Når du bruger dmz, vil hastigheden forbedres. Brug og opsætning af DMZ i en router

Forkortelsen DMZ står for DeMilitarized Zone, det vil sige "Demilitarized Zone". Det er uventet og uklart, hvad dette har med routeren at gøre. Men faktisk er dette en meget nyttig ting i en række tilfælde. Dette vil blive diskuteret i denne artikel.

Formål og brug af DMZ

En DMZ er et netværkssegment skabt til tjenester og programmer, der kræver direkte adgang til internettet. Direkte adgang er nødvendig for torrents, instant messengers, onlinespil og nogle andre programmer. Og du kan ikke undvære det, hvis du vil installere et videoovervågningskamera og have adgang til det via internettet.

Hvis computeren, som programmet kører på, forbinder direkte til internettet og omgår routeren, er der ingen grund til at bruge DMZ. Men hvis forbindelsen sker gennem en router, vil det ikke være muligt at "nå" programmet fra internettet, fordi alle anmodninger modtages af routeren og ikke videresendes inde i det lokale netværk.

For at løse dette problem bruges portvideresendelse normalt på routeren. Der er information om dette på vores hjemmeside. Dette er dog ikke altid praktisk, og nogle mennesker foretrækker at oprette en DMZ. Hvis du opsætter en DMZ på din router og tilføjer den ønskede netværksnode til den, for eksempel en pc, der kører en spilserver eller en DVR, som et IP-kamera er tilsluttet, vil denne node være synlig fra det eksterne netværk, som om den var direkte forbundet til internettet. Intet vil ændre sig for resten af ​​enhederne på dit netværk - de vil fungere på samme måde som før.

Du bør være forsigtig med alle disse indstillinger. Da både port forwarding og DMZ er et potentielt sikkerhedshul. For at forbedre sikkerheden opretter store virksomheder ofte et separat netværk til DMZ. For at blokere adgangen fra DMZ-netværket til andre computere, bruges en ekstra router.

Opsætning af DMZ på routeren

Routere tillader kun at tilføje én enhed til DMZ. Routeren skal modtage en "hvid" IP-adresse. Kun i dette tilfælde vil det være muligt at få adgang til det fra det globale netværk. Oplysninger om dette kan fås hos din internetudbyder. Nogle udbydere giver en ekstern IP-adresse gratis, men denne service kræver ofte et ekstra gebyr.

Indstilling af en statisk IP-adresse

Kun en computer med en statisk IP-adresse kan tilføjes til DMZ. Derfor er det første, vi gør, at ændre det. For at gøre dette skal du åbne egenskaberne for netværksforbindelsen og i TCP/IP-indstillingerne indstille en statisk IP-adresse i dit netværks adresseområde. For eksempel, hvis din router har IP 192.168.0.1, så kan du angive 192.168.0.10 for din computer. Standard undernetmasken er 255.255.255.0. Og i feltet "Gateway" skal du angive adressen på din router.

Bemærk venligst, at den IP-adresse, der er tildelt computeren, ikke bør være inden for området af distribuerede adresser.

På dette tidspunkt er computeropsætningen fuldført, og du kan fortsætte til routerindstillingerne.

Opsætning af routeren

Det første trin er at aktivere DMZ på routeren, da den altid er deaktiveret som standard.

Find det tilsvarende menupunkt i enhedens webgrænseflade:

  • På Asus-routere hedder den påkrævede fane DMZ.
  • På TP-Link-routere skal du åbne punktet "Forwarding", og der vil være et DMZ-underpunkt.
  • På D-Link skal du se efter "Firewall"-elementet.

Under alle omstændigheder skal du på fanen Indstillinger markere feltet "Aktiver". Og ved siden af ​​det, find et felt kaldet "DMZ Host Address" eller "Visible Station Address" (afhængigt af routermodellen kan der være andre muligheder). I dette felt indtaster vi den statiske adresse på den computer eller anden enhed, der skal tilføjes til DMZ. I vores tilfælde er det 192.168.0.10.

Gem indstillingerne og genstart routeren. Det er alt: alle porte på den valgte pc er åbne. Ethvert program, der bruger indgående forbindelser, vil tro, at det får direkte adgang til netværket. Alle andre programmer vil fungere som normalt.

