Perimeter mreže se koriste da izoluju servere i resurse i sa interne i sa internet mreže. U većini slučajeva, serveri kojima bi trebali da pristupaju internet klijenti postavljaju se u Perimeter mrežu iza Firewall-a. Ovi serveri će takođe biti odvojeni i od interne mreže Firewall-om. ISA Server 2004 je dizajniran kao Full-feautured (sadrži sve karakteristike) jakog Firewall-a koji pruža naprednu perimeter sigurnost. ISA Server omogućava konfiguraciju skoro svih Firewall pravila i perimeter mrežnih konfiguracija. Da bi uprostio implementaciju ISA Server-a kao Firewall-a, ISA Server 2004 nudi nekoliko mrežnih šablona. Ova lekcija opisuje kako se implementira perimeter mreža korišćenjem ISA Server 2004.
Šta je Perimeter mreža?
Perimeter mreža, takođe poznata kao DMZ (demilitarized zone), ili Screened subnet, je mreža koju setujemo odvojeno od interne mreže i interneta. Perimeter mreže omogućavaju eksternim korisnicima pristup određenim serverima koji se nalaze u Perimeter mreži dok je direktan pristup internoj mreži sprečen.
Perimeter mreže imaju sledeće karakteristike:
- Protected by one or more Firewalls - Perimeter mreže su odvojene od interneta jednim ili više Firewall-ova ili rutera. Perimeter mreža je obično odvojena od interne mreže Firewall-om. Firewall štiti servere u Perimeter mreži od korisnika sa interneta i filteriše saobraćaj između Perimeter mreže i interne mreže.
- Contain publicly accessible servers and services - Serveri u Perimeter mreži su obično pristupačni korisnicima na internetu. Tip servera i servisa koji se često nalaze u perimeter mreži uključuje VPN servere i klijente, RAS (Remote access servers) i klijente, Web servere, aplikacione Front-end servere, SMTP gateway servere i Proxy servere. Ovi serveri bi trebali da budu zaštićeni i konfigurisani da podržavaju samo specifične aplikacije, i sve ostale aplikacije i servise bi trebali da onemogućimo (disable).
- Must be accessible from the internet - Iz razloga što serveri koji se nalaze u Perimeter mreži moraju biti pristupačni klijentima koji se nalaze na internetu, Firewall koji štiti perimeter mrežu mora biti konfigurisan da propušta mrežni saobraćaj sa interneta. Ovaj saobraćaj treba da bude filterisan da bi se osiguralo da samo legitiman saobraćaj može da uđe u Perimeter mrežu. Iz razloga što će skoro sav saobraćaj putovati od interneta do Perimeter mreže, većina Firewall pravila bi trebalo konfigurisati da omogućavaju Inbound (dolazeći) saobraćaj.
- Require network connectivity to the internal network - Povremeno, kompjuteri u Perimeter mreži moraju da budu u mogućnosti da se konektuju na resurse u internoj mreži. Na primer, VPN ili RAS klijenti su se konektovali na VPN ili RAS server ali im je potreban pristup internoj mreži. SMTP server će morati da prosledi poruke internim e-mail serverima. Aplikacioni front-end server će možda morati da se poveže na Database server u internoj mreži. Takođe, često će korisnici iz interne mreže morati da se konektuju na servere u perimeter mreži. Ovo znači da ćemo morati da konfigurišemo pravila pristupa (access rules) na Firewall-u između perimeter mreže i interne mreže da bi omogućili potrebni mrežni saobraćaj.
- Require some level of Network protection - Serveri na Perimeter mreži moraju biti izolovani i sa internet mreže i sa interne mreže. Firewall-ovi sa obe strane Perimeter mreže ne bi trebali da prosleđuju (šalju) sav saobraćaj, već bi trebali da filterišu svaki saobraćaj u oba pravca. Samo zahtevani mrežni saobraćaj bi trebao da bude omogućen i poslat između mreža.
Zašto koristimo Perimeter mrežu
Perimeter mreže nude dodatni sloj (layer) mrežne sigurnosti tako što štite prustupačne servere od neautorizovanog pristupa.
Glavni razlog zbog kojeg koristimo perimeter mrežu je dodatni nivo sigurnosti. Perimeter mreža se najčešće koristi za izgradnju javno pristupačnih servera, kao što su e-mail serveri, Web Serveri, dok su privatni serveri koji nikada ne bi trebali da budu viđeni sa interneta locirani u internoj (privatnoj) mreži. Na ovaj način, čak i ako haker prodre u perimeter mrežu, samo Perimeter mrežni serveri će biti na udaru.
Serveri u perimeter mreži obično ne sadrže poverljive privatne podatke organizacije. Ovi podaci i klitične aplikacije se nalaze u internoj mreži. Implementacijom perimeter mreže, možemo da osiguramo dodatni nivo bezbednosti između interneta i internih servera.
Perimeter mreža se može iskoristiti za obezbeđivanje drugačijih konekcija u internu mrežu. Na primer, mnoge organizacije koriste mobilne klijente kao što su wireless uređaji ili mobilni telefoni za pristup informacijama koje se nalaze u internoj mreži kao što su e-mail serveri. Ovi uređaji mogu da naruše bezbednost. Jedan od načina smanjenja rizika korišćenja ovakvih konekcija je instalacija Wireless servera kojima bi trebalo da pristupaju ovi uređaji i postaviti ga u Perimeter mrežu i iskoristiti interni Firewall za filterisanje mrežnog saobraćaja koji se šalje od tih Wireless servera u internu mrežu. VPN klijenti mogu da se zaštite koristeći isti metod.
Konfiguracije Perimeter mreža
Dizajn zaštićene Perimeter mreže uključuje zaštitu interne mreže kao i zaštitu servera koji moraju biti pristupačni za korisnike na internetu.
Postoje tri opšta tipa konfiguracije Perimeter mreža:
- Bastion Host - U ovoj konfiguraciji, postoji samo jedan Firewall koji se nalazi između interneta i interne mreže. Bastion Host se ponaša kao glavna konekcija za kompjutere na internoj mreži koji pristupaju internetu. Kao Firewall, bastion host je dizajniran da brani od napada na internu mrežu. Bastion host koristi dva mrežna adaptera, jedan je povezan na Internu mrežu a drugi na internet. Ovakva konfiguracija fizički odvaja internu mrežu od potencijalnih uljeza sa interneta. Ipak, Bastion host je samo jedna linija odbrane između interne mreže i interneta.
- Three-legged configuration - Three-legged configuration kreira perimeter mrežu koja daje korisnicima na internetu ograničeni pristup mrežnim resursima na perimeter mreži dok u isto vreme sprečava neželjeni saobraćaj ka kompjuterima koji se nalaze u internoj mreži. Three-Legged konfiguracija koristi Firewall sa tri mrežna adaptera, jedan je konektovan na internu mrežu, drugi je konektovan na perimeter mrežu i treći na internet. Povremeno, serveri u Perimeter mreži imaju IP adrese koje su rutabilne na internetu (validne), tako da Firewall rutira saobraćaj ka Perimeter mreži. Firewall će sakriti i rutirati pakete ka perimeter mreži kao što je definisano u Firewall konfiguraciji. Ipak, Firewall kompjuter neće dozvoliti direktan pristup resursima koji se nalaze u internoj mreži. Mana Three-legged konfiguracije je, što postoji jedna tačka pristupa ka svim delovima mreže. U slučaju da nam padne Firewall, obe mreže i perimeter i interna mreža biće pod udarom.
- Back-to-back configuration - Ova konfiguracija perimeter mreže postavlja perimeter mrežu između dva Firewall-a. Dva Firewall-a su povezana na Perimeter mrežu s'tim što je jedan Firewall povezan na internet a drugi je povezan na internu mrežu. U ovakvoj konfiguraciji, ne postoji jedna tačka pristupa sa interneta ka internoj mreži. Da bi došao do interne mreže, haker će morati da prođe dva Firewall-a. U ovakvoj konfiguraciji perimeter mreže najčešće se koriste različiti proizvođači Firewall-ova. Ovakva dual-vendor (dva proizvođača) konfiguracija sprečava hakera koji je uspeo da eksploatiše jedan Firewall od lakog provaljivanja drugog Firewall-a.
Mrežni šabloni (Network Templates)
ISA Server 2004 može da se izgradi u bilo kojoj Perimeter mrežnoj konfiguraciji. Da bi uprostio izgradnju ISA Server nudi nekoliko mrežnih šablona koje možemo da iskoristimo za konfiguraciju Firewall polisa za saobraćaj između mreža.
ISA Server 2004 uključuje nekoliko šablona koje možemo da iskoristimo i konfigurišemo ISA Server na osnovu jednog ili više perimeter scenarija. Mrežni šabloni se nalaze u XML fajlu koji uključuje:
- Mreže i mrežne setove
- Mrežna pravila koja opisuju odnose između mreža i mrežnih setova
- Elemente pravila pristupa
- Pravila pristupa
Da bi postavili mrežni šablon, treba startovati odgovarajući Network Template Wizard. Kada startujemo čarobnjaka, možemo da izaberemo nivo pristupa koji će biti omogućen između mreža. Pravila pristupa koja su kreirana kroz čarobnjaka se odnose na nivo pristupa koji smo dodelili. Kada postavimo mrežni šablon, čarobnjak briše i menja trenutnu ISA Server konfiguraciju sa svim postavkama koji se nalaze u šablonu.
ISA Server 2004 nudi sledeće šablone:
- Edge Firewall - Ovaj šablon izigrava mrežnu topologiju sa ISA Server konfiguracijom kao Bastion Host.
- 3-Leg Perimeter - Ovaj šablon izigrava mrežnu topologiju sa ISA serverom konfigurisanim kao Firewall za 3-leg perimeter konfiguraciju.
- Front End - Ovaj šablon izigrava mrežnu topologiju sa ISA Serverom na ivici mreže, sa još jednim Firewall-om konfigurisanim kao Back-end koji štiti internu mrežu.
- Back-End - Ovaj šablon izigrava mrežnu topologiju sa ISA Serverom izgrađenim između Perimeter mreže i interne mreže, sa još jednim Firewall-om koji se nalazi između Perimeter mreže i interneta.
- Single Network adapter - Ovaj šablon izigrava konfiguraciju sa jednim mrežnim adapterom unutar Perimeter mreže ili unutar mreže organizacije. U ovoj konfiguraciji ISA server se koristi kao Web Proxy i Caching server.
Korišćenje Network Template Wizard-a
Jedan od šablona koji nudi ISA Server 2004 je Edge Firewall Template. Ovaj šablon postavlja ISA Server 2004 kao Firewall na ivici mreže, koji štiti mrežu od neautorizovanog pristupa, dok u isto vreme omogućava specifični pristup korisnicima u internu mrežu.
Kada postavimo Edge Firewall šablon, možemo da odredimo firewall access Policy koja najbolje odgovara potrebama organizacije. Sledeća tabela prikazuje listu Firewall Polisa koje su omogućene kada čekiramo Edge Firewall Network Template:
- Block all: Ova polisa blokira sav mrežni pristup kroz ISA Server. Ova opcija ne kreira nijedno pravilo pristupa osim default-nog pravila koje blokira sav pristup.
- Block Internet access, allow access to internet service provider (ISP) network services: Ova polisa blokira sav mrežni pristup kroz ISA Server osim pristupa eksternim mrežnim servisima kao što je DNS. Ova opcija je korisna kada nam naš ISP (Internet servis provajder) nudi servise.
- Allow limited Web access: Ova polisa dozvoljava ograničeni web pristup koristeći HTTP, HTTPS i FTP. Sav drugi mrežni pristup je blokiran.
- Allow limited Web access and access ti ISP network services: Ova polisa dozvoljava ograničeni web pristup koristeći HTTP, HTTPS w FTP i omogućava pristup ISP mrežnim servisima. Sav ostali mrežni pristup je blokiran.
- Allow unrestricted accessb: Ova polisa dozvoljava neograničen pristup internetu kroz ISA Server. ISA Server će sprečiti pristup od interneta ka zaštićenim mrežama.
