Сегодня Wi-Fi прочно занял свое место в нашей жизни, превратившись из новой технологии в повседневность. Зайдя выпить кофе в кафе или присев на лавочку в сквере многие начинают искать ближайшую точку доступа, нисколько не задумываясь о вопросах безопасности. Практика показала, что слабое представление об угрозах в беспроводных сетях имеют не только пользователи, но и многие администраторы, подвергая серьезным рискам корпоративные системы.

Почему именно Wi-Fi? Чем данная технология так привлекательна для злоумышленника? Чтобы ответить на этот вопрос, вспомним как работают проводные сети. Основу современных сетей составляют коммутаторы (свичи, switch), которые отправляют пакеты только на порт получателя исключая доступ к ним других хостов.

Чтобы осуществить перехват чужого трафика злоумышленник должен не только физически подключиться к сети, что само по себе проблематично, но и включиться в цепь передачи пакетов. Если даже злоумышленник подключится в свободный порт коммутатора, то перехватить или прослушать чужой трафик он не сможет. Чтобы осуществить такую атаку нужно иметь физический доступ к сетевому оборудованию и административные права, что делает ее практически невозможной.

Примечание. Мы сознательно не рассматриваем ситуации с внедрением в периметр сети разного рода вредоносного ПО, получению несанкционированного доступа к активному сетевому оборудованию и т.п., так как это выходит за рамки данной статьи.

Беспроводные сети в силу особенностей среды передачи не могут обеспечить разграничения доступа к данным, пакеты, передаваемые клиентом или точкой доступа могут быть получены любым устройством в зоне действия сети.

В нормальном режиме сетевое оборудование принимает предназначенные только ему пакеты, однако существует специализированное и легкодоступное ПО, которое позволяет осуществлять перехват и анализ всего сетевого трафика.

Даже если это ваша гостевая Wi-Fi и она надежно изолирована от корпоративной сети, все равно она подвержена тем же угрозам, особенно если ею пользуются ваши сотрудники с персональных устройств, а если они при этом еще обращаются к корпоративным сервисам, то риски возрастают многократно.

Мы не будем давать готовых механизмов атак на открытые сети, скажем только что доступность соответствующего ПО и инструкций делают эту задачу доступной даже для скучающих школьников.

Кроме того, мы советуем также рассматривать сети с шифрованием WEP как открытые, при наличии сетевой активности в сети для ее взлома требуется 5-10 минут, причем делается это специализированным ПО в автоматическом режиме и не требует от злоумышленника никаких специальных знаний.

С WPA / WPA2 сетями ситуация обстоит намного лучше, при выборе надежного ключа и отказе от скомпрометированной технологии TKIP (в пользу AES) взломать такие сети без применения спецсредств и глубоких знаний практически невозможно. Опять-таки не будем забывать о защищенных сетях, ключ которых известен злоумышленнику, например, сеть в ресторане, где ключ выдается официантом вместе с заказом.

Существует ПО, например, CommView for WiFi, которое позволяет осуществлять перехват и расшифровку пакетов даже в закрытых сетях. Поэтому защищенные сети, ключ от которых известен широкому кругу лиц, следует также рассматривать как открытые, со всеми вытекающими из этого мерами предосторожности.

Основная угроза открытых сетей - это перехват и анализ вашего трафика. Поэтому присев в парке на скамейку и обнаружив открытую сеть, не спешите подключаться к ней, а подумайте кому она может принадлежать.

Вполне может быть, что вон тот паренек в очках на соседней лавочке и есть злоумышленник, при помощи ноутбука и 3G модема поднявший точку доступа, собирая из проходящего трафика пароли, cookie и прочую "интересную" информацию.

Поэтому примите как аксиому, используя открытые сети не авторизуйтесь ни на каких ресурсах, передающих авторизационные данные в открытом виде. Злоумышленнику даже не нужен ваш пароль, который может быть передан в зашифрованном виде, вполне достаточно перехватить cookie, после чего он без проблем авторизуется под вашей учетной записью.

Если вам все-таки надо авторизоваться, то убедитесь, что сайт поддерживает SSL и сертификат действительно принадлежит этому сайту. При этом избегайте подключения к ресурсам с самоподписанным сертификатом, подлинность которого вы не можете проверить. Об этом мы еще поговорим более подробно.

Также избегайте, а лучше всего никогда не используйте открытые сети для доступа к финансовой информации или совершения платежей.

Другая опасность подстерегает нас там, где принадлежность точки доступа вроде бы известна. Злоумышленник может использовать еще одно свойство сетей Wi-Fi - при наличии в сети нескольких точек доступа, автоматически переключаться на ту, у которой лучше сигнал.

Схема атаки предельно проста, злоумышленником создается точка доступа с таким же SSID, как у существующей сети, после чего все близко расположенные клиенты автоматически переключатся на точку злоумышленника, даже не подозревая, что их трафик перехватывается. В итоге посиделки с планшетом в любимом кафе могут закончиться очень невесело и хорошо еще если пострадает личная информация, а не будут утрачены реквизиты доступа к корпоративной сети.

Здесь в полный рост встает проблема безопасного доступа к корпоративным ресурсам, даже если в вашей организации не используется Wi-Fi. Где гарантия, что сотрудник сидя в парке или кафе не решит проверить корпоративную почту?

Но даже если вы убедились, что точка доступа одна и принадлежит тому, кому надо, не спешите радоваться. Существует тип атаки ARP-spoofing , который способен направить ваш трафик через устройство злоумышленника.