Nedenfor er et eksempel på opsætning af en router med en engelsk grænseflade.

Oprettelse af en DMZ er en bekvem måde at forenkle arbejdet med de nødvendige programmer, men du skal huske på, at åben adgang til en pc øger risikoen for netværksangreb og virusinfektioner.

Derfor er det nødvendigt at installere en firewall og et antivirusprogram på den enhed, der bruges som DMZ-vært.

DMZ i routeren - Dette er en funktion, der giver dig mulighed for at åbne alle eksterne porte for en specifik IP fra routerens lokale netværk. Anvendes typisk til at implementere fjernadgang til en bestemt enhed placeret bag en router. DMZ bruges især ofte til adgang fra evt point Internetforbindelse til IP-kameraer eller DVR'er, de der. til videoovervågning.

Mange Wi-Fi-routere har den funktion at give adgang fra et eksternt netværk til enheder på deres lokale netværk (DMZ-værtstilstand, også kendt som eksponeret vært). I denne tilstand har enheden (computer, DVR, IP-kamera osv.) alle porte åbne på det lokale netværk. Dette opfylder ikke helt den kanoniske definition af en DMZ, da en enhed med åbne porte ikke er adskilt fra det interne netværk. Det vil sige, at DMZ-værten frit kan oprette forbindelse til ressourcer på det interne netværk, mens forbindelser til det interne netværk fra den kanoniske DMZ blokeres af firewallen, der adskiller dem, dvs. Ud fra et sikkerhedsmæssigt synspunkt er løsningen ikke den bedste. Det skal huskes, at dette kun er én måde at organisere adgang til en enhed på et andet lokalt netværk. Enkel port forwarding er også populær. Den understøttes også af næsten enhver moderne og knap så moderne router. Men der er én væsentlig forskel. Ethvert skolebarn kan klare at opsætte en DMZ, men port forwarding er ikke så let for en person, der gør dette for første gang.

DMZ er en komplet løsning og kræver et par enkle trin for at bruge den. Ved implementering af f.eks. adgang fra internettet til en DVR kræves følgende:

  1. Indtast IP DVR'en i routerens DMZ-indstillinger
  2. Routeren skal modtage en permanent IP fra udbyderen eller skal bruge DDNS

Hvorfor kræver DMZ en permanent IP-adresse, og hvorfor kan den erstattes af DDNS?


Alt er enkelt her. Hvis din router er tildelt forskellige IP-adresser af din udbyder, så kan du finde ud af, hvilken IP din router har i øjeblikket ved at bruge DDNS-tjenesten. Og du skal kende den samme IP-adresse for at kunne oprette fjernforbindelse til din enhed. DDNS - giver brugerne mulighed for at få et underdomæne, der vil være knyttet til brugerenheden. Når du kender dette underdomæne, behøver du ikke bekymre dig; du vil bruge det i stedet for IP. En permanent IP fra udbyderen er dog både enklere og mere sikker, men dyrere :)

Se hvor enkelt det er. Dette er bekvemmeligheden ved DMZ. En anden fordel er muligheden for at konfigurere en router uden at vide, hvilken port der skal vælges til f.eks. en DVR. Og som en konsekvens, en yderligere ændring af adgangsporten, uanset routerens indstillinger.


Videresendelse af porte gennem en router

Bogstaveligt talt to ord om port forwarding generelt. Port forwarding kunne kaldes et særligt tilfælde af DMZ, hvis ikke for det faktum, at DMZ i den form, det er implementeret i på hjemmeroutere, ikke ville være opstået senere end begrebet port forwarding. Mange brugere forstår ikke betydningen af ​​ordet port. Du kan, hvis du vil, betragte porten som et digitalt mærke (i form af et nummer) på pakker, der hjælper med at sortere informationspakker efter deres destination. En slags ekstra routingværktøj. Som regel har routerindstillingerne mulighed for portvideresendelse. For at gøre dette skal du angive IP-adressen for enheden på routerens netværk, den port (dvs. selve etiketten), hvorigennem denne enhed er tilgængelig for administration, den eksterne port er den port, der vil være bundet til den angivne port og enhedens IP.

Konklusion:
DMZ er i det væsentlige portvideresendelse til en specifik IP på det lokale netværk af en router fra et eksternt netværk. Forskellen fra port forwarding er, at i tilfælde af DMZ åbnes alle mulige porte samtidigt for den angivne IP. Dette er ikke effektivt ud fra et sikkerhedssynspunkt, men det forenkler i høj grad opsætningen af ​​fjernadgang til enhver enhed bag routeren. Typisk bruges denne funktion i videoovervågning.

Beskrivelse

En demilitariseret zone eller DMZ er et netværkssegment med white-label-adressering, adskilt af en firewall fra internettet og organisationens lokale netværk. Servere, der skal være tilgængelige fra internettet, såsom en mail- eller webserver, placeres normalt i en DMZ. Da servere i DMZ-netværket er adskilt fra det lokale netværk af en firewall, vil en hacker, hvis de bliver hacket, ikke være i stand til at få adgang til lokale netværksressourcer.

Indstillinger

Den demilitariserede zone oprettes i modulet "udbydere og netværk". Når du opretter den, skal du angive IP-adressen på internetkontrolserveren og DMZ-netværksmasken og også vælge netværksgrænsefladen til DMZ'en. Af sikkerhedsmæssige årsager bruges en separat netværksgrænseflade normalt til DMZ.

Som standard har servere placeret i DMZ ikke adgang til internettet og det lokale netværk, så adgang til dem skal konfigureres ved hjælp af firewall-regler.

Afkrydsningsfeltet "NAT fra lokale netværk" giver dig mulighed for at kontrollere oversættelsen af ​​lokale adresser til DMZ-netværket. Som standard er den deaktiveret, dvs. NAT-tjenesten til DMZ-netværksgrænsefladen virker ikke, adresser oversættes uden ændringer.

Vigtigt: NAT selv for DMZ-netværket er deaktiveret på de eksterne grænseflader på ICS, så "hvide" IP-adresser skal bruges til at adressere det. Opsætning af et DMZ-netværk giver mening, hvis du skal kontrollere ekstern adgang til servere på det lokale netværk, der har "hvide" IP-adresser. I alle andre tilfælde er et almindeligt lokalt netværk konfigureret.

At forstå, hvad DMZ-teknologi er i forhold til routere, er ret simpelt. Hvis en pakke ankommer fra det "eksterne" netværk til IP-adressen på routeren, det vil sige "ekstern" IP, så transmitteres den uden ændringer af adressen på den lokale maskine. Og omvendt: enhver pakke, du sender, ses "udefra", som om den blev sendt fra en IP-router. I dette tilfælde ændres værdien af ​​adressen (korrekt sagt: "broadcast"), men værdien af ​​porten (i IP-adressen: portpar) ændres ikke. Dette er DMZ. Det er sværere at forstå, hvorfor DMZ er på en router (det vil sige, når det er nødvendigt at aktivere det, når det ikke er det).

Faktisk er DMZ-tjenesten nødvendig for programmer som ICQ, Skype og u-Torrent. Hvis computeren er tilsluttet "direkte" til udbyderen (det vil sige uden en router), er DMZ ikke nødvendig. Men hvis du har en router, skal du bare konfigurere alt (som det vil blive diskuteret), og der opstår ingen problemer. DMZ-teknologien er meget enkel. Men du skal betale for dette. En computer kan arbejde med den kun med en "statisk" IP-adresse. Først og fremmest, lad os sætte det op.

Computerindstillinger

Gå til mappen "Netværksforbindelser". Her leder vi efter en "forbindelse" med routeren ("lokal forbindelse", "trådløs forbindelse"). Højreklik, du åbner "Egenskaber".

I "Egenskaber" for TCP/IP-protokollen (v4) skal du konfigurere den som følger:

Det vil sige, du kender adressen på webgrænsefladen - angiv den derefter som en gateway; for en computer - kom op med et tal (fra 2 til 49), og lad masken stå med det sidste "0". I vores eksempel var routerens IP 192.168.0.1 (og vi fandt på en IP til computeren: 192.168.0.13).

Klik på "OK", og computeropsætningen til DMZ er fuldført.

Lyrisk digression

Enhver router har en DHCP-server. Den "distribuerer" deres IP-adresser til alle pc'er (som 192.168.0.xx, i eksemplet for en router med IP 192.168.0.1). Området af adresser udstedt af DHCP kan ændres (som standard er det 100-200 eller 50-200). Alt, hvad der skulle siges, er allerede blevet sagt. Det vil sige, at det er muligt at komme med en "statisk" port til en computer, men uden at lade sig rive med af store værdier. Og op til "50" vil være nok.

Opsætningen foretages på hver pc, det gør ingen forskel om den er tilsluttet routeren "via wi-fi" eller "wired". Dette gøres på de pc'er, der kræver DMZ (resten kan stå på "auto"). På ethvert givet tidspunkt, via DMZ, kan kun én pc på dit lokale netværk fungere (og hvilken af ​​dem er præcist indstillet i routerindstillingerne).

Opsætning af routeren

Vi går til fanen ansvarlig for DMZ. Forskellige routere har forskellige navne, "Avanceret" -> "DMZ" eller "Avanceret" -> "Firewall-DMZ":

Pointen er at aktivere denne tjeneste (det vil sige, vælg "Aktiveret" på "DMZ"). Og - indstil IP-adressen på den computer, der fungerer via DMZ. I vores eksempel: 192.168.0.13 (som vi kom frem til tidligere). Efter at have klikket på knappen "Anvend" eller "Gem" og genstart, fungerer DMZ-tjenesten.

Og - hvad nu?

Ethvert program, der bruger en forbindelse til et "eksternt" netværk, vil tro, at det kører på en computer med en "ekstern" IP (udstedt af din internetudbyder). Hvad - det samme som hvis du tilsluttede et pc-netværkskort til udbyderens "ledning" (uden nogen routere).

Programmer som uTorrent og ICQ "synes godt om" dette. Alt, der fungerede før (uden en router), vil fungere. Samtidig vil DMZ-tjenesten give flere muligheder for angreb fra netværket. Derfor skal der på selve pc'en være en firewall (firewall eller firewall). Men dette er en anbefaling.

Faktisk er DMZ ikke den mest bekvemme tjeneste. For eksempel får du den samme "funktionalitet", hvis du aktiverer UPNP-tjenesten. De fleste moderne programmer (ICQ version 6, ny u-Torrent) kan arbejde med UPNP (betydningen er den samme), men pc-netværkskort skal ikke konfigureres. Det er op til brugeren at beslutte, hvad der er bedre, DMZ eller UPNP.


Kivshenko Alexey, 1880

Denne artikel indeholder en oversigt fem muligheder for at løse problemet med at organisere adgang til virksomhedsnetværkstjenester fra internettet. Gennemgangen giver en analyse af muligheder for sikkerhed og gennemførlighed, som vil hjælpe både nybegyndere og mere erfarne specialister med at forstå essensen af ​​problemet, opdatere og systematisere deres viden. Materialerne i artiklen kan bruges til at begrunde dine designbeslutninger.

Når vi overvejer mulighederne, lad os som eksempel tage netværket, hvor du vil udgive:

  1. Corporate mailserver (Web-mail).
  2. Enterprise terminal server (RDP).
  3. Ekstranettjeneste for modparter (Web-API).

Mulighed 1: Fladt netværk

I denne mulighed er alle noder i virksomhedens netværk indeholdt i ét netværk, der er fælles for alle ("Internt netværk"), inden for hvilket kommunikation mellem dem ikke er begrænset. Netværket er forbundet til internettet gennem en grænserouter/firewall (herefter benævnt IFW).

Værter får adgang til internettet via NAT og adgang til tjenester fra internettet via portvideresendelse.

