Security (1027395), страница 21
Текст из файла (страница 21)
Дополнительная защита обеспечиваетсяпериферийными маршрутизаторами провайдерской (ISP) и корпоративной сети. Этот дизайн легко понять, если рассмотреть поток трафика и направление типовой электронной коммерческой транзакции.Заказчик, входящий в систему электронной коммерции, инициирует соединение HTTP с web-серверомпосле получения IP-адреса с сервера DNS, находящегося в сети ISP. Сервер DNS находится в другой сети, чтобы сократить число протоколов, необходимых для приложения электронной коммерции. Перваягруппа межсетевых экранов должна пропускать этот протокол по конкретному адресу.
Ответный трафик по этому же каналу также пропускается через экран, но для этого web-серверу не нужно снова инициировать соединение для выхода в Интернет. Межсетевой экран блокирует этот маршрут, чтобы ограничить возможности хакеров, если они завладели одним из web-серверов.Когда пользователь просматривает web-сайт и выбирает переход по гиперссылке, web-сервер инициирует запросы к серверу приложений, который находится с внутренней стороны межсетевого экрана.
Этосоединение вместе с ответным трафиком также должно разрешаться первым межсетевым экраном. Каки в случае с web-сервером, серверу приложений не нужно инициировать соединение с web-сервером иливыход в Интернет. Вся пользовательская сессия проходит поверх HTTP и SSL без прямой связи с сервером приложений или сервером баз данных.48В какой-то момент пользователь захочет совершить транзакцию.
web-сервер захочет защитить эту транзакцию, и ему понадобится протокол SSL. В то же время сервер приложений может сделать запрос илипередать информацию серверу баз данных. Как правило, это происходит в форме запросов SQL, которыеинициируются сервером приложений для сервера баз данных, но не наоборот. Эти запросы проходят через второй межсетевой экран и передаются на сервер баз данных.
В зависимости от специфики используемого приложения, серверу баз данных может потребоваться связь с внутренними системами (backend), которые находятся в корпоративном серверном модуле.В общем и целом, межсетевые экраны должны разрешать передачу трафика только по трем маршрутам, каждый из которых работает со своим протоколом, и блокировать все остальные попытки связи, если они не представляет собой передачу пакетов в ответ на запросы, поступившие по трем первоначальным маршрутам.Сами серверы также должны быть полностью защищены. Особое внимание следует уделять защите webсервера, предназначенного для общего доступа.
Необходимо пользоваться самыми последними версиямиоперационной системы и приложений web-сервера со всеми коррекционными модулями (патчами). Крометого, эти средства должны находиться под постоянным наблюдением со стороны средств обнаружения атак(HIDS). Эти меры позволят снизить эффективность большинства первичных и вторичных атак, включая переадресацию портов и атаки типа root kit. Все другие серверы также должны иметь аналогичные средствазащиты на случай, если хакеры захватят первый сервер или межсетевой экран.Сегменты, защищенные межсетевым экраномМежсетевые экраны для электронной коммерции обычно защищаются периферийным маршрутизатором заказчика, установленным у ISP. В точке выхода этого маршрутизатора, направленной к корпорации, ISP может до предела ограничить количество протоколов, необходимых для электронной коммерции, а также разрешить передачу трафика только на адрес web-серверов.
Кроме того, периферийнымсерверам необходимо обновление протокола маршрутизации (обычно это BGP — Border GatewayProtocol). Весь остальной трафик должен блокироваться. Для борьбы с атаками типа (D)DoS провайдер(ISP) должен ограничивать объемы трафика, как указано в разделе «Аксиомы SAFE». ISP должен такжепроводить фильтрацию по стандартам RFC 1918 и RFC 2827.В помещении предприятия первый маршрутизатор служит только в качестве интерфейса для связи спровайдером (ISP).
Всю сетевую работу выполняет коммутатор Уровня 3, функции которого выполняются на аппаратных процессорах. Именно коммутаторы Уровня 3 принимают все решения по маршрутизации BGP, определяя, маршрут какого провайдера (ISP) наиболее оптимален для того или иного пользователя. Во-вторых, коммутаторы Уровня 3 выполняют функцию проверки фильтрации, обеспечивая ее соответствие описанной выше фильтрации ISP, что повышает уровень безопасности. В-третьих, коммута-торы Уровня 3 имеют встроенную функцию мониторинга для распознавания атак (IDS).
Если емкость соединения с Интернет превышает возможности линейной карты IDS, вы можете проверять только входящие web-запросы, поступающие на карту IDS из сети Интернет. Хотя в этом случае вы будете терять до10 % аварийных сигналов, это все-таки лучше, чем проверять трафик, передаваемый в обоих направлениях, потому что при этом число пропускаемых аварийных сигналов будет больше.
Другие средства NIDS,находящиеся с внутренней стороны межсетевого экрана, проверяют сегменты, пытаясь распознать атаки, успешно преодолевшие первую линию обороны. Так, например, если версия web-сервера устарела,хакер, преодолевший систему HIDS, может захватить его с помощью атаки на уровне приложений.
