Light-electric.com

IT Журнал
90 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Демилитаризованная зона информационная безопасность

Архитектура интернета

Выбор провайдеров

Сложность реализации архитектуры, использующей двух различных провайдеров, довольно высока и требует значительных знаний и опыта привлекаемых провайдеров. Одной из областей, в которой здесь должны разбираться специалисты, является BGP . BGP будет использоваться для маршрутизации трафика и должен быть правильно настроен у провайдеров и между ними.

Еще одним вопросом, влияющим на выбор провайдера, является физическая маршрутизация соединений. Локальный контур может по -прежнему оставаться единственной точкой сбоя, если оборудование организации не обеспечивает несколько соединений локального контура. Если присутствует только один локальный контур , то избыточность может быть реализована посредством выбора провайдера, использующего беспроводное соединение (см. рис. 16.6).

Использование беспроводного канала связи не предотвращает всех возможных проблем, так как вследствие воздействия погодных условий, ветра или птиц качество беспроводного соединения может быть снижено, либо соединение вовсе может быть прервано. Однако вероятность единовременного выхода из строя беспроводного канала и обычного канала связи с провайдером очень мала.

Примечание

При выборе провайдера услуг беспроводной связи следует руководствоваться теми же требованиями, что и при выборе обычного поставщика услуг интернета. Любой ISP должен предоставлять соглашение об уровне предоставляемых услуг и подкреплять это соглашение устными рекомендациями.

Адресация

Еще одним вопросом, который необходимо рассматривать при работе с несколькими провайдерами, является проблема адресации. Как правило, при работе с одним провайдером ISP присваивает адресное пространство организации. ISP настраивает маршрутизацию таким образом, что трафик, направленный в организацию, достигает ее систем. ISP сообщает маршрут для этих адресов другим провайдерам, чтобы трафик из любых мест интернета смог достичь систем организации

Если в архитектуре задействованы несколько провайдеров, необходимо определить, какие будут использоваться адреса. Адреса могут предоставляться одним из двух провайдеров. В данном случае маршрутизация от одного ISP происходит обычным образом, а другой провайдер должен подтвердить свое согласие на передачу маршрута к адресному пространству, принадлежащему первому провайдеру. Данная конфигурация требует основательного понимания работы протокола BGP , чтобы обеспечить правильную маршрутизацию трафика.

Еще одним вариантом является приобретение набора адресов самой организацией. В то время как этот подход решает некоторые проблемы, оба провайдера должны быть готовы к распространению информации о маршрутах на адреса, которые им не принадлежат. Этот подход часто используется в организациях, где требуется контроль над своими собственными адресами.

Наконец, можно использовать адреса обоих провайдеров. При этом некоторым системам могут быть предоставлены адреса от одного провайдера, а другим системам — от другого. Такая архитектура не полностью устраняет проблемы доступности, и ее не следует использовать в случае, если возможен другой вариант.

Вопросы для самопроверки

  1. Каким образом руководство организации может определить, какие службы интернета можно предоставлять пользователям?
  2. Какая точка сбоев является общей для большинства архитектур интернет-сети ?

Проектирование демилитаризованной зоны

DMZ (ДМЗ) — сокращение от demilitarized zone (демилитаризованная зона). Этот термин используется для обозначения фрагмента сети, не являющегося полностью доверенным. DMZ являет собой область в сети, системы в которой отделены от основной сети; смысл создания такого сегмента заключается в том, чтобы отделить системы, к которым осуществляют доступ пользователи интернета, от систем, с которыми работают только сотрудники организации. Демилитаризованные зоны также могут использоваться при работе с партнерами по бизнесу и другими внешними сторонами.

Определение демилитаризованной зоны

DMZ создается посредством реализации полузащищенной сетевой зоны. Данная зона в обычном порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ , а какому трафику разрешено выходить за пределы DMZ (см. рис. 16.7). Как правило, любая система, с которой может быть установлен прямой контакт внешним пользователем, должна находиться в демилитаризованной зоне.

Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.

Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ ко внутренним системам сети. По возможности соединение между внутренней системой и DMZ должно инициироваться внутренней системой. Внутренние системы могут осуществлять доступ к DMZ или в интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.

DMZ — что это такое и как оно работает

В нашей статье мы детально разберем понятие DMZ. Попытаемся дать ответы на вопросы о том, что такое DMZ, как оно появилось, и как настроить DMZ. Каждый сможет почерпнуть для себя как минимум общие сведения по этой теме.

Причины появления демилитаризованных зон

Сейчас всё реже и реже можно встретить какие-либо компании без компьютеров. А там, где есть компьютеры, имеется и внутренняя локальная сеть, объединяющая их воедино.

Само по себе наличие общей внутренней локальной сети – это очень практично и безопасно. Но с появлением всемирной сети Интернет всё стало чуточку сложнее. Сейчас абсолютное большинство компаний пользуются услугами Всемирной паутины. Это весьма облегчает рабочий процесс, так как каждый может в считанные секунды найти любую интересующую его информацию.

Но с развитием Интернета появилась и угроза проникновения в общую локальную сеть компании извне. В первую очередь, это касалось компаний, имеющих публичные интернет-сервисы, доступные любому пользователю Всемирной сети. Опасность состояла в том, что злоумышленник, получив доступ к вэб-сервису, мог так же получить доступ к личной информации, хранящейся на любом из компьютеров, подключенных ко внутренней локальной сети. Это вызвало ряд трудностей, которые решаются путем создания DMZ.

Первоисточник

Первое, что стоит знать о DMZ, что это, в первую очередь, военный термин, берущий свое начало от обозначения «демилитаризованная зона». Он означает определенный участок территории, расположенный между двумя противоборствующими государствами. На нем запрещены любые формы военной деятельности — будь то спецоперация, диверсия или шпионаж.

Демилитаризованная зона DMZ: архитектура и осуществление

Из толкования первоначального термина нам становится ясно, DMZ – это определенный участок местности, на котором запрещены любые виды вредоносной деятельности. И это крайне удачно характеризует всю суть данной, скажем так, уловки.

Нам следует уяснить о самой концепции DMZ, что это крайне простое решение, представляющее собой создание отдельного сегмента компьютерной сети, изолируемого от всех внешних интернет-хостингов и от внутренней сети компании. Также это ограничение контроля или полный запрет доступа как к сети Интернет, так и во внутреннюю сеть.

Создать отдельный сегмент сети достаточно легко. Для этого используются межсетевые экраны или же файрволы. Само слово «файрвол» рядовому пользователю может быть известно по фильмам об известных хакерах, но мало кто знает, что же он собой представляет.

Межсетевой экран – это программно-аппаратная единица компьютерной сети, разделяющая ее на секторы и позволяющая фильтровать поступающий сетевой трафик по заданным оператором (администратором) правилам. Также, в случае несанкционированного проникновения, злоумышленник получает доступ лишь к тем файлам, которые находятся в рамках отделенного сектора, без ущерба для остальных.

Существует, как минимум, два вида конфигурации демилитаризованных зон – с одним межсетевым экраном или же со множеством. В первой конфигурации межсетевой экран разделяет сеть на три сектора:

  • внутренняя сеть;
  • DMZ;
  • интернет-канал.

Но всё же этот способ обеспечивает недостаточный уровень защиты. В большинстве крупных фирм всё-таки используется второй способ – с большим количеством файрволов. В этом случае злоумышленнику придется преодолеть уже, как минимум, один дополнительный системный периметр со своим фильтром трафика, что значительно увеличивает безопасность.

Настройка

Уверены, многие уже в достаточной мере осведомились о DMZ, что это простой и действенный способ обеспечить безопасность вашей компьютерной сети. Пользователи многоканальных интернет-роутеров могут сами оценить эту гениальную уловку для хакеров.

Читать еще:  Как открыть безопасный режим на hp

Всё, что требуется для настройки DMZ, это вывести одно устройство как локальную сеть, подключив его, соответственно, через отдельный шнур в свободное гнездо роутера, затем присвоить ему статичный IP-адрес, после чего активировать в окне DMZ и перезапустить устройство.

