תצרות רשת ציברית ופרטית

[lompy]

שלום לכולם

אני זקוק להסבר ורצוי גם שירטוט (אם אפשר) על תצורת רשת בה יש לי רשת פרטית המחוברת לאינטרנט

ואני אסביר למה אני מכוון

נגיד שיש לי משרדים עם רשת פרטית ויש לי שם DATA BASE מקומי עכשיו אני רוצה לאפשר ללקוחות

לגשת עליו דרך האינטרנט.באפון כללי אני יודע שאני צריך (מין הסתם) ראוטר+פאירוול בנקודת היציאה מהאירגון שלי

לקשר את הרשת לשרת DATA BASE שימצא באינטרנט ויכיל תמונת מראה של ה DB שלי.

כשיוזר ירצה לקבל מידע מהמערכת שלי הוא יפנה לאתר מראה וזה יפנה ל DB האמיתי שיש לי באירגון

אודה למי שיכול לתת לי הסבר יותר מפורט ומדוייק ואיזה ציוד ואו תוכנה אני צריך

---עריכה----

נדמה לי שהמונח למה שאני מתאר זה intershop architecture

[pig_750]

קודם כל, איזה סוג של data base זה? והאם הוא מכיל מידע רגיש?

תצייר לי גם איך הרשת שלך בנויה כרגע, ותכתוב מה התקציב שלך.

[lompy]

זה סתם תאורטי בשביל עבודה

בו נגיד שה- DB מאד רגיש ויש לי רשת מקומית

עם פיררוול וראוטר שמחברים אותה לאינטרנט

עכשיו, עד כמה שהבנתי אני צריך שרת (או כמה שרתים) באינטרנט שיריץ IIS+פירוול+BACKOFFICE

הוא יקבל את השאילתות ויעביר בקשה למידע לשרת הDB ברשת המקומית

זה בערך מה שאני . אה ואד משהו אני לא יודע אם זה משנה אבל הDB יריץ אחד מהשלושה SQLSERVER,ORACLE,MYSQL

אם משהו יכול למצוא דיאגרמה או הסבר שמפורט בדיוק איזה רכיב נמצא איפה ומה מריץ כל שרת בדרך

אני אודה לו

[pig_750]

כהה אני הייתי בונה את זה:

הדבר הכי חשוב שלשרת IIS (וגם לשרת SQL ) יהיה את כל העידכוני אבטחה הנחוצים.

ואני ממליץ גם שתשתמש ב SSL , בשביל לוודא שיש חיבור "בטוח" בין ה client לשרת IIS .

ואם יש לך שרתי DNS ציבוריים או שרתי WEB אחרים, אני לא ממליץ לשים אותם באותו DMZ עם

השרת IIS שבסרטוט.

דרך אגב השרת WEB לא חייב להיות IIS .

[lompy]

תודה רבה,אבל אפשר קצת הסברים כי לא הבנתי את כל הראשי תיבות

מה זה DMZ NIDS ACL

ועוד שאלה אני לא זקוק לשני פיירוולים אחד לפני ה IIS ואחד לפני הכניסה לרשת המקומית[br]פורסם בתאריך: 21.01.2007 בשעה 18:30:25

---

מצטער על ההקפצה אבל מצאתי שרטוט שאני מבקש שתתיחס עליו

וקצת הסבר מה רואים שם

ולא ידעתי איך להוסיף אותו להודעה הקודמת

[attachment deleted by admin]

[pig_750]

טוב, אני אתחיל במונחים:

ACL : זה קיצור של Access control list וזה מונח שקשור להרבה תחומים באבטחת מידע. תחשוב על זה כאל רשימה שמגדירה

קרטריונים לגישה למשאב מסוים, במקרה הזה המשאב הזה זה הרשת שלך ובגלל שה ACL נמצא על הראוטר (כן, ה X המעפן אמור לסמל ראוטר),

הקרטריונים יהיו בשכבה 4 ו 3 (כתובת מקור/יעד, פורט מקור/יעד וכו'), אם זה נשמע לך מוכר אז כן זה סוג של פיירוול, זה עובד כמו packet filter

בלי stateful packet inspection , במילים אחרות Stateless firewall.

DMZ : זה אזור ברשת שלך שהוא לא חיצוני ולא פנימי, אתה בונה DMZ כשאתה רוצה לבודד אזור מסויים ברשת שלך, בדרך כלל זה שיש אליו

גישה מבחוץ, כי אם תשים לדוגמה את ה IIS בתוך הרשת הפנימית שלך והפורץ ישתלט על המכונה, בתאוריה תהיה לו גישה מלאה

ולא מנותרת לשרת הפנימית שלך, וזה לא דבר טוב. בנוסף לזה אם יש לך עוד שרת WEB או שרת SMTP או שרת FTP או שרת DNS וכו' והתוקף

משתלט על אחד מהם לא תהיה לו בעיה "להתפשט" כל עוד הוא באותה רשת, זה בדיוק מה ש DMZ עושה: הוא מונע את המצב שהם באותה רשת,

וזה גם יוצר מצב שיש לפחות פיירוול אחד בינהם (כלומר לפחות סט חוקים אחד שאתה אמור לציית לו). DMZ זה סך הכל interface

בפיירוול שמוגדר בצורה מסויימת, או זה גם יכול להיות אזור בין 2 פיירולים. דרך אגב יש 2 DMZ בסרטוט הזה הראשון מסומן בעיגול,

והשני נמצא בין הפיירוול לראוטר, ה DMZ השני נקרא DMZ "מלוכלך", בגלל שאין לנו פה באמת 2 פיירוולים יש לנו פיירוול אחד וראוטר עם ACL .

