Обзор вариантов организации доступа к сервисам корпоративной сети из Интернет

  • Tutorial

© Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.


При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:
  1. Корпоративный почтовый сервер (Web-mail).
  2. Корпоративный терминальный сервер (RDP).
  3. Extranet сервис для контрагентов (Web-API).

Вариант 1. Плоская сеть


В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к Интернет через пограничный маршрутизатор/межсетевой экран (далее — IFW).

Доступ узлов в Интернет осуществляется через NAT, а доступ к сервисам из Интернет через Port forwarding.

Плюсы варианта:
  1. Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
  2. Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.

Минусы варианта:
  1. Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.

Аналогия с реальной жизнью
Подобную сеть можно сравнить с компанией, где персонал и клиенты находятся в одной общей комнате (open space)

© hrmaximum.ru

Вариант 2. DMZ


Для устранения указанного ранее недостатка узлы сети, доступные из Интернет, помещают в специально выделенный сегмент – демилитаризованную зону (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет (IFW) и от внутренней сети (DFW).

При этом правила фильтрации межсетевых экранов выглядят следующим образом:
  1. Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
  2. Из DMZ можно инициировать соединения в WAN.
  3. Из WAN можно инициировать соединения в DMZ.
  4. Инициация соединений из WAN и DMZ ко внутренней сети запрещена.


Плюсы варианта:
  1. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).

Минусы варианта:
  1. Сам по себе вынос серверов в DMZ не повышает их защищенность.
  2. Необходим дополнительный МЭ для отделения DMZ от внутренней сети.

Аналогия с реальной жизнью
Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент — это как раз и есть аналог клиентской зоны.

© autobam.ru

Вариант 3. Разделение сервисов на Front-End и Back-End


Как уже отмечалось ранее, размещение сервера в DMZ никоим образом не улучшает безопасность самого сервиса. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: Front-End и Back-End. При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие. Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. Для взаимодействия между ними на DFW создают правила, разрешающие инициацию подключений от Front-End к Back-End.


В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.

Плюсы варианта:
  1. В общем случае атаки, направленные против защищаемого сервиса, могут «споткнуться» об Front-End, что позволит нейтрализовать или существенно снизить возможный ущерб. Например, атаки типа TCP SYN Flood или slow http read, направленные на сервис, приведут к тому, что Front-End сервер может оказаться недоступен, в то время как Back-End будет продолжать нормально функционировать и обслуживать пользователей.
  2. В общем случае на Back-End сервере может не быть доступа в Интернет, что в случае его взлома (например, локально запущенным вредоносным кодом ) затруднит удаленное управление им из Интернет.
  3. Front-End хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort).

Минусы варианта:
  1. Для связи между Front-End и Back-End на DFW создается правило, разрешающее инициацию соединения из DMZ во внутреннюю сеть, что порождает угрозы, связанные с использованием данного правила со стороны других узлов в DMZ (например, за счет реализации атак IP spoofing, ARP poisoning и т. д.)
  2. Не все сервисы могут быть разделены на Front-End и Back-End.
  3. В компании должны быть реализованы бизнес-процессы актуализации правил межсетевого экранирования.
  4. В компании должны быть реализованы механизмы защиты от атак со стороны Нарушителей, получивших доступ к серверу в DMZ.

Примечания
  1. В реальной жизни даже без разделения серверов на Front-End и Back-End серверам из DMZ очень часто необходимо обращаться к серверам, находящимся во внутренней сети, поэтому указанные минусы данного варианта будут также справедливы и для предыдущего рассмотренного варианта.
  2. Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать.

Аналогия с реальной жизнью
Данный вариант по сути похож на организацию труда, при которой для высоко загруженных работников используют помощников — секретарей. Тогда Back-End будет аналогом загруженного работника, а Front-End аналогом секретаря.

