Для современных компьютерных сетей характерен высокий уровень внешних угроз. Например, временной интервал между подключением рабочей станции к сети Интернет (высокоскоростное подключение, public IP-адрес) и первой атакой на него в среднем составляет 20 минут.
Противодействие угрозам может осуществляться с помощью различных защитных мер. Они могут включать антивирусное программное обеспечение, обновления программ или инструкции по работе с внешними ресурсами. Кроме того, в их число входит подходящая организация архитектуры сети.
Эта статья рассказывает о выделении в сети функциональных элементов и их защите от внешний воздействий.
Модель типовой сети и ее угроз
Типовая компьютерная сеть включает в себя следующие компоненты:
Рабочие места (пользователи, внутренние пользователи).
Внутренние и/или общедоступные серверы.
Сетевое оборудование и каналы связи.
Внешние пользователи.
С ее помощью обеспечивается выполнение следующих задач:
Внутрисетевой обмен:
пользователь - пользователь
пользователь - внутренний сервер
Межсетевой обмен:
пользователь - внешний сервер
внешний пользователь - общедоступный сервер
Как видно, такая сеть содержит два потенциально опасных процесса: взаимодействие пользователей с внешними серверами и общедоступных серверов с внешними пользователями.
Взаимодействия пользователей могут контролироваться сравнительно просто. Например, с помощью пакетного фильтра, в котором перечислены необходимые для работы внешние серверы и/или сервисы и запрещены все остальные. Тем не менее, в связи с некорректным поведением пользователей, рабочие станции могут быть заражены вредоносным программным обеспечением, которое может распространиться на серверы сети.
Общедоступные серверы, напротив, по определению должны быть доступны всем желающим в том числе злоумышленникам. Если внутрисетевое взаимодействие не контролируется, то они могут использоваться в атаках как промежуточные точки и таким образом представляют повышенную опасность для остальных элементов сети.
Таким образом, необходимо осуществление контроля сетевого взаимодействия как внешнего, так и внутреннего. Оно может осуществляться разными способами, однако базовый способ это сетей на сегменты или зоны.
Сегментирование сети и зоны
Как правило, владельцы сетей выделяют в них меньшие сегменты и изолируют их, в различных смыслах, с помощью маршрутизаторов и межсетевых экранов. Такой подход упрощает управление и содержит в себе большие возможности к защите.
Сеть может на сегменты в соответствии с различными критериями, такими как территориальное расположение, организационное деление, функциональное назначение. Все эти критерии могут использоваться одновременно.
Сегменты сети выделенные по функциональному признаку принято называть зонами. Сетевой трафик хостов входящих в состав зоны обладает одинаковыми свойствами и его контроль на сетевом оборудовании может быть выполнен с минимальными затратами.
Таким образом, использование зон позволяет снизить влияние одних систем на другие, упрощает администрирование и положительно влияет на безопасность.
Для описанной ранее типовой сети минимальный перечень зон следующий:
Внешняя зона
Демилитаризованная зона
Внутренняя зона
Внешней зоной считается все что не входит в юрисдикцию администраторов сети, например, Интернет. Она считается источником внешних угроз.
Демилитаризованная зона включает в себя общедоступные серверы. Она является пограничной зоной, для которой характерен высокий уровень внешних угроз.
Внутренняя зона включает рабочие места пользователей, для нее характерен минимальный уровень внешних угроз.
Исходя из назначения перечисленных зон их информационный обмен удовлетворяет следующим критериям и может быть ограничен соответствующими правилами фильтрации:
Соединения из внутренней зоны не ограничены.
Входящие соединения во внутреннюю зону запрещены
Исходящие соединения из демилитаризованной зоны разрешены только в направлении внешней зоны.
Входящие соединения в демилитаризованную зону не ограничены.
Входящие соединения во внешнюю зону не ограничены.
Исходящие из внешней зоны соединения разрешены только в направлении демилитаризованной зоны.
Перечисленные правила, являются базовыми, они могут и должны быть расширены антиспуфинговыми листами, ограничениями по хостам и сервисам. Также они могут содержать отдельные исключения, если это необходимо.
