Забезпечення безпеки мережевого периметра
Всі рівні захисту, встановлені досі, створені на самому сервері, а цього недостатньо для всебічного забезпечення безпеки. Коли веб-сервер стане загальнодоступним в інтернеті, мережа зіграє свою роль в захисті веб-сайту і IT-ресурсів.
Зовнішнім рівнем захисту сайту є безпечний мережевий периметр. Якщо ISP надає можливість розміщення сервера, зовнішні кордони мережевого периметра розширяться до обсягів послуг хостингу, що надаються провайдером. Якщо краще розмістити сайт у власній організації, то мережевий периметр буде набагато вже. У будь-якому випадку, з мережевого периметра починається захист веб-сайту, і потрібно переконатися у відсутності всередині периметра елементів, які можуть нашкодити сайту або викликати неполадки в іншій системі.
Фільтрація за допомогою мережевих екранів і маршрутизаторів
Пристрої періметровая захисту називаються мережевими екранами. Мережеві екрани запобігають сканування внутрішньої мережі організації, забезпечують заборона дій зі збору даних про мережу, ігнорування масових потоків пакетів, що відправляються при атаках на відмову в обслуговуванні, а також забороняють інші дії, що використовуються хакером для проникнення у внутрішню мережу. Правила блокування і фільтрації визначаються політикою безпеки організації.
Порада. Вище розповідалося про використання мережевих екранів для захисту внутрішньої мережі від атак з інтернету. Ці пристрої використовуються і для захисту ресурсів від атак у внутрішній мережі. Мережеві екрани відокремлюють і захищають один сегмент мережі від іншого, незалежно від типу мережі (загальна або приватна) і систем, наявних в сегментах.
Така конфігурація збільшує середню продуктивність мережі. На малюнку показана конфігурація мережі, що працює саме таким чином.
Безпечніше і простіше в даному випадку налаштувати мережевий екран на блокування всіх портів і перевірку всіх пакетів. Після цього можна вибірково відкрити порти для роботи потрібних служб. Щоб зробити веб-сервер доступним для роботи через інтернет, досить відкрити тільки порти 80 (http-протокол) і 443 (https-SSL протокол).
Використання демілітаризованої зони мережі
На жаль, якщо порти відкриті через периметр, що захищається одним мережевим екраном, то безпеку периметра буде слабкою. Це все ж краще, ніж відсутність мережевого екрану, але такий спосіб захисту не є оптимальним. Якщо постачальник послуг інтернету надає таку можливість і при наявності ресурсів, для максимального рівня захисту слід застосувати конфігурацію мережі, звану демілітаризованою зоною. Демілітаризована зона (DMZ) дозволяє розмістити веб-сервер в окремому сегменті мережі поза інтранет-мережі (див. Малюнок).
Абревіатура DMZ походить від військового терміна "демілітаризована зона", що описує нейтральну територію між двома ворогуючими арміями. Прикладом є зона між Північною і Південною Кореєю. Демілітаризована зона ізолює дві країни одна від одної так само, як мережева DMZ розділяє дві мережі. Найчастіше демілітаризована зона застосовується між інтернетом і внутрішньою мережею організації. Якщо хакер успішно подолає перший мережевий екран, він зможе атакувати тільки сервери в демілітаризованій зоні.
Принцип роботи DMZ полягає в тому, що трафік не може переходити з однієї мережі в іншу без маршрутизації. Маючи в своєму розпорядженні веб-сервер в демілітаризованій зоні, ви тим самим розміщуєте його в іншій підмережі, тому маршрутизатор, що межує з внутрішньою мережею, і мережевий екран використовуються для фільтрації та перевірки трафіку в процесі маршрутизації. DMZ є перевірений спосіб захисту, і при її використанні бажано розмістити в ній і інші служби інтернету, наприклад, Simple Mail Transfer Protocol / Post Office Protocol (поштові протоколи SMTP і POP).
Мережевий екран, розташований між DMZ і внутрішньою мережею, повинен містити правила, відмінні від правил мережевого екрану, встановленого перед демілітаризованою зоною. Цей мережевий екран повинен пропускати тільки виклики служб, що відносяться до внутрішніх додатків, і не допускати проникнення довільного вхідного веб-трафіку всередину мережі через порт 80. Іншими словами, мережевий екран повинен пропускати тільки вхідний трафік, що надходить з сервера в DMZ. якому необхідно встановити зв'язок з однією з внутрішніх систем, будь це браузер на настільному комп'ютері або додаток, до якого підключений веб-сервер. Наприклад, якщо веб-сервера потрібно витягти або відобразити дані з бази даних клієнтів, він підключається до бази даних за допомогою мови SQL, для чого відкриває порти TCP на мережевому екрані для пропуску запитів і відповідей SQL і блокує всі інші дані. Для Microsoft SQL Server це порт 1433 для вихідного трафіку і порти с1024 по 65535 для вихідного (порти індивідуальні для кожної програми).
Для посилення захищеності мережі використовуються різні типи мережевих екранів по обидві сторони від демілітаризованої зони, кожен з яких має свої переваги і недоліки. Якщо на підступах до мережі розташувати мережеві екрани різних типів, то хакер не зможе використовувати один і той же експлоїт для подолання обох систем. Помилка на одному з мережевих екранів, ймовірно, відсутня на іншому. Тому використання двох мережевих екранів забезпечить ще один рівень безпеки, ускладнить злом системи і підвищить ймовірність того, що захист встоїть перед атаками хакерів.