資訊安全─入門手冊
description
Transcript of 資訊安全─入門手冊
資訊安全─入門手冊
第 16 章 Internet 架構
第 16 章 Internet 架構
在新的商業型態、降低銷售成本、提升客戶服務方面, Internet 具有極大的潛力。
在組織的資訊和系統方面,也可能會增加極大的風險。
只要具有適當的安全架構,也可以賦予Internet 極大的效用,且可用來管理資訊和系統的風險。
本章的內容如下: 16-1 提供哪些服務 16-2 不提供哪些服務 16-3 發展通訊架構 16-4 設計 DMZ 16-5 認識網路位址轉譯 16-6 設計合作夥伴網路
16-1 提供哪些服務
關於 Internet 架構首先需要回答的問題是 - 組織希望透過 Internet 提供哪些服務?
希望提供哪些服務、服務的對象是誰,這些問題會大大地影響到整體架構,甚至也可能架設主機提供服務。
本節的內容如下: 16-1-1 郵件 16-1-2 電子郵件加密 16-1-3 Web 站台 16-1-4 內部存取 Internet 16-1-5 組織外部存取內部系統 16-1-6 控制服務
16-1-1 郵件
如果提供郵件服務時,一般提供的對象都是提供內部員工收送訊息。
這項服務至少需要架設一部接收類送郵件的伺服器。
如果要求更高的可用性,那麼至少需要兩部郵件伺服器。
外送郵件可以移到同一部伺服器進行處理,或是組織也可以允許桌上型電腦直接郵件發送到目標系統。
組織也許會因為電子郵件討論群組之類的需求,而選擇架設公用郵件轉送( public mail relay ),這類伺服器又稱為list server 。
list Server 可以和一般郵件伺服器架在同一不設備上,這些系統接收外部使用者的郵件,接著將訊息轉送給 list server的訂閱用戶。
在 Internet 整體架構的考量上,可能會產生更大的流量需求。
不建議組織允許桌上型系統,直接將郵件發送到目標系統。不過,如果組織的郵件系統是架在 Internet 上,每部桌上型電腦都是透過該郵件伺服器收發電子郵件。在這種情況下,限制桌上型電腦只能透過該部郵件伺服器送出電子郵件,這是較為聰明的作法。
16-1-2 電子郵件加密
通常都不會利用電子郵件傳送機密資訊。 基於省時、節省成本和擴充 Internet 用途的考
量來說,還是會利用電子郵件寄送機密資訊。 最好是利用電子郵件加密來保護機密資訊的內
容。 某些系統可以提供電子郵件加密的功能,這些
系統類型從桌面型軟體(例如 PGP ),到電子郵件串流(例如 Tovaris )的網路設備都有。
系統的選用不僅僅是依據傳送和接收加密電子郵件的數量,還需要依據組織的復原政策和金鑰管理(詳見第 12 章)等其他需求而定。
某些企業(例如財稅機關和健保組織)會將客戶、患者相關的機密資訊加密。
16-1-3 Web 站台
如果組織選擇透過全球資訊網( World Wide Web )對客戶或夥伴發佈資訊,組織就會需要在內部或其他處所架設 Web 伺服器,並放置某些供大眾閱覽的內容。
Web 伺服器可以是簡單、靜態的內容,或是鏈結到提供動態內容和接受訂單的電子商務系統(詳見第 17 章)。
Web 站台的存取方式,可以是任何人皆可瀏覽或透過某些認證機制(通常是使用者 ID 和密碼)加以限制。
如果含有某些限制性的內容時,站台應該要使用 HTTPS (安全基座層, Secure Socket Layer , SSL )保護機密資訊。
除了提供 Web 伺服器之外,可能也會提供檔案傳輸協定( File Transfer Protocol , FTP )。
FTP 允許組織外部的使用者,透過 Web瀏覽器或 FTP 用戶端的協助,傳送或取得檔案。
在使用者認證方面,可以採用匿名登入或要求輸入使用者 ID 和密碼登入認證。
16-1-4 內部存取 Internet
員工如何存取 Internet應該依據政策加以規範(詳見第 6 章)。
某些組織允許員工存取 Internet任何服務,包括傳訊、聊天室、影音串流等。
某些組織只允許員工使用瀏覽器,且只能瀏覽特定的網站。
這些決策都會影響到網路的流量。
較常允許員工存取的服務如下: 服務 說明HTTP(連接埠 80)和 HTTPS(連接埠 443) 允許員工存取Web。FTP(連接埠 21 和 20) 允許員工傳輸檔案。Telnet(連接埠 23)和 SSH(連接埠 22) 允許員工和遠端系統建立互動式交談。POP-3(連接埠 110)和 IMAP(連接埠 14