© mln.kz

Вариант 4. Защищенный DMZ


DMZ это часть сети, доступная из Internet, и, как следствие, подверженная максимальному риску компрометации узлов. Дизайн DMZ и применяемые в ней подходы должны обеспечивать максимальную живучесть в условиях, когда Нарушитель получил контроль над одним из узлов в DMZ. В качестве возможных атак рассмотрим атаки, которым подвержены практически все информационные системы, работающие с настройками по умолчанию:

  1. CAM-table overflow
  2. ARP poisoning
  3. Rogue DHCP Server
  4. DHCP starvation
  5. VLAN hopping
  6. MAC flood
  7. UDP flood
  8. TCP SYN flood
  9. TCP session hijacking
  10. TCP reset
  11. Атаки на Web-приложения
  12. Атаки на обход средств аутентификации и авторизацию от имени легитимного пользователя (например, подбор паролей, PSK и т.д.)
  13. Атаки на уязвимости в сетевых службах, например:

Большая часть указанных атак (по крайней мере с 1 по 10) базируется на уязвимостях архитектуры современных Ethernet/IP сетей, заключающихся в возможности Нарушителя подделывать в сетевых пакетах MAC и IP адреса. Эксплуатацию данных уязвимостей иногда выделяют в отдельный виды атак:
  1. MAC spoofing;
  2. IP spoofing.

Поэтому построение системы защиты DMZ начнем с рассмотрения способов защиты от IP и MAC spoofing.

Примечание
Приведенные ниже способы защиты от данных атак не являются единственно возможными. Существуют и другие способы.

Защита от MAC spoofing


Схематически атаки, связанные с подменой MAC адреса, можно проиллюстрировать следующим образом:

Нейтрализацией данной атаки может являться фильтрация MAC-адресов на портах коммутатора. Например, трафик по порту 3 должен проходить только в случае, если в адресе источника или в адресе назначения указан MAC-адрес DE:AD:BE:AF:DE:AD или широковещательный адрес (в некоторых случаях).

Защита от IP spoofing


Схема атаки IP spoofing похожа на предыдущую, за исключением того, что Нарушитель подделывает не MAC, а IP-адрес. Защита от IP spoofing может быть реализована путем разделения IP-сети DMZ на более мелкие IP-подсети и дальнейшей фильтрацией трафика на интерфейсах маршрутизатора по аналогии с рассмотренной ранее MAC-фильтрацией. Ниже пример дизайна DMZ, реализующего данный принцип:


В DMZ располагается 3 узла:
  • Терминальный сервер (192.168.100.2)
  • Почтовый сервер (192.168.100.5)
  • Extranet сервер (192.168.100.9)

Для DMZ выделена IP-сеть 192.168.100.0/24, в данной сети выделяются 3 IP-подсети (по числу серверов):
Подсеть 1 — 192.168.100.0/30 для терминального сервера (192.168.100.2)
Подсеть 2 — 192.168.100.4/30 для почтового сервера (192.168.100.5)
Подсеть 3 — 192.168.100.8/30 для почтового сервера (192.168.100.9)

На практике разделение сети на подобные подсети реализуют с помощью технологии VLAN. Однако, ее применение порождает риски, защиту от которых мы сейчас рассмотрим.

Защита от VLAN hopping


Для защиты от этой атаки на коммутаторе отключают возможность автоматического согласования типов (trunk / access) портов, а сами типы администратор назначает вручную. Кроме того, организационными мерами запрещается использование так называемого native VLAN.

Защита от атак, связанных с DHCP


Не смотря на то, что DHCP предназначен для автоматизации конфигурирования IP-адресов рабочих станций, в некоторых компаниях встречаются случаи, когда через DHCP выдаются IP-адерса для серверов, но это довольно плохая практика. Поэтому для защиты от Rogue DHCP Server, DHCP starvation рекомендуется полный отказ от DHCP в DMZ.

Защита от атак MAC flood


Для защиты от MAC flood проводят настройку на портах коммутатора на предмет ограничения предельной интенсивности широковещательного трафика (поскольку обычно при данных атаках генерируется широковещательный трафик (broadcast)). Атаки, связанные с использованием конкретных (unicast) сетевых адресов, будут заблокированы MAC фильтрацией, которую мы рассмотрели ранее.

Защита от атак UDP flood


Защита от данного типа атак производится аналогично защите от MAC flood, за исключением того, что фильтрация осуществляется на уровне IP (L3).

Защита от атак TCP SYN flood


Для защиты от данной атаки возможны варианты:
  1. Защита на узле сети с помощью технологии TCP SYN Cookie.
  2. Защита на уровне межсетевого экрана (при условии разделения DMZ на подсети) путем ограничения интенсивности трафика, содержащего запросы TCP SYN.


Защита от атак на сетевые службы и Web-приложения


Универсального решения данной проблемы нет, но устоявшейся практикой является внедрение процессов управления уязвимостями ПО (выявление, установка патчей и т.д., например, так), а также использование систем обнаружения и предотвращения вторжений (IDS/IPS).

Защита от атак на обход средств аутентификации


Как и для предыдущего случая универсального решения данной проблемы нет.
Обычно в случае большого числа неудачных попыток авторизации учетные записи, для избежания подборов аутентификационных данных (например, пароля) блокируют. Но подобный подход довольно спорный, и вот почему.
Во-первых, Нарушитель может проводить подбор аутентификационной информации с интенсивностью, не приводящей к блокировке учетных записей (встречаются случаи, когда пароль подбирался в течении нескольких месяцев с интервалом между попытками в несколько десятков минут).
Во-вторых, данную особенность можно использовать для атак типа отказ в обслуживании, при которых Нарушитель будет умышленно проводить большое количество попыток авторизации для того, чтобы заблокировать учетные записи.
Наиболее эффективным вариантом от атак данного класса будет использование систем IDS/IPS, которые при обнаружении попыток подбора паролей будут блокировать не учетную запись, а источник, откуда данный подбор происходит (например, блокировать IP-адрес Нарушителя).

Итоговый перечень защитных мер по данному варианту:


  1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
  2. IP адреса назначаются вручную администраторами. DHCP не используется.
  3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
  4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
  5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
  6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
  7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.

Плюсы варианта:
  1. Высокая степень безопасности.

Минусы варианта:
  1. Повышенные требования к функциональным возможностям оборудования.
  2. Трудозатраты во внедрении и поддержке.

Аналогия с реальной жизнью
Если ранее DMZ мы сравнили с клиентской зоной, оснащенной диванчиками и пуфиками, то защищенный DMZ будет больше похож на бронированную кассу.

© valmax.com.ua

Вариант 5. Back connect


Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство ( коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.

В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:
  • атаки, позволяющие перехватывать и модифицировать трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
  • атаки, связанные с эксплуатацией уязвимостей серверов внутренней сети, к которым можно инициировать подключения из DMZ (что возможно путем обхода правил фильтрации DFW за счет IP и MAC spoofing).

Следующей немаловажной особенностью, которую мы ранее не рассматривали, но которая не перестает быть от этого менее важной, это то, что автоматизированные рабочие места (АРМ) пользователей тоже могут быть источником (например, при заражении вирусами или троянами) вредоносного воздействия на сервера.

Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).

Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW, разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй — это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.

Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW.

Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.

Общая схема работы данного варианта выглядит следующим образом:
  1. На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
  2. Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
  3. Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
  4. На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.



Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN, поскольку он обладает следующими важными свойствами:
  • Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
  • Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
  • Возможность использования сертифицированной криптографии.

На первый взгляд может показаться, что данная схема излишне усложнена и что, раз на сервере внутренней сети все равно нужно устанавливать локальный межсетевой экран, то проще сделать, чтобы сервер из DMZ, как обычно, сам подключался к серверу внутренней сети, но делал это по шифрованному соединению. Действительно, данный вариант закроет много проблем, но он не сможет обеспечить главного — защиту от атак на уязвимости сервера внутренней сети, совершаемых за счет обхода межсетевого экрана с помощью IP и MAC spoofing.