Fordele ved muligheden:

  1. Minimumskrav til funktionalitet IFW(kan gøres på næsten enhver router, selv en hjemmerouter).
  2. Minimumskrav til viden for den specialist, der implementerer muligheden.
Ulemper ved muligheden:
  1. Minimumsniveau af sikkerhed. I tilfælde af et hack, hvor den indtrængende får kontrol over en af ​​serverne offentliggjort på internettet, bliver alle andre noder og kommunikationskanaler i virksomhedens netværk tilgængelige for ham for yderligere angreb.
Analogi til det virkelige liv
Et sådant netværk kan sammenlignes med en virksomhed, hvor personale og kunder er i ét fællesrum (åbent rum)


hrmaximum.ru

Mulighed 2. DMZ

For at eliminere den tidligere nævnte ulempe placeres netværksknuder, der er tilgængelige fra internettet, i et specielt udpeget segment - en demilitariseret zone (DMZ). DMZ er organiseret ved hjælp af firewalls, der adskiller det fra internettet ( IFW) og fra det interne netværk ( DFW).


I dette tilfælde ser firewall-filtreringsreglerne således ud:
  1. Fra det interne netværk kan du oprette forbindelser til DMZ og til WAN (Wide Area Network).
  2. Fra DMZ kan du oprette forbindelser til WAN.
  3. Fra WAN kan du oprette forbindelser til DMZ.
  4. Det er forbudt at starte forbindelser fra WAN og DMZ til det interne netværk.


Fordele ved muligheden:
  1. Øget netværkssikkerhed mod hacking af individuelle tjenester. Selvom en af ​​serverne er hacket, vil den indtrængende ikke være i stand til at få adgang til ressourcer på det interne netværk (f.eks. netværksprintere, videoovervågningssystemer osv.).
Ulemper ved muligheden:
  1. At flytte servere til DMZ i sig selv øger ikke deres sikkerhed.
  2. Der kræves en ekstra firewall for at adskille DMZ'en fra det interne netværk.
Analogi til det virkelige liv
Denne version af netværksarkitekturen ligner organiseringen af ​​arbejds- og klientområder i en virksomhed, hvor klienter kun kan være i klientområdet, og personale kan være i både klient- og arbejdsområdet. DMZ-segmentet er netop en analog af klientzonen.


autobam.ru

Mulighed 3. Opdeling af tjenester i Front-End og Back-End

Som tidligere nævnt forbedrer placeringen af ​​en server i en DMZ på ingen måde sikkerheden af ​​selve tjenesten. En af mulighederne for at rette op på situationen er at opdele tjenestens funktionalitet i to dele: Front-End og Back-End. Desuden er hver del placeret på en separat server, mellem hvilken netværksinteraktion er organiseret. Front-end-servere, som implementerer funktionaliteten af ​​interaktion med klienter placeret på internettet, placeres i DMZ, og back-end-servere, som implementerer den resterende funktionalitet, efterlades på det interne netværk. For interaktion mellem dem på DFW oprette regler, der tillader initiering af forbindelser fra Front-End til Back-End.

Som et eksempel kan du overveje en virksomheds-e-mail-tjeneste, der betjener kunder både fra netværket og fra internettet. Klienter indefra bruger POP3/SMTP, og klienter fra internettet arbejder via webgrænsefladen. Typisk vælger virksomheder på implementeringsstadiet den enkleste metode til at implementere tjenesten og placerer alle dens komponenter på én server. Efterhånden som behovet for at sikre informationssikkerhed realiseres, opdeles tjenestens funktionalitet i dele, og den del, der er ansvarlig for at betjene klienter fra internettet (Front-End), flyttes til en separat server, som interagerer via netværk med den server, der implementerer den resterende funktionalitet (Back -End). I dette tilfælde er Front-Enden placeret i DMZ'en, og Back-Enden forbliver i det interne segment. Til kommunikation mellem Front-End og Back-End on DFW oprette en regel, der tillader initiering af forbindelser fra Front-End til Back-End.