Наконец злоумышленник может просто собирать и анализировать Wi-Fi трафик не вмешиваясь в работу беспроводной сети, переведя свой Wi-Fi адаптер в режим мониторинга.

Понятно, что повлиять на возможность перехвата пакетов в сетях Wi-Fi мы не можем в силу особенностей среды распространения. Отказ от использования Wi-Fi в организации также никак не обезопасит вашу инфраструктуру. К каждому сотруднику сторожа не приставишь и использовать корпоративные ресурсы через открытые сети не запретишь.

Что делать? Полностью отказаться от незашифрованных каналов доступа к данным. Используйте SSL где это возможно, там, где невозможно - VPN. Еще один момент связан с самоподписанными сертификатами. Использовать их можно исключительно внутри периметра безопасности, а лучше не использовать вообще. Если вас волнует вопрос безопасности - приобретите нормальный сертификат, не приучайте сотрудников игнорировать предупреждения безопасности.

В противном случае вы можете стать жертвой атаки "человек посередине". Смысл ее сводится к тому, что при соединении с защищенным узлом злоумышленник самостоятельно получает сертификат от узла, передавая клиенту собственный сертификат.

Вполне понятно, что браузер отреагирует на такое вмешательство предупреждением безопасности.

Однако если вы приучили своих сотрудников игнорировать данное предупреждение, используя самоподписанный сертификат, то они, как говорится, не заметят разницы и благополучно проигнорируют его и сейчас.

Поэтому если вы все-таки используете самоподписанные сертификаты, то не поленитесь установить на каждое устройство корневой сертификат, чтобы избежать появление данного предупреждения, что поможет избежать появления привычки его игнорировать.

По этой же причине мы не рекомендуем использовать технологию ssl-bump, которая предназначена для фильтрации SSL-трафика на шлюзе. Стремление фильтровать трафик понятно, но безопасность дороже, кроме того, в случае компрометации шлюза вы своими руками выполните атаку "человек посередине" на свою организацию.

• Теги:

Please enable JavaScript to view the

Здесь мы рассмотрим информацию о том, как стать интернет-провайдером, какое оборудование для этого нужно и что вообще нужно.

Большому количеству самых разных людей, причем даже некоторым бизнесменам, схема организации деятельности интернет-провайдера, может показаться, весьма сложной и запутанной с технической точки зрения. Поэтому, количество предпринимателей, вышедших на телекоммуникационный рынок, не такое большое. Но все не так трудно, как кажется по-началу. Если не смотреть на организацию интернет-провайдера как на сложную техническую систему, а как на бизнес, то все сходится к трем простым пунктам.

Необходимое оборудование

Представляем вам минимальный список того оборудования, которое вам потребуется для организации провайдинга:

• Веб-сервера;
• Почтовые сервера (могут быть объединены с веб-серверами на малых системах);
• FTP-сервера (обычно объединены с веб-серверами);
• Идентификационный и терминальный сервера;
• Мастер-сервер;
• Второстепенные сервера;
• Серверы новостей (опция);
• Сервера для разработки и контроля;
• Регистрационный сервер (для онлайн-регистрации, опция);
• Расчётный сервер (опция);
• Типовой сервер (на больших системах);
• Маршрутизатор;
• Защита от несанкционированного взлома системы;
• Сетевые переключатели;
• Стойки для оборудования;
• Кабели, инструменты и контрольное оборудование;
• Сервер удалённого доступа;
• Административная панель и принтер;
• Источники бесперебойного питания (по меньшей мере на 1 час снабжения);
• Шкафы, стойки и т.п.;
• Запчасти.

Все основные затраты у вас будут связаны именно с оборудованием. На его покупку при минимальных ценах и количестве (для маленького интернет-провайдера) уйдет от 2-3 млн. рублей. Тут очень важно будет вам обратиться за консультацией к специалистам, т.к. они вам помогут избежать от неправильных и ненужных покупок.

Как стать интернет-провайдером – организационно-правовая часть

Итак, рассмотрим информация о том, как стать провайдером с точки зрения организации данного бизнеса.

Оформление

Интернет-провайдинг – также само, как и каждый другой вид предпринимательской деятельности, должен быть возглавлен только юридическим лицом. Поэтому, первым делом следует зарегистрировать «Общество с Ограниченной Ответственностью» и получить все необходимые документы для интернет-провайдера. Процесс регистрации «Общества с Ограниченной Ответственностью» может занимать от пяти, до тридцати календарных дней, а время на регистрацию юридического лица, составляет около пяти календарных дней. При получении всех регистрационных документов для интернет-провайдера в обязательном порядке требуется получить печать и открыть свой счет в заведении банка. Время, затраченное на открытие счета, зависит в первую очередь от банка, который вы избрали, и варьируется от двух дней, вплоть до нескольких недель. Не забудьте, — для операций по обслуживанию банковского счета, потребуются копии учредительных документов, копии документов о госрегистрации, и свидетельство о постановлении на налоговый учет.

Приблизительная стоимость составляет около 15 800 рублей. В данную сумму входит:

• Государственная пошлина за регистрацию Общества с Ограниченной Ответственностью – 4000 рублей;
• Минимальная сумма уставного капитала – 10 000 рублей;
• Нотариально заверенная копия свидетельства – 100 рублей;
• Нотариально заверенная копия устава интернет-провайдера – 500 рублей;
• Нотариально заверенная копия учредительного договора – 1 200 рублей.