3)允許員工存取遠端電子郵件帳戶。
NNTP(連接埠 119) 允許員工存取遠端的新聞伺服器( news server)網路。
不論組織是否允許使用串流影音,許多站台目前也可透過 HTTP 提供這方面的服務;因此,這些流量和一般性的 Web 流量完全相同。同樣的, Internet 目前也有許多點對點( peer-to-peer )服務,這些服務也是透過連接埠 80運作。這些類型的服務,也會提高未獲授權取得內部系統存取權的風險。
16-1-5 組織外部存取內部系統
從組織外部存取內部敏感性系統,一直都是安全和網路人員非常棘手的問題。
內部系統是指組織內部主要的作業系統。 在本質上這些系統的架設目地,和 Web 伺服
器或郵件伺服器的服務有所不同。 員工存取(通常是從遠地執行工作)或非員工
存取,是從組織外部存取組織內部系統的兩種可能類型。
從遠地存取組織內部系統的員工,一般都是透過 Internet 使用 VPN ( virtual private network )、某些遠端存取伺服器( remote access server )的撥接線路,或是專線等方式。
是否允許這些存取方式,也都會影響組織的Internet 架構。
如果是其他組織要求存取組織的內部系統,那麼影響就會非常嚴重。
即使是商業夥伴利用可信任的存取,也會間接地影響風險管理。
至於透過 VPN 、撥接線路或數據專線、透過未加密的Internet 存取(例如 telnet )等方式,端賴連線的目地而定。
在實務上,並不建議採用透過未加密 Internet 的存取方式;然而,某些企業卻會允許這種類型的存取方式。如果是在這樣的情況下,必須盡力將這些系統移到內部網路的範圍之外,且將系統放在受到限制的網段(例如稍後介紹的 DMZ )。
16-1-6 控制服務
為了讓網路和 Internet連線非常順暢,會需要建置某些服務。
是否建置這些服務,仍須依據組織的政策而定。 DNS ICMP NTP
DNS
網域名稱服務( Domain Name Service , DNS ),這是一種提供主機名稱和IP 位址解析的服務。若
是少了這項服務,內部使用者會難以解析Web站台的位址,而且也會難以存取 Internet 。
內部系統會向內部 DNS查詢所有的位址,內部 DNS 也可以向 ISP 的 DNS查詢、解析外部位址。
組織內部的系統不需要直接查詢外部 DNS 系統。
內部 DNS 也必須對外開放,組織外部的使用者才能存取組織的 Web 站台。
為了完成這項目標,組織可以選擇自行架設DNS 或由 ISP 的 DNS代轉,這項決策也會影響到組織的 Internet 架構。
如果決定自行架設、管理 DNS ,這部系統必須和內部 DNS 有所區分,且外部 DNS 也不應該架設在內部系統的網段中(也稱為 DNS切割)。
ICMP
Internet 控制訊息協定( Internet Control Message Protocol , ICMP ),用來提供 ping (系統架設之後就可以找到)這類服務。
除了 ping 之外, ICMP 也提供『 network and host unreachable』和『 packet time to live expired』等訊息。這些訊息都有助於提高網路運作的效率。
由於這項服務會嚴重影響網路的運作,所以也可以拒絕或阻斷 ICMP 服務。舉例來說,如果內部使用者嘗試尋找卻找不到遠端Web 伺服器時,ICMP即可回送『 ICMP host unreachable』告知使用者。如果阻斷內部網路 ICMP 服務時,使用者會一直等候直到連線逾時為止,然後就會看到『找不到網頁』的訊息。
NTP
網路校時協定( Network Time Protocol , NTP ),這是一種可以讓許多系統時間同步的服務。
目前在 Internet 上,已有許多提供這類校時資源的站台。
如果組織選擇提供這項服務,就應該將一部系統設定成地區時間,且只有這部系統才可以和Internet 的 NTP溝通。
所有的內部系統,都應該和這部系統溝通並完成校時動作。
16-2 不提供哪些服務
在設計 Internet 架構時,應該要包含滿足需求的服務,但是也不要提供不必要的服務。
採用這種設計法則設計 Internet 架構時,將會排除絕大部分的重大風險。
會造成重大風險的服務如下:
服務 說明NetBIOS服務(連接埠
135 、 137 、 138 和 139)Windows系統用於檔案共享和遠端命令的服務。