שכחתי להגיד גם שהרבה פעמים בכלל לא תהיה גישה מה DMZ לרשת הפנימית שלך.

NIDS : זה סוג של IDS (קיצור של Intrusion detection system ) , ו IDS זאת פשוט מערכת שאמורה (לנסות) לזהות נסיונות חדירה או

נסיון לבצע Denial of service, היא מזהה את זה (בדרך כלל) בעזרת אוסף חוקים מוגדר מראש. אפשר לחלק מערכות IDS ל 2 קבוצות ראשיות

network based IDS (או בקצרה NIDS ) ו host based IDS (שנקרא גם HIDS ). כמו שבטח הבנת HIDS מותקן על ה HOST/SERVER עצמו

ומנסה למתמקד במערכת כולה ולא רק במידע שהיא מקבלת/שולחת ברשת ו NIDS לעומת זאת "מקשיב על החוט". מערכת IDS בדרך כלל

מכילה לפחות 2 חלקים נפרדים ובדרך כלל 3, הראשון זה החיישנים שמקשיבים ומדווחים על אירועים (קצת מזכיר לי לפעמים את ה Agents

ב SNMP , אבל זאת השוואה די מחורבנת כשחושבים על זה...), השני זה החלק שאחראי על הניהול של החיישנים ונקרא הרבה פעמים "ה console",

החלק השלישי אחראי קבלת המידע מהחיישן ובדרך כלל שומר מידע ב data base מסויים, ולרוב הוא גם זה שאחראי על ניתוח המידע מול

החוקים שנקבעו מראש. לפעמים במערכות פשוטות החלק השני והשלישי הם אותו חלק, רוב המערכות IDS (שנתקלתי בהן) נבנו בצורה דומה, אבל

בתאוריה המערכת לא חייבת להיות בנוייה ככה, זה פשוט הכי הגיוני לבנות אותה ככה (אני חושב...).

עכשיו אם תביט חזרה בסרטוט תראה שהתכווני 2 חיישנים שמחוברים ל 2 מקומות שונים ברשת, הראשון ל DMZ והשני ל DMZ ה"מלוכלך".

פשוט הייתי עצלן לצייר 2 ריבועים...

הנושא של IDS הוא מאוד מאוד רחב ואני ממש רחוק מלהיות מומחה בו (ואפילו אני יכול לכתוב עוד כמה דפים בנושא), ההסבר המקוצר הזה בקושי מספיק

בשביל לתת מושג כללי על הנושא אז אני ממליץ שתעשה קצת מחקר בנושא, אגב יש המון ספרים ומאמרים טובים בנושא, תנסה לבדוק פה:

http://www.securityfocus.com/ids

ועוד דבר לפני שאני ישכח: אל תשכח לוודא שאין switch בין ה IIS לחיישן הראשון ושאין switch ביו החיישן השני לראוטר, כי אז החיישן הופך לעיוור.

ועוד שאלה אני לא זקוק לשני פיירוולים אחד לפני ה IIS ואחד לפני הכניסה לרשת המקומית

קודם כל בוא נחשוב על פיירוול כמסנן מידע שעובד לפי מערכת חוקים (מותר ואסור), ולא כ "מערכת קסם שתגן עלי מכל דבר".

עכשיו כשזה נאמר, הסיבה העיקרית (אבל לא תמיד היחידה) שנרצה פיירוול נוסף היא כי אנחנו רוצים סט חוקים שונה (או אפילו סוג שונה של חוקים)

לחלק שונה ברשת שלנו (כמו ה DMZ לדוגמה). אבל הנה הקטע המגניב: פיירוול מורכב ממספר interfaces (כמו ראוטר) וניתן (לא תמיד חייבים)

לבנות אוסף חוקים שונה לכל interface. לכן אם תסתכל על הסרטוט שוב ותתיחס ל interfaces של FW כמערכות חוקים נפרדות תראה שזה

לא מגביל אותך מבחינת חוקים. יש יתרון ל 2 פיירוולים במצב הזה כי יותר קל להגדיר את זה, יותר נכון יותר קשה לפשל עם הגדרת החוקים.

אבל יש גם חסרונות כמו יכולת מוגבלת להרחיב את ה DMZ ,לדוגמה אם אתה מתקין עוד שרת WEB לא תוכל לבודד אותו ב DMZ שונה

מהשרת שכבר יש לך (וזה לא דבר טוב, בעיקר מסיבה שהסברתי כשהסברתי לך על DMZ ), יש עוד סיבות בעד ונגד אבל זה לא שחור ולבן.

טוב אני ממש מת מעייפות אין לי אפילו כוח לקרוא אתת מה שאני כותב, אז אני אנסה להסביר לך על הסרטוט מחר כשאני יהיה בעבודה, אבל אם ההסבר

שנתתי פה היה מספיק ברור סביר להניח שתצליך להבין אותו לבד עד אז. בכל מקרה אני עף לישון

[lompy]

תודה רבה שהקדשת מזמנך וטרחת להסביר הסבר מפורט

הנושא בגדול די ברור לי עכשיו

אם יש לך מה להוסיף, אשמח