Лицензирование

По окончании всех работ первого этапа, следует приступить к более «тонкой» настройке вашего бизнеса. Для легализации деятельности нашего интернет-провайдера необходимы обязательные лицензии на связь, так как он является оператором связи.

Перечень лицензий:

1. Лицензия на телематические услуги;
2. Лицензия на передачу данных за исключением передачи данных для целей голосовой информации.

Могут понадобиться для интернет-провайдера и дополнительные лицензии, но это лишь тогда, когда вы намерены оказывать услуги не только доступа клиентов в интернет, а и другие, такие как IP-телефония, хостинг, резервирование данных, кабельное телевидение и иные. Заняться оформлением лицензий для интернет-провайдера вы можете самостоятельно, однако если опыта в этой сфере, у вас недостаточно, следует обратиться за помощью в консалтинговую компанию, — это даст вам возможность сэкономить ненужные затраты и количество ценного времени. Время, которое будет затрачено на данном этапе, может варьироваться от десяти, до сорока пяти дней. От двух до трех дней займет проверка, и подача всех необходимых бумаг в Роскомнадзор, и сроком до сорока пяти дней, согласно законодательству, ваша заявка будет рассматриваться.

Приблизительная стоимость оставит около 28 000 рублей. В данную суму входит:

• Государственная пошлина за получение двух лицензий – 12 000 рублей;
• Оказание услуг консалтинговой компанией – от 16 000 до 20 000 рублей;

После получения всех необходимых лицензий и документов, интернет-провайдер должен приступить к началу оказания услуг связи, это и является нашим заключительным пунктом.

Заключительная часть

По истечении времени рассмотрения лицензий, и получив положительный ответ, приступим к заключительному этапу. Для окончательного закрепления статуса интернет-провайдера, нужно создать проект узла связи, и подать его в «Роскомнадзор» на экспертизу. Чтобы проект успешно прошел экспертизу, он должен соответствовать большому количеству критерий. Эти критерии касаются как самого проекта и проектировщиков, так и техническому оборудованию узла. Программное обеспечение у интернет-провайдера должно быть исключительно лицензионным, и иметь все сертификаты соответствия в Системе сертификации «Связь», особое внимание уделяется серверам ТМ и ПД услуг, «Биллингу» и каналообразующей технике. После успешного прохождения экспертной оценки в ФГУП МИР ИТ., производится ввод в эксплуатацию. Этап технической подготовки оборудования самый длительный. В зависимости от количества работ, проектирование узла может занять от двух недель до трех месяцев, а экспертная оценка проекта в МИР ИТ., от месяца до года.

Этапы принятия узла связи в эксплуатирование:

• Извещение «Роскомнадзора» про начало постройки объекта связи;
• Сбор всех необходимых документов, согласно 113 приказу;
• Извещение «Россвязьнадзора» про завершение строительства, с петицией назначить в приемную комиссию представителя РСН;
• Рассмотрение документов инспектором РСН, и проверка узлов ПД и ТМ;
• Получение разрешения на эксплуатацию.

Приблизительная стоимость 70 000 рублей. В данную сумму входит:

• Проектирование узла – 35 000 рублей;
• Экспертная оценка в ФГБУ Центр МИР ИТ. – составляет от 30% стоимости проектирования.
• Ввод в эксплуатацию – 30 000 рублей.

После может понадобиться сделать его доступным для других в локальной или глобальной сети. Это может быть нужно, например, чтобы тестировать свой сайт на разных платформах (посмотреть, как выглядит сайт на мобильных телефонах) или если вы создали сервис (файлообменник, чат и т.п.), который должен быть доступен для других.

Локальные и глобальные компьютерные сети

Чтобы добиться нужного результата, необходимо знать, что компьютерные сети бывают локальными и глобальными. Пример локальной сети: домашний роутер, к которому подключены компьютеры и мобильные устройства. Глобальная сеть - это Интернет.

Глобальная сеть и локальные сети различаются IP адресами. Каждое сетевое устройство в любой сети должно иметь свой уникальный IP адрес. Особенностью IP адресов в глобальной сети является то, что они уникальны на глобальном уровне, т.е. к Интернету не могут быть подключены устройства, у которых одинаковый IP. В локальных сетях IP адреса также уникальны, но уникальны они только на локальном уровне: т.е. в вашей домашней сети IP адрес, к примеру, 192.168.0.2 может быть только у одного устройства, иначе это вызовет проблемы; но у других пользователей, имеющих свои локальные сети, в этих сетях также может использоваться IP адрес 192.168.0.2.

Поскольку локальные сети напрямую не связаны друг с другом, не возникает путаницы из-за одинаковых IP адресов. Связь между локальными сетями может происходить черед подключение к глобальной сети. Это происходит обязательно через устройства, которые имеют глобальный IP.

Примечание : Я знаю про NAT (технология, позволяющая нескольким устройствам иметь Интернет-подключение через один IP адрес), про объединение локальных сетей с помощью другой локальной сети, про туннелированние и т.д., но сознательно пропускаю это для упрощения.

Локальные и глобальные IP адреса

Чтобы не запутаться в терминологии, глобальный IP адрес ещё называют «внешним », «белым » - это разные обозначения одного и того же.

Локальный IP адрес называют «внутренним », «серым », «приватным » - это всё одно и то же.