Unix RPC(連接埠 111) Unix系統用於遠端程序呼叫的服務。NFS(連接埠 2049) 提供網路檔案系統( Network File System , NFS)
的服務。X(連接埠 6000 到 6100) 提供 X Window系統交談的服務。『 r』服務( rlogin連接埠 513 ,
rsh連接埠 514 , rexec連接埠 512)
允許遠端不需要輸入密碼即可執行互動式交談的服務。
telnet(連接埠 23) 由於使用者 ID和密碼會清楚地透過 Internet傳送,且可能被擷取所以不建議使用。如果需要接受內送的互動式交談時,建議透過 SSH使用telnet。
FTP(連接埠 21 和 20) 不建議提供的原因和 telnet一樣。如果需要提供這種服務時,建議透過 SSH傳送檔案。
TFTP(一般性檔案傳輸協定, Trivial File Transfer Protocol)(連接埠 21)
類似 FTP但不需要使用者 ID和密碼即可存取檔案。
NetMeeting 需要編號較高的連接埠才能正常運作,因此具有潛在的危險性。
若要必須使用這些連接埠,使用 H.323 proxy會比較安全些。
遠端控制協定( Remote Control Protocols ) , 例如 PC Anywhere 和 VNC 都是屬於這種類型的服務。
如果遠端使用者必須使用這類協定控制內部系統,也應該要透過 VPN連線。
簡單網路管理協定( Simple Network Management Protocol,SNMP )(連接埠 169 ),可用來管理組織內部網路的網路管理,不過遠地不應該使用這項服務來管理組織的內部系統。
16-3 發展通訊架構
在逐步規劃組織 Internet連線的通訊架構時,最重要的就是流量處理能力和可用性問題。
在某些情況下,必須和組織的 ISP ( Internett service provider )討論流量處理能力的問題。
ISP應該建議提供適當服務所需的通訊線路。 可用性需求應該由組織自行設定。 如果 Internet 只是提供員工業務範圍之外的功
能時,因為網路中斷並不會影響正常的工作,所以可用性的需求應該會非常低。
如果組織計畫建置電子商務站台,且 Internet是組織營運的重心,那麼可用性就是組織成敗的關鍵。
在設計 Internet連線的時候,應該一併考量容錯和復原的能力。
本節的內容如下: 16-3-1 單一通訊線路 16-3-2 多條通訊線路連接到單一 ISP 16-3-3 多條線路連接到多個 ISP
16-3-1 單一通訊線路
利用單一通訊線路連接 Internet ,這是目前最常見的 Internet 架構。
ISP 透過單一通訊線路提供組織適當的頻寬,詳見圖 16-1 。
一般而言, ISP 也會提供連線所需的路由器和通道服務單元( Channel Server Unit , CSU )。
組織也同樣可以選購並安裝這些設備。
本地迴路( local loop )是組織設施連線到電話公司機房( central office , CO )的線路或光纖,在 ISP附近也會有一個出線點( point of presence , POP )。
連線到 ISP 的線路,實際上是最接近 POP 的端末線路。
雖然不是最近 POP ,但本地迴路仍然需要經過最近的 CO 。從 POP開始算起,連線才會透過 ISP 的網路進入 Internet 。
圖 16-1 標準單一通訊線路架構
在圖 16-1 的連線架構之中,只要一個環節故障,就會導致整個連結中斷。
故障的範例如下: 路由器可能會故障 CSU 可能會故障 本地迴路可能會斷線 CO 可能遭到破壞 ISP 的 POP 可能會故障
只要發生單一環節故障,也就等於整個連結線路故障。
路由器故障的機率比 CO遭到破壞的機率來得高出許多。
施工單位也可能不慎挖斷纜線,這樣會造成長時間斷線。
上述可能的原因還不包含 ISP 本身發生故障在內。
因為氣候、挖斷纜線、或阻斷服務攻擊等,這些非特定因素也會造成連線中斷。
這種架構僅僅適合用在非商業性質的 Internet連線。
16-3-2 多條通訊線路連接到單一 ISP
為克服單一環節故障而導致整個連線中斷,可以採用佈設多條和 ISP連接的線路。
不同的 ISP 會提供不同的服務。 例如:某些 ISP 會稱為非正式鏈結( shadow
link ),有些 ISP 會稱為備援電路( redundant circuit ,台灣多半使用這個名稱)。
不論如何稱呼,都是希望提供避免線路中斷而導致停止服務的第二條線路。
單一 POP 接線
