Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 16:

Архитектура интернета

Внешний доступ к внутренним системам

Внешний доступ к внутренним системам с секретными данными всегда является очень тонким вопросом безопасности для сотрудников, связанных с обеспечением безопасности и поддержки сети. Под внутренними системами в данном случае подразумеваются системы, главным образом используемые для внутренней обработки данных. Это не те системы, которые предназначены только для внешнего доступа, как, например, веб-серверы и почтовые серверы.

Внешний доступ можно разделить на две разновидности: доступ сотрудников (как правило, из удаленных мест расположения для выполнения должностных обязанностей) и доступ лиц, не являющихся сотрудниками организации. Доступ сотрудников ко внутренним системам из удаленных местоположений, как правило, осуществляется посредством использования виртуальной частной сети (VPN) через интернет (см. "Виртуальные частные сети" ), коммутируемых телефонных линий для реализации удаленного доступа к серверу либо арендуемого канала связи. Выбор метода такого соединения влияет на архитектуру сети интернет в организации. Гораздо большее влияние на нее будет оказано в том случае, если внешним организациям потребуется доступ ко внутренним системам рассматриваемой организации. Внешний доступ может осуществляться посредством использования VPN, коммутируемых телефонных линий, арендуемых каналов либо посредством прямого нешифруемого доступа (например, telnet) через интернет, в зависимости от цели соединения.

Внимание!

Нешифруемый доступ через интернет осуществлять не рекомендуется; тем не менее, некоторые деловые соглашения могут предусматривать такой тип доступа. В данном случае необходимо предпринять все усилия для того, чтобы внутренние системы, к которым осуществляется доступ, были расположены вне внутренней сети - в некоторой сети с ограниченным доступом (см. раздел "Конструирование демилитаризованной зоны" далее в этой лекции).

Службы контроля

Для безошибочного функционирования сети и интернет-соединения необходимо использовать определенные службы. Разрешение или запрет на использование этих служб зависит от политики организации.

DNS

Служба Domain Name Service (DNS) используется для разрешения системных имен и их преобразования в IP-адреса. Без этой функции внутренние пользователи не смогут осуществлять обработку адресов веб-сайтов, и, таким образом, интернет станет для них бесполезным. Как правило, внутренние системы запрашивают разрешение во внутренней службе DNS всех адресов. Внутренняя служба DNS может запросить DNS на провайдере для обработки внешних адресов. Остальные внутренние системы не запрашивают внешние DNS-системы.

DNS работает также и с внешними пользователями, которым требуется доступ к вашему веб-сайту. Для этого в организации или у провайдера DNS должна быть в наличии. Выбор одного из вариантов хостинга DNS влияет на архитектуру сети интернет. Если вы выберете хостинг своей собственной DNS, то эта система должна быть расположена отдельно от внутренней DNS. Внутренние системы не должны быть включены во внешние DNS (иначе называется совмещенная DNS).

ICMP

Еще одной службой контроля, поддерживающей функционирование сети, является протокол Internet Control Message Protocol (ICMP). ICMP предоставляет такие службы, как ping (используется для выяснения того, в рабочем ли состоянии находится система). Помимо ping ICMP генерирует сообщения "Сеть и узел недоступны" и "Время жизни пакета истекло". Эти сообщения помогают обеспечить эффективную работу в сети.

Примечание

Данные службы можно запретить или заблокировать, что влияет на функционирование сети. Например, если удаленный веб-сервер недоступен, и внутренний пользователь пытается осуществить к нему доступ, в ответ на запрос доступа будет отправлено сообщение "Узел ICMP недоступен". Если ICMP заблокирована во внутренней сети, пользователю придется ждать, пока истечет интервал ожидания в браузере, т.к. сообщение "Страница не найдена" не будет получено сразу.

NTP

Служба NTP (Network Time Protocol) используется для синхронизации времени между различными системами. В интернете есть сайты, являющиеся источниками точного времени. Если использовать эту службу, то одна из систем рассматриваемого сайта должна являться основным локальным источником времени, и только этой системе разрешается соединение через интернет с NTP. Все остальные внутренние системы должны синхронизировать свое время с использованием локального источника времени.

Какие службы не следует предоставлять

Архитектура интернета должна реализовываться так, чтобы соответствовать необходимым для работы службам. Службы, не являющиеся необходимыми, предоставляться не должны. При создании архитектуры сети интернет не следует разрешать использование ряда служб, обуславливающих значительную степень риска.

Ниже приведен их список.

Служба Описание
Службы NetBIOS (порты 135, 137, 138 и 139) Используется системами Windows для предоставления общего доступа к файлам и выполнения удаленных команд.
Unix RPC (порт 111) Используется системами Unix для удаленного вызова процедур.
NFS (порт 2049) Используется для работы Network File Services (NFS).
X (порты 6000-6100) Используется для удаленных сеансов X Window System.
Службы "r" (rlogin порт 513, rsh порт 514, rexec порт 512) Позволяет осуществлять удаленное взаимодействие с системой без использования пароля.
Telnet (порт 23) Не рекомендуется, так как пользовательский идентификатор и пароль передаются в открытом виде через интернет и могут быть перехвачены. Если необходимо разрешить интерактивный сеанс, рекомендуется использовать SSH при работе через telnet.
FTP (порт 21 и 20) Не рекомендуется по той же причине, что и telnet. Если данная возможность требуется, то передачу файлов можно осуществлять через SSH.
TFTP (Trivial FileTransfer Protocol)(порт 69) Аналогична FTP, однако не требует идентификаторов и паролей пользователей для доступа к файлам.
NetMeeting Потенциально представляет опасность, так как требует открытия верхних портов для правильной работы. Вместо того чтобы открывать эти порты, следует использовать H.323 proxy.
Remote Control Protocols (Протоколы удаленного контроля) Включают программы типа PC Anywhere и VNC. Если эти протоколы необходимы для разрешения контроля удаленными пользователями внутренних систем, они должны использоваться через VPN.
SNMP (Simple Network Management Protocol)(порт 169) Используется для управления сетью организации, однако не рекомендуется применять ее с удаленного сайта для управления внутренними системами сети.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan