Архитектура интернета

В большей части сетей межсетевой экран выполняет функции NAT. Маршрутизаторы также при необходимости могут выполнять эту функцию. Межсетевые экраны прикладного уровня реализуют трансляцию сетевых адресов как одну из своих функциональных возможностей. Так как все соединения заканчиваются на межсетевом экране, из внешней среды виден только адрес межсетевого экрана. Межсетевые экраны с фильтрацией пакетов также имеют эту возможность, однако ее необходимо конфигурировать в процессе установки межсетевого экрана.

NAT выполняет также функцию  безопасности, так как скрытые  адреса внутренних систем являются  невидимыми из интернета. Если  система невидима, нельзя осуществить  ее адресацию и направить на  нее пакеты данных.

Примечание

NAT не обеспечивает полную  защиту от атак, и не стоит  полагаться на эту технологию  и пренебрегать другими мерами  защиты. Если злоумышленник находится  внутри организации или имеет  прямой доступ ко внутренней  сети через VPN или телефонное соединение, то NAT и вовсе никак не сможет защитить сеть.

Частные адреса

Итак, у нас есть технология NAT, однако нам по-прежнему требуются адреса для внутренней сети. Неправильный выбор внутренних адресов может привести к возникновению всевозможных проблем маршрутизации. В RFC (Request for Comment - запросы на комментарий, в которых публикуется стандарты интернета) 1918 приводится определение того, что такое частные адреса. Эти адреса предназначены для использования во внутренних сетях, защищенных межсетевым экраном, выполняющим трансляцию сетевых адресов.

В RFC указывается, что следующие адреса являются частными:

• 10.0.0.0 - 10.255.255.255 (10.0.0.0 с 8-битной маской);
• 172.16.0.0 - 172.31.255.255 (172.16.0.0 с 12-битной маской);
• 192.168.0.0 - 192.168.255.255 (192.168.0.0 с 16.битной маской).

Использование этих адресов предоставляет организации широкие возможности по разработке своей внутренней схемы адресации. Во внутренней сети организации могут использоваться любые комбинации указанных адресов - нет никаких ограничений.

Ни один из этих адресов не является маршрутизируемым в интернете. Если попытаться выполнить команду ping, направленную на частный адрес, в ответ будут получены пакеты network unreachable (сеть недоступна).

Примечание

Некоторые провайдеры используют частные адреса в своей внутренней сети. В некоторых местах в данном случае будет получен ответ на ping-запрос по частному адресу. Если на провайдере во внутренней сети используются частные адреса, то маршруты на эти сети не должны передаваться за пределы внутренней сети провайдера, чтобы не влиять на использование организацией этих адресов.

 

Статическая NAT

Мы настраиваем сеть на использование частных адресов, и нам нужно использовать NAT, чтобы обеспечить доступ к системам из интернета. В данном случае используется технология, называемая статической NAT. Статическая NAT связывает один реальный адрес из внешней сети организации с системой в демилитаризованной зоне. На рисунке 16.12 показано, как работает такая трансляция. Можно было бы связать адрес с системой во внутренней сети, но система тогда окажется доступной из внешней среды, и такие системы необходимо размещать в демилитаризованной зоне.

Рис. 16.12.  Статическая трансляция сетевых адресов

Здесь очевиден вопрос: зачем усложнять жизнь и использовать NAT? Можно просто присвоить реальные адреса демилитаризованной зоне и все будет прекрасно! Конечно, так оно и есть, но тут возникают две проблемы. Во-первых, для реализации такого подхода потребуется еще один набор адресов, иначе понадобится разделить 30 предоставляемых провайдером адресов, чтобы некоторые адреса находились по внешнюю сторону от межсетевого экрана, а другие - по внутреннюю. Если вы захотите разместить некоторые системы во второй демилитаризованной зоне, потребуется еще один набор адресов. Во-вторых, не все системы в DMZ требуют реальные адреса. Если обратиться к рис. 16.8, можно увидеть сервер приложения, расположенный в демилитаризованной зоне. Этот сервер не требует доступ из интернета. Он предназначен для обработки информации, принимаемой веб-сервером, и для взаимодействия с внутренним сервером баз данных.