Работа домашней (локальной) сети, в которой присутствует роутер и несколько устройств, подключённых к роутеру, обычно выглядит следующим образом:

1. Роутер подключается к Интернет-провайдеру. Интернет-провайдер назначает роутеру внешний IP адрес, который позволяет устанавливать соединения с глобальной сетью Интернет.
2. Компьютеры по кабелю или Wi-Fi, а также мобильные телефоны через Wi-Fi подключаются к роутеру. Роутер раздаёт им локальные IP адреса.
3. Если два устройства в локальной сети хотят обменяться данными, то они это делают через роутер, но сетевые пакеты не отправляются в глобальную сеть.
4. Если какому-либо устройству понадобиться «выйти в Интернет», то он передаст соответствующий запрос роутеру, роутер подключится к нужному узлу в глобальной сети, роутер же получит ответ от узла в глобальной сети и передаст этот ответ устройству в локальной сети, которое сделало первоначальный запрос.

Настройка веб-сервера, чтобы его можно было открыть на других компьютерах в локальной сети

По умолчанию, веб-сервер Apache настроен отвечать всем, кто пытается к нему подключиться. Подключиться к компьютеру, а, следовательно, и к веб-серверу, проще всего по его IP адресу.

Если вы хотите открыть страницу локального веб-сервера на другом устройстве (компьютер, телефон), подключённом к этой же локальной сети, то достаточно в строке браузера набрать IP адрес компьютера, на котором запущен веб-сервер.

Как узнать локальный IP адрес

Но чтобы это сделать, нужно знать, какой у компьютера с веб-сервером IP адрес. Как уже было сказано, локальные IP раздаёт роутер. Локальные IP могут быть в следующих диапазонах:

• 10.0.0.0 - 10.255.255.255
• 100.64.0.0 - 100.127.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

Причём, если вы не меняли настройки роутера, чаще всего используется диапазон 192.168.0.0 - 192.168.255.255. Скорее всего, ваш компьютер имеет адрес вида 192.168.0.* или 192.168.1.*. Но какой именно?

В Windows чтобы узнать локальный IP адрес откройте командную строку (нажмите Win+x , и выберите Windows PowerShell ). В открывшемся окне выполните команду

Ipconfig

У вас, наверное, будет меньше сетевых устройств, но в любом случае, для всех из них будет выведена информация, в том числе IP адреса.

Мой компьютер имеет локальный IP адрес 192.168.0.90. Если я, например, в телефоне, подключённому по Wi-Fi к роутеру наберу в адресной строке 192.168.0.90, то откроется веб-страница моего локального веб-сервера, запущенного на компьютере (да, у меня там бардак):

Внимание: если у вас не получается открыть веб-сервер, хотя IP адрес введён правильно - попробуйте отключить файервол. Если это помогло, то файервол можно включить, но настройте исключение для 80 порта.

Всё довольно просто, но имеется проблема - после перезагрузки компьютера IP адрес, скорее всего, изменится. Т.е. чтобы вновь открыть локальный веб-сервер понадобится проверять IP адрес и сообщать его другим желающим посетить ваш локальный веб-сайт.

Как уже было сказано, локальный IP адреса «раздаёт» роутер. Адреса являются произвольными в рамках данной подсети.

Чтобы исправить ситуацию с постоянно меняющимся локальным IP, давайте познакомимся с такими понятиями как динамичный и статичный IP адреса.

Динамичный IP адрес выдаётся произвольно (роутером, Интернет-провайдером). Он может меняться при последующих подключениях.

Статичный IP адрес закреплён за сетевым интерфейсом (фактически, закреплён за компьютером, мобильным телефоном). Он не меняется при последующих переключениях.

В локальной сети, по умолчанию используются динамичные IP адреса, но это легко изменить.

Имеется, как минимум, два способа поменять динамичный локальный адрес на статичный локальный адрес:

• в настройках сетевого интерфейса (на компьютере, в мобильном телефоне)
• в настройках роутера

Не нужно делать изменения и там, и там - достаточно сделать настройки или на компьютере, или в роутере. Принципиальной разницы нет, какой именно метод вы будете использовать.

Настройка постоянного IP в Windows

Для настройки статичного локального адреса на компьютере откройте «Сетевые подключения ». Проще всего это сделать набрав в командной строке Windows:

Выберите интересующий вас сетевой адаптер (сетевой подключение), нажмите на него правой кнопкой мыши и выберите «Свойства »:

В открывшемся окне выберите «IP версии 4 (TCP/IPv4) » и нажмите кнопку «Свойства »:

Вы увидите следующее:

Переключите на «Использовать следующий IP адрес ».

Теперь нужно заполнить все поля. Первые три поля являются взаимосвязанными и также связаны с роутером. Когда ранее мы смотрели свой локальный IP адрес, нам также была показана такая информация как Маска подсети (на моём скриншоте это 255.255.255.0) и Основной шлюз (на моём скриншоте это 192.168.0.1). Посмотрите ваши значения (вполне вероятно, что они будут такими же) и введите их в поля «Маска подсети » и «Основной шлюз ». Кстати, основной шлюз - это адрес роутера. Очень часто локальными адресами роутера являются 192.168.0.1 и 192.168.1.1

В поле IP-адрес введите желаемый IP. Он должен соответствовать вашей сети. Т.е. если роутер имеет IP 192.168.0.1, то компьютер должен иметь IP вида 192.168.0.* (например, 192.168.0.100), если роутер имеет IP 192.168.1.1, то компьютер должен иметь адрес вида 192.168.1.* (например, 192.168.1.100).

Чтобы не было проблем, устройства в одной локальной сети не должны иметь одинаковый IP адрес.

