Inspekcja, detekcja, protekcja
- Michał Szafrański,
- 24.06.2002
Na każdym z serwerów pracujących w strefie zdemilitaryzowanej powinien być dodatkowo zainstalowany lokalny system IDS, monitorujący próby naruszenia bezpieczeństwa systemu operacyjnego oraz pracujących pod jego kontrolą aplikacji. Jednocześnie zarówno na poziomie systemu operacyjnego, jak i firewalla powinny być wdrożone mechanizmy filtrowania specyficzne dla usługi realizowanej przez dany serwer. Przykładowo: nie ma potrzeby, by serwer WWW sam inic-jował połączenia - wystarczy że będzie odpowiadał na żądania nadchodzące z Internetu. Jeśli będzie próbował sam zainicjować jakąś sesję komunikacyjną, może to oznaczać, że jego zabezpieczenia zostały złamane i w rzeczywistości dostęp do sieci próbuje uzyskać "przemycona" tam przez włamywacza aplikacja.
Podobnie serwer DNS powinien zostać skonfigurowany tak, by odpowiadał wyłącznie na dozwolo- ne zapytania, a ignorował żąda- nia udostępnienia pełnej informacji o konfiguracji domeny. Błędy w konfiguracji DNS włamywacze wykorzystują, by poznać strukturę sieci, którą planują zaatakować. Tą drogą poznają nazwy komputerów, ich numery IP i podstawowe usługi, jakie oferują (np. rekord MX wskazuje na pracę maszyny jako serwera pocztowego). Jednocześnie powinien być ściśle kontrolowany sposób wymiany informacji o konfiguracji domen (tzw. zone transfer). Serwer DNS pracujący w strefie DMZ powinien akceptować aktualizacje parametrów domenowych wyłącznie z serwerów DNS działających w sieci korporacyjnej.
Wielostopniową kontrolę należy wprowadzić również w przypadku serwera pocztowego. Firewall powinien blokować te sesje pocztowe, które nie posługują się prawidłowymi komendami SMTP, a pracujący na bramce pocztowej system analizy zawartości przesyłek powinien usuwać wszelkie ewentualnie dołączane wirusy i konie trojańskie. Jeśli, mimo stosowanych zabez- pieczeń, włamywaczowi uda się włamać do serwera pocztowego działającego w DMZ, to ma on praktycznie otwartą drogę do podstawowego serwera pocztowego, zainstalowanego w sieci lokalnej firmy. Bramki SMTP pracujące na styku z Internetem muszą mieć możliwość niezakłóconego przesyłania przefiltrowanych przesyłek do podstawowego serwera SMTP.
Oczywiście, podobnie jak w przypadku pozostałych modułów sieci, tak i w DMZ warto zastosować mechanizm Private VLAN gwarantujący, że serwery WWW, FTP, DNS i SMTP nie będą mogły się ze sobą komunikować inaczej niż za pośrednictwem firewalla.