 |
|
Hálózat tervezés - biztonsági szempontok
Bevezető
A hálózatok tervezése összetett feladat. Itt most csak egyetlen szemponttal, a biztonsággal foglalkozunk és csak a legfontosabb tudnivalók összefoglalására törekszünk. Ezen kívül fontos persze a teljesítmény, a skálázhatóság és a karbantarthatóság is. Ezekre majd visszatérünk később.
Tervezési alapelvek
- Törekedni kell a lehetõ legegyszerűbb elrendezésre. A bonyolult, trükkös megoldások nehezen áttekinthetõk, így hamarabb vezetnek hibához, réshez.
- Rétegezett védelemre van szükség. Rendszerünk akkor is rendelkezzen védelemmel, ha bármilyen okból (karbantartás, feltörés) egyik védelmi vonal nem mûködik megfelelõen.
- A hálózatunk nem egységes. Fontos a különböző biztonsági igényû hálózatok szétválasztása. Túlzott biztonsági követelményeket saját felhasználóink fogják megkerülni.
- Bizonyos hálózatok jellegüknél fogva megbízhatatlanok (wifi, otthonról behívó, oktatótermek). Ezeket válasszuk szét.
- Vegyük figyelembe a megvalósítás és üzemeltetés költségeit
Biztonságpolitika
Ahhoz, hogy hálózatunkat biztonsággal üzemeltetni tudjuk, biztonsági szabályzatra (security policy) van szükség. Ennek elkészítését segíti az RFC 2196.
Nagyon tömören néhány szó erről:
Mit ne tartalmazzon
- technikai részleteket
- azt írja le, hogy mit, miért és nem hogyan. Az a technikai dokumentáció része.
- nem számítógépes problémákat (pornó, játék, p2p) ne próbáljon önmagában megoldani
Mit tartalmazzon
- fogalom magyarázat
- felhasználói, üzemeltetõi és vezetõi felelõségek
- betartatási jogok
- átvizsgálások, módosítások, kivételek lehetõsége
- részletek: pl. kinek lehet felhasználói azonosítója, átruházás, megszüntetés
Használt alapfogalmak
- külső hálózat: amelynek gépei, eszközei felügyelete és így biztonsága sem a mi feladatkörünk.
- külső szerver: olyan gép, amelyik külső hálózat számára szolgáltatást nyújt (screened host)
- külső alhálózat: olyan alhálózat, amelyik külső hálózat számára szolgáltatást nyújt (screened subnet, demilitarised zone DMZ)
- külső router: nagyvilág és külső háló közötti csomagtovábbító eszköz
- belső router: külső és belső háló közötti csomagtovábbító eszköz
- csomagszűrő: router, amelyik ip csomagokat szûr a bennük lévő információ (vagy ezen információkból összerakható állapot) alapján
- proxy: kétlábú gép, amelyik a kliensek nevében indít új TCP kapcsolatokat.
- nem biztonságos protokoll: ahol az azonosítási információ nyílt szövegben továbbítóik.
Tipikus tűzfal elrendezések
Egydobozos
- csomagszűrő: akkor megfelelő, ha jól karbantartott gépek, kevés protokollra, nagy teljesítményre van igény
- proxy: kis forgalom esetén, ha nem kritikus internet. Esetleg kombinálható a gyorsítótárral is.
Külső szerveres
- router: csomagszűrés, port forward belső proxyra
- alkalmas: kevés bejövõ kapcsolat (SMTP, de nem HTTP), jól karbantartott hálózaton
Külső al-halózatos
- külső szerver: bejövõ kapcsolatok fogadása, kimenõ forgalom proxy, de ne legyen kényes adat, mint például felhasználói azonosítók.
- belső router: belső háló védelme kintről és DMZ-ből, csomagszűrés, DMZ/belső között forgalom minimalizálás: DNS, SMTP
- külső router: hasonló csomagszűrés, mint a belső routeren alkalmas: szinte mindenhová, több külső szerverrel jól skálázható
Egyszerűsítési lehetőségek és javaslatok:
| több külső szerver | OK |
| külső és belső router összevonása: ha a router tud in és out filtert | OK |
| külső router és külső szerver összevonása | OK |
| belső router és külső szerver összevonása | veszélyes |
| több belső router | veszélyes |
| több belső háló, de 1 router | OK |
| több belső háló 1 + több router (gerincháló) | OK |
| több külső router | OK |
| külső al-háló és külső szerver a belső hálóban | veszélyes |
Példa
Egy javasolható, jó kompromisszumos elrendezés:
- háromlábú csomagszűrő tűzfal
- külső szerveren futó szolgáltatások:
- SMTP gateway: spam és vírus szűrés, nincs helyi level fogadás
- web szerver
- külvilág számára authoratív név-szerver (de nem rekurzív)
- fentiek kezeléséhez szükséges minimális felhasználói azonosítók
- belső szerveren futó szolgáltatások:
- levelezés: SMTP szerver a felhasználói felhasználói azonosítók, IMAP, webmail ...
- a web szerver belső felhasználásra: nem publikus információk, külső weblap munkapéldánya...
- rekurzív DNS cache
- kis cég esetén akar az összes belső szolgáltatás, pl.: adatbázis, fájlszerver
Összefoglalás
- A biztonsági szabályok betartásához és betartatásához vezetõi akarat szükséges
- fontos az elfogadott sec. policy
- a biztonsági alapelveket kivétel nélküli be kell tartani
- törekedni kell az egyszerûségre, a bonyolult megoldások több hibalehetőséget hordoznak
lajbi | 2007, április 7 - 11:44
| Infrastruktúra