Каки в корпоративном Интернет-модуле, нужно попытаться свести к минимуму число ложных срабатываний систем распознавания атак, чтобы каждый сигнал тревоги вызывал должное внимание. Поскольку вопределенных сегментах может присутствовать только определенный трафик, вы можете очень точнонастроить свою сетевую систему обнаружения атак (NIDS).С точки зрения приложений, маршруты связи между разными уровнями (web, приложения, базы данных) должны быть защищенными, транзакционными и обладать надежной системой аутентификации. Кпримеру, если сервер приложений получает данные от сервера баз данных через интерактивную сессию(SSH, FTP, Telnet и т. д.), хакер может воспользоваться интерактивностью для проведения атаки на уровне приложений.
Использование надежных каналов связи поможет снизить потенциальный риск.Коммутаторы Уровня 2, поддерживающие разные сегменты, защищенные межсетевыми экранами, создают возможность использования частных сетей VLAN, создавая модель доверия, которая пропускаеттрафик, отвечающий определенным требованиям в рамках определенного сегмента, и отбраковываетвесь остальной трафик. К примеру, нет никаких причин для того, чтобы позволять одному web-серверусвязываться с другим web-сервером.Управление всем модулем (как и всеми другими элементами данной архитектуры) происходит только поотдельной сети (out-of-band).АльтернативыОсновной альтернативой данной архитектуре является размещение всей систему у провайдера (ISP).При этом (хотя общий дизайн системы не меняется) появляются два существенных различия. Во-первых,связь с ISP осуществляется по каналу LAN с более широкой полосой пропускания.
Это, в принципе, позволяет избавиться от пограничных маршрутизаторов, хотя такой вариант использовать не рекомендуется. Кроме того, более широкая полоса пропускания выдвигает новые требования в области борьбы с атаками типа (D)DoS. Во-вторых, обратное соединение с корпорацией должно по-другому управляться. Альтернативы включают шифрование и использование частных линий связи. Эти технологии выдвигают дополнительные требования к системе безопасности в зависимости от местонахождения каналов связи иих использования.Существует несколько вариантов проектирования этого модуля. Мы лишь перечислим эти альтернативы.
Их подробное освещение выходит за рамки данного документа.●●●В качестве альтернативы можно использовать дополнительные межсетевые экраны. В этом случае поток трафика будет выглядеть следующим образом: периферийный маршрутизатор — межсетевой экран — web-сервер — межсетевой экран — сервер приложений — межсетевой экран — сервер базданных. В результате каждый межсетевой экран будет контролировать связь только с одной базовойсистемой.Технологии балансировки нагрузки и кэширования не рассматриваются в настоящем документе, однако они могут накладываться на данную архитектуру без особых модификаций.
В будущем этот вопрос будет рассмотрен в отдельном документе.Для среды с очень высокими требованиями к безопасности можно рассмотреть возможность использования межсетевых экранов разных типов. Сразу заметим, что это создает дополнительные проблемы в области управления, так как требует дублирования политики безопасности на разнородных системах. Этот вариант реализуется для того, чтобы прорыв одного межсетевого экрана не становилсяпрорывом всей системы безопасности. Этот тип дизайна сфокусирован на межсетевых экранах.
Он внедостаточной степени использует преимущества систем обнаружения атак (IDS) и других технологий безопасности, которые позволяют снизить риск прорыва одного межсетевого экрана.LJˇÌÚ˚ ÔÓÂÍÚËÓ‚‡ÌËflПроцесс проектирования часто связан с компромиссами. В этом кратком разделе мы рассмотрим некоторые варианты, к которым может прибегнуть инженер, который проектирует сеть в условиях нехваткисредств. Одни компромиссы возможны на уровне модулей, другие — на уровне компонентов.Первая возможность состоит в свертывании модуля распределения и его слиянии с базовым модулем.
Врезультате наполовину сокращается количество коммутаторов Уровня 3. Экономия средств достигаетсяза счет некоторого сокращения производительности базовой сети и снижения гибкости, необходимойдля фильтрации на уровне распределения.49Второй вариант состоит в слиянии функциональности модуля VPN / удаленного доступа и корпоративного модуля Интернет. Структуры этих модулей очень сходны: пара межсетевых экранов в центре плюсустройства NIDS. Такое слияние не приводит к потере функциональности, если производительность компонентов соответствует общему объему трафика, который должны передавать оба модуля, и если межсетевой экран имеет достаточное количество интерфейсов для поддержки необходимых услуг.
При этомследует помнить, что по мере концентрации функций на единых устройствах увеличивается вероятностьчеловеческих ошибок. Некоторые организации идут еще дальше и включают в корпоративный модульVPN/Интернет функции электронной коммерции. Авторы считают, что при этом варианте риск намного перевешивает любую экономию, кроме случаев, когда потребности электронной торговли являютсяминимальными.
Отделение трафика электронной коммерции от общего Интернет-трафика позволяетлучше оптимизировать полосу пропускания за счет более строгой фильтрации и ограничений атак типа(D)DoS на уровне ISP.Третий возможный вариант состоит в удалении некоторых устройств NIDS. В зависимости от стратегииреагирования на угрозы вам действительно может понадобиться меньше таких устройств. Кроме того, ихколичество зависит от числа установленных устройств HIDS, поскольку в некоторых случаях последниемогут снизить потребность в обнаружении атак на сетевом уровне (NIDS). Этот вопрос обсуждается (там,где необходимо) в разделах, посвященных конкретным модулям.Совершенно ясно, что проектирование сетей не относится к числу точных наук. Проектировщик всегдаможет сделать тот или иной выбор в зависимости от реальных потребностей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
