Firewall -ын нэр томьёолол нь одоо ч гэсэн эргэлзээтэй
хэвээр байгаа. Proxies, packet filters, ‘stateful’ filters, hybrid approaches, fifth
generation firewalls болон үүнээс олон
нэршилүүд хэрэглэгчийн толгойг эргүүлж байна. Гэсэн хэдий ч цөөхөн хэдэн хүмүүс
л энэхүү олон технологиудын хоорондын харилцааг судалж сүлжээний аюулгүй байдлыг
дээд хэмжээд хүргэх аргыг судалдаг. Энэ аргыг meta-firewall гэнэ.
Firewall гэж юу вэ?
2 болон түүнээс олон сүлжээ
хоорондын траффикыг шүүх болон удирдах чадвартай төхөөрөмжыг firewall гэнэ. Орж ирж байгаа болон гарч байгаа 2 чиглэлд ажиллах
чадвартай. Энэ өгүүллэгд firewall гэдгээр найдвартай
сүлжээ болох ажлын болон дотоод сүлжээ, найдваргүй сүлжээ болох интернет орчин
2ын хооронд байрлах гарцын төхөөрөмжыг нэрлэнэ.
Зураг 01.
Хамгийн энгийн Firewall.
Firewall
router-ыг компаний сүлжээ болон интернет 2-ын хооронд байрлуулна. Firewall router нь
пакетыг шүүх чадвартай, ингэснээр зарим сервисд хандах хандалагыг хоригдож,
тодорхойлж өгсөн траффикыг зөвшөөрнө. Энэ арга нь single line of defense юм.
Firewall-ын гол үүрэг:
·
Хувийн мэдээлэл алдагдахаас сэргийлэх.
·
Хөнөөлтэй мэдээлэл орж ирэхээс хамгаалах.
·
Хөндлөнгийн халдагчаас хамгаалах.
·
Найдвартай сүлжээний хэрэглэгч хандалтыг хянах.
·
DOS халдалгаас
сэргийлэх.
Дүгнэн хэлэхэд Firewall нь дотоод нөөцийг гадны халдлагаас сэргийлэх болон
мэдээлэл алдагдах эрсдэлийг багасгах үүрэгтэй.
Ingress and egress:
Пакет нь зөвхөн 2 чиглэлт явдаг
– орж ирэх болон гарах чиглэл – үүнээс гадна хоёр хостын хоорондох холболт нь 2
төрөл байна – дотоод болон гадаад. Egress (гарч байгаа) траффик гэдэг нь дотоод (найдвартай) сүлжээнээс эхэлсэн холболтыг хэлнэ, ingress (орж ирч байгаа)
траффик
гэдэг нь firewall-ын интернеттэй
холбогдсон талаас (найдваргүй) гаралтай
холболтыг хэлнэ.
TCP/IP
хувьд ингрес трафик нь найдваргүй талаас гаралтай бөгөөд хамгийн анхны явж
байгаа трафик нь синхроны дарааллын дугаар (SYN) битийг агуулна. Хамгийн анхны
пакет холболтын чиглэлыг тодорхойлно.
Зохиомол бодлого.
Бодит үйл явдлыг судлах нь
аюулгүй байдлыг заахад тус болдог учир би зохиомол байгуулгатай танилцуулж
хэрхэн компаний сүлжээ болон интернетын хязгаарыг тогтооход юуг бодолцох ёстойг
харуулах болно.
Компаний үнэлгээ.
Тус компани нь яг одоогоор 2000
гаруу ажилчинтай. Үүнээс үүдэн аюулгүй байдалд занал хийлэх олон асуудал гарна.
Кредит картны дугаар, худалдан авалтын статистик, болон гэрээнүүд зэрэг олон
мэдээдлэл файл хэлбэрээр хэдэн мянган газар хадгалагдаж байна.
Чиг үүрэг тодорхойлолт.
Бидний
зохиомол компани нь дотоод сүлжээг ажиллуулах олон жилийн туршлагатай, гэвч
хэзээ ч аюулгүй байдлын шаардалагуудын талаар сонсож байгаагүй. Админууд нь
төрөл бүрийн authentication аргууд мэддэг учир
өөрсдийг хостын аюулгүй байдлын талаар сайн мэдлэгтэй гэж боддог. Статистикыг харж үзвэл аюулгүй байдалтай хамааралтай
асуудлуудын 80-аас их хувь нь дотоод асуудлаас (компаний дотоод
хэрэглэгчийн буруугаас) болж хэдэн файл
өгөгдлийн базаас усдсанг эс тооцвол өөр асуудал гараагүй. Тэр файлуудыг back-up policy тусламжтайгаар сэргээн авж чадсан.
Одоо
интернетэд холбогдох ёстой. Хийж чадах зүйлс нь:
·
Дотоод болон гадаад и-мейл. (Internal болон External)
·
Өөрсдийн Веб серверийг ашиглан компаний Веб-ыг
ажиллуулах.