Fordele ved muligheden:

  1. Generelt kan angreb rettet mod den beskyttede tjeneste "snuble" over Front-Enden, hvilket vil neutralisere eller væsentligt reducere mulig skade. For eksempel vil angreb som TCP SYN Flood eller langsom http-læsning rettet mod en tjeneste føre til, at Front-End-serveren kan blive utilgængelig, mens Back-Enden vil fortsætte med at fungere normalt og betjene brugere.
  2. Generelt har Back-End-serveren muligvis ikke adgang til internettet, hvilket, hvis den bliver hacket (f.eks. ved at køre ondsindet kode lokalt), vil gøre det vanskeligt at fjernstyre den fra internettet.
  3. Front-End er velegnet til hosting af en firewall på applikationsniveau (f.eks. webapplikationsfirewall) eller et indtrængningsforebyggelsessystem (IPS, f.eks. snort).
Ulemper ved muligheden:
  1. Til kommunikation mellem Front-End og Back-End on DFW der oprettes en regel, der tillader initiering af en forbindelse fra DMZ til det interne netværk, hvilket skaber trusler forbundet med brugen af ​​denne regel fra andre knudepunkter i DMZ (for eksempel gennem implementering af IP-spoofing-angreb, ARP-forgiftning, etc.)
  2. Ikke alle tjenester kan opdeles i Front-End og Back-End.
  3. Virksomheden skal implementere forretningsprocesser til opdatering af firewallregler.
  4. Virksomheden skal implementere mekanismer til at beskytte mod angreb fra ubudne gæster, der har fået adgang til en server i DMZ.
Noter
  1. I det virkelige liv, selv uden at opdele servere i Front-End og Back-End, har servere fra DMZ meget ofte brug for at få adgang til servere placeret på det interne netværk, så de angivne ulemper ved denne mulighed vil også være sande for den tidligere overvejede mulighed.
  2. Hvis vi overvejer beskyttelsen af ​​applikationer, der kører via webgrænsefladen, så selvom serveren ikke understøtter adskillelsen af ​​funktioner i front-end og back-end, brugen af ​​en http reverse proxy-server (f.eks. nginx) som en Front-End vil minimere de risici, der er forbundet med angreb for lammelsesangreb. For eksempel kan SYN-oversvømmelsesangreb gøre http omvendt proxy utilgængelig, mens Back-End fortsætter med at arbejde.
Analogi til det virkelige liv
Denne mulighed ligner i det væsentlige tilrettelæggelsen af ​​arbejdet, hvor assistenter - sekretærer - bruges til højt belastede arbejdere. Så vil Back-Enden være analogen til en travl medarbejder, og Front-Enden vil være analogen til en sekretær.


mln.kz

Mulighed 4: Sikker DMZ

DMZ er en del af netværket, der er tilgængeligt fra internettet, og som følge heraf underlagt den maksimale risiko for kompromittering af værten. Designet af DMZ'en og de tilgange, der anvendes i den, bør give maksimal overlevelsesevne under forhold, hvor den indtrængende har fået kontrol over en af ​​knudepunkterne i DMZ'en. Som mulige angreb, lad os overveje angreb, som næsten alle informationssystemer, der opererer med standardindstillinger, er modtagelige for:

Beskyttelse mod DHCP-angreb

På trods af at DHCP er beregnet til at automatisere konfigurationen af ​​IP-adresser til arbejdsstationer, er der i nogle virksomheder tilfælde, hvor IP-adresser til servere udstedes gennem DHCP, men det er en ret dårlig praksis. Derfor, for at beskytte mod Rogue DHCP Server, DHCP sult, anbefales det at deaktivere DHCP fuldstændigt i DMZ.

Beskyttelse mod MAC oversvømmelsesangreb

For at beskytte mod MAC-oversvømmelse er switch-porte konfigureret til at begrænse den maksimale intensitet af broadcast-trafik (da disse angreb normalt genererer broadcast-trafik). Angreb, der involverer brug af specifikke (unicast) netværksadresser, vil blive blokeret af MAC-filtrering, som vi diskuterede tidligere.

Beskyttelse mod UDP-oversvømmelsesangreb

Beskyttelse mod denne type angreb svarer til beskyttelse mod MAC-oversvømmelse, bortset fra at filtrering udføres på IP (L3) niveau.

Beskyttelse mod TCP SYN oversvømmelsesangreb

For at beskytte mod dette angreb er følgende muligheder mulige:
  1. Beskyttelse ved netværksknuden ved hjælp af TCP SYN Cookie-teknologi.
  2. Beskyttelse på firewallniveau (med forbehold for undernetværk af DMZ) ved at begrænse intensiteten af ​​trafik, der indeholder TCP SYN-anmodninger.