Перед всеми манипуляциями следует убедиться, что на всех устройствах установлены последние версии защиты. После этого вы можете свободно использовать эту хоть и простую, но эффективную защиту от посягательства на ваши личные данные.

В этой статье были кратко изложен3ы все самые важные факты о DMZ: что это такое, как оно работает, и, главное, его предназначение.

Обеспечение требований по информационной безопасности для комплексной автоматизированной системы диспетчерского управления: создание демилитаризованной зоны Текст научной статьи по специальности «Компьютерные и информационные науки»

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Д. Г. Никулин, К. А. Бутузов

Текст научной работы на тему «Обеспечение требований по информационной безопасности для комплексной автоматизированной системы диспетчерского управления: создание демилитаризованной зоны»

Системы автоматики в метрополитенах

Кафедра «Автоматика и телемеханика на железных дорогах»,

Петербургский государственный университет путей сообщения Императора Александра I

ОБЕСПЕЧЕНИЕ ТРЕБОВАНИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ КОМПЛЕКСНОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ДИСПЕТЧЕРСКОГО УПРАВЛЕНИЯ: СОЗДАНИЕ ДЕМИЛИТАРИЗОВАННОЙ ЗОНЫ

Исторически система КАС ДУ создавалась без учета требований информационной безопасности. Начиная с 2013 г., в соответствии с приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [1], системе КАС ДУ был присвоен 4-й класс защищенности и разработано техническое задание (ТЗ) [2] на мероприятия обеспечения безопасности для соответствия этому классу.

Часть мероприятий на момент публикации уже реализованы. Часть находится в разработке. В данной статье рассматривается одно из пока не реализованных мероприятий по обеспечению информационной безопасности.

1. Создание демилитаризованной зоны

На данный момент серверы системы КАС ДУ напрямую соединены с сетью КАС ДУ и через межсетевой экран — с сетью метрополитена [2, 3] (рис. 1). Помимо специфичных собственных серверов, работающих с внутренней сетью КАС ДУ, есть также web-серверы, которые отображены в сети метрополитена. Следует отметить, что все серверы реализованы в виде виртуальных машин, запущенных под управлением ОС VM Ware на одном блэйд-сервере.

Технологическая сеть КАСДУ

Рис. 1. Существующая схема сети КАС ДУ

Проблемы безопасности и надежности микропроцессорных комплексов

Такая структура, согласно современным требованиям безопасности, является потенциально опасной. Независимо от того, как защищен web-сервер, рано или поздно он подвергнется атаке. А если атакующий получит возможность управления web-сервером, он сможет нарушить как работу как внешних служб КАС ДУ, таких как АСУАРЛМ, так и внутренних технологических процессов. Следовательно, необходимо защитить сервер от атак, минимизировать ущерб от возможного вторжения и обеспечить быстрое его восстановление.

В соответствии с требованиями нормативных документов сервер (серверы) системы КАС ДУ необходимо поместить в так называемую демилитаризованную зону (ДМЗ). ДМЗ — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных [4]. В качестве общедоступного сервиса в данном случае выступают серверы КАС ДУ, предоставляющие web-сервис для сети метрополитена.

При формировании ДМЗ КАС ДУ создаются две физически разделенные сети: одна для серверов, доступных из внешней сети (в данном случае сеть метрополитена), другая — для внутренних серверов и других компонентов КАС ДУ. Существуют несколько схем ДМЗ. В зависимости от типа ДМЗ и числа используемых сетевых экранов применяется та или иная политика маршрутизации для каждой из сетей. В КАС ДУ необходимо контролировать доступ между:

■ сетью метро и ДМЗ;

■ ДМЗ и внутренней сетью КАС ДУ.

Главное преимущество использования ДМЗ вместо классического межсетевого экрана состоит в том, что при атаке на web-сервер из сети метро риск компрометации внутренних серверов снижается, поскольку общедоступные и внутренние серверы отделены друг от друга. Если скомпрометированный сервер находится в ДМЗ, злоумышленник не сможет напрямую атаковать другие серверы и объекты, расположенные во внутренней сети. Второй межсетевой экран блокирует любые попытки компьютеров из ДМЗ подсоединиться к компьютерам внутренней сети, за исключением специально разрешенных соединений.

Кроме того, применение ДМЗ дает ряд преимуществ при обеспечении безопасности:

1. ДМЗ позволит контролировать исходящий трафик так, что можно будет остановить распространение различных «червей», которые используют web-сервер для взлома других компьютеров, и атакующие не смогут задействовать Trivial FTP (TFTP) на web-сервере.

2. Появляется возможность обнаружения вторжений, фильтрации содержимого и мониторинга на уровне приложений. Это возможно реализовать на сетевых экранах нового поколения. Таким образом, сетевой экран

Системы автоматики в метрополитенах

обеспечивает защиту внутренней сети от атак не только из внешней сети, но и с подвергшихся нападению компьютеров из ДМЗ. Если скомпрометированный компьютер находится в ДМЗ, а не во внутренней сети, атакующий попытается пройти брандмауэр вновь для получения доступа к внутренней сети.

3. ДМЗ обеспечивает дополнительный уровень защиты от атак, при которых злоумышленники пытаются получить доступ через любые порты, оставленные открытыми на общедоступных серверах.

4. ДМЗ защищает серверы от атак типа подмены адресов (spoofing) с использованием протокола Address Resolution Protocol (ARP).

Несмотря на все преимущества, ДМЗ обладает и рядом очевидных недостатков. Это, в первую очередь, снижение общей производительности вследствие медленной работы межсетевых экранов. Данный недостаток может и не проявляться при низкой загрузке системы, а может стать «узким местом» при высокой. На выбор более производительного сетевого экрана влияет стоимость.

2. Проблема безопасности

Какие же трудности существуют при создании ДМЗ в системе КАС ДУ? При создании системы КАС ДУ не произведено разделение на внутренние и внешние серверы, т. е. не была учтена проблема безопасности. Кроме того, база данных (системы АСУАРЛМ) является общей для внутренних и внешних серверов. Пополнение базы осуществляется в реальном времени из внутренней сети КАС ДУ. Успешная атака на базу данных выведет из строя систему АСУАРЛМ и может уничтожить архивные данные. С учетом сказанного и других требования обеспечения безопасности [2], таких как необходимость внедрения системы обнаружения вторжений (СОВ) [5], предлагается следующая схема организации ДМЗ для КАС ДУ (рис. 2).

Технологическая сеть КАСДУ

Рис. 2. Схема организации ДМЗ для КАСДУ

Проблемы безопасности и надежности микропроцессорных комплексов

В данной структуре предусматривается разделение серверов на внутренние и внешние. Создается новый сервер, условно называемый «Зеркало». На этом сервере создается копия базы данных с основного сервера АСУАРЛМ, ее актуальность поддерживается с помощью служб репликации. На этом сервере располагаются все web-сервисы для внешней сети. Данная структура позволяет применить межсетевой экран 1, совмещенный с системой обнаружения вторжений. Кроме того, по отношению к другим вариантам создания ДМЗ уменьшаются требования пропускной способности экрана 2, так как через него осуществляется только репликация базы данных, которая не требует «мгновенного отклика». Вся работа с базой данных из сети метро осуществляется на сервере «Зеркало». В случае успешной атаки на сервер злоумышленники смогут уничтожить только копию базы данных. Основная база данных при такой структуре будет недоступна.

Предлагаемый вариант создания ДМЗ не является единственно возможным. Он соответствует критериям защиты, минимизации ущерба и быстроте восстановления. Выбор между этим и другими вариантами будет осуществляться по критериям трудозатрат на создание, стоимости оборудования и требований к защите информации.

1. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах : приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17, Москва // Российская Газета. — 2013. — Федеральный выпуск 26 июня, № 6112 [Электронный ресурс]. — Режим доступа: http://www.rg.ru/gazeta/rg/2013/06/26.html.