·
Өөрсдийн хэрэглэгчид болон public
domain-д
файл share-лэх. Түүний тулд FTP сервер суурилуулах.
·
Үйлдвэрлэгчээс засварыг (patch) хурдан авах, FTP вебсайт руу хандаж чаддаг байх.
·
Веб сайтууд орох.
·
Хэрэглэгчид нь өөрсдийн захиалагын байдлыг шалгах. Энэхүү
мэдээлэл нь дотоод сүлжээнд байрлах SQL
database server дээр байрлана.
·
Одоог хүртэл зөвхөн IPX болон IP пакетууд компаний
сүлжээгээр дамжидаг. Дотоод (private) сүлжээний IP
хаягаар хаяглалт хийдэг. Аюулгүй байдлын
болон тохиромжтой байдлыг харгалзан үзэх хаяглалтыг өөрчлөхгүй байхаар шийдсэн.
Үүнээс болж сүлжээний хаяг хувиргалт шаардлагатай (Network address Translation),
·
Интернет орчинд Domain
Name Server (DNS) байхгүй бол юу ч хялбар ажилдаггүй.
Тийм учир Internet Service
Provider (ISP)-ын
миррорын
дэргэд суурилуулсан.
Зураг 2: Энгийн Proxy тохиргоо.
Техникийн тодорхойлолт.
Хамгийн чухал ажил нь дотоод хаягыг
интернет орчинд ашиглах боломжтой хаяг (албан ёсны)
рүү хөврүүлэх юм. “Жижиг болон энгийн байлга” гэдэг ойлголтыг дагна гэвэл
жирийн Linux
box-ыг ашиглаж болно. Хаяг нуух чадвартай tool
бөгөөд дотоод хаягыг ганцхан албан ёсны хаяг рүү хөрвүүлдэг. ipfawdm (IP
firewall administration) нэртэй tool нь хөрвүүлэлтээс
гадна пакетыг шүүх чадвартай – SYN, ACK (acknowledge), болон
TOS (type of
service) битүүдийн утгыг шалгаж түүнд харгалзах шүүлтүүрийн
дүрмийг хэрэгжүүлэх боломжтой.
IP хаягыг хөрвүүлэх
өөр нэг арга нь Proxy
ашиглах юм. Хоёр интерфейсын хооронд бие дааж байх
чадвартай болохоор пакетуудыг нэг сүлжээний адаптерээс нөгөөд хөтөлж аваачих (routed, forwarded)
хийх шаардлагагүй.
Түүний оронд аль аль талд 2 тусдаа холболт үүснэ.
Гэвч ихэнх proxy нь
хязгаарлагдмал чадвартай. Бүх протоколыг proxy-аар зохицуулахын тулд тодорхой
proxy application байх ёстой. Бидний компани нэмэлт сервис ашиглахгүй учир proxy нь
сайн сонголт юм.
Proxy server дээр authentication хийх.
Firewall-ын 2 техник нь (circuit-relays болон application түвшиний proxies)
хэрэглэгчийг authenticate хийх боломж олгодог. Ингэснээр audit (хэн
юунд нэвтэрсэн бас хэзээ), billing (тооцооллын
систем),
authorization болон мэдээллийн нууцлал (зөвхөн
сургалтанд суусан болон зөвшөөрөгдсөн хэрэглэгч ажлын зорилгоор интернетэд орох)
зэрэг олон нэмэлт зүйлийг хийх боломжтой болно.
Proxy
эсвэл circuit-relay-д authentication арга
ашиглавал систем илүү уян хатан болно. Нийтлэг шийдлүүдэд нэг удаагын пассворд (OTP)
ашиглан хэрэглэгчийг таниж болно. Kerberos, RADIUS,
TACACS, challenge-response mechanisms,
plaintext
passwords, X.509 зэрэг маш олон
байна. Бидний зохиомол компани нь proxy дээр authentication
ашиглахгүй байхаар шийдсэн.
Зураг 03. Энгийн Proxy тохиргоо №2.
Энгийн Proxy тохиргоо.
Зураг 02 дахь proxy
нь зураг 01 дахь Firewall-тай
адилхан үүрэгтэй. Пакетыг найдвартай сүлжээнд байгаа хэрэглэгчээс найдваргүй
сүлжээнд байгаа сервер рүү шууд явуулахын оронд, proxy нь
сервер рүү тустай холболт үүсгэнэ. Хэрэглэгч нь proxy руу
холболгдсон байгаа ч гэсэн сервертэй шууд холбогдсон гэж бодно.
Компанид HTTP-д
нэг proxy, FTP-д
нэг proxy,
болон SQLnet-д
нэг proxy
хэрэгтэй.