Beskyttelse mod angreb på netværkstjenester og webapplikationer

Der er ingen universel løsning på dette problem, men etableret praksis er at implementere processer til håndtering af softwaresårbarhed (identifikation, installation af patches osv., for eksempel), samt brug af indtrængen detektion og forebyggelsessystemer (IDS/IPS).

Beskyttelse mod autentificering omgå angreb

Som i det foregående tilfælde er der ingen universel løsning på dette problem.
Normalt, i tilfælde af et stort antal mislykkede godkendelsesforsøg, blokeres konti for at undgå at gætte godkendelsesdata (f.eks. en adgangskode). Men denne tilgang er ret kontroversiel, og her er hvorfor.
For det første kan den indtrængende foretage udvælgelsen af ​​autentificeringsoplysninger med en intensitet, der ikke fører til blokering af konti (der er tilfælde, hvor adgangskoden blev valgt over flere måneder med et interval mellem forsøg på flere ti minutter).
For det andet kan denne funktion bruges til lammelsesangreb, hvor angriberen bevidst vil foretage et stort antal godkendelsesforsøg for at blokere konti.
Den mest effektive mulighed mod angreb af denne klasse vil være brugen af ​​IDS/IPS-systemer, som, når de opdager forsøg på at gætte adgangskoden, vil blokere ikke kontoen, men kilden, hvorfra dette gættes opstår (f.eks. blokere IP-adressen på den ubudne gæst).

Den endelige liste over beskyttelsesforanstaltninger for denne mulighed:

  1. DMZ er opdelt i IP-undernet med et separat undernet for hver node.
  2. IP-adresser tildeles manuelt af administratorer. DHCP bruges ikke.
  3. På de netværksgrænseflader, som DMZ-noder er tilsluttet, aktiveres MAC- og IP-filtrering, begrænsninger på intensiteten af ​​broadcast-trafik og trafik indeholdende TCP SYN-anmodninger.
  4. Automatisk forhandling af porttyper er deaktiveret på switches, og brugen af ​​native VLAN er forbudt.
  5. En TCP SYN-cookie er konfigureret på DMZ-noder og interne netværksservere, som disse noder forbinder til.
  6. Softwaresårbarhedsstyring implementeres for DMZ-noder (og helst resten af ​​netværket).
  7. IDS/IPS indtrængningsdetektion og -forebyggelsessystemer er ved at blive implementeret i DMZ-segmentet.
Fordele ved muligheden:
  1. Høj grad af sikkerhed.
Ulemper ved muligheden:
  1. Øgede krav til udstyrs funktionalitet.
  2. Lønomkostninger til implementering og support.
Analogi til det virkelige liv
Hvis vi tidligere sammenlignede DMZ med et klientområde udstyret med sofaer og ottomaner, så vil en sikker DMZ være mere som et pansret kasseapparat.


valmax.com.ua

Mulighed 5. Tilslut tilbage

Beskyttelsesforanstaltningerne i den tidligere version var baseret på det faktum, at der var en enhed på netværket (switch / router / firewall), der var i stand til at implementere dem. Men i praksis, for eksempel, når du bruger en virtuel infrastruktur (virtuelle switche har ofte meget begrænsede muligheder), eksisterer en sådan enhed muligvis ikke.

Under disse forhold bliver mange af de tidligere diskuterede angreb tilgængelige for overtræderen, hvoraf de farligste vil være:

  • angreb, der giver dig mulighed for at opsnappe og ændre trafik (ARP-forgiftning, CAM-tabeloverløb + TCP-sessionkapring osv.);
  • angreb relateret til udnyttelse af sårbarheder i interne netværksservere, hvortil forbindelser kan initieres fra DMZ (hvilket er muligt ved at omgå filtreringsregler DFW på grund af IP- og MAC-spoofing).
Den næste vigtige egenskab, som vi ikke tidligere har overvejet, men som ikke holder op med at være mindre vigtig, er, at automatiserede arbejdsstationer (AWS) af brugere også kan være en kilde (f.eks. når de er inficeret med virus eller trojanske heste) til skadelige effekter på servere.