Читать еще:  Фильтр безопасности групповой политики

2. КАС ДУ. Техническое задание. Петербургский метрополитен. — СПб., [б. г.].

3. Комплексная автоматизированная система диспетчерского управления работой линии метрополитена. КАС ДУ. ЦКЖТ ПГУПС, 2015 [Электронный ресурс]. — Режим доступа: http://crtc.ru/kas.php. — Загл. с экрана.

4. Сергеев А. Настройка сетей Microsoft дома и в офисе : учеб. курс / А. Сергеев. -СПб. : ИД «Питер». — 312 с.

Безопасность: Настройка демилитаризованной зоны

Опубликовано:
16 июля 2015 в 09:32

Демилитаризованная зона (англ. Demilitarized Zone, DMZ) – это конфигурация сети, направленная на усиление безопасности сети организации, в которой открытые для общего доступа сервера находятся в отдельном изолированном сегменте сети. Данная концепция обеспечивает отсутствие контактов между открытыми для общего доступа серверами и другими сегментами сети в случае взлома сервера.

Как правило, в изолированном сегменте сети располагается сервер-ретранслятор, обеспечивающий перенаправление запросов из внешней сети в сеть организации. Примерами таких серверов могут служить ViPNet Coordinator и обратный прокси-сервер (Reverse proxy).

Обратный прокси-сервер (Reverse proxy)

В качестве Reverse proxy может быть использован любой веб-сервер (NGINX, Apache, IIS). Как правило, для продуктов DIRECTUM используется Reverse proxy на базе IIS.

Для настройки потребуются Application Request Routing и URL Rewrite, которые можно установить при помощи Web Platform Installer.

Для начала создаем веб-сайт, который будет принимать запросы из внешней сети. Для него необходимо указать соответствующие привязки (имя хоста и порт). Так как все веб-решения компании DIRECTUM предполагают работу с важной информацией, необходимо настроить сайт на использование HTTPS-соединения. Обычно для HTTPS-соединения используется 443 порт. Соответственно, данный порт необходимо указать в настройках DMZ-брандмауэра.
Следующим шагом добавляем правило перенаправления при помощи модуля URL Rewrite:

Если настройка осуществляется впервые, IIS сообщит о необходимости включения Reverse proxy-функциональности и предупредит, что Reverse proxy может как усилить защиту периметра организации, так и, наоборот, снизить безопасность, предоставив доступ внутренним сервисам организации из сети Internet.

После включения Reverse proxy-функциональности необходимо задать правила перенаправления:

В поле «Правила для входящего трафика» указывается адрес и порт сервиса для перенаправления, находящегося во внутренней сети организации. Напомню, что входящие адреса, запросы с которых будут перенаправлены, задаются выше в настройках привязок веб-сайта.

Для снижения нагрузки на DMZ-сервер можно включить SSL-разгрузку. В этом случае все внешние HTTPS-запросы будут перенаправлены по HTTP во внутреннюю сеть. Мы не рекомендуем применять такие подходы, чтобы не снижать общую безопасность схемы взаимодействия, поэтому в настройках брандмауэра внутренней сети также потребуется открыть 443 порт (или иной, указанный в правилах URLRewrite).

Сервер веб-приложения DIRECTUM располагается во внутренней сети организации и имеет один интерфейс: 192.168.1.2/255.255.255.0.

Брандмауэры сети DMZ и внутренней сети настраиваются на разрешение входящих и исходящих соединений по порту 443 протокола HTTP.

Для обеспечения дополнительной защиты рекомендуется ограничить доступ к веб-серверу DIRECTUM из внутренней сети и разрешить сетевые соединения только с необходимыми службами (СУБД, сервер сеансов, Workflow и т.д.). Для этого следует настроить правила брандмауэра веб-сервера DIRECTUM для входящих и исходящих соединений и разрешить соединения по следующим портам:

  • протокол TCP/IP;
  • для связи с SQL сервером – по умолчанию порт 1433;
  • для связи с сервером с установленной службой Сервер сеансов – по умолчанию порт 32300;
  • для связи с сервером с установленной службой WorkFlow – по умолчанию порт 32310;
  • для работы сервера веб-доступа по протоколу HTTPS – порт 443;
  • протокол UDP/IP: для разрешения имен NetBIOS – по умолчанию порты 137-139.