В качестве DNS серверов («Предпочитаемый DNS-сервер » и «Альтернативный DNS-сервер ») введите 8.8.8.8 и 8.8.4.4 соответственно.

У меня получилось так (для компьютера я выбрал IP 192.168.0.100):

Закройте окна с сохранением настроек.

Теперь при каждом подключении ваш компьютер будет иметь один и тот же IP адрес.

Настройка статичного IP в роутере

Для каждого роутера детальная инструкция по настройке различается. Но схема общая: в настройках локальной сети перейдите к настройкам DHCP-сервера , выберите желаемые компьютеры/телефоны по MAC-адресу и привяжите их к определённым локальным IP адресам.

Как открыть веб-сервер для доступа из Интернета

Поскольку Apache по умолчанию прослушивает все сетевые интерфейсы и отвечает всем, то можно предположить, что если в веб-браузере ввести глобальный адрес, то мы увидим наш веб-сайт.

Если кабель Интернет-провайдера подключён к вашему компьютеру напрямую, то, вероятно, доступ по IP адресу будет работать (имеются нюансы с NAT).

Но если вы используете роутер, то IP адрес принадлежит роутеру. Если из Интернета приходит запрос на роутер, то он просто не знает, какому именно устройству в локальной сети переадресовать этот запрос. Более того, большинство роутеров имеют свой собственный веб-сервер - это он показывает страницы с настройками роутера в веб-браузере.

Поэтому для того, чтобы ваш локальный сайт начал быть видимом в Интернете, необходимо настроить переадресацию портов .

Переадресация портов доступна для настроек локальной сети и для настроек Интернет-подключения - нам нужно именно второе.

В роутере перейдите в настройки Интернета , найдите там переадресацию портов . Некоторые роутеры поддерживают Переключение портов - нам это не подойдёт.

В качестве порта для переадресации выберите 80 , введите локальный IP адрес компьютера, на котором размещён веб-сервер и введите порт , на который будет происходить переадресация - 80 , протокол - TCP .

Локальная сеть состоит из рабочих станций, периферийных изделий и модулей коммутации, соединённых отдельными проводами. Скоростной обмен и объём данных, передаваемый в сетях, определяются модулем коммутации, в роли которого могут применяться устройства маршрутизации или коммутаторы. Количество рабочих станций в сети определяется наличием портов, используемых для подключения на коммутационном устройстве. Локальные сети используются внутри одной организации и ограничены небольшим районом. Выделяют одноранговые сети, которые целесообразно использовать при наличии двух - трёх компьютеров в офисе, и сети с выделенным сервером, имеющим централизованное управление. Эффективно использовать компьютерную сеть позволяет создание сетевого окружения на базе Windows 7.

Как устроено сетевое окружение на Windows 7: построение и использование

В настоящее время невозможно представить офис, учреждение или крупную организацию, в которой все компьютеры и периферийные устройства соединены в единую компьютерную сеть . Как правило, эта сеть работает только внутри организации и служит для обмена информацией между сотрудниками. Такая сеть носит ограниченный характер использования и называется интрасетью.

Интрасеть или по-другому называемая интранет - это замкнутая внутренняя сеть какого-либо предприятия или учреждения, которая работает с использования интернет-протокола TCP/IP (протоколы для передачи информации).

Хорошо сконструированная интрасеть не требует наличия постоянного инженера-программиста, достаточно проведения периодических профилактических осмотров оборудования и программных средств. Все поломки и неисправности в интрасети сводятся к нескольким стандартным. В подавляющем большинстве случаев архитектура интрасети позволяет легко выяснить причину поломки и устранить её по заранее разработанному алгоритму.

Сетевым окружением в Windows 7 называется компонент системы, значок которого можно представить на рабочем столе при первоначальной настройке, после инсталляции операционной системы на ноутбук или компьютер. Используя графический интерфейс этого компонента можно просмотреть наличие рабочих станций в локальной интрасети и их конфигурацию. Для просмотра рабочих станций в интрасети, созданной на базе Windows 7, проверки их готовности к передаче и приёму информации, а также основных настроек была разработана оснастка «Сетевое окружение».

Эта опция даёт возможность осуществить просмотр имён конкретных рабочих станций в интрасети, сетевые адреса, разграничение прав доступа пользователей, провести тонкую настройку интрасети и исправить ошибки, возникающие в процессе сетевой эксплуатации.

Интрасеть может создаваться по двум различным схемам:

Поиск сетевого окружения на Windows 7

Поиск сетевого окружения является довольно простым процессом и проводится при первоначальном подключении рабочей станции к действующей интрасети офиса или предприятия.

Для поиска сетевого окружения в Windows 7 нужно выполнить ряд шагов по заданному алгоритму:

1. На «Рабочем столе» два раза щёлкнуть по ярлыку «Сеть».
   

   На «Рабочем столе» два раза нажимаем на значок «Сеть»

2. В раскрывшейся панели определить, из каких рабочих станций создана локальная интрасеть. Щёлкнуть закладку «Центр управления сетями и общим доступом».

   В панели сеть нажимаем вкладку «Центр управления сетями и общим доступом»

В «Центре управления сетями и общим доступом» войти в закладку «Изменение параметров адаптера».

В панели выбираем «Изменение параметров адаптера»

3. В оснастке «Сетевые подключения» выбрать действующее.

   Определяем созданную сеть

Проведя эти операции, определяем количество рабочих станций, название интрасети и конфигурацию рабочих станций.

