Компоненты и уровни безопасности

4.2.6 Политики для потоков данных

Если вернуться к разделу 4.2.3, "Границы зоны", одна из сформулированных нами основных политик заключалась в словах "по умолчанию препятствовать всему трафику, за исключением того, который требуется конкретно…". Это означает определение политик, в которых мы должны недвусмысленно перечислить все типы протоколов и использующих эти протоколы межзонных соединений, которые будут разрешены. Если соединение не указано в одной из последующих таблиц, оно не разрешено.

Разрешенные межзонные соединения были определены ранее в разделе 4.2.4, "Межзонное взаимодействие: политики для потоков данных". Сейчас мы перечислим наши политики в отношении соединений "данные приложения/порт" для следующих разрешенных межзонных соединений:

1. Интернет – прокси;
2. Прокси – интернет;
3. Прокси – доступ к данным;
4. Доступ к данным – прокси;
5. Доступ к данным – интранет;
6. Интранет – доступ к данным;
7. Доступ к данным – доступ к данным;
8. Доступ к данным – интернет;
9. Интранет – интернет.

В табл. 4.1 – 4.9 мы использовали общие условные обозначения относительно каждой из сторон брандмауэра границы зоны:

• H – фильтры определенных хостов (в фильтрах границ разрешены только сетевые адреса определенных хостов; все остальные блокированы);
• Х – сетевые фильтры (протокол разрешен по всей границе для всех сетевых адресов хостов, находящихся в зоне).

Рис. 4.10 является примером того, как интерпретировать записи таблицы, используя строку приложения "FTP" из табл. 4.1.

Рис. 4.10. Графическое описание элемента таблицы политик FTP между интернет- и прокси-зоной

Примечание. Последующие таблицы приведены только в качестве пояснения и могут не включать все моменты. Вы должны сами определить свои собственные политики, основанные на специфических требованиях к ведению бизнеса и безопасности.

1. Политики "интернет-зона – прокси-зона"

   Таблица 4.1. Потоки из интернет-зоны в прокси-зону (входящие)

   Приложение	Протокол	Порт	Интернет	Прокси	Комментарий
   HTTP	TCP	80	X	X	Должно быть поставлено препятствие для предотвращения доступа по порту 80 к хостам, не относящимся к инфраструктуре HTTP (DNS, SMTP и т. д.)
   HTTPS (SSL)	TCP	443	X	X	Должно быть поставлено препятствие для предотвращения доступа по порту 443 к хостам, не относящимся к основной инфраструктуре HTTP (DNS, SMTP и т. д.)
   FTP	TCP	20	X	H	Только для анонимных FTP-репозиториев
   FTP	TCP	21	X	H	Только для анонимных FTP-репозиториев
   DNS	UDP	53	X	H
   H – фильтры определенных хостов X – сетевые фильтры
2. Политики "прокси-зона – интернет-зона"

   Таблица 4.2. Потоки из прокси-зоны в интернет-зону (исходящие)

   Приложение	Протокол	Порт	Прокси	Интернет	Комментарий
   SMTP	TCP	25	H	X	Основные серверы (только хосты-ретрансляторы SMTP)
   DNS	UDP	53	X	X	Разрешает административные запросы DNS-серверов Интернета с любого DMZ-сервера
   HTTP	TCP	80	H	X	Ограничено до NAT-потоков, инициированных из зоны доступа к данным
   HTTPS (SSL)	TCP	443	H	X	Ограничено до NAT-потоков, инициированных из зоны доступа к данным
   H – фильтры определенных хостов X – сетевые фильтры
3. Политики "прокси-зона – зона доступа к данным"

   Таблица 4.3. Потоки из прокси-зоны в зону доступа к данным (входящие)

   Приложение	Протокол	Порт	Прокси	Доступ к данным	Комментарий
   HTTP	TCP	80	X	X	Прокси-соединения. Ограничивают доступ для разрешения доступа без аутентификации только к общественным данным
   SSL (HTTPS)	TCP	443	X	X	Прокси-соединения
   DNS	UDP	53	X	H	Все хосты в прокси-зоне должны быть способны разрешать адреса зоны доступа к данным в целях прокси
   LDAP (SSL)	TCP	636	X	H	Конфиденциальные данные: требуется взаимная аутентификация
   SMTP	TCP	25	H	H	Только основной сервер к основному серверу
   SNMP Trap	UDP	162	H	H	Ограничивают системные и сетевые "ловушки" (traps) к зоне доступа к данным
   NTP	UDP	123	H	H	Синхронизация с промежуточным источником в зоне доступа к данным
   TSM/ADSM Backups	TCP	1500/1501	X	H	Временное решение для резервного копирования конфигурационных файлов. В прокси-зоне практически нет данных для резервного копирования. Требуется для серверов прокси-зоны с двойной привязкой, которые должны назначать маршрут к зоне доступа к данным
   H – фильтры определенных хостов X – сетевые фильтры
4. Политики "зона доступа к данным – прокси-зона"

   Таблица 4.4. Потоки из зоны доступа к данным в прокси-зону (исходящие)

   Приложение	Протокол	Порт	Доступ к данным	Прокси	Комментарий
   SMTP	TCP	25	H	H	Основной сервер к основному серверу
   SSH	TCP	22	X	X	Безопасная регистрация&Передача файлов; Разрешает безопасную регистрацию (вход в систему) со всех хостов в зоне доступа к данным на всех хостах в прокси-зоне
   LDAP (SSL)	TCP	636	X	H	Конфиденциальные данные: требуется взаимная аутентификация
   DNS	UDP	53	X	H	Для административных/простых запросов по отношению к внешней DNS
   HTTP	TCP	80	X	H	NAT для адреса прокси-зоны на брандмауэре прокси/доступ к данным
   HTTPS (SSL)	TCP	443	X	H	NAT для адреса прокси-зоны на брандмауэре прокси/доступ к данным
   H – фильтры определенных хостов X – сетевые фильтры
5. Политики "зона доступа к данным – интранет-зона"