ISP 可以利用連接到相同 POP 的備援電路(詳見圖 16-2 ),提供線路容錯( fail-over )能力。
備援電路可能包含備援路由器和 CSU ,也有可能只有一部路由器而已。
如果主要電路發生故障時,第二組電路會立即替補故障的線路。
此種架構可以避免路由器、 CSU 、電話公司到 CO 的迴路,以及 ISP連線端末的設備發生故障。
圖 16-2 單一 POP 接線的備援電路
雖然這些都是常見的線路故障原因,但是卻無法降低設備故障的機率。
可預防任何一組設備故障而導致整個連線中斷。 這種架構的另一種效益 - 備援電路的成本較
低。 ISP 提供備援電路的費用會比完整線路的費用
低廉。
多條 POP 接線
添購另一組連接到 POP 的連線,可以增加可用性和可靠度(詳見圖 16-3 )。在這樣的情況下,第二組做為備援線路或持續運作的線路(稱為熱備援線路, hot redundant )。
為了讓這種架構運作順暢, ISP 通常都會執行邊境閘道器協定( Border Getway Protocol , BGP )。
BGP 是一種路由協定( routing protocol ),這是在雙連線類型的兩個實體之間,用來指定路由的一種協定。
圖 16-3 多條線路連接到多個 POP
在使用 BGP協定的時候,必須非常審慎地設定路由。
在這種架構下仍然可能造成通訊故障的單一環節 - 本地迴路和 CO 。
除非該組織擁有兩組本地迴路和 CO ,否則仍舊無法克服這兩種因素。
如果該組織真的採用兩組本地迴路和 CO ,整體架構就會變成圖 16-4 的架構。
圖 16-4 透過多條本地迴路的連線方式
16-3-3 多條線路連接到多個 ISP
這種 Internet 架構不見得能夠解決所有的問題和風險。
如果妥善設定,使用多個 ISP確實可以降低服務中斷的風險(詳見圖 16-5 )。
除了如何選擇 ISP 是需要考量的重點之外,組織採用的定址計畫也有極大的關聯性。
選擇 ISP
採用多 ISP 的 Internet 架構,確實是一項非常複雜的工程,而且也需要多方的知識和瞭解ISP 的實務經驗。
BGP 是一種最需要瞭解的知識。由於將會使用 BGP 來路由組織的流量,所以
組織和 ISP必須非常謹慎、妥善地設定 BGP 。連線的實際路由問題,是影響選擇 ISP 的另一個問題。
圖 16-5 採用多個 ISP 的 Internet 架構
如果組織的設施並沒有連接多組本地迴路時,本地迴路可能會持續造成單一環節失效的問題。
如果只有單一本地迴路時,選擇使用無線通訊替代末端線路( last mile )的 ISP (詳見圖16-6 ),也可達成電路備援的目地。
由於無線通訊可能受到天候狀況、暴風雨的侵襲,或是飛行物的影響等,而造成資料遺漏或效能降低的問題。
圖 16-6 利用無線網路 ISP 提高可用性
採用無線通訊並不能完全解決可用性的問題。 雖說無線通訊也具有諸多的問題,不過卻也不至於造
成通訊完全中斷的情況。
選用無線網路 ISP 和傳統式 ISP 的需求都一樣。任何 ISP 都應該提供服務等級的同意書,而且都應該出具完整的管理實務同意書。
定址
採用多 ISP 架構運作模式的另一項問題,就是 - 定址問題。
在一般的情況下,採用單一 ISP連線時, ISP會分配一段位址空間。
ISP 會妥善地設定路由器,並確保屬於組織的流量最後都會找到送達組織的路徑。
ISP 會將組織的位址廣播給其他 ISP ,因此所有透過 Internet 的流量最後都會傳送給組織的系統。
在採用多 ISP 架構時,每一個 ISP分配的位址範圍都不一樣,因此組織必須選擇將要使用的位址範圍。
可能會發生一家 ISP 的路由可以正常運作,而其他 ISP必須同意、廣播分配給組織的位址空間,都是屬於前面那家 ISP 管轄的位址。
這種組態設定方式需要非常專業的 BGP運作知識,這樣才不會造成路由發生錯誤。
另一種選擇就是組織購置自己的位址空間。雖然這樣可以解決部分的問題,但是和組織連線的 ISP卻必須廣播不屬於自己的位址空間,而且也會帶來新的問題。
最後一種選擇就是同時使用兩家 ISP 提供的位址。在這種情況下,某些系統會使用第一家ISP 的位址,某些系統卻使用第二家 ISP 的位址。
這種架構無法真正地解決可用性的問題。除非組織可以解決這種問題,否則請不要採用
這種架構。
16-4 設計 DMZ
DMZ 是『 demilitarized zone』,通常是指不能完全信任的網段。
DMZ 提供『可供 Internet 存取』和『只有內部員工才能存取』的網段劃分方式。
