Создание демилитаризованной зоны для бедных. Часть 1. Использование безопасности TCP/IP
Деб и Том Шиндер
Amazon.com
Обычный вопрос, возникающий на веб-форумах www.isaserver.org, заключается в том, как настроить сегмент DMZ на трехсетевом ISA-сервере. Настройка трехсетевого ISA-сервера с напрямую подключенным сегментом, выступающим в роли DMZ, довольно проста. Для настройки трехканальной DMZ необходимо выполнить следующие действия:
- Использовать общедоступные адреса в сегменте DMZ
- Общедоступные адреса в сегменте DMZ должны быть подсетью вашего общедоступного блока IP-адресов.
- Необходимо создать фильтры пакетов, чтобы разрешить входящий и исходящий доступ к сегменту DMZ и из него.
- IP-маршрутизация и фильтрация пакетов должны быть включены на ISA Server.
- IP-адреса сегмента DMZ не включены в LAT.
- Сегмент DMZ следует рассматривать как изолированную зону безопасности.
Последнее утверждение особенно важно. Причина, по которой вы создаете сегмент DMZ, заключается в том, чтобы отделить интернет-трафик от вашей внутренней сети. Входящий трафик никогда не должен перемещаться из сегмента DMZ во внутреннюю сеть.
Эта концепция отдельной и отличной зоны безопасности определяет DMZ. У людей возникают проблемы с этим, потому что они хотят делать такие вещи, как:
- Используйте консоль MMC для управления серверами в DMZ (разрешить RPC)
- Сделайте серверы DMZ членами домена внутренней сети (ой!)
Разрешить веб-серверам в демилитаризованной зоне доступ к серверам баз данных во внутренней сети. - Разорвите VPN-подключение на устройстве выше по течению от ISA Server, а затем получите доступ к внутренней сети с этого хоста.
- Разместите сервер переднего плана Outlook Web Access в демилитаризованной зоне, а внутренний сервер во внутренней сети.
Все эти конструкции нарушают целостность DMZ. Хосты DMZ — это «жертвенные агнцы», и вы должны ожидать, что они будут скомпрометированы. Нет смысла разрешать связь между хостами DMZ и внутренней сетью, если вы ожидаете, что эти хосты будут скомпрометированы (в общем, могут быть исключения).
Несколько внутренних интерфейсов — демилитаризованная зона для бедняков
Что такое DMZ для бедных? Это сегмент DMZ, напрямую подключенный к ISA Server, который использует частные IP-адреса, содержащиеся в LAT. Этот сегмент DMZ может связываться с сегментом внутренней сети, а сегмент внутренней сети может напрямую связываться с сегментом DMZ. Ключом к этой работе является использование методов, выходящих за рамки конфигурации ISA Server, для управления потоком пакетов между хостами в каждом сегменте.
Существует несколько подходов, которые вы можете использовать для управления потоком пакетов на сетевых узлах:
- Безопасность TCP/IP
- Политики IPSec
- Пакетные фильтры RRAS
Самый простой подход, который мы рассмотрим в этой статье, заключается в использовании безопасности TCP/IP. Безопасность TCP/IP доступна в Windows NT 4.0 и Windows 2000. Фильтрация безопасности TCP/IP позволяет вам контролировать, какие входящие пакеты принимаются на хост-интерфейсе. Основные функции TCP/IP Security включают в себя:
- Блокируются только входящие пакеты
- Исходящий трафик и ответы на входящий трафик не затрагиваются
- Различные фильтры могут быть настроены на каждом интерфейсе многосетевой машины.
- Вы не можете контролировать поток пакетов ICMP с помощью фильтров безопасности TCP/IP.
Безопасность TCP/IP помогает контролировать входящий доступ к серверу в сегменте DMZ для бедняков, но ничего не делает для предотвращения исходящих соединений с сервера в сегменте DMZ на машины во внутренней сети. Фильтрация безопасности TCP/IP — это всего лишь один инструмент в вашей сумке безопасности. Вам потребуется использовать политики IPSec и/или фильтрацию пакетов RRAS для управления исходящим трафиком из сегмента DMZ вашего бедняка.
Настройка безопасности TCP/IP
Выполните следующие шаги для настройки безопасности TCP/IP:
- Откройте панель управления, а затем откройте апплет «Сеть и удаленный доступ».
- Щелкните правой кнопкой мыши интерфейс, для которого требуется управление входящим доступом, и выберите «Свойства».
- Выберите Интернет-протокол (TCP/IP) в списке Отмеченные компоненты, используемые этим соединением, и щелкните Свойства.
- Нажмите кнопку «Дополнительно» в диалоговом окне «Свойства протокола Интернета (TCP/IP)».
- Перейдите на вкладку «Параметры» в диалоговом окне «Дополнительные параметры TCP/IP».
- Щелкните запись фильтрации TCP/IP и щелкните Свойства.
- Установите флажок Включить фильтрацию TCP/IP (все адаптеры). Обратите внимание, что когда вы ставите галочку в этом поле, фильтрация включается для всех адаптеров, но фильтры настраиваются для каждого адаптера отдельно. Одни и те же фильтры не применяются ко всем адаптерам.
- Есть три столбца: TCP-порты, UDP-порты и IP-протоколы. Для каждого из них у вас есть два варианта: «Разрешить все» и «Разрешить только». Если вы хотите разрешить все пакеты для трафика TCP или UDP, оставьте выбранной опцию Разрешить все. Если вы хотите разрешить выбранный трафик TCP или UDP, выберите параметр «Только разрешать», нажмите кнопку «Добавить» и введите соответствующий порт в диалоговом окне «Добавить фильтр». В приведенном ниже примере мы разрешаем входящие только TCP-порты 25 и 80 (SMTP и HTTP) и GRE (общая инкапсуляция маршрутизации для PPTP). Все остальные входящие пакеты будут отброшены, кроме GRE.
- Если вы хотите заблокировать весь трафик UDP или TCP, выберите параметр «Только разрешать», а затем не вводите номера портов в столбце «Порты UDP» или «Порт TCP ». Вы не можете заблокировать трафик UDP или TCP, выбрав параметр Разрешить только IP-протоколы и исключив IP-протокол 6 и IP-протокол 17. На рисунке ниже мы разрешаем только входящий GRE. Разрешить другие входящие пакеты будут отбрасываться, кроме ICMP.
- Вы не можете блокировать сообщения ICMP. Это справедливо даже в том случае, если вы выберете столбец «IP-протоколы» и выберите «Только разрешать» и не включите IP-протокол 1.
Назначение номера интернет-протокола указано в Q289892. Вы можете найти назначение номеров портов TCP и UDP по адресу http://www.iana.org/assignments/port-numbers.
Вывод
Трехмерную DMZ следует рассматривать как кладж. Настоящая демилитаризованная зона ограничена двумя устройствами безопасности. Трехсетевая демилитаризованная зона обеспечивает единую точку отказа в вашей схеме безопасности. При реализации надлежащей DMZ с использованием двух устройств безопасности пограничное устройство безопасности может выйти из строя, и ваша внутренняя сеть останется в безопасности. Машины в DMZ могут быть скомпрометированы, но такова природа хоста-бастиона DMZ.
Всем нам время от времени приходится использовать кладжи, и именно поэтому существует трехкомпонентная DMZ. Если вы не можете удовлетворить требования настоящей DMZ с тремя сетками, вы можете использовать частные адреса и создать DMZ для бедняков. В этой статье мы рассмотрели один метод, который вы можете использовать для управления доступом к серверам в сегменте DMZ. Во второй части этой серии статей я расскажу, как настроить политики IPSec для управления фильтрацией входящих и исходящих пакетов к серверам DMZ и от них.