Файл: Проектирование системы защищенного доступа к веб-сервису ООО «Агротон».pdf

• Из внутренней сети можно инициировать соединение в демилитаризованную зону и глобальную сеть (Интернет);
• Из демилитаризованной зоны можно инициировать соединение в глобальную сеть (Интернет);
• Из глобальной сети (Интернет) можно инициировать соединение в демилитаризованную зону;
• Нельзя инициировать соединение во внутреннюю сеть из Глобальной сети (Интернет) и из демилитаризованной зоны.

Рисунок 4. Правила конфигурировать фильтрации пакетов на сетевых экранах при реализации варианта «Создание демилитаризованной зоны»

Плюсы варианта:

• Реализация варианта «Создание демилитаризованной зоны» позволяет существенно повысить степень защищенности внутренней сети от взломов через отдельные сервисы. Благодаря межсетевому экрану во внутреннюю сеть доступ к ресурсам внутренней сети не будет получен.

Минусы варианта:

• Сервера, находящиеся в демилитаризованной зоне имеют не высокую степень защищенности от взлома.
• Необходим дополнительный аппаратный межсетевой экран для разделения демилитаризованной зоны и внутренней сети.

Для повышения степени защищенности серверов, находящихся в демилитаризованной зоне, необходимо применять политики безопасности на оборудовании отличные от настроенных по умолчанию производителем оборудования.

Реализация защищенного доступа к локальной сети организации по варианту «Разделение сервисов на Front-End и Back-End».

Вариант с Демилитаризованной зоной несет существенную угрозу информационной безопасности организации в части повышения рисков отказа доступа к информации. Ото обусловлено низкой защищенностью самой демилитаризованной зоны. Действенным способом решения данной задачи является разделение функционала сервиса на Front-End и Back-End части. При этом каждая часть должна быть расположена на отдельном сервере в своем сегменте сети. Front-End часть сервиса, которая отвечает за взаимодействие с клиентами и удаленными сотрудниками размещается на сервере в демилитаризованной зоне. Back-End часть сервиса, отвечающая за реализацию основного функционала сервиса (работа с базами данных, обработка информации и т.д.) размещается на сервере во внутренней сети (Рисунок 5).

Рисунок 5. Схема удаленного доступа к локальной сети из интернета по варианту «Разделение сервисов на Front-End и Back-End»

---

Для взаимодействия Front-End и Back-End серверов одного сервиса необходимо настроить правила фильтрации пакетов на сетевых экранах, разрешающие взаимодействие серверов одного сервиса.

Плюсы варианта:

• Основным плюсом данного варианта является появление возможности защитить основную (рабочую) Back-End часть сервиса от атак, направленных на отказ сервиса в обслуживании. Это позволяет существенно снизить ущерб от таких атак, как TCP SYN Flood (атака, реализующая алгоритм отправки большого количества запросов на подключение по протоколу TCP в очень короткий период времени).
• Данный вариант предусматривает, что на Back-End сервере не будет доступа к сети Интернет. Это гарантирует, что в случае его взлома локально (например, локально запущенным вредоносным кодом) не будет возможности управлять сервером удаленно.
• Front-End сервер хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort). [5]
• Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа TCP SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать. [6]

Минусы варианта:

• Ограничение на инициацию соединений из демилитаризованной зоны во внутреннюю зону снижает функциональность используемого программного обеспечения. На практике серверам, находящимся в демилитаризованной зоне очень часто необходимо обращаться к серверам, находящимся во внутренней сети.
• Не все сервисы могут быть разделены на Front-End и Back-End части, но современные технологии разработки успешно нивелируют эту проблему.
• Реализация на межсетевых экранах правила, которое разрешает инициацию соединения из демилитаризованной зоны во внутреннюю сеть порождает угрозы, связанные с использованием данного правила со стороны других узлов.
• Политика информационной безопасности организации должна предусматривать мероприятия по защите серверов в демилитаризованной зоне.

Реализация защищенного доступа к локальной сети организации по варианту «Создание защищенного доступа в локальную сеть посредством реализации VPN с аутентификацией в Active Directory».

Данный вариант предусматривает реализацию виртуальной защищенной частной сети (VPN), которая классифицируется по архитектуре технического решения, как VPN с удаленным доступом.

---

Виртуальной защищенной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через сеть Интернет (Рисунок 6).

Рисунок 6. Схема удаленного доступа к локальной сети из интернета по варианту «Создание защищённого доступа в локальную сеть посредством VPN»

При реализации варианта доступа в локальную сеть посредством VPN предоставление доступа к ресурсам локальной сети происходит в соответствие со следующими этапами:

• Получение доступа через пограничный маршрутизатор поддерживающий протокол PPTP (туннельный протокол типа точка – точка) в изолированную сеть VPN-клиентов в составе которой находится VPN концентратор.
• Получение доступа по RDP к терминальному серверу.
• Получение непосредственного доступа к ресурсам локальной сети в соответствие с настроенными правами доступа.

Плюсы варианта:

• Данный вариант представляется наиболее безопасным именно для получения доступа к ресурсам локальной сети организации удаленными пользователями организации через сеть Интернет.
• Серверные части системы защищенного доступа можно организовывать на виртуальных машинах, организованных по технологиям Hyper-V или VMware.

Минусы варианта:

• Не удобен для реализации доступа к информационным сервисам компании всем пользователям.
• Требует дополнительного оборудования: Концентратор доступа по VPN.
• Требует высокой квалификации сетевых администраторов в организации.

Как видно из вышеперечисленных вариантов, существует множество технологий, позволяющих предоставить достаточно безопасный доступ пользователей (и сторонних сервисов) к ресурсам и сервисам локальных сетей организаций через сеть Интернет. Выбор технологии или компоновка решения из разных технологий зависит, прежде всего от состава ресурсов и сервисов, к которым необходим доступ, требований к безопасности и надежности от организации – владельца ресурсов и сервис.

---

Учитывая, что современные предприятия не могут быть конкурентоспособными на своих рынках без адекватной информационной поддержки, мобильных пользователей, без соответствующего информирования рынка, а также, принимая во внимание доступность оборудования и программного обеспечения для построения систем защищенного доступа к локальным сетям организации из сети Интернет, необходимо рассматривать гибридные система безопасного доступа. Такие системы позволяют обеспечить безопасный доступ и к ресурсам, и к сервисам локальной сети организации. Такие системы включают в себя следующие технологии (из вышеперечисленных):

• Создание демилитаризованной зоны.
• Разделение сервисов на Front-End и Back-End.
• Использование VPN с аутентификацией в AD для удаленного подключения к ресурсам корпоративной локальной сети.

В данной работе далее будут рассматриваться гибридные система безопасного доступа.

Технические решения для построения системы защищенного доступа к веб-серверу посредством организации VPN

Построение защищенных сетей с использованием технологии VPN предполагает следующие решения:

• На компьютер пользователя, которому необходимо получить удаленный доступ в локальную сеть через Интернет устанавливается VPN-агент. VPN-агент работает с пакетами протокола IP (по модели OSI).
• VPN-клиент необходим для автоматического шифрования всех исходящих данных и дешифрования всех входящих данных. VPN-клиент выполняет контроль целостности пакетов данных с помощью электронно-цифровой подписи или криптографической контрольной суммы, рассчитанной при помощи ключа шифрования.

Перед отправкой IP-пакета VPN-агент действует следующим образом:

Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется [7]:

• определяет и добавляет в пакет ЭЦП отправителя или имитоприставку;
• шифрует пакет (целиком, включая заголовок);
• проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например, внутренние IP-адреса, ему уже недоступна.

---

При получении IP-пакета выполняются обратные действия [8]:

• заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком;
• согласно настройкам, выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи;
• пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается;
• пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю [7]. VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернет. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен. Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например, Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES [8]. Как видно из описания, VPN-агенты создают каналы между защищаемыми сетями, которые называют “туннелями”. И действительно, они “прорыты” через Интернет от одной сети к другой; циркулирующая внутри информация спрятана от чужих глаз.

Кроме того, все пакеты “фильтруются” в соответствии с настройками. Таким образом, все действия VPN-агентов можно свести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.

Совокупность правил создания туннелей, которая называется “политикой безопасности”, записывается в настройках VPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены [9]:

• IP-адрес источника (для исходящего пакета - адрес конкретного компьютера защищаемой сети);
• IP-адрес назначения;
• протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP);
• номер порта, с которого или на который отправлена информация (например, 1080).

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, в данной работе рассматривается сеть Интернет. С помощью технологии туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель–получатель данных» устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого [8]. Очень важным свойством туннелей является возможность дифференциации различных типов трафика и назначения им необходимых приоритетов обслуживания.

---