Vi står således over for opgaven med at beskytte det interne netværks servere mod angreb fra den indtrængende både fra DMZ og fra det interne netværk (infektion af arbejdsstationen med en trojaner kan fortolkes som handlinger fra den indtrængende fra det interne netværk ).

Den fremgangsmåde, der foreslås nedenfor, er rettet mod at reducere antallet af kanaler, hvorigennem en indtrængende kan angribe servere, og der er mindst to sådanne kanaler. Den første er reglen om DFW, der giver adgang til den interne netværksserver fra DMZ'en (selv om den er begrænset af IP-adresser), og den anden er en åben netværksport på serveren, hvor der forventes forbindelsesanmodninger.

Du kan lukke disse kanaler, hvis den interne netværksserver selv bygger forbindelser til serveren i DMZ'en og gør dette ved hjælp af kryptografisk sikre netværksprotokoller. Så bliver der hverken åben havn eller regel på DFW.

Men problemet er, at almindelige servertjenester ikke ved, hvordan man arbejder på denne måde, og for at implementere denne tilgang er det nødvendigt at bruge netværkstunneling, implementeret for eksempel ved hjælp af SSH eller VPN, og inden for tunnelerne tillade forbindelser fra serveren i DMZ til den interne netværksserver.

Det generelle skema for driften af ​​denne mulighed er som følger:

  1. En SSH/VPN-server er installeret på serveren i DMZ, og en SSH/VPN-klient er installeret på serveren i det interne netværk.
  2. Den interne netværksserver igangsætter konstruktionen af ​​en netværkstunnel til serveren i DMZ'en. Tunnelen er bygget med gensidig autentificering af klient og server.
  3. Serveren fra DMZ'en, i den konstruerede tunnel, initierer en forbindelse til serveren i det interne netværk, hvorigennem de beskyttede data overføres.
  4. En lokal firewall er konfigureret på den interne netværksserver til at filtrere trafik, der passerer gennem tunnelen.

Brug af denne mulighed i praksis har vist, at det er praktisk at bygge netværkstunneller ved hjælp af OpenVPN, da det har følgende vigtige egenskaber:

  • Cross-platform. Du kan organisere kommunikation på servere med forskellige operativsystemer.
  • Mulighed for at bygge tunneler med gensidig autentificering af klient og server.
  • Mulighed for at bruge certificeret kryptografi.
Ved første øjekast kan det se ud til, at denne ordning er unødvendigt kompliceret, og at da du stadig skal installere en lokal firewall på den interne netværksserver, ville det være nemmere at få serveren fra DMZ til, som sædvanligt, at oprette forbindelse til det interne netværk server, men gør det ved en krypteret forbindelse. Denne mulighed vil faktisk løse mange problemer, men den vil ikke være i stand til at give det vigtigste - beskyttelse mod angreb på interne netværksservers sårbarheder udført ved at omgå firewallen ved hjælp af IP- og MAC-spoofing.

Fordele ved muligheden:

  1. Arkitektonisk reduktion af antallet af angrebsvektorer på den beskyttede interne netværksserver.
  2. Sikring af sikkerhed i fravær af netværkstrafikfiltrering.
  3. Beskyttelse af data transmitteret over netværket mod uautoriseret visning og modifikation.
  4. Evnen til selektivt at øge sikkerhedsniveauet for tjenester.
  5. Evnen til at implementere et to-kredsløbsbeskyttelsessystem, hvor det første kredsløb leveres ved hjælp af firewalling, og det andet er organiseret på basis af denne mulighed.
Ulemper ved muligheden:
  1. Implementering og vedligeholdelse af denne beskyttelsesmulighed kræver ekstra arbejdsomkostninger.
  2. Inkompatibilitet med systemer til registrering og forebyggelse af netværksindtrængen (IDS/IPS).
  3. Yderligere computerbelastning på servere.
Analogi til det virkelige liv
Hovedbetydningen af ​​denne mulighed er, at den betroede person etablerer en forbindelse med den ikke betroede person, hvilket svarer til situationen, når bankerne ved udstedelse af lån selv ringer den potentielle låntager tilbage for at tjekke dataene. Tilføj tags