Примечание

Для обеспечения еще большего уровня защиты на каждой системе в DMZ можно установить межсетевые экраны или системы обнаружения вторжений узлового уровня. В этом случае взлом одной системы в DMZ не позволит злоумышленнику получить неограниченный доступ к другим системам в DMZ

Разработка партнерских сетей

Концепции разработки интернет-архитектур, обсужденные выше, также могут быть использованы при разработке сетей между партнерами. Потребность в постоянном соединении между организациями продолжает стремительно возрастать, так как это снижает их затраты.

Работа с партнерскими сетями

Партнерские сети, как правило, создаются для обмена определенными файлами или фрагментами данных между организациями. Это обуславливает требование соединения отдельных систем внутри одной организации с конкретными системами в другой организации. Это не означает, однако, что одной организации требуется неограниченный доступ к сети другой организации.

Если при построении партнерской сети использовать подход с учетом возможных рисков, станет видно, что при соединении двух организаций проявление угроз действительно возможно. Соединенные сети двух организаций обеспечивают возможность сотрудников одной организации осуществлять доступ в сеть другой организации и наоборот. Также следует вспомнить материал лекции 7, в которой говорилось о том, что клиенты и поставщики могут являть собой злоумышленников. Разумеется, необходимо реализовать некоторый контроль для обработки данного риска.

Настройка

Требования безопасности для партнерской сети немного отличаются от требований в случае с интернет-соединением. Поэтому мы можем использовать те же архитектуры и методологии.

Службы, необходимые для соединения, определены, и системы, предоставляющие эти службы, расположены в демилитаризованной зоне. Это не та DMZ, которая использовалась для интернет-соединения, хотя она может располагаться за пределами области, защищаемой межсетевым экраном интернета, при наличии достаточного объема ресурсов (см. рис. 16.14). Изучая рисунок, обратите внимание на то, что на межсетевом экране добавлены два интерфейса: один для партнерской DMZ, а другой - для партнерской сети.

На межсетевом экране необходимо установить дополнительные правила, чтобы позволить системам в партнерской организации, а также внутренним системам осуществлять доступ к партнерским DMZ-системам. Однако не должны присутствовать правила, позволяющие системам в партнерской организации подключаться к внутренней сети, демилитаризованной зоне интернета или к интернету. На многих межсетевых экранах может потребоваться установить дополнительные запреты. В таблице 16.1 показано, каким образом будут изменены правила.

Таблица 16.1. Правила маршрутизатора интернета с доступом в партнерскую сеть
Номер правила	IP-адрес источника	IP-адрес назначения	Служба	Действие
1	Партнерская сеть	Партнерская DMZ	Необходимая для партнерских взаимоотношений	Принятие
2	Партнерская сеть	Любой	Любая	Отказ
3	Партнерская DMZ	Партнерская сеть	Необходимая для партнерских взаимоотношений	Принятие
4	Любой	Партнерская сеть	Любая	Отказ
5	Любой	Веб-сервер	HTTP	Принятие
6	Любой	Почтовый сервер	SMTP	Принятие
7	Почтовый сервер	Любой	SMTP	Принятие
8	Внутренняя сеть	Любой	HTTP, HTTPS, FTP, telnet, SSH	Принятие
9	Внутренняя DNS	Любой	DNS	Принятие
10	Любой	Любой	Любой	Сброс

Как видно из таблицы 16.1, в верхней части списка присутствуют правила, конкретно отклоняющие доступ к партнерским сетям и из них. Так как большая часть межсетевых экранов работает по первому совпавшему условию, необходимо расположить перед правилами глобального разрешения правила 5, 6, 7, 8 и 9.

увеличить изображение Рис. 16.14.  Партнерская DMZ, использующая межсетевой экран интернета

11. Службы электронной коммерции. Различия между службами электронной коммерции и обычными службами DMZ. Примеры служб электронной коммерции. Вопросы взаимоотношений "компания-клиент" и "компания-компания". Решение проблемы доступности. Реализация безопасности служб электронной коммерции. Реализация безопасности клиентской стороны. Безопасность соединений. Хранение информации на компьютере клиента. Реализация безопасности серверной части. Защита сервера от атак.

Электронная коммерция (e-commerce) встречается в интернете повсюду. Компании по всему миру используют сайты в интернете для предложения клиентам своей продукции. Некоторые из этих попыток оказались успешными, другие - провалились. Успешные организации объединяет тот факт, что они осознают, что занимаются электронной коммерцией для того, чтобы делать деньги. Деньги можно делать, предлагая новые услуги через интернет, расширяя имеющиеся услуги, либо посредством предоставления имеющейся услуги за более низкую цену.

Организации, занимающиеся электронной коммерцией, подвергают себя опасности. Они вкладывают средства в новые технологии и в новые методы предоставления товаров и услуг в надежде повысить степень выгоды бизнеса. Риски, представляемые для организации, имеют несколько причин: сторонние люди могут проигнорировать услугу, могут не появиться новые клиенты, а имеющимся клиентам новая услуга может прийтись не по душе. Так как речь идет об организациях, занимающихся электронной коммерцией, необходимо принимать в расчет полностью новый набор угроз и уязвимостей. Эти новые угрозы и уязвимости обуславливают риски, которые необходимо контролировать.

Говоря об электронной коммерции, необходимо иметь в виду, что электронные системы обработки заказов и платежей существуют уже продолжительное время. На протяжении многих лет между компаниями используется система Electronic Data Interchange (EDI) для заказа товаров и осуществления платежей. Большим преимуществом, которое заставляет много говорить об электронной коммерции, является то, что сегодня обычные покупатели могут заказать практически любой товар из любого места, а любая организация может очень быстро открыть электронный магазин. Кроме того, многие организации, занимавшиеся ранее продажей товаров через распространительные сети, теперь могут продавать свою продукцию непосредственно покупателям и таким образом снижать стоимость ведения бизнеса.