Читайте также:
|
|
На сегодня известно, хорошо изучено и документировано достаточно много различных атак, но, тем не менее, новые варианты атак появляются практически каждый день. Поэтому небольшим организациям, использующим доморощенные системы защиты сетей, практически невозможно поддерживать их в адекватном современным требованиям состоянии. Специализированные компании, имеющие необходимую инфраструктуру для анализа новых методов взлома систем сетевой безопасности, стараются поддерживать свои продукты на должном уровне и встраивают в них средства защиты от некоторых атак, направленных на узлы внутренней сети. К числу наиболее распространенных атак, противодействие которым реализуется на внешнем периметре сети, обычно относятся:
• атака IP spoofing (подмена доверенного источника); нападающий симулирует, что он работает с доверенного компьютера (маскируется под доверенного пользователя), используя адрес IP из принятого диапазона адресов IP для внутренней сети.
• атака SYN Flooding (шквал незавершенных TCP -соединений. Создание лавины SYN -пакетов, вызывающей истощение сетевых ресурсов за счет использование полу - открытых сеансов (посылка TCP пачки с SYN битом производится с ложного адреса).
Например, в МЭ ISA Server от Microsoft реализована возможность обнаруживать следующие виды атак:
• Сканирование портов (в том числе полусканирование)
• LAND
• Ping of Death
• UDP Bomb
• WinNuke Варианты расположения МЭ
Вопрос размещения МЭ в корпоративной сети рассматривается с учетом конкретных особенностей уже имеющихся средств защиты, целей подключения и т. д. Однако можно выделить несколько общих схем, приемлемых для большинства конфигураций.
Схема 1 приведена на рис. 4.25 2. Здесь МЭ и маршрутизатор размещены на одном узле. Это удобно, поскольку оба устройства работают на сетевом уровне.
Рис. 4.25.2, Схема 1 расположения МЭ.
Схема 2 (рис. 4.25.3), вероятно, вторая по распространённости, уместна в том случае, если в корпоративной сети используется аппаратный маршрутизатор (например, Cisco), а МЭ представляет собой программный продукт. В этом случае МЭ является единственной видимой снаружи машиной.
Рис. 4.25.3. Раздельное подключение маршрутизатора и МЭ.
Одной из целей подключения к сетям общего пользования является возможность предоставить доступ внешним пользователям к некоторым внутренним ресурсам (WWW, FTP и др.). Поэтому при расположении МЭ такие ресурсы должны быть доступны снаружи (рис. 4.25.4).
-Рис. 4.25.4. Организация доступа снаружи к отдельным узлам.
Рано или поздно встаёт вопрос защиты видимых снаружи узлов. По аналогии с защищёнными узлами корпоративной сети в качестве средства защиты используется МЭ. Возникает следующая схема (рис. 4.25.5), не получившая распространения из-за высокой стоимости и представляющая чисто теоретический интерес.
Рис. 4.25.5. Защита видимых снаружи узлов.
Поэтому возникает следующая схема, третья по распространенности, в которой доступные снаружи узлы подключены к отдельному сетевому интерфейсу МЭ.
Поскольку внешние пользователи должны иметь возможность непосредственного доступа к некоторым ресурсам узлов внутренней сети, то возникает опасность, что взломав защиту на этих узлах они смогут использовать их в качестве плацдарма для атаки на другие (недоступные снаружи напрямую) узлы внутренней сети. Для зашиты от такого рода угроз безопасности применяется метод, основанный на создании так называемой демилитаризованной зоны.
Рис. 4.25.6. Организация DMZ на отдельном интерфейсе МЭ.
DMZ (De - Militarized Zone) - это специальная область сети, подключенная непосредственно к устройству разграничения доступа, относительно безопасная нейтральная "область сети пониженного риска", предназначенная для осуществления обмена между внутренними и внешними системами. Обычно это сеть, связанная с дополнительным сетевым интерфейсом на компьютере - шлюзе (межсетевом экране). Использование такого решения обеспечивает прохождение любого трафика DMZ через устройство разграничения доступа и контроля, что позволяет реализовать необходимые защитные меры, направленные против атак взломщиков.
Без использования DMZ, располагая общедоступные серверы в защищаемой сети, мы подвергаем всю внутреннюю сеть потенциальной опасности: взломщики могут воспользоваться особенностями программного обеспечения сервера, получить доступ к нему, а затем и ко всей сети.
При расположении же общедоступных серверов в DMZ, в случае их взлома нарушитель не получит дополнительных преимуществ по проникновению во внутреннюю сеть, так как доступ из DMZ во внутреннюю сеть контролируется firewall. Такой подход позволяет создавать наиболее безопасные конфигурации подключения к Интернет.
Дата добавления: 2015-08-13; просмотров: 129 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Дополнительная идентификация и аутентификация | | | Решения компании Checkpoint |