如果是與商業夥伴或其他外部實體建立專屬連線時, DMZ 也是一種不錯的選擇。
本節的內容如下: 16-4-1 DMZ 的定義 16-4-2 架設在 DMZ 的系統 16-4-3 合適的 DMZ 架構
16-4-1 DMZ 的定義
DMZ 是一種部分保護的網段。 這個區段一般都是利用如防火牆,或路由器大
量過濾網路存取控制的方式來區分網段。 網路存取控制接著會設定一套用來判斷允許進
入 DMZ 的流量,以及允許哪些流量送出 DMZ的規則(詳見圖 16-7 )。
只要外部使用者可以直接接觸到的系統,都應該架設在 DMZ區段內。
圖 16-7 一般性 DMZ 政策規則
外部系統或使用者可以直接接觸到的系統,通常都是最先遭到攻擊或侵害的系統。
不能完全信任這些系統的原因,主要是因為它們隨時都可能會遭到侵害。
DMZ 系統若要存取內部網路的高敏感性系統時,存取能力多半都會受到限制。
DMZ 系統的存取規則,都是開放外部使用者存取 DMZ 系統適當的服務。 DMZ 系統對內部系統的存取能力都會受到限制。
應該內部系統對 DMZ 系統發起連線的要求。 組織的政策或許可以允許內部系統存取 DMZ
或 Internet 系統,但嚴禁外部使用者存取內部系統。
16-4-2 架設在 DMZ 的系統
哪些系統應該架設在 DMZ 網段?應該架設在 DMZ 的系統如下:
郵件系統 Web 站台 允許外部存取的系統 控制系統
郵件系統
圖 16-8 是 DMZ 網段可能提供的服務。 內部網路和外部網路都架設了郵件系統。 外部網路的郵件系統是用來收發郵件。 新送到的郵件是由外部系統接收,然後才傳送
到內部郵件系統。 內部郵件系統會將外送的郵件送到外部郵件系
統。 某些防火牆會提供郵件伺服器。
如果啟用了防火牆郵件系統,那麼也就具有外部郵件系統的功能。
可以移除多餘的外部郵件系統。
如果郵件系統對於營運非常重要的話,不論是內部郵件系統或外部郵件系統,都應該建置備援系統。
圖 16-8 DMZ 系統和內部網路系統的規劃圖
Web 站台
允許公眾存取的 Web 伺服器,也是架設在DMZ 網段內。
從圖 16-8 之中可以看到,架設在 DMZ 網段的應用程式伺服器。
許多Wen 站台依據使用者輸入的資料提供適當的網頁內容。這些使用者輸入的資訊,是透過呼叫資料庫加以處理。
資料庫可能內含敏感性資料,所以也不適合放在 DMZ 網段中。
Web 伺服器可以和資料庫伺服器溝通,但Web 伺服器卻允許外部使用者存取,因此也不能完全信任Web 伺服器。
利用應用程式伺服器做為居間的系統,並實際和後端資料庫伺服器溝通。
當 We 伺服器接受使用者輸入的資料,並將資料傳送給應用程式伺服器加以處理。
應用程式將接收的資料傳送給後端資料庫系統處理,再將取回處理過的資料回傳給 Web 伺服器,最後再由Web 伺服器對使用者提供結果。
雖然架構看起來有些複雜,但是可以用來確實保護資料庫伺服器,並減輕Web 伺服器的負擔。
一旦資料庫系統含有組織某些相當重要的敏感資訊時,或許也可以架設在其他防火牆的後端。在這種情況下,防火牆將會區隔敏感性資料庫和內部網路,因此也會提高某些存取限制。
允許外部存取的系統
所有允許外部存取的系統,都應該架設在 DMZ網段中。
如果允許透過互動式交談而存取的系統(例如telnet 或 SSH ),使用者也將具有攻擊其他DMZ 系統的能力。
這類系統應該架設在第二個 DMZ 網段中,以免其他 DMZ 系統遭到攻擊。
控制系統
外部 DNS 伺服器也應該架設在 DMZ 網段中。 如果組織計畫擁有自己的 DNS ,這部 DNS 伺
服器也必須接受外部使用者的查詢。 在組織的基礎建設之中, DNS 也是非常重要
的一個環節。 或許組織會選用 DNS 備援系統或是由 ISP代
管的 DNS 。如果組織選擇後者,那麼 ISP 的DNS 將會需要組織內部的 DNS執行分區轉送( zone transfer )。而且,這個動作也不應該由其他系統執行。
如果組織選擇架設 NTP ,應該將主要的 NTP地區伺服器架設在 DMZ 網段中。
內部系統都應該向主要的本地 NTP 伺服器查詢、更新系統的時間。
NTP 伺服器的另外一種解決方案就是 - 利用防火牆做為主要的 NTP 地區伺服器。
16-4-3 合適的 DMZ 架構
DMZ 架構的種類非常多。 若是以安全為前提,那麼每一種類型各有優缺點,而且每一個組織
也需要判斷最合適的架構。 最常見的三種架構如下:
路由器和防火牆 單一防火牆 雙防火牆
後續探討的每一種架構都含有防火牆,有關防火牆的詳細說明請參考第10 章的內容。
