзі.

Уникнути ризиків, пов'язаних з використанням SQL Server, важче, ніж це зробити в Exchange, оскільки ISA Server не містить прикладних фільтрів для SQL Server. Тим не менш, можна максимально утруднити злом SQL Server. Наприклад, необхідно використовувати хороші складні паролі та усунути можливості несанкціонованого керування системою із встановленим SQL Server навіть у тому випадку, якщо доступ до SQL Server дозволено лише довіреному Web-серверу. Необхідно переконатися, що веб-програми зберігають секретність облікового запису та пароля під час з'єднання з SQL Server, іншими словами, не дозволяйте вказувати ім'я та пароль для доступу до SQL Server у коді програми. Важливо переконатися, що права облікового запису, що використовується для доступу до SQL Server, обмежені до мінімуму. Web-програми для з'єднання з SQL Server не повинні використовувати обліковий запис системного адміністратора (SA). Натомість слід створити для Web-програм обліковий запис з обмеженими правами.

Зрештою, доведеться вирішити, чи використовувати протоколзахищеного HTTP (HTTPS) для захисту областей на веб-сайті. Організувати застосування HTTPS в DMZ з трьома інтерфейсами нескладно, оскільки ISA Server просто маршрутизує пакети між Internet і DMZ. Застосування HTTPS у такому типі DMZ вимагає серверного сертифіката, який необхідно отримати в загальнодоступному центрі сертифікатів Certificate Authority (CA) і встановити на Web-сервер у DMZ.

Демілітаризована зона проміжного типу

Використання HTTPS для захисту важливих областей Web-сайту у DMZ проміжного типу відрізняється від застосування HTTPS у DMZ із трьома мережевими інтерфейсами. Замість інсталяції на веб-сервері серверного сертифіката, отриманого від загальнодоступного центру сертифікації (СА), необхідно встановити сертифікат на ISA Server. Відповідно, коли клієнт із Internet отримує доступ до захищеної області Web-сайту, Internet Explorer клієнта встановлює захищене SSL-з'єднання (Secure Sockets Layer) між клієнтським комп'ютером та ISA Server. ISA Server, своєю чергою, перенаправляє запити на Web-сервер в DMZ.

Можна або налаштувати ISA Server на перенаправлення запитів у текстовому форматі звичайного HTTP, або встановити нове з'єднання HTTPS з Web-сервером. Якщо веб-сервер є єдиним сервером у DMZ, рекомендую використовувати HTTP для економії ресурсів комп'ютера. Імовірність, що хтось перехопить з'єднання, невелика, оскільки Web-сервер знаходиться у захищеній мережі DMZ. Якщо ж Web-сервер – не єдиний сервер у DMZ, можливо, доведеться встановлювати нові HTTPS-з'єднання. Важливо пам'ятати, що процес шифрування знижує продуктивність як ISA Server, і Web-серверов. Іншою можливістю, що дозволяє ізолювати трафік між ISA Server та Web-сервером, є використання віртуальних мереж VirtualLAN (VLAN) на комутаторі мережі DMZ.

Захищайте свою мережу!

Ренді Франклін Сміт - Редактор Windows IT Pro, консультант з інформаційної безпеки та головний керуючий компанії Monterey Technology Group. Викладає на курсах Ultimate Windows Security course series та має сертифікати SSCP, CISA та Security MVP. [email protected]

Рисунок 2. Проміжна DMZ

Встановлення та використання ISA Server як захисний екран

Microsoft Internet Security and Acceleration (ISA) Server виконує функції захисного екрану масштабу підприємства та Web-кешу. ISA Server може бути встановлений у трьох режимах: або як кешуючий сервер (proxy-сервера), або як брандмауер, або в інтегральному режимі (цей режим забезпечує як функції кешування, так і функції захисного екрану). Оскільки ми використовуємо ISA Server як брандмауер, необхідно буде вибрати режим Firewall або Integrated. За допомогою ISA Server можна відстежувати процеси доступу клієнтів до внутрішньої мережі до ресурсів Internet.

Статтю"Демілітаризована зона ISA"Ви можете обговорити на форумі.