Плюсы варианта:
  1. Архитектурное уменьшение количества векторов атак на защищаемый сервер внутренней сети.
  2. Обеспечение безопасности в условиях отсутствия фильтрации сетевого трафика.
  3. Защита данных, передаваемых по сети, от несанкционированного просмотра и изменения.
  4. Возможность избирательного повышения уровня безопасности сервисов.
  5. Возможность реализации двухконтурной системы защиты, где первый контур обеспечивается с помощью межсетевого экранирования, а второй организуется на базе данного варианта.

Минусы варианта:
  1. Внедрение и сопровождение данного варианта защиты требует дополнительных трудовых затрат.
  2. Несовместимость с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).
  3. Дополнительная вычислительная нагрузка на сервера.

Аналогия с реальной жизнью
Основной смысл данного варианта в том, что доверенное лицо устанавливает связь с не доверенным, что похоже на ситуацию, когда при выдаче кредитов Банки сами перезванивают потенциальному заемщику с целью проверки данных.

© comfoson.890m.com

Заключение


Итак, мы рассмотрели все пять заявленных вариантов организации доступа к сервисам корпоративной сети из Интернет. Какой из них лучше, какой хуже — сказать сложно, поскольку все зависит, в конечном счете, от той информации, которую необходимо защитить, и тех ресурсов, которыми компания располагает для защиты. Если ни ресурсов, ни знаний нет, то оптимальным будет первый вариант. Если же информация очень ценна, то комбинация четвертого и пятого вариантов даст непревзойденный уровень безопасности.

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 23

    0
    Добавлю вариант организации доступа к корпоративным ресурсам с использованием класса продуктов Access Gateway. В этом случае вы ставите фронтом один сервер, который является реверс-прокси для всех остальных ресурсов. Наружу никакие корпоративные ресурсы напрямую не торчат, а становятся доступны только через Access Gateway. Получается как вариант с фрон-эндом, только он тут один для всех ресурсов, а следовательно сокращается количество векторов атак. Обычно Access Gateway обеспечивает не только сам доступ, но и аутентификацию, авторизацию, SSO.
      0
      Согласен. С точки зрения логики статьи это Вариант с Front-End. Сам пользовался Microsoft TMG UAG.
        0
        Добавил, потому что Access Gateway это все-таки один фронт-энд для разных ресурсов, в т.ч. для тех которые не предполагают наличие фронт-энда. Это сокращает количество серверов, торчащих наружу.
        К тому же, если он обеспечивает централизованную аутентификацию, то решается вопрос с разными логинами/паролями от разных систем. Проходишь аутентификацию на единой точке входа, а дальше работает SSO для доступа к бэк-энд ресурсам. И не надо аутентифицироваться отдельно на каждом ресурсе. Плюс можно настроить многофакторную аутентификацию к ресурсам, которые сами по себе это не поддерживают.
        Поэтому с точки зрения ИБ этот вариант отличается от публикации разных фронт-эндов от разных приложений.
      0
      Очень интересно. Не увидел решения с подключением по VPN. По мне, так это более безопасно. Или предполагается, что есть какие-то ресурсы, которые нужно предоставить не только сотрудникам, но и гостям???
        0
        Про VPN, а точнее Remote Access VPN (если речь о сотрудниках) писать не стал, там свои нюансы. В целом статья про задачу публикации именно конечных сервисов, типа почтовика, корпоративного Web-сайта, Интернет Клиент-Банка и других систем. Если будет интересно про VPN, в части Remote Access (удаленка) или Site-Site (сопряжение офисов) можно про это будет сделать отдельный раздел.
      • UFO just landed and posted this here
          0
          В области безопасности нет единственно правильных решений. В статье приведены базовые принципы которые можно реализовать практически любыми средствами. Вы приводите ряд других — ок.

          К сожалению ваш стиль изложения и лексикон не позволяет в полной мере понять того что вы хотите сказать. Например ваша фраза

          Защита от атак TCP SYN flood
          Лечится изоляцией флудера, и дальше препарированием.

          Не раскрывает того, чем и как обнаруживается флудер, и сколько человек должно круглосуточно сидеть и смотреть в коммутаторы чтобы защитить продуктивные среды от DoS со стороны взломанного сервера из DMZ.

          Про тазик с фрей и управляемые свичи и селерон за 10к — возможно в вашем случае это здорово. Хотя я не понял что вы хотели сказать. В тоже время попробуйте ответить на вопросы: Как быть если все сервера «живут» в вирутальной среде? Как вы будете обеспечивать надежность с помощью селерона и одной сетевой карты? Как через одну сетевую карту с кучей VLAN вы будете обеспечить ночной фул бэкап серверной инфраструкртуры на 10 Тб?

          Туннели в своей сети — идиотизм.

          Почему? Потому что вы так не делали?

          Вообще судя по объему комментария, вы неплохо потрудились, было бы здорово если вы приводили аргументы к своим утверждениям.

          Но в целом спасибо за коммент.
          • UFO just landed and posted this here
            0
            Что значит виртуальная среда?

            Это значит что используются исключительно виртуальные машины и между ними нет железных девайсов и сетевых устройств в привычном понимании.

            Потому что туннели ничего кроме лишней административной работы и нагрузки CPU не дадут, всё тоже самое легко делается пробросом портов на фаерволе и правилами.


            Туннель позволяет не открывать порт на сервере и не делать правила на межсетевом экране (проброс портов). Зачем это нужно ответил в статье.

            А у вас тут соединяются свои сервера, не ужели в локалке настолько помойка и бардак что к ней нет доверия и никак это нельзя исправить?

            Нет помойки, есть информация, стоимость которой весьма высока.

            Хочу подчеркнуть важный момент. В статье приводятся только одни из возможных вариантов, они не являются единствено возможными.
            Если хочется сравнить несколько вариантов по защищенности то это надо делать на моделе угроз.
            Если сравнивать варианты по затратам то лучше это делать по стоимости владения (TCO) в 3 или 5 летней перспективе.
              0
              Туннель позволяет не открывать порт на сервере и не делать правила на межсетевом экране (проброс портов). Зачем это нужно ответил в статье.

              Если я правильно понимаю, то у вас создастся динамическое правило на маршрутизаторе пропускающее трафик из DMZ в LAN, как только сервер из LAN попытается создать туннель до сервера в DMZ.
              Чем это правило лучше статического правила на такой же пропуск трафика от сервера в DMZ к серверу в LAN?
                0
                Динамического правила не создается. Инициация подключений из Внутренней сети в DMZ и так не ограничивается.
                  0
                  Чтобы пакеты полетели из DMZ в сторону LAN нужно, чтобы маршрутизатор/файрвол их пропускал. Если брать классический файрвол, то вам нужно писать 2 правила: в одну и в другую сторону. Условно как-то так:
                  allow from LAN-server_IP to DMZ-server_IP TCP port xxxx
                  allow from DMZ-server_IP to LAN-server_IP TCP port yyyy
                  Видимо, вы работали с файрволом, который сам видит, какое соединение открывается по разрешенному в одну сторону правилу и автоматически пропускает пакеты в обратную сторону. То есть в нем прописано только первое правило, но фактически, как только сервер из LAN поднял VPN, на файрволе разрешен трафик и от сервера в DMZ до сервера в LAN по конкретному порту. А это равносильно тому же правилу на файрволе.
                    +1
                    Мы с вами рассуждаем о межсетевых экранов разного типа (поколения).
                    То что вы говорите — это пакетный фильтр, который принимает решение о транзите трафика только на основании данных заголовков.

                    В статье и моих коментах я оперирую правилами межсетевых экранов работающих с анализом состояния (stateful firewall) В них правила фильтрации помимо адресов учитывают состояния например new, established, invalid,… примером межсетевого экрана подобного класса является iptables. Поэтому при описании правил и применялась фраза — «разрешить инициацию соединений из внутренней сети в DMZ».

                    Оба типа межсетевых экранов применяются на практике. Пакетные фильтры используются на магистралях, где важна скорость. Statefull применяются на уровне сегментов корпоративных сетей, где важна защита от обхода с помощью фрагментации
              • UFO just landed and posted this here
                  0
                  В случае заражения АРМ внутри сети он всё равно сможет долбить сервер в локалке, поскольку ему разрешено с ним работать, либо не сможет потому что у него туда доступа нет, тут туннели вообще не причём.


                  Back connect — технология защиты межсерверных связей. Пример ее использования — связь с сервера приложений (того, что обслуживает клиентов) с сервером баз данных. Сервер БД в данном случае будет инициатором построения туннелей и соответственно не будет иметь открытых портов by design. Почему это важно?

                  На практике, случаются случаи когда на защиту с помощью сетевых устройств нельзя положится на 100%. Это могут быть случаи когда:
                  1. сетевые устройства не находится на поддержке производителя и не обновляются,
                  2. сетевые устройства управляются на аутсорсинге
                  3. квалификация администраторов недостаточна высока.

                  Другим примером ее использования обеспечение второго контура безопасности для защиты особо важных данных. Про актуальность этих задач можно посмотреть тут.
                  • UFO just landed and posted this here
                0
                Нейтив влан чем вам помешал?

                Довольно подробно описано тут.

                Чем плохи открытые порты?

                А вот это хороший вопрос. Проблема в том, что сетевая служба ожидающая подключение по порту может содержать уязвимости в коде и быть атакована Нарушителем.

                Это можно проиллюстрировать на примере с Heartbleed уязвимостью и Web — приложением проводящим авторизацию на примере форм (Web выбран в только в качестве примера, аналогичная схемы может быть актуальна и для других сервисов).

                Здесь неуполномоченные пользователи «отсекаются» авторизацией Web-приложения и вроде бы сервис защищен, но Нарушители могут атаковать непосредственно саму сетевую службу (в данном случае ее компонент — OpenSSL). Дабы не бороться с каждой подобной уязвимостью технология back connect позволяет закрыть сам канал атаки.

                Почему вы считаете что EOL сетевого оборудование сам по себе проблема?

                Наиболее понятным примером будут ошибки в BMC серверов, для которых нет патчей (не в природе, а для данной модели сервера) и из-за которого приходится этот функционал отключать.
                • UFO just landed and posted this here
                  0
                  Те ваш бэк коннект фактически эквивалентен пробросу порта на фаере и фильтрации подключений на конечных хостах?

                  С точки зрения функционала — да.

                  С точки зрения безопасности, вариант с межсетевым экраном шлюзового типа (железка то есть) проигрывает, потому как для описания правил фильтрации используются IP-адреса, а они могут быть подменены с помощью IP-spoofing. В тоже время применение локального межестевого экрана в технологии back connect лишено указной проблемы, поскольку он настраивается на фильтрацию в криптографически защищенном соединении (туннеле), в котором не возможна подмена данных.

                  На практике, back connect следует применять, только там где передается информация особой важности, например передача трафика содержащего аутентификационную информацию, или сведения о переводах денежных средств или управляющие воздействия автоматизированных систем управления технологическими процессами (АСУ ТП).

                  Более приземленным вариантом может быть защита взаимодействия RO DC c полнофункциональными контролерами домена. В некоторых схема high-security все пользователи авторизуются всегда через RO DC, а администрирование происходит на глубоко спрятанных полнофункциональных контролерах.

                  Те сам по себе EOL, без известных проблем, не проблема?

                  Проблема. И заключается она в том, что уязвимости в нем не публикуются, хотя это вовсе не значит что их нет. Пример Windows XP.
                    –1
                    У меня три основных претензии к материалу:

                    1. Небезопасные способы представляются как возможные,
                    2. Отсутствует описание и защита автором разделения сети на зоны безопасности (спектр и назначение которых не ограничиваются dmz, trusted и untrusted),
                    3. Используется спорный вводящий в заблуждение оборот: «В области безопасности нет единственно правильных решений». Я не знаю, что происходит в оторванной от сетевого сегмента безопасности, но в сетевой сфере есть некоторый набор best practices. Любое решение, предлагающее поведение вразрез с best practices, должно быть доказано и проверено.
                      0
                      Можно более конкретно, как разделы или утверждения вызывают претензии?
                        0
                        1. Небезопасные способы представляются как возможные.