路由器和防火牆
圖 16-9 是簡單的路由器和防火牆架構。 路由器連結 ISP 和組織的外部網路,防火牆則做為內部系統的存取控管。
在這種架構之下 DMZ 成了外部網路,而且變成了可以從 Internet 存取的系統。
因為系統架設在外部網段中,因此也無法抵禦來自 Internet 的攻擊。
為求降低遭到侵害的風險,可以利用路由器的封包過濾器,所以也只有允許存取 DMZ 系統的流量才能進入 DMZ 網段。
另一種降低風險的方法,就是 DMZ 的每一部系統專門提供特定的服務類型。
例如: Web 伺服器只能提供各種網頁內容,同時也應該關閉 telnet 、 FTP 和其他服務。
Web 伺服器也應該修補到最近的等級並嚴密監視。
圖 16-9 防火牆和路由器的 DMZ 架構
在許多情況下, ISP擁有路由器並負責管理、維護。
如果是這樣的情況,組織就無法更換路由器也不能執行正確的組態設定。
千萬記得,通常都是採用命令的控制方式設定路由器,因此也必須依照正確的順序妥善設定過濾規則。
單一防火牆
一部防火牆就可以建立 DMZ 。採用單一防火牆的架構時,就會產生圖 16-10區隔 DMZ 和外部網路的架構。
外部網路是由 ISP 的路由器和防火牆提供防護,且由防火牆的第三組網路介面建立 DMZ 網段。
在這種架構下,防火牆擔負起存取 DMZ 的控管工作。
採用單一防火牆的架構時,所有的流量被迫必須更過防火牆。
防火牆必須設定成 - 只能允許存取每一部DMZ 系統提供服務的流量才能通過。
防火牆也可以提供允許/不允許通過的流量記錄。
防火牆成了單一故障環節,也可能成為流量的瓶頸。
如果可用性是整個架構最重要的安全問題,那麼防火牆也應該具有容錯的措施。
如果預料會產生大量的 DMZ 流量時,防火牆不但需要承受這些流量,也要處理通往內部網路的 Internet 流量。
只有單一防火牆的設計,且僅需設定允許/不允許通過的流量,所以在管理上會比前一種架構來得容易。
在這種架構下的路由器,可以不需要執行封包過濾的工作。
如果可以執行某些過濾動作時,會讓防火牆的負擔減輕並因而提高效率。
DMZ 系統也會受到防火牆的保護,因此也會降低安全的需求。
雖然並不是說 DMZ 系統一定會發生安全問題,只是建議 DMZ 可以受到防火牆的保護,而防火牆可以受到路由器的保護,並因而排除其他不必要的服務。
圖 16-10 單一防火牆 DMZ 架構
雙防火牆
這種架構是在內部網路和外部網路之間,架設一部用來保護 DMZ區段的防火牆。
外部網路仍然定義由 ISP 路由器和第一部防火牆組成的, DMZ則是移到兩部防火牆之間。
防火牆 1 設定成允許 DMZ 和內部網路所有的流量通過。
防火牆 2 的設定更為嚴謹,所以只能允許將流量外送到 Internet 。
圖 16-11 DMZ 第三種架構
如果 DMZ預期會有大量的流量時,防火牆 1需要具有處理大量流量的能力。
防火牆 2 可以是一部處理能力較差的系統,這是因為只有處理內部流量而已。
這兩部防火牆可以是不同類型的防火牆。 這種設計方式可能可以增進整體系統的安全性,
主要是因為兩部防火牆不太可能同時遭受到單一攻擊的侵害。
和單一防火牆的架構一樣, DMZ 也會受到防火牆的保護。
雙防火牆的架構除了增加成本上的負擔之外,也會增加額外的管理和組態設定。
為了進一步防護,也可以在每一部 DMZ 系統上安裝主機型防火牆或入侵偵測系統。如果採用這種作法時,即使一部 DMZ 系統遭到侵害,不過卻不會危及其他 DMZ 系統。
16-5 認識網路位址轉譯
只要任何組織計畫架設防火牆,就一定會牽涉到定址的問題。
定址並不如想像般地容易,而且如何適當地設定也是一個非常頭痛的問題。
主要問題點在於 - 網路位址已經不夠用。 目前採用『 .』標記法( xxx.yyy.zzz.aaa )的
32 位元網路位址,幾乎已經到了可用位址的上限。
ISP已經不願意給予客戶大量的 IP 位址。
大部分 ISP 只願意分配 16 或 32個位址(實際可以用位址僅剩下 14個或 30個,其餘兩個是用來做為廣播位址)。
大多數的組織都擁有超過 30 部以上的系統,那麼該怎麼辦?這個問題的解決方案就是網路位址轉譯( network address translation , NAT ,簡稱轉址)。
本節的內容如下: 16-5-1 什麼是轉址服務? 16-5-2 私人位址空間 16-5-3 靜態 NAT 16-5-4 動態 NAT
16-5-1 什麼是轉址服務?
NAT 是將一個位址轉譯成另一個位址。為什麼要採用這樣的作法?有什麼好處?