Үүнээс гадна proxy
хийж байгаа хост нь DNS
хүсэлт, zone шилжилт болон орж
ирж байгаа болон гарч байгаа и-мейлыг дамжуулах (relay) чаддаг
байх ёстой. Дотоод DNS
нь өөрийн домайнд primary, гадаад DNS-ын
forwarder
байхаар ажилна. Гэхдээ external DNS нь дотоод хаягийн IP-аас
нэр рүү хөрвүүлэлтийг хийхгүй байх ёстой. Компаний хэрэглэгчийн нэрний
хөрвүүлэлтийг дотоод DNS гүйцэтгэнэ.
Нэг том асуудал үлдэж байна. Веб болон
FTP
серверүүдийг хаана байрлуулах вэ? Хоёр сонголт байна: proxy дээр
байрлуулах эсвэл router
болон proxy server 2-ын дунд тустай
төхөөрөмж дээр байрлуулах. 2 дахь арга нь аюулгүй байдлын хувьд илүү сайн. Router нь
дотоод сүлжээнд пакет шүүж second line of defense үүсгэнэ.
Үүнийг зураг №3-т үзүүлэв.
Mail.
Компаний
сүлжээнээс мессеж илгээж байх үед SMTP
порт-д
холболгдсон дотоод mail серверийг ашиглана.
Цааш өөр протокол ашиглан дамжих хүртэл дотоод сервер дээр хадгалагдана. Мейл
явах дараалал: эхлээд дотоод mail сервертэй SMTP-ээр холболт үүснэ, дараа нь сервер мейлийг
destination хаяг руу proxy-г дамжин
илгээгдэнэ. Орж ирэх чиглэлтэй мейлүүд ойролцоо байдлаар ирнэ: гадаад DNS дээр Mail Exchanger тохируулсан байдал
учир бүх мейлын трафик интернетээс proxy-руу илгээгдэнэ,
дараа нь дотоод мейл сервер рүү forward
хийгдэнэ.
Дараа нь дотоод сүлжээнд мейлийг илгээнэ.
Information Services (Мэдээллийн сервис).
Веб болоно файл дамжуулах
трафикыг хянахад амархан. Компани сүлжээн доторх хэн ч хүссэн үедээ Веб болон FTP site-руу HTTP болон FTP proxy ажилан хандаж болно. Орж ирэх чиглэлтэй Веб трафик нь
илүү амархан. Интернетийн орчинд байгаа хүн бүр router
болон
proxy сервер 2-ын дунд байдаг demilitarized zone (DMZ)-д байрлах мэдээллийн сервер
байх мэдээлэл рүү хандаж болно. Гэхдээ зөвхөн мэдээллийн серверийн шаардлагатай
портууд нээлттэй байгаа үед боломжтой.
DNS.
Компаний сүлжээнд байгаа
хостууд дотоод DNS-ээс асууж нэрийг IP
хаяг
руу хөрвүүлнэ. Дотоод DNS нь тухайн zone-д primary болон caching DNS-ээр тохируулагдсан байна. Мэдэхгүй хүсэлт орж ирсэн үед
гадаад DNS рүү илгээх бөгөөд
гадаад DNS хариулах гэж
оролдоно. Proxy-ын хувьд мөн адил
IP хаягыг
хөрвүүлэх ёстой. Үүнийг гүйцэтгэхийн тулд дотоод DNS-ээс түрүүлж
асууна.
SQL.
Бидний зохиомол компани
хэрэглэгчид зориулж өгөгдлийн сангаас тодорхой хэмжээг ашиглан Веб хуудас
үүсгэдэг гэж өмнө ярилцсан. Веб сервер нь SQL
proxy-г
дамжин дотоод өгөгдлийн санд хандах ёстой гэсэн үг. Энэ хандалтыг зөвхөн нэг
чиглэлд зөвшөөрч өгч болно, тэгж тохируулсанаар орж ирж байгаа мейлтэй адилхан
болно.
Компани одоо юу
байгаа вэ? Эхний зүйл нь single point of
defense: компаний сүлжээний proxy болон (маш муу
хамгаалалттай) router. Proxy-ыг router хамгаалж болно. Энэ аргыг аюулгүй байдал чухал биш,
шаардлага багатай сайтын хувьд тохиромжтой. Proxy
дээр
олон сервис ажилах учир олон порт нээлтэй байх болно. Ингэснээр халдлагад өртөх
боломж нэмэгдэнэ.
Тийм бол сервисыг олон
төхөөрөмж-нд салгах эсвэл нэмэлт хамгаалалт (line
of defense) аргуудын аль нь дээр вэ? Эхний аргын хувьд системийн найдвартай байдал (reliability) болон хүртээмжтэй байдлыг
(availability) сайжруулна. Нэг төхөөрөмж
ажиллагаагүй болсон ч гэсэн бусад төхөөрөмж ажилна. Хоёр дахь арга нь ямар
технологи ашиглахаас шалтгаалж аюулгүй байдал сайжирна.
Тиймээс бидний компани (stateful) пакет шүүлтүүртэй, аюулгүй байдлын хувьд proxy-аас хамаарч ажиллах төхөөрөмжийг сонговол хамгийн
зүйтэй.
No comments:
Post a Comment