Demilitarizovaná zóna

linux_server.jpg V pred­chá­dza­jú­cej čas­ti sme si nas­ta­vi­li fi­rewall tak, aby bol schop­ný pod­po­ro­vať dopl­nko­vé služ­by ce­lé­ho li­nuxové­ho server­a. Up­ra­vi­li sme pra­vid­lá tak, aby sme ve­de­li vy­uží­vať ICQ, poš­to­vý server, Sam­bu či proxy server. To všet­ko náš je­den li­nuxový server mu­sí zvlád­nuť. Nie vždy je však ta­ké­to rie­še­nie naj­vhod­nej­šie, či už z prak­tic­ké­ho, ale­bo bez­peč­nos­tné­ho hľa­dis­ka. Vte­dy mu­sí­me náj­sť iné za­po­je­nie ce­lej sie­te. Jed­nou z mož­nos­tí je de­mi­li­ta­ri­zo­va­ná zó­na. A prá­ve tej sa bu­de­me ten­to­raz ve­no­vať.

De­mi­li­ta­ri­zo­va­ná zó­na
Asi naj­čas­tej­šie sa v ško­lách či ma­lých fir­mách pou­ží­va sys­tém, kde je­di­ný po­čí­tač za­stá­va úlo­hu fi­rewal­lu, poš­to­vé­ho server­a, webo­vé­ho server­a a server­a Sam­by zá­ro­veň. Ten­to spô­sob však z hľa­dis­ka bez­peč­nos­ti nie je naj­spo­ľah­li­vej­ší. Pri dneš­ných ce­nách har­dvé­ru sa zdá bez­peč­nej­ší spô­sob, keď úlo­hy server­ov fy­zic­ky roz­de­lí­me na viac za­ria­de­ní. Vte­dy sa na­ša lo­kál­na sieť roz­de­lí na dve sa­mos­tat­né sie­te – jed­nu pre pra­cov­né sta­ni­ce a dru­hú pre server­y, nap­rík­lad webo­vý a poš­to­vý server a server Sam­by. Obe sie­te od­de­ľu­je od inter­ne­tu, sa­moz­rej­me, fi­rewall. V pod­sta­te je­den fi­rewall ob­slu­hu­je tri roz­hra­nia – jed­no do ve­rej­nej sie­te (inter­ne­tu), dru­hé do pri­vát­nej sie­te pra­cov­ných sta­níc a tre­tie do sie­te, kde sa na­chá­dza­jú server­y. Len­že tie­to server­y mu­sia byť za ur­či­tých pod­mie­nok do­siah­nu­teľ­né z von­kaj­šej sie­te (a sa­moz­rej­me aj z vnú­tor­nej sie­te), ho­ci sa v sku­toč­nos­ti na­chá­dza­jú za fi­rewallom. Tá­to vet­va te­da na roz­diel od vet­vy s pra­cov­ný­mi sta­ni­ca­mi ne­bu­de úpl­ne blo­ko­va­ná (aj keď bu­de stá­le chrá­ne­ná!). A prá­ve tej­to vet­ve ho­vo­rie­va­me de­mi­li­ta­ri­zo­va­ná zó­na (De-Mi­li­ta­re­zed Zo­ne – DMZ) – poz­ri obr. č. 1.

lin1.jpg

Obr. 1

De­mi­li­ta­ri­zo­va­ná zó­na nám umož­ní po­nú­kať služ­by ve­rej­nos­ti s ur­či­tým stup­ňom kon­tro­ly, ale ne­do­vo­lí von­kaj­ším náv­štev­ní­kom vstu­po­vať do pries­to­ru lo­kál­nej sie­te pra­cov­ných sta­níc.

Prík­lad de­mi­li­ta­ri­zo­va­nej zó­ny
Nech na ilus­trá­ciu má fi­rewall tri roz­hra­nia s tý­mi­to pa­ra­met­ra­mi:
- eth0 do inter­ne­tu s IP ad­re­sou 10.0.0.1 a IP ad­re­sou sie­te 10.0.0.0/255.255.255.0
- eth1 do LAN pra­cov­ných sta­níc s IP ad­re­sou 192.168.10.1 a IP ad­re­sou sie­te 192.168.10.0/255.255.255.0 (jed­not­li­vé sta­ni­ce ma­jú IP ad­re­su 192.168.10.2 – 192.168.10.254
- eth2 do de­mi­li­ta­ri­zo­va­nej zó­ny s IP ad­re­sou 192.168.100.1 a IP ad­re­sou sie­te 192.168.100.0/255.255.255.0
- poš­to­vý server s IP ad­re­sou 192.168.100.2
- webo­vý server a server Sam­by s IP ad­re­sou 192.168.100.3

Na vý­pi­se č. 2 je vzo­ro­vý skript fi­rewal­lu pod­ľa uve­de­né­ho ob­ráz­ka. Jed­not­li­vé sek­cie sú oko­men­to­va­né, tak­že na zá­kla­de už zís­ka­ných ve­do­mos­tí do­ká­že­me zis­tiť, čo kto­ré pra­vid­lo vy­ko­ná­va:

# vy­praz­dne­nie pra­vi­diel z re­ta­zi
ip­tab­les –F IN­PUT
ip­tab­les –F OUT­PUT
ip­tab­les –F FORWARD
# nas­ta­ve­nie de­faul­tnej po­li­ti­ky pre re­taz FORWARD
ip­tab­les –P FORWARD de­ny

# blo­ko­va­nie vset­kych vstu­pu­ju­cich pa­ke­tov pri­cha­dza­ju­cich z ve­rej­ne­ho
# roz­hra­nia eth0
ip­tab­les –A IN­PUT –i eth0 –j DROP