在大部分的網路中,防火牆通常都會執行 NAT功能。
如果必要的話,路由器也會利用這種功能。 在應用層房防火牆的原始設計中(詳見第 10
章),就已經含有執行 NAT 的能力。
一旦防火牆成了所有連線的末端,外部也只能看到防火牆使用的位址而已。
封包過濾型防火牆也具有這種能力,但是必須適當地設定防火牆。
由於外界無法看到內部系統使用的位址,所以 NAT 也可以提供部分安全的功能。因為如果看不到特定系統,也就無法定位和攻擊設定目標。
NAT無法提供完整的攻擊防護,因此也不應該犧牲其他安全措施。如果攻擊者位於組織範圍內,或透過如 VPN 、撥接連線等直接存取內部系統,那麼 NAT 也無法保護所有的系統。
16-5-2 私人位址空間
在瞭解 NAT 的概念之後,下一個步驟就是內部網路定址問題。
如果沒有適當地設定位址時,內部網路位址也會導致各種類型的路由問題。
RFC ( Request for Comment 的縮寫,這是Internet 標準) 1918 明確指出 - 什麼是私人網路空間。
這些位址僅限使用在具有執行 NAT 能力的防火牆內部網路。
RFC 更具體說明私人位址空間的範圍: 10.0.0.0 到 10.255.255.255 ( 10.0.0.0 使用 8
位元遮罩) 172.16.0.0 到 172.31.255.255 ( 172.16.0.0 使
用 12 位元遮罩) 192.168.0.0 到
192.168.255.255 ( 192.168.0.0 使用 16 位元遮罩)
使用這些位址可以讓組織在設計內部的定址計畫時,提供更大的彈性空間。
組織使用這些位址做為內部網路的位址時,可依據需求自由搭配完全沒有任何限制。
使用這些位址必須注意一件事情 - 任何位址都無法路由到Internet 上。
某些 ISP 會在內部網路使用私人位址空間。在這種情形下,可能會有某些使用私人位址空間的位址會回應 ping命令。如果 ISP 內部使用私人位址空間的位址, ISP 的內部網路路由到這些網路時,也不應該廣播到ISP 內部網路以外的區域,因此也不會影響組織內部所使用的位址。
如果嘗試『 ping』私人位址空間時,將會回傳含有『 network unreachable』訊息的封包。
16-5-3 靜態 NAT
組織使用私人位址空間架構網路,且希望 NAT允許 Internet 存取特定系統時,採用靜態 NAT架構即可達成目標。
靜態 NAT 會將外部網路的真實 IP 位址對應到DMZ 的設備上。
圖 16-12顯示轉換的過程。 也可以將真實 IP 位址對應到內部網路的設備,但是任何 Internet 可以存取的設備都應該架設在 DMZ 網段中。
為什麼還要使用 NAT ?直接將真實 IP 位址分配給 DMZ 的系統不就行了?
這樣會產生下列兩種問題: 需要兩組位址才能達成這個目標
ISP分配給組織的 30個位址再細分成子網路 防火牆使用部分 IP 位址,內部網路也使用部分 IP
位址位址。 如果希望在第二個 DMZ 架設某些系統時,就會需
要使用其他的位址。
圖 16-12 靜態 NAT 架構
並非所有的 DMZ 系統都需要使用真實的 IP 位址。
圖 16-8 的 DMZ區段含有應用程式伺服器。這部應用程式伺服器不需要提供 Internet 存取,這部設備只是要接收並處理 Web 伺服器傳來的資訊,並和內部資料庫伺服器產生互動即可。
靜態 NAT 是採用一對一單一組態設定。 每一部可以從 Internet 存取的設備來說,也只
需要使用一個位址即可。
靜態 NAT 適合用在 DMZ 的伺服器,不過卻不適用於桌上型用戶端系統。
16-5-4 動態 NAT
動態 NAT (著名的隱藏式 NAT )有別於靜態NAT ,也就是說許多內部 IP 位址對應到單一真實的 IP 位址(詳見圖 16-13 ),而不是採用一對一的對應方式。
最具代表性的就是 - 防火牆的外部位址使用真實的 IP 位址。
防火牆會追蹤連線,並為每一個連線開啟一個連接埠。
在實務上會造成一個限制: 動態 NAT 最多只能同時允許大約 64000個連線需求。 不過每一個桌上型系統在存取網站時,單一內部系統也
有可能開啟 32個左右的連線需求。 如果桌上型用戶端使用動態主機組態設定協定
( Dynamic Host Configuration Protocol , DHCP ),動態 NAT 會非常有用。
系統使用 DHCP 之後,系統啟動之後不見得都會使用相同的 IP 位址,因此靜態 NAT 也無法運作。
外界無法鎖定使用動態 NAT 的系統,這是因為防火牆會維護連接埠和內部系統的對應關係,而且這個對應關係隨時都會發生變動。
圖 16-13 動態 NAT 架構
16-6 設計合作夥伴網路
設計 Internet 架構的概念,也可適用於設計合作夥伴之間的網路。