Статическая NAT - это конфигурация "один к одному". Для каждой системы, которая должна быть доступна из Интернета, используется один реальный адрес. Статическая NAT пригодна для серверов в демилитаризованной зоне, однако не годится для клиентских рабочих станций.

Динамическая NAT

Динамическая NAT (также называется Hide - скрывающая - NAT) отличается от статической тем, что с одним реальным адресом связывается множество внутренних адресов (см. рис. 16.13) вместо использования связи "один к одному". Как правило, используемым реальным адресом является внешний адрес межсетевого экрана. Межсетевой экран отслеживает соединения и использует для каждого соединения отдельный порт. Это обуславливает предельное практическое число единовременных NAT-соединений, равное примерно 64 000. Имейте в виду, что одна внутренняя рабочая станция может открывать до 32 одновременных соединений при доступе к веб-сайту.

Рис. 16.13.  Динамическая трансляция сетевых адресов

Динамическая NAT особенно полезна для клиентских рабочих станций, использующих протокол динамической конфигурации DHCP. Так как системы, использующие DHCP, не получают в обязательном порядке тот же самый IP-адрес после перезагрузки, статическая NAT здесь непригодна. Системы, использующие динамическую NAT, не являются адресуемыми из внешней среды, так как только межсетевой экран руководит связыванием портов с системами, и эти связи регулярно меняются.

Разработка партнерских сетей

Концепции разработки интернет-архитектур, обсужденные выше, также могут быть использованы при разработке сетей между партнерами. Потребность в постоянном соединении между организациями продолжает стремительно возрастать, так как это снижает их затраты.

Работа с партнерскими сетями

Партнерские сети, как правило, создаются для обмена определенными файлами или фрагментами данных между организациями. Это обуславливает требование соединения отдельных систем внутри одной организации с конкретными системами в другой организации. Это не означает, однако, что одной организации требуется неограниченный доступ к сети другой организации.

Если при построении партнерской сети использовать подход с учетом возможных рисков, станет видно, что при соединении двух организаций проявление угроз действительно возможно. Соединенные сети двух организаций обеспечивают возможность сотрудников одной организации осуществлять доступ в сеть другой организации и наоборот. Также следует вспомнить материал лекции 7, в которой говорилось о том, что клиенты и поставщики могут являть собой злоумышленников. Разумеется, необходимо реализовать некоторый контроль для обработки данного риска.

Настройка

Требования безопасности для партнерской сети немного отличаются от требований в случае с интернет-соединением. Поэтому мы можем использовать те же архитектуры и методологии.

Службы, необходимые для соединения, определены, и системы, предоставляющие эти службы, расположены в демилитаризованной зоне. Это не та DMZ, которая использовалась для интернет-соединения, хотя она может располагаться за пределами области, защищаемой межсетевым экраном интернета, при наличии достаточного объема ресурсов (см. рис. 16.14). Изучая рисунок, обратите внимание на то, что на межсетевом экране добавлены два интерфейса: один для партнерской DMZ, а другой - для партнерской сети.

На межсетевом экране необходимо установить дополнительные правила, чтобы позволить системам в партнерской организации, а также внутренним системам осуществлять доступ к партнерским DMZ-системам. Однако не должны присутствовать правила, позволяющие системам в партнерской организации подключаться к внутренней сети, демилитаризованной зоне интернета или к интернету. На многих межсетевых экранах может потребоваться установить дополнительные запреты. В таблице 16.1 показано, каким образом будут изменены правила.

Таблица 16.1. Правила маршрутизатора интернета с доступом в партнерскую сеть
Номер правила	IP-адрес источника	IP-адрес назначения	Служба	Действие
1	Партнерская сеть	Партнерская DMZ	Необходимая для партнерских взаимоотношений	Принятие
2	Партнерская сеть	Любой	Любая	Отказ
3	Партнерская DMZ	Партнерская сеть	Необходимая для партнерских взаимоотношений	Принятие
4	Любой	Партнерская сеть	Любая	Отказ
5	Любой	Веб-сервер	HTTP	Принятие
6	Любой	Почтовый сервер	SMTP	Принятие
7	Почтовый сервер	Любой	SMTP	Принятие
8	Внутренняя сеть	Любой	HTTP, HTTPS, FTP, telnet, SSH	Принятие
9	Внутренняя DNS	Любой	DNS	Принятие
10	Любой	Любой	Любой	Сброс

Как видно из таблицы 16.1, в верхней части списка присутствуют правила, конкретно отклоняющие доступ к партнерским сетям и из них. Так как большая часть межсетевых экранов работает по первому совпавшему условию, необходимо расположить перед правилами глобального разрешения правила 5, 6, 7, 8 и 9.

Рис. 16.14.  Партнерская DMZ, использующая межсетевой экран интернета

Вопросы адресации

При работе с партнерскими сетями возникает еще один вопрос - вопрос адресации. В большинстве организаций во внутренних сетях используются частные адреса. По этой причине очень вероятна ситуация, при которой в партнерской сети будут использоваться те же адреса, что и в рассматриваемой организации.

Организации, в которых не уделяется внимание этой проблеме, могут столкнуться с тем, что целая сеть 10.x.x.x будет определяться так, будто она принадлежит определенному партнеру, а в итоге окажется, что другая партнерская организация также использует 10.x.x.x. Чтобы предотвратить эту проблему, рекомендуется использовать NAT при подключении к партнерским сетям. Посредством определения политики трансляции для партнерской сети можно разрешить этой сети стать частью вашей схемы адресации.

Примечание

Материал этого раздела предназначен только для того, чтобы обратить ваше внимание на рассматриваемый вопрос. Адресация и правильная маршрутизация объединенных сетей - это тема для отдельной большой книги. При построении объединенных сетей необходимо соблюдать внимательность, чтобы трафик передавался корректно и не возникали лишние проблемы, связанные с безопасностью.

Проект 16 Создание интернет-архитектуры

Данный проект предназначен для демонстрации этапов создания интернет-архитектуры. В данном упражнении подразумевается, что вы привлечены к сотрудничеству в компанию Widget Makers, Inc. с целью разработки подходящей интернет-архитектуры для этой организации. Widget Makers предъявляет следующие требования к соединению с интернетом:

• необходимо создать веб-сервер, на котором будет представлена информация о продуктах компании;
• в качестве основного механизма связи с клиентами и партнерами используется электронная почта;
• сотрудники офиса должны иметь возможность использовать интернет для доступа через веб;
• компания содержит веб-сайт для партнеров-перекупщиков, на котором эти партнеры могут заказывать товары. Этот сайт должен находиться отдельно от веб-сайта компании.

Шаг за шагом

1. Принимая во внимание изложенные требования, определите, какие службы нужно предоставлять пользователям через интернет.
2. Определите, какие службы управления необходимы для поддержки архитектуры.
3. Определите, какую архитектуру соединения использовать для работы с несколькими провайдерами.
4. Определите, какую следует применить архитектуру межсетевых экранов. Сколько интерфейсов потребуется на межсетевом экране?
5. Определите соответствующий набор правил для каждого межсетевого экрана, используемого в сети.
6. Определите необходимое число IP-адресов и составьте план адресации для внутренних систем.
7. По завершении проектирования сети оказалось, что у компании нет достаточного объема средств для реализации предложенной архитектуры. Что в первую очередь можно исключить из архитектуры, чтобы снизить ее стоимость? Каким образом это изменение повлияет на общий уровень безопасности архитектуры? Не забудьте при этом максимальным образом обеспечить конфиденциальность, целостность, доступность и ответственность.