Указан минимальный набор портов и протоколов связи. При использовании в продуктивной среде возможно расширение разрешающих правил. К примеру, для работы служб файловых хранилищ понадобится дополнительно открыть порты 445 и 32320 по протоколу TCP.

Вместо заключения

В этой небольшой статье были рассмотрены практические шаги, с помощью которых можно повысить уровень безопасности сети организации. Для того чтобы ознакомиться с другими средствами обеспечения безопасности следите за тегом безопасность.

Очень классная и полезная статья! Спасибо!

Михаил, верно ли я понимаю, публикуемый сервер(DMZ) не должен находится в домене и должен взаимодействовать с веб-сервером Directum по перечисленным портам в статье.

Сергей, варианты развертывания DMZ могут быть разными, но задача его в том, чтобы отделить точки входа внешнего доступа от внутренней сети. Чтобы если злоумышленник смог подключиться к серверу, который транслируется в интернет, оттуда он не смог получить доступ к внутренней сети.

Для этого и сильно ограничивают связь DMZ с контуром предприятия. Чем больше точек взаимодействия с внутренней сетью, тем ниже безопасность. Включение в домен данной машины не исключение, и может оказаться дырой в безопасности (зависит от того как влючите), так как позволит получить доступ к ресурсам, предоставит авторизацию и взаимодействие с доменом.

Михаил, огромное спасибо за ответ. Верно я понимаю, что запуск сценария не включая публикуемую машину(DMZ) в домен возможно ?

Сергей, не понял Ваш вопрос.

можно ли не вводить публикуемую машину(DMZ) в домен и настроить взаимодействие(через firewall открыть определенные порты) с веб-сервером Directum?. Техническая поддержка одной из сопровождавшей компании ответили, что сервер обязательно должен находится в домене.

Сергей, конечно. Машина DMZ может быть даже на Linux с одним ReverseProxy. Её задача принять трафик с одного канала и отправить его на другой.

С другой стороны, если в компании несколько сервисов публикуются наружу с различными протоколами, то управлять машинами в DMZ становится накладно. В этом случае рекомендуется создавать отдельный домен, для управления этой зоной. Эта тема немного раскрывается здесь: http://it2web.ru/index.php/adds/110—dmz-active-directory.html?showall=1 советую почитать.

Михаил, огромное Вам спасибо за подробный ответ!

Я извиняюсь, но не могу понять, чем ваша конфигурация с проксёй в плане безопасности отличается от простого PAT на пограничном фаяре внутренней сети компании? Все порты будут закрыты, открыт только TCP 443 значит в модели угроз остаётся только одна уязвимость уровня приложения и это уязвимость самого NOMAD. Т.е. сколько проксей впереди не ставь уровень безопасности не изменится, т.к. ломать будут уровень приложения не ниже (в TCP, IP, Ethernet все уязвимости уже давно закрыты). поправьте если не прав! Еще есть варианты с DDOS, но ваша схема с проксёй её не решает (по крайней мере в статье про это ни слова). Обойти PAT теоретически возможно если у вас старый алгоритм трансляции на маршрутизаторе, но обход PATa уже давно лечится. А вот к безопасности номад есть вопросы. Например защита от брутфорс атак, SQL инъекций, перехват переменных состояния сеансов авторизированных пользователей, фильтрация по макам. Существуют какие то настройки безопасности NOMAD по этим вопросам? Существуют ли какие то методики (или есть ли возможности) мониторинга активности пользователей в NOMAD например через Zabbix (например кол-во попыток входа пользователя по неверному паролю, не регламентированное/подозрительное поведение клиента Jazz/Solo, макадреса устройств получивших доступ и т.д.). Спасибо!

Никита, день добрый.
> не могу понять, чем ваша конфигурация с проксёй в плане безопасности отличается
Об этом написано в другой статье.

> А вот к безопасности номад есть вопросы. Например защита от брутфорс атак, SQL инъекций, перехват переменных состояния сеансов авторизированных пользователей, фильтрация по макам.
Как-то всё в кучу. Выше Вы говорили об уровне приложения, и тут же в пример приводите фильтрацию MAC (которой даже IIS не занимается). Отфильтровать MAC можно на фаерволе через ACL (мы же не будем про спуфинг MAC говорить). Этим не может и не должно заниматься ПО прикладного уровня. Как минимум, свой интерфейс и свои особенности настройки для каждого внешнего ресурса — будет доставлять проблемы в администрировании.

Читать еще:  Локальная политика безопасности заблокирована

«брутфорс атак» — перебор пароля отслеживается. После пяти неудачных попыток входа, IP-адрес блокируется на 30 минут (значения не настраиваются). Отмечу, что в случае с работой «за прокси», важно чтобы сервер означивал XFF-заголовки, чтобы не заблокировать IP самого прокси и работу всех пользователей.

«SQL инъекций» — со стороны NOMAD все запросы параметризируются. Но не стоит забывать и про прикладной слой самой системы (ISBL-разработка), в котором могут быть внесены уязвимости при выполнении доработок (относительно коробочного решения).

«перехват переменных состояния сеансов авторизированных пользователей» — как и большинство веб-приложений, NOMAD использует 128-битный идентификатор сессии, который передаётся в Cookie. Естественно, для взаимодействия клиента и сервера должны использоваться шифрованные каналы связи (HTTPS, VPN). Но в отличие от веб-сайтов, в мобильном взаимодействии XSS-атаки исключены.

«макадреса устройств получивших доступ и т.д.» — если вы интересуетесь относительно системы DIRECTUM, то NOMAD предоставляет возможность просмотра/контроля инсталляций мобильных приложений у пользователя. Если необходим уровень MAC-адресов, то необходимо использовать MDM-решения (например SafePhone). Так же возможна настройка ограничения доступа относительно white/black-списка по группам или пользователям системы и внедрение свой логики во взаимодействие клиента и сервера с помощью плагинов.

«мониторинга активности пользователей в NOMAD например через Zabbix» — NOMAD логирует все обращения клиентов к серверу в server*-логе, и состояние ресурсов сервера в performance-логе. Мониторить активность пользователей, изменение IP-адресов, и попытки подбора пароля можно по Server-логу. Системы мониторинга по типу Zabbix и ElasticStack имеют механизмы для чтения лога. Описания/рекомендаций по подобной настройке — нет. Но формат лога очевидный:

Так же NOMAD использует систему nlog для логирования, которая может расширяться отдельно (таргеты для Elastic есть, для Zabbix не нашёл). Есть своя утилита, для формирования статистики за период (не realtime). У нас в компании активность мобильных пользователей отслеживается при помощи ElasticStack.

«подозрительное поведение клиента Jazz/Solo» — сам NOMAD не отслеживает, но возможно применение DLP-систем. Стоит учитывать, что характер поведения пользователей изменяется в зависимости от организации. (Я понимаю, что Вы имели в виду поведение мобильного приложения: интенсивность и последовательность операций, но они сильно зависят от кейсов конечного пользователя). На самом деле, отслеживание аномалий поведения достаточно интересная тема, здесь есть желание попробовать ML модуль ElasticStack, но конкретных сроков/планов пока нет.

Так же у DIRECTUM есть документ «DIRECTUM. Рекомендации по обеспечению информационной безопасности при работе с системой» в котором затронута и мобильная составляющая системы.

DMZ (компьютерные сети)

DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных [1] . В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.

Цель ДМЗ — добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в ДМЗ [2] .

