Архитектура интернета

Внешний доступ к внутренним системам

Внешний доступ к внутренним системам с секретными данными всегда является очень тонким вопросом безопасности для сотрудников, связанных с обеспечением безопасности и поддержки сети. Под внутренними системами в данном случае подразумеваются системы, главным образом используемые для внутренней обработки данных. Это не те системы, которые предназначены только для внешнего доступа, как, например, веб-серверы и почтовые серверы.

Внешний доступ можно разделить на две разновидности: доступ сотрудников (как правило, из удаленных мест расположения для выполнения должностных обязанностей) и доступ лиц, не являющихся сотрудниками организации. Доступ сотрудников ко внутренним системам из удаленных местоположений, как правило, осуществляется посредством использования виртуальной частной сети (VPN) через интернет (см. "Виртуальные частные сети" ), коммутируемых телефонных линий для реализации удаленного доступа к серверу либо арендуемого канала связи. Выбор метода такого соединения влияет на архитектуру сети интернет в организации. Гораздо большее влияние на нее будет оказано в том случае, если внешним организациям потребуется доступ ко внутренним системам рассматриваемой организации. Внешний доступ может осуществляться посредством использования VPN, коммутируемых телефонных линий, арендуемых каналов либо посредством прямого нешифруемого доступа (например, telnet) через интернет, в зависимости от цели соединения.

Внимание!

Нешифруемый доступ через интернет осуществлять не рекомендуется; тем не менее, некоторые деловые соглашения могут предусматривать такой тип доступа. В данном случае необходимо предпринять все усилия для того, чтобы внутренние системы, к которым осуществляется доступ, были расположены вне внутренней сети - в некоторой сети с ограниченным доступом (см. раздел "Конструирование демилитаризованной зоны" далее в этой лекции).

Службы контроля

Для безошибочного функционирования сети и интернет-соединения необходимо использовать определенные службы. Разрешение или запрет на использование этих служб зависит от политики организации.

DNS

Служба Domain Name Service (DNS) используется для разрешения системных имен и их преобразования в IP-адреса. Без этой функции внутренние пользователи не смогут осуществлять обработку адресов веб-сайтов, и, таким образом, интернет станет для них бесполезным. Как правило, внутренние системы запрашивают разрешение во внутренней службе DNS всех адресов. Внутренняя служба DNS может запросить DNS на провайдере для обработки внешних адресов. Остальные внутренние системы не запрашивают внешние DNS-системы.

DNS работает также и с внешними пользователями, которым требуется доступ к вашему веб-сайту. Для этого в организации или у провайдера DNS должна быть в наличии. Выбор одного из вариантов хостинга DNS влияет на архитектуру сети интернет. Если вы выберете хостинг своей собственной DNS, то эта система должна быть расположена отдельно от внутренней DNS. Внутренние системы не должны быть включены во внешние DNS (иначе называется совмещенная DNS).

ICMP

Еще одной службой контроля, поддерживающей функционирование сети, является протокол Internet Control Message Protocol (ICMP). ICMP предоставляет такие службы, как ping (используется для выяснения того, в рабочем ли состоянии находится система). Помимо ping ICMP генерирует сообщения "Сеть и узел недоступны" и "Время жизни пакета истекло". Эти сообщения помогают обеспечить эффективную работу в сети.

Примечание

Данные службы можно запретить или заблокировать, что влияет на функционирование сети. Например, если удаленный веб-сервер недоступен, и внутренний пользователь пытается осуществить к нему доступ, в ответ на запрос доступа будет отправлено сообщение "Узел ICMP недоступен". Если ICMP заблокирована во внутренней сети, пользователю придется ждать, пока истечет интервал ожидания в браузере, т.к. сообщение "Страница не найдена" не будет получено сразу.

NTP

Служба NTP (Network Time Protocol) используется для синхронизации времени между различными системами. В интернете есть сайты, являющиеся источниками точного времени. Если использовать эту службу, то одна из систем рассматриваемого сайта должна являться основным локальным источником времени, и только этой системе разрешается соединение через интернет с NTP. Все остальные внутренние системы должны синхронизировать свое время с использованием локального источника времени.

Какие службы не следует предоставлять

Архитектура интернета должна реализовываться так, чтобы соответствовать необходимым для работы службам. Службы, не являющиеся необходимыми, предоставляться не должны. При создании архитектуры сети интернет не следует разрешать использование ряда служб, обуславливающих значительную степень риска.

Ниже приведен их список.