Perimeter mreže se koriste da izoluju servere i resurse i sa interne i sa internet mreže. U većini slučajeva, serveri kojima bi trebalo da pristupaju Internet klijenti postavljaju se u Perimeter mrežu iza Firewall-a. Ovi serveri će takođe biti odvojeni i od interne mreže Firewall-om. ISA Server 2004 je dizajniran kao Full-feautured (sadrži sve karakteristike) jakog Firewall-a koji pruža naprednu Perimeter sigurnost. ISA Server Omogućava konfiguraciju skoro svih Firewall pravila i Perimeter mrežnih konfiguracija. Da bi uprostio implementaciju ISA Server-a kao Firewall-a, ISA Server 2004 nudi nekoliko mrežnih šablona.
U ovoj lekciji će biti opisano kako se implementira Perimeter mreža korišćenjem ISA Server 2004.
Šta je Perimeter mreža?
Perimeter mreža, takođe poznata kao DMZ (Demilitarized Zone) ili Screened Subnet, je mreža koju setujemo odvojeno od interne mreže i Interneta. Perimeter mreže omogućavaju eksternim korisnicima pristup određenim serverima koji se nalaze u Perimeter mreži dok je direktan pristup internoj mreži sprečen.
Perimeter mreže imaju sledeće karakteristike:
- Protected by one or more Firewalls. Perimeter mreže su odvojene od Interneta jednim ili više Firewall-ova ili rutera. Perimeter mreža je obično odvojena od interne mreže Firewall-om. Firewall štiti servere u Perimeter mreži od korisnika sa Interneta i filtrira saobraćaj između Perimeter mreže i interne mreže.
- Contain publicly accessible servers and services. Serveri u Perimeter mreži su obično pristupačni korisnicima na Internetu. Tip servera i servisa koji se često nalaze u perimeter mreži uključuje VPN servere i klijente, RAS (Remote Access Servers) i klijente, Web servere, Aplikacione Front-end servere, SMTP gateway servere i Proxy servere. Ovi serveri bi trebalo da budu zaštićeni i konfigurisani da podržavaju samo specifične aplikacije,a sve ostale aplikacije i servise bi trebalo da onemogućimo (Disable).
- Must be accessible from the internet. Iz razloga što serveri koji se nalaze u Perimeter mreži moraju biti pristupačni klijentima koji se nalaze na internetu, Firewall koji štiti Perimeter mrežu mora biti konfigurisan da propušta mrežni saobraćaj sa Interneta. Ovaj saobraćaj treba da bude filtriran da bi se osiguralo da samo legitiman saobraćaj može da uđe u Perimeter mrežu. Iz razloga što će skoro sav saobraćaj putovati od Interneta do Perimeter mreže, većina Firewall pravila bi trebalo konfigurisati da omogućavaju dolazeći saobraćaj (Inbound).
- Require network connectivity to the internal network. Povremeno, kompjuteri u Perimeter mreži moraju da budu u mogućnosti da se konektuju na resurse u Internoj mreži. Na primer, VPN ili RAS klijenti su se konektovali na VPN ili RAS server, ali im je potreban pristup internoj mreži. SMTP server će morati da prosledi poruke internim e-mail serverima. Aplikacioni Front-end server će možda morati da se poveže na Database server u Internoj mreži. Takođe, često će korisnici iz Interne mreže morati da se konektuju na servere u Perimeter mreži. Ovo znači da ćemo morati da konfigurišemo pravila pristupa (Access Rules) na Firewall-u između Perimeter mreže i interne mreže da bismo omogućili potrebni mrežni saobraćaj.
- Require some level of Network protection. Serveri na Perimeter mreži moraju biti izolovani i sa Internet mreže i sa interne mreže. Firewall-ovi sa obe strane Perimeter mreže ne bi trebalo da prosleđuju sav saobraćaj, već bi trebalo da filtriraju svaki saobraćaj u oba pravca. Samo zahtevani mrežni saobraćaj bi trebalo da bude omogućen i poslat između mreža.
Zašto koristimo Perimeter mrežu
Perimeter mreže nude dodatni sloj (Layer) mrežne sigurnosti tako što štite pristupačne servere od neautorizovanog pristupa.
Glavni razlog zbog kog koristimo Perimeter mrežu je dodatni nivo sigurnosti. Perimeter mreža se najčešće koristi za izgradnju javno pristupačnih servera, kao što su E-mail serveri, Web Serveri, dok su privatni serveri koji nikada ne bi trebalo da budu viđeni sa Interneta, locirani u internoj (privatnoj) mreži. Na ovaj način, čak i ako haker prodre u Perimeter mrežu, samo Perimeter mrežni serveri će biti na udaru.
Serveri u Perimeter mreži obično ne sadrže poverljive privatne podatke organizacije. Ovi podaci i kritične aplikacije se nalaze u internoj mreži. Implementacijom Perimeter mreže, možemo da osiguramo dodatni nivo bezbednosti između Interneta i internih servera.
Perimeter mreža se može iskoristiti za obezbeđivanje drugačijih konekcija u internu mrežu. Na primer, mnoge organizacije koriste mobilne klijente kao što su bežični uređaji ili mobilni telefoni za pristup informacijama koje se nalaze u internoj mreži (npr. e-mail serveri). Ovi uređaji mogu da naruše bezbednost. Jedan od načina smanjenja rizika korišćenja ovakvih konekcija je instalacija Wireless servera kojima bi trebalo da pristupaju ovi uređaji i postaviti ga u Perimeter mrežu i iskoristiti interni Firewall za filtriranje mrežnog saobraćaja koji se šalje od tih Wireless servera u internu mrežu. VPN klijenti mogu da se zaštite koristeći istu metodu.
Konfiguracije Perimeter mreža
Dizajn zaštićene Perimeter mreže uključuje zaštitu interne mreže kao i zaštitu servera koji moraju biti pristupačni za korisnike na internetu.
Postoje tri opšta tipa konfiguracije Perimeter mreža:
- Bastion Host - U ovoj konfiguraciji, postoji samo jedan Firewall koji se nalazi između Interneta i interne mreže. Bastion Host se ponaša kao glavna konekcija za kompjutere na internoj mreži koji pristupaju Internetu. Kao Firewall, Bastion Host je dizajniran da brani od napada na internu mrežu. Bastion host koristi dva mrežna adaptera, jedan je povezan na internu mrežu, a drugi na Internet. Ovakva konfiguracija fizički odvaja internu mrežu od potencijalnih uljeza sa Interneta. Ipak, Bastion host je samo jedna linija odbrane između interne mreže i interneta.
- Three-legged Configuration - Three-legged Configuration kreira Perimeter mrežu koja daje korisnicima na Internetu ograničeni pristup mrežnim resursima na Perimeter mreži dok u isto vreme sprečava neželjeni saobraćaj ka kompjuterima koji se nalaze u internoj mreži. Three-Legged konfiguracija koristi Firewall sa tri mrežna adaptera, jedan je konektovan na internu mrežu, drugi je konektovan na Perimeter mrežu i treći na Internet. Povremeno, serveri u Perimeter mreži imaju IP adrese koje su rutabilne na Internetu (validne), tako da Firewall rutira saobraćaj ka Perimeter mreži. Firewall će sakriti i rutirati pakete ka Perimeter mreži kao što je definisano u Firewall konfiguraciji. Ipak, Firewall kompjuter neće dozvoliti direktan pristup resursima koji se nalaze u internoj mreži. Mana Three-Legged konfiguracije je, što postoji jedna tačka pristupa ka svim delovima mreže. U slučaju da nam padne Firewall, obe mreže i Perimeter i interna mreža biće pod udarom.
- Back-to-back configuration - Ova konfiguracija Perimeter mreže postavlja Perimeter mrežu između dva Firewall-a. Dva Firewall-a su povezana na Perimeter mrežu s tim što je jedan Firewall povezan na Internet a drugi je povezan na internu mrežu. U ovakvoj konfiguraciji, ne postoji jedna tačka pristupa sa Interneta ka internoj mreži. Da bi došao do interne mreže, haker će morati da prođe dva Firewall-a. U ovakvoj konfiguraciji Perimeter mreže najčešće se koriste različiti proizvođači Firewall-ova. Ovakva Dual-Vendor (dva proizvođača) konfiguracija sprečava hakera koji je uspeo da eksploatiše jedan Firewall, od lakog provaljivanja drugog Firewall-a.
Mrežni šabloni (Network Templates)
Isa Server 2004 može da se izgradi u bilo kojoj Perimeter mrežnoj konfiguraciji. Da bi uprostio izgradnju ISA Server nudi nekoliko mrežnih šablona koje možemo da iskoristimo za konfiguraciju Firewall polisa za saobraćaj između mreža.
ISA Server 2004 uključuje nekoliko šablona koje možemo da iskoristimo i konfigurišemo ISA Server na osnovu jednog ili više Perimeter scenarija. Mrežni šabloni se nalaze u XML fajlu koji uključuje:
- Mreže i mrežne setove
- Mrežna pravila koja opisuju odnose između mreža i mrežnih setova
- Elemente pravila pristupa
- Pravila pristupa
Da bismo postavili mrežni šablon, treba startovati odgovarajući Network Template Wizard. Kada startujemo čarobnjaka, možemo da izaberemo nivo pristupa koji će biti omogućen između mreža. Pravila pristupa koja su kreirana kroz čarobnjaka se odnose na nivo pristupa koji smo dodelili. Kada postavimo mrežni šablon, čarobnjak briše i menja trenutnu ISA Server konfiguraciju sa svim postavkama koja se nalaze u šablonu.
ISA Server 2004 nudi sledeće šablone:
- Edge Firewall - Ovaj šablon oponaša mrežnu topologiju sa ISA konfiguracijom servera kao Bastion Host.
- 3-Leg Perimeter - Ovaj šablon oponaša mrežnu topologiju sa ISA serverom konfigurisanim kao Firewall za 3-Leg Perimeter konfiguracijom.
- Front End - Ovaj šablon oponaša mrežnu topologiju sa ISA serverom na ivici mreže, sa još jednim Firewall-om konfigurisanim kao Back-end koji štiti internu mrežu.
- Back-End - Ovaj šablon oponaša mrežnu topologiju sa ISA serverom izgrađenim između Perimeter mreže i interne mreže, sa još jednim Firewall-om koji se nalazi između Perimeter mreže i interneta.
- Single Network adapter - Ovaj šablon oponaša konfiguraciju sa jednim mrežnim adapterom unutar Perimeter mreže ili unutar mrežne organizacije. U ovoj konfiguraciji ISA server se koristi kao Web Proxy i Caching server.
Korišćenje Network Template Wizard-a
Jedan od šablona koji nudi ISA Server 2004 je Edge Firewall Template. Ovaj šablon postavlja ISA Server 2004 kao Firewall na ivici mreže, koji štiti mrežu od neautorizovanog pristupa dok u isto vreme omogućava specifični pristup korisnicima ka internoj mrežu.
Kada postavimo Edge Firewall šablon, možemo da odredimo Firewall Access Policy koja najbolje odgovara potrebama organizacije.