   Таблица 4.5. Потоки из зоны доступа к данным в интранет-зону (входящие)

   Приложение	Протокол	Порт	Доступ к данным	Интранет	Комментарий
   SMTP	TCP	25	H	H	Основной сервер – корпоративный почтовый ретранслятор/определенный IP-адрес
   DNS	UDP	53	H	H	DNS-ретранслятор, необходимый для предупреждения рекурсивных запросов
   NTP	UDP	123	H	H	Синхронизация с источником в интранете
   SNMP Trap	UDP	162	H	H	Доступ систем TMR/GW/Netview во внутренний хост Netview. Системные и сетевые "ловушки" (traps)
   Domino Replication	TCP	1352	X	X
   MQ Series	TCP	1414	H	H	Шифрование канала/общий ключ
   MQ (HACMP)	TCP	1415	H	H	Шифрование канала/общий ключ
   DB2 (JDBC - DPROPR)	TCP	37xx	H	H	Варианты 3700-371x на основе географии
   H – фильтры определенных хостов X – сетевые фильтры
6. Политики "интранет-зона – зона доступа к данным"

   Таблица 4.6. Потоки из интранет-зоны в зону доступа к данным (исходящие)

   Приложение	Протокол	Порт	Интранет	Доступ к данным	Комментарий
   FTP	TCP	20	X	H	Для подачи данных zOS/390
   FTP	TCP	21	X	H	Для подачи данных zOS/390
   DNS	UDP	53	X	H
   SNMP	UDP	161	H	H
   SNMP Trap	UDP	162	H	H
   LDAP	TCP	389	X	H	Неконфиденциальная информация
   DB2 Admin	TCP	523	X	H
   LDAP (SSL)	TCP	636	X	H	Конфиденциальные данные: требуется взаимная аутентификация
   Domino Replication	TCP	1352	X	X
   MQ Series	TCP	1414	X	H	Шифрование канала/общий ключ
   MQ (HACMP)	TCP	1415	X	H	Шифрование канала/общий ключ
   DB2 (JDBC - DPROPR)	TCP	37xx	X	H	Варианты 3700-3719
   net.commerce	TCP	4444	X	H
   ESM	TCP	5599,5600,5601	H	X	ESM Mgr к Agent Access 5599, используемый для обновлений ESM
   Tivoli	TCP	20001	H	H	dmproxy-решение
   H – фильтры определенных хостов X – сетевые фильтры
7. Политики "зона доступа к данным – зона доступа к данным"

   Таблица 4.7. Потоки из зоны доступа к данным в зону доступа к данным (сайт-сайт)

   Приложение	Протокол	Порт	Доступ к данным	Доступ к данным	Комментарий
   HTTP	TCP	80	X	X	Межсайтовое администрирование/XML (неконфиденциальные данные)
   HTTPS (SSL)	TCP	443	X	X	Межсайтовое администрирование/XML (конфиденциальные данные)
   LDAP	TCP	389	X	X	Оригинал и реплики (неконфиденциальные данные)
   LDAP (SSL)	TCP	636	X	X	Оригинал и реплики (конфиденциальные данные)
   Domino Replication	TCP	1352	X	X	Оригинал и реплики (неконфиденциальные данные)
   H – фильтры определенных хостов X – сетевые фильтры
8. Политики "зона доступа к данным – интернет-зона"

   Таблица 4.8. Потоки из зоны доступа к данным в интернет-зону (исходящие) – NAT/PAT

   Приложение	Протокол	Порт	Доступ к данным	Интернет	Комментарий
   HTTP	TCP	80	H	X	Через NAT/PAT на брандмауэр доступ к данным/прокси
   HTTPS (SSL)	TCP	443	H	X	Через NAT/PAT на брандмауэр доступ к данным/прокси
   H – фильтры определенных хостов X – сетевые фильтры
9. Политики "интранет-зона – интернет-зона"

   Политики для потоков данных между интранет-зоной и интернет-зоной являются службами данных, которые не представляют собой часть предусмотренного внешнего доступа к внутренним ресурсам, но используются для внутренних клиентов сети, осуществляющих доступ к внешним ресурсам. Как правило, в интранет-зоне существуют рабочие станции, которым необходим доступ к внешним серверам. Ваши политики могут сильно отличаться от тех, которые мы используем внутри компании IBM. К примеру, некоторые организации разрешают только HTTP-соединения из своих интранет-зон в прокси-зоны, в которых находится пересылающий HTTP-прокси. В этом случае соединение по портам 80 и 443 с ресурсом в интернет-зоне будет разрешено только пересылающему HTTP-прокси.

   Табл. 4.9 допускает предположение, что не существует требования к наличию пересылающего прокси. Отметьте также, что этим потоком будет пересекаться не единственный брандмауэр и, таким образом, упомянутые интерфейсы брандмауэра не находятся на одном и том же брандмауэре.

   Таблица 4.9. Потоки из интранет-зоны к интернет-зоне (исходящие)

   Приложение	Протокол	Порт	Интранет	Интернет	Комментарий
   SMTP	TCP	25	X	X	Корпоративный доступ к SMTP-ресурсам Интернета
   DNS	UDP	53	X	X	Корпоративный доступ к публичной DNS Интернета
   HTTP	TCP	80	X	X	Корпоративный доступ к Web-ресурсам Интернета
   HTTPS	TCP	443	X	X	Корпоративный доступ к Web-ресурсам Интернета
   H – фильтры определенных хостов X – сетевые фильтры