Topologia pojedynczego obiektu
Najprostszą architekturę stanowi pojedynczy obiekt (ang. single-box architecture) pełniący rolę zapory sieciowej. Wadą owego rozwiązania jest fakt, iż brakuje tu wielowarstwowego modelu zabezpieczeń, a tylko jeden punkt stanowi główną linię obrony. Wadą jest także ograniczenie zakresu zabezpieczeń wynikające z ograniczenia wydajności pojedynczej maszyny. Jednak główną zaletą są względy praktyczne i stosunkowo niski koszt. Oprócz tego, w porównaniu z rozbudowanymi architekturami, takie rozwiązanie jest przeważnie łatwiejsze w konfiguracji, zarządzaniu oraz nie wymaga doskonałej wiedzy administratora o sieciach. Stanowi optymalne rozwiązanie dla niewielkich sieci o nieskomplikowanej strukturze, gdzie istotne są koszty, przy czym nie wymaga się wysokiego poziomu zabezpieczeń.
Najprostszym typem pojedynczego zabezpieczenia za pomocą śluzy bezpieczeństwa jest router ekranujący, zwany też osłaniającym (rys. 3.1a). Stanowi to rozwiązanie stosunkowo tanie, gdyż w celu podłączenia do Internetu i tak potrzebny jest router. Wystarczy tylko wykorzystać w pełni jego funkcjonalność, gdyż często zawiera on wbudowany filtr pakietów. Nowoczesne routery posiadają coraz większe możliwości i przeważnie oprócz samego filtrowania ruchu, mogą także śledzić sesje połączeń. W ten sposób uzyskać można całkiem zadowalający poziom bezpieczeństwa na styku sieci.
Wykorzystanie routera osłonowego rekomendowane jest, w przypadkach, gdy:
chroniona sieć ma dobrze zabezpieczone hosty;
stosowana jest mała ilość prostych protokołów;
istotna jest wydajność i nadmiarowość.
Rys. 3.1a - Router osłaniający
Podobny rezultat można uzyskać wykorzystując architekturę hosta dwusieciowego (ang. dual-homed host), zwanego też hostem bastionowym (więcej na ten temat w dalszej części), który opiera się na pojedynczym komputerze z zainstalowanymi przynajmniej dwoma interfejsami sieciowymi. Bezpośrednia komunikacja między siecią chronioną, a Internetem jest zabroniona i odbywa się wyłącznie za pośrednictwem hosta dwusieciowego. Host dwusieciowy ma dostęp do każdej z obsługiwanych sieci i nie ma możliwości na nawiązanie połączenia między sieciami inną drogą, niż właśnie przez ten host. Udostępnia on usługi pośredniczenia, bądź też przedstawia się jako router. Każdy pakiet musi zostać starannie sprawdzony pod kątem reguły polityki bezpieczeństwa i dopiero po spełnieniu kryteriów, przełączony na inny interfejs kierujący do docelowej sieci. Pewne odmiany tej architektury opierają się na protokole IP od strony internetu oraz innym protokole (np. NetBEUI) w sieci wewnętrznej. Wprowadza to dodatkową izolację i minimalizuje ryzyko prześlizgnięcia się pakietów między sieciami, w przypadku niepoprawnej konfiguracji.
Rys. 3.1b - Architektura hosta dwusieciowego
Host dwusieciowy (rys. 3.1b), z racji tego, iż stanowi pojedynczą linię obrony, musi być dobrze zabezpieczony. Zdobycie przez intruza kontroli nad tym systemem oznacza uzyskanie dostępu do zasobów całej chronionej sieci. Ze względu na ograniczenie jego wydajności, wykorzystuje się go w sytuacjach, gdy ruch między sieciami jest niewielki.
Host dwusieciowy może świadczyć usługi tylko poprzez pośredniczenie, bądź przez bezpośrednią interakcję z użytkownikiem. To z kolei, wymaga oddzielnej, lokalnej bazy kont użytkowników, umiejscowionej na hoście dwusieciowym, co samo w sobie bywa nieco uciążliwe, gdyż zmusza użytkowników do dodatkowej autoryzacji.
Pośredniczenie znacznie lepiej działa z usługami wychodzącymi, niż przychodzącymi. Dlatego przy tej konfiguracji, wszelkie usługi internetowe umieszczane są właśnie na hoście dwusieciowym. Należy jednak unikać stosowania usług powszechnie uznawanych jako niebezpieczne, bo na przykład kompromitacja usługi WWW umożliwi intruzowi dostęp do hosta sieciowego, a przez niego do reszty sieci.
Konfiguracja hosta dwusieciowego nadaje się do wykorzystania w sieciach, które:
ruch do sieci Internet jest niewielki;
łączność z Internetem nie decyduje o istnieniu firmy;
sieć chroniona nie udostępnia na zewnątrz żadnych usług;
w chronionej sieci nie znajdują się szczególnie cenne dane.
Host bastionowy
„Bastiony (…) górowały nad krytycznymi punktami obrony, zazwyczaj miały mocniejsze ściany, miejsca dla dodatkowych żołnierzy i czasem kadź z wrzącym olejem, użyteczną do zniechęcania napastników” (autor słów: Marcus Ranuma)
Hosty bastionowe12 (ang. bastion host) są często stosowanymi elementami zapór sieciowych. Ze względu na to, iż są one bezpośrednio dostępne od strony Internetu, muszą opierać się na bardzo dobrze zabezpieczonych systemach komputerowych. Ze względu na bezpośredni dostęp od strony internetu, stanowią jeden z pierwszych celów ataków ewentualnych intruzów.
Dobry host bastionowy powinien cechować się prostą konfiguracją. Zbyt rozbudowana jego architektura mogłaby wpłynąć na pojawienie się zbyt wielu różnych punktów, które mogłyby stać się celem ataków. Dlatego, najczęściej udostępnia on tylko wybrane usługi z minimalnymi, wymaganymi przywilejami.
Hosty bastionowe stosowane są najczęściej:
w strefach zdemilitaryzowanych (więcej na ten temat w dalszej części), jako te, które udostępniają usługi internetowe (np. www, poczta);
jako wspomniane wcześniej hosty dwusieciowe;
jako komputery-ofiary, udostępniające usługi, które trudno się zabezpiecza lub których wpływ na bezpieczeństwo jest jeszcze nieznany.
Najważniejsze w hostach bastionowych jest ich odpowiednie zabezpieczenie, które wymaga podjęcia odpowiednich kroków:
wyłączenie niepotrzebnych usług;
udostępnienie tylko niezbędnych usług na minimalnych przywilejach;
modyfikacja konfiguracji systemu i usług na potrzeby hosta bastionowego;
przeprowadzenie audytu bezpieczeństwa;
podłączenie do niechronionej sieci.
komentarze
Copyright © 2008-2010 EPrace oraz autorzy prac.