Polazna | Networking | Bezbednost | Firewalls - fizičke topologije

Firewalls - fizičke topologije

01/06/2009 23:18:00 Dejan Levaja
Veličina slova: Decrease font Enlarge font
image

Načini postavljanja Firewalla na mreži

U osnovi postoje tri Firewall topologije: Bastion Host, Trihomed Firewall i Back-to-Back Firewall

Bastion host

Host je bilo koji uređaj na mreži koji ima IP adresu – računar, ruter, svič i sl.  U našem slučaju Bastion Host je Firewall koji služi kao brana između javne, nebezbedne mreže i interne branjene mreže.


Slika 1. Bastion Host topologija

Ova topologija je jednostavna za implementaciju i održavanje. Bastion Host poseduje dva mrežna interfejsa, jedan koji je okrenut ka spoljnoj mreži i jedan ka lokalnoj mreži koju branimo. Spoljna mreža je  najčešće Internet, ali može biti i drugi deo naše korporativne mreže ili mreža neke druge kompanije sa kojom radimo na  zajedničkom projektu i sl.
Spoljni interfejs ima jednu ili više javnih adresa, a interni najčešće jednu privatnu IP adresu. U svakom slučaju, adrese na interfejsima moraju biti sa različitih mrežnih opsega (sabneta) da bi Firewall ispravno radio, jer je on u svojoj osnovi zapravo ruter koji ima sposobnost filtriranja saobraćaja. Pristup spolja, usmeren ka internim serverima (ukoliko je neophodan) se ostvaruje otvaranjem potrebnih portova na spoljnom interfejsu, korišćenjem skupa pravila (ukratko opisanih u prošlom broju). Pristup internih klijenata spoljnoj mreži se kontroliše sličnim skupom pravila – tzv. outbound rules.
Ovim pravilima možemo kontrolisati koji klijenti mogu i pod kakvim uslovima imati pristup Internetu. Uslovi mogu biti korisničko ime ili IP adresa,  URL ili adresa web sajta, protokoli koji se smeju koristiti, određeno vreme dana, sadržaj na datoj web stranici i sl.

Loše strane Bastion Host konfiguracije
Ukoliko omogućimo pristup spolja internim serverima, svaki uspešno izvedeni napad na iste istovremeno ugrožava celu mrežu, jer je napadač već iza leđa našeg Bastion Hosta.

Uspešno izveden napad na sam Bastion Host rezultuje potpuno nebranjenom mrežom.

Trihomed Firewall
 
Trihomed Firewall je malo kompleksnije konfiguracije od Bastio Hosta. Poseduje (najmanje) tri mrežna interfejsa, pa otuda i naziv Trihomed Firewall. Jedan interfejs je usmeren ka javnoj mreži, jedan ka internoj i jedan ka posebnoj mreži koja se naziva DMZ (demilitarizovana zona). Postoje i drugi nazivi za DMZ kao što su Screened Subnet ili Perimeter network. Podrazumeva se da su adrese ovih interfejsa na različitim mrežnim opsezima, pri čemu lokalni interfejs ima adresu iz privatnog opsega , dok javni i DMZ interfejs najčešće imaju adrese iz javnog opsega.


Slika 2. Trihomed Firewall topologija


Trihomed Firewall nam omogućava da servere koji treba da budu dostupni spolja kao što su web, mail ili ftp, «izbacimo» iz lokalne mreže, odnosno da ih postavimo na DMZ mrežu. Na ovaj način, potencijalno opasno prisustvo javno dostupnih servera je rešeno.

Pristup spolja DMZ-u prolazi kroz rigorozne kontrole Firewall pravila da bi se odlučilo da li dati zahtev uopšte može da stigne do servera na DMZ-u. Direktan pristup spolja internim serverima je potpuno onemogućen. Čak i u slučaju uspešno izvedenog napada na DMZ servere interna mreža je potpuno sigurna. Lokalni klijenti pristupaju Internetu i serverima na DMZ-u isključivo kroz Firewall, tako da se i njihovi zahtevi filtriraju.

Loše strane Trihomed Firewall topologije
Relativno teža implementacija i održavanje nego kod Bastion Host konfiguracije.