Как создать

До начала настройки интрасети рассчитывается длина провода типа «витая пара» для подключения рабочих станций к проводному роутеру или сетевому коммутатору, проводятся мероприятия по подготовке линий связи, включающие обжимание разъёмов и протягивание сетевых проводов от рабочих мест к сетевому размножителю.

В локальную интрасеть, как правило, объединяют рабочие станции, находящиеся в квартире, офисе или на предприятии. Канал связи предоставляется через проводное соединение или с помощью беспроводной связи (Wi-Fi).

При создании компьютерной интрасети с использованием беспроводных каналов связи (Wi-Fi), рабочие станции настраиваются при помощи программного обеспечения, прилагаемого к роутеру.

Wi-Fi никак не расшифровывается, вопреки всеобщему заблуждению. Это название не является аббревиатурой и было придумано для привлечения внимания потребителей, обыгрывая словосочетание Hi-Fi (от английского High Fidelity - высокая точность).

При использовании проводных каналов связи проводится подключение к LAN-разъёмам компьютера и сетевого коммутатора. Если же интрасеть строится при помощи сетевых карт, то рабочие станции подключаются по кольцевой схеме, а на одном из них выделяется определённое пространство, предназначенное для создания общего сетевого диска.

Для полноценного функционирования интрасети, необходимо чтобы у каждой рабочей станции была возможность обмениваться пакетами информации со всеми другими станциями интрасети . Для этого каждому субъекту интрасети необходимо наличие имени и уникального сетевого адреса.

Как настроить

По окончании подключения рабочих станций и структурирования в объединённую интрасеть, на каждом сегменте проводится настройка индивидуальных параметров подключения, чтобы создать условия для корректной работы устройств.

Основным звеном при установке конфигурации станций является создание неповторимого сетевого адреса . Настраивать интрасеть можно начинать с произвольно выбранной рабочей станции. Настраивая конфигурацию, можно применять такой алгоритм пошаговых инструкций:

1. Зайти в сервис «Центр управления сетями и общим доступом».

   В панели слева выбираем «Изменение параметров адаптера»

2. Нажать на закладку «Изменение параметров адаптера».
3. В раскрывшейся панели отобразятся подключения, имеющиеся на рабочей станции.

   В сетевых подключениях выбираем необходимое

4. Выбрать подсоединение, выбранное для использования при обмене пакетами информации в интрасети.
5. Щёлкнуть правой кнопкой мыши по подсоединению и в выпадающем меню нажать строку «Свойства».

   В меню подключения жмём строку «Свойства»

6. В «Свойствах подключений» отметить элемент «Протокол интернета версии 4» и щёлкнуть клавишу «Свойства».

   В свойствах сети выделяем компонент «Протокол Интернета версии 4 (TCP/IPv4) и жмём клавишу «Свойства»

7. В «Свойствах протокола…» переключить значение на строку «Использовать следующий IP-адрес» и ввести в «IP-адрес» величину - 192.168.0.1.
8. В «Маску подсети» ввести величину - 255.255.255.0.

   В панели «Свойства протокола…» вводим значения IP-адреса и маски подсети

9. По завершении настройки жмём клавишу OK.

Такие же операции проводим со всеми рабочими станциями в интрасети. Различие между адресами будет заключаться в конечной цифре IP-адреса, что сделает его уникальным. Можно задать цифры 1, 2, 3, 4 и далее.

Рабочие станции будут иметь доступ к интернету, если ввести определённые величины в параметрах «Основной шлюз» и «DNS-сервер». Адресация, используемая для шлюза и DNS-сервера должна совпадать с адресом рабочей станции, имеющей права доступа к интернету. В параметрах интернет-станции указывается разрешение на право подключения к интернету для других рабочих станций.

В сети , создаваемой на основе радиоканалов связи, значения шлюза и DNS-сервера идентичны неповторимому адресу Wi-Fi-роутера, который инсталлирован для работы в интернете.

При подсоединении к интрасети Windows 7 предлагает выбрать варианты её местоположения:

• «Домашняя сеть» - для рабочих станций в доме или в квартире;
• «Сеть предприятия» - для учреждений или заводов;
• «Общественная сеть» - для вокзалов, гостиниц или метро.

Выбор одного из вариантов влияет на сетевые настройки Windows 7. От выбранного варианта зависит как должны будут применяться разрешительные и ограничительные меры для подключающихся к интрасети рабочих станций.

Видео: настраиваем сеть в Windows 7

Сразу же после настройки проверяется правильность подключения всех сегментов интрасети.

Как проверить подключение

Правильно или нет проведено подключение проверяется с помощью встроенной в Windows 7 утилиты ping. Для этого необходимо:

1. Перейти к панели «Выполнить» в сервисе «Стандартные» меню клавиши «Пуск».
   

   До настоящего времени самым достоверным способом проверки подключения компьютера к сети является применение пингования между рабочими станциями. Небольшая утилита ping была разработана ещё для самых первых сетей, работающих в среде дисково-операционной системы, но до сих пор не потеряла актуальности.

2. В поле «Открыть» использовать команду ping.

   В панели «Выполнить» вводим команду «Ping»

3. Запустится консоль «Администратор: Командная строка», позволяющая работать с DOS-командами.
4. Ввести через пробел уникальный адрес рабочей станции, связь с которой будет проверяться и нажать клавиатурную клавишу Enter.

   В консоли вводим IP-адрес проверяемого компьютера

5. Связь считается корректно работающей, если на консоли выводятся сведения об отправке и получении без потерь IP-пакетов информации.
6. При каких-то сбоях в соединении портов в консоли выводятся предупреждения «Превышен интервал ожидания» или «Заданный узел недоступен».

