5.4. Типовые схемы защиты с использованием мэ
Часто перед администратором безопасности стоит задача организации в составе корпоративной сети нескольких сегментов с различными уровнями защищенности. Например, необходимо организовать три сегмента:
Сегмент свободного доступа (рекламный WWW – сервер);
Сегмент с ограниченным доступом (для доступа удаленных клиентов);
Закрытый сегмент (закрытая локальная сеть, в которой циркулирует финансовая информация).
Рассмотрим, каким образом разрешается проблема сегментирования сетей с использованием МЭ.
5.4.1. Мэ на основе двухпортового шлюза
Информационный
сервер
Прикладной шлюз
Фильтрующий
маршрутизатор
Порт 1
Порт 2
Такой тип МЭ включает компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и происходит основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и открытой сетью обычно размещается фильтрующий маршрутизатор, в результате чего между прикладным шлюзом и ФМ образуется внутренняя экранированная подсеть.
5.4.2. МЭ – DMZ
Информационный
сервер
Внешний ФМ
Внутренний ФМ
Почтовый сервер
Прикладной шлюз
Для создания экранированной подсети используются два фильтрующих маршрутизатора – один внешний и один внутренний. Экранированная подсеть (иногда ее называют DMZ – «демилитаризованная зона») содержит прикладной шлюз (для фильтрации на прикладном уровне информации, циркулирующей между локальной и внешней сетью) и может включать информационные, почтовые и другие серверы, требующие контролируемого доступа. Такая схема МЭ обеспечивает наилучшую безопасность благодаря двум эшелонам обороны.
Внешний маршрутизатор работает по следующим правилам:
Разрешает трафик из Интернет к прикладному шлюзу и обратно;
Разрешает трафик электронной почты из Интернет к соответствующему серверу и обратно;
Разрешает трафик типа FTP из Интернет к информационному серверу;
Запрещает остальной трафик.
Внутренний маршрутизатор защищает внутреннюю сеть, как от Интернет, так и от экранированной подсети (что является вторым эшелоном обороны, необходимым в случае компрометации первого эшелона).
Внутренний маршрутизатор работает по следующим правилам:
Разрешает трафик от прикладного шлюза к локальной сети и обратно;
Разрешает трафик электронной почты от сервера электронной почты к почтовым клиентам и обратно;
Разрешает трафик типа FTP из локальной сети к информационному серверу;
Запрещает остальной трафик.
Применение того или иного типа МЭ или их комбинации зависит от политики безопасности, которой придерживается организация и, естественно, от типа организации. Приведем некоторые рекомендации, для этого будем оценивать различные варианты по пятибалльной шкале.
4 |
Рекомендованный вариант |
3 |
Эффективный вариант |
2 |
Допустимый вариант |
1 |
Минимальная безопасность |
0 |
Неприемлемо |
В следующей таблице приведем риски применения того или иного варианта для организаций с различными политиками безопасности.
Архитектура МЭ (если один из типов, указанных ниже, реализован) |
Среда с высоким риском, например банк |
Среда со средним риском, например университет |
Среда с низким риском, например мелкий магазин |
Фильтрующий маршрутизатор |
0 |
1 |
4 |
Шлюз прикладного уровня |
3 |
4 |
2 |
Гибридные шлюзы |
4 |
3 |
2 |
Итак, подводя итог вышесказанному о МЭ, необходимо сказать, что они предоставляют очень мощные возможности по централизованному администрированию, настройке и управлению большими компьютерными сетями, позволяют резко снизить число «узких мест» в системе, но, к сожалению, не решает проблемы глобально, т.е. все равно остаются возможности нарушения защиты системы. Строится жесткая система обороны от внешних врагов, но от врагов внутренних она на 100 процентов не защищает. Ошибки администрирования, злой умысел сотрудников технической службы, да и просто сотрудников, которые имеют доступ к физическим кабельным соединениям – все это может свести на нет защитные функции, предоставляемые МЭ. Тем не менее, использование их, безусловно, можно считать оправданным.