- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Системы, размещаемые в dmz
Итак, мы имеем общую политику демилитаризованной зоны и список служб, которые будут предлагаться через интернет. Какие системы действительно следует размещать в DMZ? Давайте рассмотрим каждую службу по отдельности.
Почта
На рисунке 16.8 показаны службы, которые могут предоставляться в DMZ. Обратите внимание, что имеются внутренний и внешний почтовые серверы. Внешний почтовый сервер используется для приема входящей почты и для отправки исходящей почты. Новая почта принимается внешним почтовым сервером и передается на внутренний почтовый сервер. Внутренний почтовый сервер передает исходящую почту на внешний сервер. В идеальном случае все эти действия выполняются внутренним почтовым сервером с запрашиванием почты с внешнего почтового сервера.
увеличить изображение Рис. 16.8. Топология систем между DMZ и внутренней сетью
Некоторые межсетевые экраны могут выполнять функции почтовых серверов. При использовании межсетевого экрана с почтовым сервером последний функционирует как внешний почтовый сервер. В данном случае внешний почтовый сервер становится избыточным и может быть удален.
Примечание
Если почтовые серверы действительно важны для работы, то все почтовые серверы должны являться избыточными. Речь идет о серверах во внутренней сети, а также тех серверах, которые расположены в демилитаризованной зоне.
Веб
Общедоступные веб-серверы располагаются в демилитаризованной зоне. На рисунке 16.8 изображен сервер приложений в DMZ. Многие веб-сайты предоставляют активное содержимое, функционирующее на основе вводимых пользователем данных. Данные, вводимые пользователем, обрабатываются, и из базы данных извлекается нужная информация. База данных содержит важную информацию, и ее не следует располагать в демилитаризованной зоне. Веб-сервер сам по себе мог бы осуществлять обратную связь с сервером базы данных, но веб-сервер доступен из внешней среды и, таким образом, не пользуется полным доверием. В данном случае рекомендуется использовать третью систему для размещения на ней приложения, непосредственно соединяющегося с базой данных. Веб-сервер получает вводимые пользователем данные и предоставляет их серверу приложения для обработки. Сервер приложения запрашивает в базе данных нужную информацию и предоставляет ее веб-серверу для доставки пользователю.
Этот процесс может показаться сложным, однако такая архитектура обеспечивает защиту сервера базы данных и сокращает вычислительную нагрузку веб-сервера, т. к. последнему не приходится выполнять запросы.
Примечание
Так как сервер базы данных может содержать некоторую очень важную для организации информацию, его целесообразно также защитить еще одним межсетевым экраном. В данном случае межсетевой экран будет отделять секретную базу данных от внутренней сети и, таким образом, еще больше ограничивать доступ к ней.
Системы, доступные из внешней среды
Все системы, доступные из внешней среды, должны быть размещены в демилитаризованной зоне. Также имейте в виду, что если система доступна через интерактивный сеанс (такой как telnet или SSH), то пользователи имеют возможность проведения атак против других систем, находящихся в DMZ. Может быть разумным создание второй демилитаризованной зоны для таких систем, чтобы защитить другие системы в DMZ.