由於合作夥伴的網路連結可以降低組織的成本,也就導致組織之間的網路連結快速地增加。
本節的內容如下: 16-6-1 使用合作夥伴網路 16-6-2 設定 16-6-3 定址問題
16-6-1 使用合作夥伴網路
建立合作夥伴網路的目地,通常都是為了交換特定的檔案或部分資料。
組織內部的特定系統,需要和另一個組織的特定系統相互溝通。並不表示組織可以毫無限制地存取另一個組織的網路。
如果兩個組織已經鏈結,並將風險管理套用在合作夥伴的網路上,也將會發現到風險確實存在。
當兩個組織連線之後,也就表示另一個組織的員工可以存取您的內部網路。
回想一下第 7 章談論的內容,也可以發現到客戶和供應商都是威脅起因。
16-6-2 設定
合作夥伴的安全需求和 Internet連線的安全需求相較之下,兩者之間只有一點些微的差異。
可以利用 Internet連線的需求來設計架構和法則。
應該確認的連線需求,且提供這些服務的設備應該架設在 DMZ 網段中。
如果防火牆資源非常充足時(詳見圖 16-14 ),雖然可以從防火牆建置專屬合作夥伴的 DMZ ,但合作夥伴的 DMZ 和 Internet連線畢竟仍有些不同之處。
從圖 16-14中可以看到,防火牆增加兩個用來處理合作夥伴的 DMZ ,以及合作夥伴網路的網路介面。
在防火牆的系統上,除了必須增加允許組織合作夥伴系統的規則,還要增加允許內部系統存取合作夥伴 DMZ 系統的規則。
任何規則都不應該允許組織合作夥伴的系統,可以和內部網路、 Internet DMZ 或 Internet 建立連線。
在許多情況下,防火牆必須明確地拒絕這些需求。
表 16-1顯示如何變更規則。
表 16-1 做為合作夥伴網路存取的 Internet防火牆規則
規則編號 來源 IP 目標 IP 服務 動作1 夥伴網路 夥伴 DMZ 適用於夥伴關係 允許2 夥伴網路 任何位址 任何位址 拒絕3 夥伴網路
的DMZ
夥伴網路 適用於夥伴關係 允許
4 任何位址 夥伴網路 任何位址 拒絕5 任何位址 Web伺服器 HTTP 允許6 任何位址 郵件伺服器 SMTP 允許7 郵件伺服
器任何位址 SMTP 允許
8 內部網路 任何位址 HTTP 、 HTTPS 、 FTP 、 telnet 、 SSH
允許
9 內部 DNS 任何位址 DNS 允許10 任何位址 任何位址
16-6-3 定址問題
在設計合作夥伴網路的時候,另一個需要注意的就是定址問題。
大部分組織都是使用私人位址空間,做為內部網路的定址計畫。
組織和合作夥伴可能使用相同的位址範圍。 如果沒有特別留意,可能兩個組織都會使用相
同的 10.x.x.x ,做為內部系統使用的 IP 位址。
若組織和合作夥伴建立連線時,為了避免發生這類問題,最好的方式就是利用 NAT 。
利用定義合作夥伴網路的轉譯原則,也可以將合作夥伴的網路納入組織的定址計畫中。
本節探討的內容,只是提供您避免發生某些問題而已。網路連線的定址問題和正確的路由相關資料非常多,礙於篇幅也只能提供讀者基本的概念。因此在建構互連網路的時候,也需要注意流量的問題,才不會產生新的安全問題。
專案實作 16 :建立 Internet 架構
本專案實作主要希望帶領讀者,逐步建立 Interent架構。對於此一實例的角色扮演上,您受雇於Widget Makers, Inc., ,發展適合組織的 Internet 架構。在 Internet連線方面, Widget Makers 提出下列需求: 必須建立可以提供公司商品資訊的 Web 伺服器。 以電子郵件做為客戶和合作夥伴的主要溝通機制。 辦公室員工可以使用 Internet 存取 Web 。 公司架設供零售商訂購商品的 Web 站台,必須和公司的 Web 站台區隔。
專案實作 16 :步驟
1.針對上述需求,確認需要透過 Internet 提供的服務。
2.確認會用來支援這個 Internet 架構的控制服務。
3.確認包含 ISP 數量在內的通訊架構。 4.確認適合用於這家公司的防火牆架構。那麼,
需要在防火牆安裝多少個網路介面? 5. 在設計過程中,定義每一個防火牆所需的規則。
6.確認位址數量以及內部系統的定址計畫。 7. 在完成設計之後,先假設這家公司無法負擔
整個設計所需的設備成本。首先應該移除哪些項目來降低成本?變更之後會如何影響整體的安全設計?而且,也別忘了考慮機密性、完整性、可用性和可說明性。
專案摘要
建立高可用性的需求,會快速地導引設計的方向。其中也會包含備援設備和兩個以上的 ISP 。
Web 和郵件伺服器應該架設在 DMZ 網段中。 和合作夥伴溝通的系統應該架設在 DMZ 網段中,或是架設在獨立的合作夥伴網路中。
設計的結果,可能非常需要非常高的建置費用。
如果組織可能無法負擔整個設計架構的成本時,可能可以移除某些備援系統。然而這樣的作法,將會影響整體設計的可用性。