# blo­ko­va­nie vset­kych vy­cha­dza­ju­cich pa­ke­tov od­cha­dza­ju­cich ve­rej­nym 
# roz­hra­nim eth0
ip­tab­les –A OUT­PUT –o eth0 –j DROP


# ak­cep­to­va­nie frag­men­to­va­nych pa­ke­tov
ip­tab­les –A FORWARD –f –j AC­CEPT

# ak­cep­to­va­nie pri­cha­dza­ju­cich TCP pa­ke­tov z uz vy­tvo­re­nych spo­je­ni
ip­tab­les –A FORWARD –m sta­te –p tcp --sta­te ES­TAB­LIS­HED, RE­LA­TED –j AC­CEPT

# ak­cep­to­va­nie pri­cha­dza­ju­cich TCP pa­ke­tov na port SSH z roz­hra­nia eth0 
# do eth1
ip­tab­les –A FORWARD –p tcp –i eth0 –d 192.168.10.0/24 –dport ssh  –j AC­CEPT

# ak­cep­to­va­nie pri­cha­dza­ju­cich TCP pa­ke­tov do DMZ na 
# pos­to­vy server (192.168.100.2)
ip­tab­les –A FORWARD –p tcp –i eth0 –d 192.168.100.2 –dport smtp  –j AC­CEPT

# ak­cep­to­va­nie pri­cha­dza­ju­cich TCP pa­ke­tov do DMZ na 
# webo­vy server (192.168.100.3)
ip­tab­les –A FORWARD –p tcp –i eth0 –d 192.168.100.3 –dport www  –j AC­CEPT


# ak­cep­to­va­nie od­cha­dza­ju­cich TCP pa­ke­tov po­cha­dza­ju­cich z eth1 a eth2
ip­tab­les –A FORWARD –p tcp –i eth1, eth2 –j AC­CEPT


# ak­cep­to­va­nie od­cha­dza­ju­cich UDP pa­ke­tov po­cha­dza­ju­cich z eth1 a eth2
ip­tab­les –A FORWARD –p udp –i eth1, eth2 –j AC­CEPT

# po­vo­le­nie pri­cha­dza­ju­cich ICMP pa­ke­tov (echo rep­ly/ ping), len servic­e 0
# do LAN
ip­tab­les –A FORWARD –p icmp –i eth0 –d 192.168.10.0/24 --icmp-ty­pe 0  –j AC­CEPT

# po­vo­le­nie pri­cha­dza­ju­cich ICMP pa­ke­tov (echo rep­ly/ ping), len servic­e 0
# do DMZ
ip­tab­les –A FORWARD –p icmp –i eth0 –d 192.168.100.0/24 --icmp-ty­pe 0  –j AC­CEPT


# po­vo­le­nie pri­cha­dza­ju­cich vset­kych ICMP pa­ke­tov z LAN aj zo DMZ
ip­tab­les –A FORWARD –p icmp –i eth1, eth2  –j AC­CEPT

#za­ho­de­nie vset­kych os­tat­nych spo­je­ni v re­ta­zi FORWARD
ip­tab­les –A FORWARD –j DROP


 

Eš­te bez­peč­nej­šie rie­še­nie de­mi­li­ta­ri­zo­va­nej zó­ny
Aby sme zvý­ši­li bez­peč­nosť na­šej lo­kál­nej sie­te s de­mi­li­ta­ri­zo­va­nou zó­nou, mô­že­me pou­žiť sché­mu sie­te pod­ľa ob­ráz­ka č. 2.

lin2.jpg
Obr. 2

Pr­vý fi­rewall (na­zý­va­ný aj front-end fi­rewall) mu­sí byť na­kon­fi­gu­ro­va­ný tak, aby umož­ňo­val spo­je­nie pre lo­kál­nu sieť, ale aj pre de­mi­li­ta­ri­zo­va­nú zó­nu. Dru­hý fi­rewall (na­zý­va­ný aj back-end fi­rewall) mu­sí byť na­kon­fi­gu­ro­va­ný tak, aby umož­ňo­val spo­je­nie len pre lo­kál­nu sieť. Tak­to je lo­kál­na sieť chrá­ne­ná dvak­rát. Ho­ci je to­to rie­še­nie tro­chu drah­šie, je bez­peč­nej­šie, pre­to­že prí­pad­ný útoč­ník mu­sí pre­lo­miť až dva fi­rewal­ly. Ak za­bez­pe­čí­me, že na kaž­dom z nich bu­dú roz­lič­né hes­lá, ba do­kon­ca aj rôz­ne fi­lo­zo­fie pra­vi­diel, pod­stat­ne mu sťa­ží­me si­tuáciu. Niek­to­ré or­ga­ni­zá­cie zá­mer­ne vy­be­ra­jú fi­rewal­ly tak, aby bo­li aj fy­zic­ky od­liš­né, te­da od rôz­nych vý­rob­cov.

Zá­le­ží len na nás, aký typ sie­te s de­mi­li­ta­ri­zo­va­nou zó­nou zreali­zu­je­me. Má­me už dos­ta­toč­né ve­do­mos­ti, aby sme bo­li schop­ní vy­tvo­riť a spra­vo­vať ta­kú­to sieť. Z uve­de­ných prík­la­dov do­ká­že­me de­mi­li­ta­ri­zo­va­nú zó­nu in­teg­ro­vať do vy­tvo­re­né­ho fi­rewal­lu pod­ľa pred­chá­dza­jú­cich čas­tí se­riá­lu. Na­bu­dú­ce sa bu­de­me ve­no­vať ochra­ne fi­rewal­lu pred zná­my­mi útok­mi.

Ďal­šie čas­ti >>

Zdroj: Infoware 5/2009



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter