Strefa zdemilitaryzowana

Pytanie: Jak zbudować w firmie sieć do testowania aplikacji zwiększających bezpieczeństwo systemu informatycznego, takich jak np. systemy wykrywające próby włamań (IDS)? Czy rozwiązanie takie można też wprowadzić do sieci domowej?

Pytanie: Jak zbudować w firmie sieć do testowania aplikacji zwiększających bezpieczeństwo systemu informatycznego, takich jak np. systemy wykrywające próby włamań (IDS)? Czy rozwiązanie takie można też wprowadzić do sieci domowej?

Odpowiedź: Najlepiej wyodrębnić w sieci obszar zwany strefą zdemilitaryzowaną (DMZ), niewymagający tak dokładnej ochrony, jak jego pozostała część (z ważnymi dla firmy serwerami i pecetami), znajdująca się zwykle za zaporą. Istnieje kilka sposobów konfigurowania strefy zdemilitaryzowanej, zależnie od używanego sprzętu. Dla przykładu posłużmy się sprzętem firmy Cisco.

Cisco oferuje na wielu swoich zaporach PIX dodatkowy port, który pozwala budować strefę zdemilitaryzowaną; (należy jednak sprawdzić, czy nie trzeba najpierw uaktualnić oprogramowania zarządzającego zaporą, tak aby mogła obsługiwać ten dodatkowy interfejs). W przypadku zapór PIX konieczna jest częsta zmiana systemu operacyjnego IOS na inny (i przechodzenie z wersji restricted na unrestricted). Jeśli takie rozwiązanie okaże się zbyt kosztowne, to można wykorzystać jeden ze swoich publicznych adresów IP i przypisać go do oddzielnej, mniejszej zapory. Pozwoli to przeprowadzać testy (np. dokonać oceny skuteczności pracy oprogramowania IDS), nie wprowadzając żadnych zmian do zapory podstawowej. Cały ruch na linii Internet-sieć firmy będzie się odbywać bez zakłóceń, a my niejako z boku będziemy testować rozwiązania, które wprowadzimy do systemu dopiero, gdy będziemy ich pewni.

W przypadku sieci domowej bądź niewielkiego biura dysponującego szerokopasmowym dostępem do Internetu najlepiej byłoby chyba posłużyć się dwoma zaporami. Pierwsza utrzymywałaby łączność ze światem zewnętrznym i przesyłała pakiety do komputera, który odbiera cały ruch z publicznego interfejsu. Aby nie dopuścić do tego, by po sforsowaniu pierwszej zapory włamywacz uzyskiwał dostęp do sieci, instalujemy drugą zaporę i podłączamy do niej wszystkie komputery pracujące w sieci. Mamy w ten sposób podwójne zabezpieczenie. Aby utrudnić życie włamywaczom, należałoby użyć dwóch różnych zapor, tak aby musieli "rozgryzać" dwa różne systemy bezpieczeństwa.