Содержание

Терминология и концепция

Название происходит от военного термина «демилитаризованная зона» — территория между враждующими государствами, на которой не допускаются военные операции. Иными словами, доступ в ДМЗ открыт для обеих сторон при условии, что посетитель не имеет злого умысла. По аналогии, концепция ДМЗ (например, при построении шлюза в публичный Интернет) состоит в том, что в локальной сети выделяется область, которая не безопасна как оставшаяся часть сети (внутренняя) и не опасна как публичная (внешняя) [3] [4] [5] .

Системы, открытые для прямого доступа из внешних сетей, как правило, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Как следствие, эти системы не могут пользоваться полным доверием. Поэтому необходимо ограничить доступ этих систем к компьютерам, расположенным внутри сети [6] .

Предоставляя защиту от внешних атак, ДМЗ, как правило, не имеет никакого отношения к атакам внутренним, таким как перехват трафика [5] [7] .

Архитектура и реализация

Разделение сегментов и контроль трафика между ними, как правило, реализуются специализированными устройствами — межсетевыми экранами. Основными задачами такого устройства являются [8] :

  • контроль доступа из внешней сети в ДМЗ;
  • контроль доступа из внутренней сети в ДМЗ;
  • разрешение (или контроль) доступа из внутренней сети во внешнюю;
  • запрет доступа из внешней сети во внутреннюю.

В некоторых случаях для организации ДМЗ достаточно средств маршрутизатора или даже прокси-сервера [2] .

Серверы в ДМЗ при необходимости могут иметь ограниченную возможность соединиться с отдельными узлами во внутренней сети [К 1] . Связь в ДМЗ между серверами и с внешней сетью также ограничивается, чтобы сделать ДМЗ более безопасной для размещения определённых сервисов, чем Интернет. На серверах в ДМЗ должны выполняться лишь необходимые программы, ненужные отключаются или вообще удаляются [8] .

Существует множество различных вариантов архитектуры сети с DMZ. Два основных — с одним межсетевым экраном и с двумя межсетевыми экранами [2] [9] . На базе этих методов можно создавать как упрощенные, так и очень сложные конфигурации, соответствующие возможностям используемого оборудования и требованиям к безопасности в конкретной сети [5] .

Конфигурация с одним межсетевым экраном

Для создания сети с ДМЗ может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с провайдером (WAN), второй — с внутренней сетью (LAN), третий — с ДМЗ. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в ДМЗ, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома (или ошибки в настройках) внутренняя сеть окажется уязвимой напрямую из внешней [3] .

Конфигурация с двумя межсетевыми экранами

Более безопасным является подход, когда для создания ДМЗ используются два межсетевых экрана: один из них контролирует соединения из внешней сети в ДМЗ, второй — из ДМЗ во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства [2] . Кроме того, на внешнем экране можно настроить более медленные правила фильтрации на уровне приложений, обеспечив усиленную защиту локальной сети без негативного влияния на производительность внутреннего сегмента [3] .

Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость [10] . Например, случайная ошибка в настройках с меньшей вероятностью появится в конфигурации интерфейсов двух разных производителей; дыра в безопасности, найденная в системе одного производителя, с меньшей вероятностью окажется в системе другого. Недостатком этой архитектуры является более высокая стоимость [11] .

ДМЗ-хост

Некоторые маршрутизаторы SOHO-класса имеют функцию предоставления доступа из внешней сети к внутренним серверам (режим DMZ host или exposed host). В таком режиме они представляют собой хост, у которого открыты (не защищены) все порты, кроме тех, которые транслируются иным способом. Это не вполне соответствует определению истинной ДМЗ, так как сервер с открытыми портами не отделяется от внутренней сети. То есть ДМЗ-хост может свободно подключиться к ресурсам во внутренней сети, в то время как соединения с внутренней сетью из настоящей ДМЗ блокируются разделяющим их межсетевым экраном, если нет специального разрешающего правила [К 1] . ДМЗ-хост не предоставляет в плане безопасности ни одного из преимуществ, которые даёт использование подсетей, и часто используется как простой метод трансляции всех портов на другой межсетевой экран или устройство [5] [11] .

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×