                        Суть: не имеет смысла рассказывать о решении, которое не предлагает минимальный уровень безопасности.
                        Аналогия: ехать на машине со спущенными колесами можно, не мыть руки/продукты перед едой можно — в обоих случаях есть примеры ситуаций, когда сказанное будет верным. Это, однако, не относится к нормальной эксплуатации автомобиля и усредненному способу приема пищи.

                        Вариант №1 использовался когда-то, особенно когда не было необходимости что-то «публиковать». Сервера в нем не защищены от рабочих станций, а станции — от серверов. (В open plan клиенты и сотрудники не находятся в одном помещении, по крайней мере, это не является классическим определением).

                        Вариант №3 в предложенном виде — иллюзия безопасности. Бэк-энд находится в ситуации из вар.№1. Если вернуться к классической схеме (вариант №2) с двухуровневой фильтрацией, возникает вопрос: а правда ли уровень защиты внутри DMZ и внутри trusted зоны должны принципиально отличаться? Оправдано ли это для не-военных применений (а для военных, в свою очередь, возникнет вопрос: 1) в каком порядке ставить устройства, 2) что делать при компрометации внутреннего уровня, когда внешний еще, вроде бы, не был взломан публично?).

                        Вариант №4 — первая попытка помочь (кстати, кому? перечислены знания уровня CCNA) делом, однако я сейчас прочитал следующую фразу и удивился:
                        DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
                        Подсети /30 или /31? v4 или v6? А если серверов много? Ну как «много» — больше, чем /23 делённая на /30 — всего-то 128 шт. А функциональных зон тоже по количеству подсетей или нет? — если нет, зачем подсеть на сервер? (Почему /23 — потому что попробуйте столько найти, если всё, что у вас есть — /29 от провайдера, а сотня серверов — почему бы и нет для небольшого enterprise).

                        Что касается остальной части списка рекомендаций — именно с этого и стоило начать. Некоторые пункты спорные, чего-то не хватает (я не буду углубляться в подробности — в комментариях есть практически все, что должно было попасть в статью), но именно это было бы пособием по подключению.

                        Аналогия: вы можете начать объяснять ребенку, приучая к вилке, что раньше люди ели руками. А до этого ели ртом, и не с тарелки. Это никак не поможет вам приучить ребенка к вилке.
                        Статья же у вас не историческая, а рекомендательная. Если будете начинать историческую, попробуйте составить список RFC, на которые будете ссылаться. Ссылки на RFC сильно дисциплинируют и придают серьезность и ценность даже условно «легкому» чтению.

                        Вариант №5. Общая схема работы: вы поднимаете туннель в DMZ, а затем отправляете запросы из DMZ вовнутрь защищенного сегмента. Что вы собрались фильтровать на сервере внутри защищенного сегмента? 'drop table' отфильтруете? Я понимаю, что вы делаете, но не понимаю, зачем. Посыл «маршрутизаторов/коммутаторов может не быть / они могут быть не такими, как надо» ложен: нужное оборудование должно быть.

                        Заключение.
                        Какой из них лучше, какой хуже — сказать сложно
                        — нет, не сложно. №4 лучше.
                        все зависит, в конечном счете, от той информации, которую необходимо защитить, и тех ресурсов, которыми компания располагает для защиты
                        — верно, но не до конца. Зависит экономическое обоснование. Практически не зависит выбор схемы защиты, поскольку схема защиты у вас в статье ровно одна: поставить за firewall в отдельную зону.
                        Если ни ресурсов, ни знаний нет, то оптимальным будет первый вариант.
                        — если ни ресурсов, ни знаний нет, надо найти ресурсы и купить знания. Если нечего продать, чтобы получить знания, возможно, защищать тоже ничего не надо и бизнес тоже открывать не стоит. Но мы же для успешных людей стараемся, верно?
                        Если же информация очень ценна
                        — пожалуй, «Если» тут лишнее. Информация очень ценна.
                        Я, кажется, начинаю понимать проблематику: вы предлагаете выбор между решением с нулевой стоимостью и решением с ненулевой стоимостью. Решение с нулевой стоимостью (в этом конкретном случае) приносит нулевую пользу. Консультация с нулевой пользой репутационно отрицательная. Решение с ненулевой и высокой стоимостью при соответствующем обосновании, даже не будучи востребованным, не может принести отрицательную репутацию.