   Связь между рабочими станциями не работает

Такая же проверка проводится со всеми рабочими станциями интрасети. Это позволяет определить ошибки в соединении и приступить к их устранению.

В большинстве случаев отсутствие связи между рабочими станциями на одном участке, например, в учреждении или в доме, происходит по вине пользователей и носят механический характер. Это может быть перегиб или обрыв провода, связывающего устройство коммутации и рабочую станцию, а также плохой контакт разъёма с сетевым портом компьютера или коммутатора. Если сеть действует между офисами учреждения в разных населённых пунктах, то недоступность узла, скорее всего, происходит по вине организации, обслуживающей междугородние линии связи.

Видео: как проверяется наличие доступа к интернету

Бывают такие ситуации, когда интрасеть полностью настроена и имеет доступ к интернету, а сетевое окружение не отражается в графическом интерфейсе. В этом случае необходимо найти и исправить ошибку в настройках.

Что предпринять если не отображается сетевое окружение Windows 7

Самый простой способ устранения ошибки:

1. В «Панели управления» жмём по пиктограмме «Администрирование».

   В «Панели управления» выбираем раздел «Администрирование»

2. В «Администрировании» жмём на закладку «Локальная политика безопасности».

   Выбираем пункт «Локальная политика безопасности»

3. В раскрывшейся панели жмём на каталог «Политика диспетчера списка сетей».

   Выбираем пункт «Политика диспетчера списка сетей»

4. В каталоге «Политика…» раскрываем имя сети «Идентификация сетей».

   В папке выбираем пункт «Идентификация сетей»

5. Переводим «Тип расположения» в положение «Общее».

   В панели ставим переключатель в положение «Общее»

6. Перезагружаем рабочую станцию.

После перезагрузки интрасеть становится видна.

Почему не открываются свойства сетевого окружения

Свойства могут не открываться по различным причинам. Один из способов устранения ошибки:

Можно также сделать новое сетевое подключение, а старое удалить. Но это не всегда приводит к желаемому результату.

Почему в сетевом окружении пропадают компьютеры и как это исправить

Встречаются проблемы локальной интрасети, когда все компьютеры пингуются и открываются по IP-адресу, но ни одного значка рабочих станций нет в сети.

Для устранения ошибки необходимо выполнить ряд простых действий:

Видео: что предпринять, когда в сети не отображаются рабочие станции

Рабочие станции могут быть не видны также из-за того, что на разных станциях установлены различные версии Windows. Структура интрасети может создаваться из рабочих станций на базе Windows 7 и части станций, работающих на базе Windows XP. Станции будут определять наличие в интрасети аналогов с другой системой если указано одинаковое название сети у всех сегментов. При создании общего доступа к каталогам Windows 7 нужно устанавливать 40-битное или 56-битное шифрование, а не 128-битное по умолчанию. Это гарантирует, что компьютеры с «семёркой» гарантированно увидят рабочие станции с установленной Windows XP.

Как предоставить доступ к рабочим станциям

При предоставлении ресурсов в интрасеть, необходимо принять меры, чтобы доступ к ним был санкционирован только для тех пользователей, кому это действительно разрешено.

Один из самых простых способов - установка логина и пароля. Если пароль неизвестен, то к ресурсу не подключиться. Этот способ не совсем удобен для сетевой идентификации.

Windows 7 предоставляет другой способ защиты информации от неразрешённого доступа. Для этого устанавливается совместное использование сетевых ресурсов, где указывается, что они будут предоставляться зарегистрированным группам. Регистрация и проверка прав члена группы возлагается на программу, управляющую интрасетью.

Для установки беспарольного доступа к рабочим станциям проводится активация учётной записи «Гость» и предоставляются определённые права, обеспечивающие работу сетевыми дисками.

1. Для активации учётной записи щёлкнуть по пиктограмме «Учётные записи пользователей» в «Панели управления». Нажать на закладку «Управление другой учётной записью».

Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.

При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:

1. Корпоративный почтовый сервер (Web-mail).
2. Корпоративный терминальный сервер (RDP).
3. Extranet сервис для контрагентов (Web-API).

Вариант 1. Плоская сеть

В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к Интернет через пограничный маршрутизатор/межсетевой экран (далее - IFW ).

Доступ узлов в Интернет осуществляется через NAT , а доступ к сервисам из Интернет через Port forwarding .

Плюсы варианта :

1. Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
2. Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.

Минусы варианта :

1. Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.

Аналогия с реальной жизнью
Подобную сеть можно сравнить с компанией, где персонал и клиенты находятся в одной общей комнате (open space)


hrmaximum.ru

Вариант 2. DMZ

Для устранения указанного ранее недостатка узлы сети, доступные из Интернет, помещают в специально выделенный сегмент – демилитаризованную зону (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет (IFW ) и от внутренней сети (DFW ).


При этом правила фильтрации межсетевых экранов выглядят следующим образом:

1. Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
2. Из DMZ можно инициировать соединения в WAN.
3. Из WAN можно инициировать соединения в DMZ.
4. Инициация соединений из WAN и DMZ ко внутренней сети запрещена.

Плюсы варианта:

1. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).

Минусы варианта:

1. Сам по себе вынос серверов в DMZ не повышает их защищенность.
2. Необходим дополнительный МЭ для отделения DMZ от внутренней сети.