U slučaju uspešno izvedenog napada na Trihomed Firewall mreža ostaje potpuno nebranjena.

Back-to-Back Firewall

Ova konfiguracija je najkompleksnija i najskuplja. Sastoji se od dva Firewalla, između kojih se nalazi DMZ. Sami Firewalli su konfigurisani kao Bastion Hostovi. Prvi Firewall se nalazi između lokalne mreže i DMZ-a. Podešen je tako da smatra da je DMZ javna, «opasna» mreža. Drugi Firewall se nalazi između DMZ-a i Interneta. On se ponaša kao da je DMZ lokalna branjena mreža, a Internet javna nebezbedna mreža.


Slika 3. Back-to-Back Firewall topologija


Prednost ovakve konfiguracije je velika bezbednost. Kontrola pristupa je dvostruka. Ukoliko spoljni Firewall «padne», interna mreža i dalje nije ugrožena. Uspešno izveden napad na DMZ servere takođe ne ugrožava internu mrežu. Da bi se stiglo do interne mreže oba Firewalla moraju biti ugrožena. Preporuka je korišćenje Firewalla različitih proizvođača, čime se štitimo da otkriveni propust u sigurnosti jednog ne posluži kao rešenje za napad i na drugi Firewall.

Loše strane Back-to-Back topologije
Teža implementacija i održavanje - pravila pristupa na jednom i drugom Firewallu se administriraju odvojeno.

Neko bi možda zaključio da je velika cena ove konfiguracije još jedna mana, međutim kompanijama koje imaju potrebe za Back-to-Back topologijom ova stavka ne predstavlja problem. U većini slučajeva pravilno konfigurisan Bastion Host zadovoljava tehničke potrebe elementarne bezbednosti u smislu kontrolisanog pristupa Internetu.

Prijavite se na feed komentara Komentara (0 poslato):

Pošaljite komentar comment

Unesite kod sa slike:

  • email Pošalji prijatelju
  • print Verzija za štampu
  • Plain text Samo tekst
Više iz kategorije Bezbednost
Previous
image
Sonicwall TZ 180: Totalna zaštita
Sonicwall TZ 180 je uređaj sa strožijim i formalnijim konceptom zaštite u odnosu na standardne Firewall/Ruter uređaje. Ozbiljnost koncepta "Totalne zaštite" bitno ograničava slobodu korisnika ovakvog sistema, sa ciljem da uvede trajan mir, red i rad u mrežama. Jasno je da totalnu sigurnost dobijamo totalnom kontrolom korisnika, uz odgovarajuću cenu i periodično obnavljanje licenci za sigurnosne servise....
image
Ro­ot­kit – na­pad bez tra­go­va
Pro­blem ko­ji ha­ke­ri ima­ju pri na­pa­du na In­ter­net ser­ve­re je u to­me što za so­bom osta­vlja­ju pu­no tra­go­va. Da bi spre­či­li da ih lo­kal­ni ad­mi­ni­stra­to­ri pri­me­te ko­ri­ste spe­ci­jal­ne pa­ke­te ko­ji se na­zi­va­ju Ro­ot­kit. Po­sto­ja­nje Ro­ot­ki­ta je ge­ne­ral­no ve­li­ki pro­blem za mre­že, jer omo­gu­ća­va ulje­zi­ma pot­pu­nu kon­tro­lu, sko­ro bez ika­kvih tra­go­va. Zbog to­ga je ovo­ga pu­ta na­ša te­ma: ka­ko uoči­ti i ka­ko ot­klo­ni­ti dej­stvo Ro­ot­ki­ta... ...
image
Nadzor mreže
U današnjem svetu, u kome računarstvo potpuno zavisi od mreže, rad administratora sistema je sve teži i teži. Njihov zadatak je da održe u funkciji vitalne resurse kao što su ruteri, svičevi, serveri i sve ostalo kritično za rad mreže. Istovremeno, postoji više razloga zbog kojih je poslovnim sistemima važan nadzor mrežnih uređaja: ostvareni protok, režim linkova, uska grla, problemi sa kablovima. Praćenje rada mreže istovremeno je i dobar početak u otkrivanju sigurnosnih problema... ...
image
Napadi i rizici
Na sigurnost bežičnih sistema (mreže tipa 802.11), kao i na druge aspekte bezbednosti, može se primeniti teorija rizika. Dakle, što bolje poznajete rizike, to ćete lakše da odbranite svoju mrežu i svoje korisnike... ...
image
Sigurnost 802.11 sistema: "Ratna vožnja"
Zbog učestalih napada kojima je izložena, odnosno u nastojanju da im odoli, bežična mreža je tokom vremena postala sigurnija od svog ožičenog parnjaka. Dobrim planiranjem i konfigurisanjem, odnosno korišćenjem adekvatnih mehanizama obezbeđuje se robustna, mobilna i čvrsta mrežna infrastruktura... ...
image
Asimetrični algoritmi
Asimetrični kriptografski algoritmi koriste dva ključa za kriptografske operacije – javni i tajni. Ova dva ključa su uparena, odnosno matematički generisana na takav način da ono što je zaključano jednim ključem može biti otključano samo njegovim parnjakom. Dakle, ukoliko neke podatke zaključamo javnim ključem, više ih nikada ne možemo otključati tim istim javnim ključem, već samo njemu odgovarajućim privatnim ključem iz istog para. Važi i obrnuto – ukoliko zaključamo podatke privatnim ključem, više ih ne možemo otključati tim istim privatnim ključem, već samo njemu odgovarajućim javnim. Ne postoji treći ključ koji može otključati nešto što je zaključano ključevima iz gore navedenog para. ...
image
Osnovi kriptografije
U prošla dva broja Male škole bezbednosti pričali smo o NTFS fajl sistemu, njegovim osobinama i sposobnostima. Jedna od navedenih sposobnosti NTFS-a, koja nije bila objašnjena, je Encrypting File System ( EFS ) čiji se rad zasniva na infrastrukturi javnih kriptografskih ključeva ( Public Key Infrastructure – PKI ). Da bismo razumeli kako radi EFS moramo prvo naučiti neke osnovne kriptografske pojmove i principe... ...
image
New Technology File System (II deo)
U prošlom broju smo se upoznali sa NTFS fajl sistemom, osnovnim karakteristikama i vrstama dozvola. Sada prelazimo na metode implementacije NTFS dozvola koje su preporučene od strane Microsofta....
image
NTFS – New Technology File System
Zamislite biblioteku smeštenu u veliku zgradu bez soba i bez polica, gde su knjige razbacane po podu bez ikakvog smisla. Takva zgrada (bez knjiga) je vaš hard disk upravo donet iz prodavnice. Sam po sebi, nov disk nije pogodan za čuvanje podataka dok ga malo ne preuredimo. Prvo treba razmisliti, da li zgrada (disk) treba da se deli na manje funkcionalne jedinice tj. sobe (particije) ili nam treba jedna velika prostorija. Poces kreiranja korisnog prostora na disku zove se particionisanje. Na žalost, nije dovoljno samo particionisati disk, jer naše knjige i dalje stoje razbacane po podu. Rešenje problema su police (fajl sistem). Ali kakve police? Velike, male, jeftine, kvalitetne, snažne...? Odluku naravno donosimo pre početka sečenja materijala. Dakle, fajl sistem je način uređenja površine hard diska, a od tipa odabranog sistema zavisi da li su i koliko naši podaci na disku bezbedni... ...
image
Firewalls - fizičke topologije
Načini postavljanja Firewalla na mreži ...
image
Firewall – šraf u mehanizmu odbrane
U ovom broju Internet ogledala počinjemo seriju tekstova o sigurnosti računarskih mreža, u cilju upoznavanja čitalaca sa postojećim opasnostima i raspoloživim metodama odbrane. Teme će pokrivati softversku i hardversku zaštitu u vidu Firewall sistema, digitalnih sertifikata, kripcionih algoritama i dr. Posebna pažnja će biti posvećena metodama napada, da bismo znali kako da ih prepoznamo i kako da se od njih odbranimo. ...
Next
Tagovi
dejan (1) levaja (1) firewalls (1)
Oceni
0