                        2. Отсутствует описание и защита автором разделения сети на зоны безопасности.

                        Суть: объяснить широкому кругу читателей основные понятия современных реалий, не погружаясь в «непрофильный актив» — CAM overflow и проч. Не все понимают, зачем нужны зоны; почему нельзя просто написать много правил адрес-адрес или подсеть-подсеть. Большинство не настраивало сложные экраны а) с нуля б) самостоятельно. Почему бы не подарить радость знания? Казалось бы, просится из статьи для неподготовленного читателя.

                        3. Суть третьей претензии частично оформлена выше в подробном описании первых двух. Вы прикрываете отсутствие сложного материала и спорные решения утверждением, что нет единственно правильных решений.
                        Да, их нет, но не в описываемых примерах.

                        Стали бы вы советовать эти схемы заказчику с 30 офисами и 10 точками присутствия, включающими собственные сервера? А что бы стали? Вот это, вероятно, нашло бы более широкую аудиторию.
                        Таких заказчиков в мире много тысяч, и ваше решение может быть реализовано у одного из них. Стоит лишь предложить.

                        //Собственно, получился дайджест предыдущих комментариев к посту.

                        p.s. пардон, я отвечал на вопрос «какие», а не «как». Но оставлю как есть.
                          0
                          Замысел статьи был показать «эволюцию» совершенствования мер защиты, где каждый новый вариант усиливает предыдущие, причем усиливает не просто так, а для защиты от конкретных угроз.

                          Все без исключения перечисленные варианты встречаются на практике. Даже «ненавистный» вариант 1.

                          Вариант 3 — по сути рекомендация Микрософт при публикации Exchange. Было бы здорово сегментировать и внутреннюю сеть (для защиты Back-End от АРМов сотрудников), но это на мой взгляд выходило за рамки данной статьи.

                          Вариант 4 — гайд для админов и работников ИБ при обосновании выбора защитных мер.
                          Разбиение сетей на подсети указано как принцип. Если публикуемых серверов много, выделите для них большего размера, например /16 (поскольку выход серверов Интернет в рассматриваемой статье базируется на DstNAT, сервера имеют внутренние адреса, вы можете по своему усмотрению управлять адресацией).

                          Вариант 5 — помимо прочих описанных в статье и комментариях случаев подходит для сетей компаний со сложной системой взаимоотношением владельцев, когда например инфраструктурой управляют люди лояльность которых вызывает сомнения, но на ситуацию повлиять нельзя.
                          Данный вариант показывает что можно построить безопасную сеть только с помощью серверов, без привлечения инфраструктурного оборудования. На back-end фильтруется (отбрасывается) все кроме целвых протоколов. Например, если back-end — СУБД, то оставляется только протокол взаимодействия с СУБД. Данный вариант был успешно внедрен на практике, для защиты платежных систем.

                          Стали бы вы советовать эти схемы заказчику с 30 офисами и 10 точками присутствия

                          Безусловно, все рассмотренные меры внедрялись и показали свою работоспособность.
                          По ходу работы я видел большое количество реальных сетей (в то числе федеральных с десятками офисов по всей географии страны) и честно сказать ситуация с безопасностью была там «не очень», что собственно и натолкнуло меня написать данный гайд.

                          А, вообще, огромное спасибо за анализ, любая конструктивная критика помогает совершенствоваться.

                    Only users with full accounts can post comments. Log in, please.