Практическая реализация
Далее показаны простые примеры сети на зоны с помощью межсетевых экранов.
В этом рассмотрены только базовые ограничение трафика. Не рекомендуется применять их в рабочих сетях «как есть». Маршрутизация, инспекция протоколов уровня приложения и другие функции должны настаиваться отдельно.
В приведенных далее примерах используются следующие исходные данные:
Сеть внутренней зоны: 10.128.0.0/24
Сеть демилитаризованной зоны: 172.17.0.0/24
Интерфейс внутренней зоны: eth0, FastEthernet 0/0, Ethernet 0
Интерфейс внешней зоны: eth2, FastEthernet 1/0, Ethernet 2
Протокол взаимодействия TCP.
Linux
Классический МСЭ в ОС Linux представляет собой фильтр пакетов на 3 и 4 уровнях модели OSI. Его функциональные возможности во многом определяются подключенными модулями ядра.
Для настройки межсетевого экрана в ОС Linux необходимо использовать утилиту iptables. Минимальная настройка будут выглядеть следующим образом:
iptables -A FORWARD -d 10.128.0.0/255.255.255.0 -p tcp --syn -j LOG
iptables -A FORWARD -d 10.128.0.0/255.255.255.0 -p tcp --syn -j DROP
iptables -A FORWARD -p tcp -j ACCEPT
iptables -A FORWARD -j LOG
iptables -A FORWARD -j DROP
Cisco IOS ACL
Cisco IOS ACL является классическим межсетевым экраном IOS и реализует пакетный фильтр на 3 и 4 уровнях модели OSI. Минимальная настройка будут выглядеть следующим образом:
ip access-list extended OUTSIDE-IN
permit tcp any 172.17.0.0 0.0.0.255
permit tcp any 10.128.0.0 0.0.0.255 established
deny ip any any log
ip access-list extended DMZ-IN
permit tcp any 10.128.0.0 0.0.0.255 established
deny ip any 10.128.0.0 0.0.0.255 log
permit ip any any
interface FastEthernet 0/1
ip access-group DMZ-IN in
interface FastEthernet 1/0
ip access-group OUTSIDE-IN in
Cisco IOS Zone-Based FW
Cisco IOS Zone-Based FW относительно новый тип межсетевого экрана IOS. В отличии от IOS ACL он контролирует состояние соединение и может обрабатывать пакеты протоколов прикладного уровня. Минимальная настройка будут выглядеть следующим образом:
class-map type inspect match-any PERMIT-PROTO
match protocol tcp
policy-map type inspect POLICY
class type inspect PERMIT-PROTO
inspect
class class-default
drop log
zone security INSIDE
zone security OUTSIDE
zone security DMZ
zone-pair security INSIDE-2-DMZ source INSIDE destination DMZ
service-policy type inspect POLICY
zone-pair security INSIDE-2-OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect POLICY
zone-pair security DMZ-2-OUTSIDE source DMZ destination OUTSIDE
service-policy type inspect POLICY
zone-pair security OUTSIDE-2-DMZ source OUTSIDE destination DMZ
service-policy type inspect POLICY
interface FastEthernet0/0
zone-member security INSIDE
interface FastEthernet0/1
zone-member security DMZ
interface FastEthernet1/0
zone-member security OUTSIDE
Cisco ASA и Cisco PIX
Cisco ASA и Cisco PIX являются аппаратными межсетевыми экранами. Аналогично Cisco IOS Zone-Based FW они могут контролировать состояние соединений и обрабатывать пакеты протоколов прикладного уровня, однако они проще настраиваются и обладают большей производительностью. Минимальная настройка будут выглядеть следующим образом:
Правильная организация сети и выделение в ней зон облегчит защиту от многих угроз. Для этого может использоваться различное оборудование и способы его применения.
В этой статье был показан простейший способ сети на зоны. Он может подойти для малых офисов или домашних сетей. В больших сетях должны использоваться более сложные и развитые архитектуры.