Аналогия с реальной жизнью
Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент - это как раз и есть аналог клиентской зоны.


autobam.ru

Вариант 3. Разделение сервисов на Front-End и Back-End

Как уже отмечалось ранее, размещение сервера в DMZ никоим образом не улучшает безопасность самого сервиса. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: Front-End и Back-End . При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие. Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. Для взаимодействия между ними на DFW создают правила, разрешающие инициацию подключений от Front-End к Back-End.

В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.

Плюсы варианта:

1. В общем случае атаки, направленные против защищаемого сервиса, могут «споткнуться» об Front-End, что позволит нейтрализовать или существенно снизить возможный ущерб. Например, атаки типа TCP SYN Flood или slow http read , направленные на сервис, приведут к тому, что Front-End сервер может оказаться недоступен, в то время как Back-End будет продолжать нормально функционировать и обслуживать пользователей.
2. В общем случае на Back-End сервере может не быть доступа в Интернет, что в случае его взлома (например, локально запущенным вредоносным кодом) затруднит удаленное управление им из Интернет.
3. Front-End хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort).

Минусы варианта:

1. Для связи между Front-End и Back-End на DFW создается правило, разрешающее инициацию соединения из DMZ во внутреннюю сеть, что порождает угрозы, связанные с использованием данного правила со стороны других узлов в DMZ (например, за счет реализации атак IP spoofing, ARP poisoning и т. д.)
2. Не все сервисы могут быть разделены на Front-End и Back-End.
3. В компании должны быть реализованы бизнес-процессы актуализации правил межсетевого экранирования.
4. В компании должны быть реализованы механизмы защиты от атак со стороны Нарушителей, получивших доступ к серверу в DMZ.

Примечания

1. В реальной жизни даже без разделения серверов на Front-End и Back-End серверам из DMZ очень часто необходимо обращаться к серверам, находящимся во внутренней сети, поэтому указанные минусы данного варианта будут также справедливы и для предыдущего рассмотренного варианта.
2. Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать.

Аналогия с реальной жизнью
Данный вариант по сути похож на организацию труда, при которой для высоко загруженных работников используют помощников - секретарей. Тогда Back-End будет аналогом загруженного работника, а Front-End аналогом секретаря.


mln.kz

Вариант 4. Защищенный DMZ

DMZ это часть сети, доступная из Internet, и, как следствие, подверженная максимальному риску компрометации узлов. Дизайн DMZ и применяемые в ней подходы должны обеспечивать максимальную живучесть в условиях, когда Нарушитель получил контроль над одним из узлов в DMZ. В качестве возможных атак рассмотрим атаки, которым подвержены практически все информационные системы, работающие с настройками по умолчанию:

Защита от атак, связанных с DHCP

Не смотря на то, что DHCP предназначен для автоматизации конфигурирования IP-адресов рабочих станций, в некоторых компаниях встречаются случаи, когда через DHCP выдаются IP-адерса для серверов, но это довольно плохая практика. Поэтому для защиты от Rogue DHCP Server , DHCP starvation рекомендуется полный отказ от DHCP в DMZ.

Защита от атак MAC flood

Для защиты от MAC flood проводят настройку на портах коммутатора на предмет ограничения предельной интенсивности широковещательного трафика (поскольку обычно при данных атаках генерируется широковещательный трафик (broadcast)). Атаки, связанные с использованием конкретных (unicast) сетевых адресов, будут заблокированы MAC фильтрацией, которую мы рассмотрели ранее.

Защита от атак UDP flood

Защита от данного типа атак производится аналогично защите от MAC flood, за исключением того, что фильтрация осуществляется на уровне IP (L3).

Защита от атак TCP SYN flood

Для защиты от данной атаки возможны варианты:

1. Защита на узле сети с помощью технологии TCP SYN Cookie .
2. Защита на уровне межсетевого экрана (при условии разделения DMZ на подсети) путем ограничения интенсивности трафика, содержащего запросы TCP SYN.

Защита от атак на сетевые службы и Web-приложения

Универсального решения данной проблемы нет, но устоявшейся практикой является внедрение процессов управления уязвимостями ПО (выявление, установка патчей и т.д., например, так), а также использование систем обнаружения и предотвращения вторжений (IDS/IPS).

Защита от атак на обход средств аутентификации

Как и для предыдущего случая универсального решения данной проблемы нет.
Обычно в случае большого числа неудачных попыток авторизации учетные записи, для избежания подборов аутентификационных данных (например, пароля) блокируют. Но подобный подход довольно спорный, и вот почему.
Во-первых, Нарушитель может проводить подбор аутентификационной информации с интенсивностью, не приводящей к блокировке учетных записей (встречаются случаи, когда пароль подбирался в течении нескольких месяцев с интервалом между попытками в несколько десятков минут).
Во-вторых, данную особенность можно использовать для атак типа отказ в обслуживании, при которых Нарушитель будет умышленно проводить большое количество попыток авторизации для того, чтобы заблокировать учетные записи.
Наиболее эффективным вариантом от атак данного класса будет использование систем IDS/IPS, которые при обнаружении попыток подбора паролей будут блокировать не учетную запись, а источник, откуда данный подбор происходит (например, блокировать IP-адрес Нарушителя).

Итоговый перечень защитных мер по данному варианту:

1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
2. IP адреса назначаются вручную администраторами. DHCP не используется.
3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.

Плюсы варианта:

1. Высокая степень безопасности.

Минусы варианта:

1. Повышенные требования к функциональным возможностям оборудования.
2. Трудозатраты во внедрении и поддержке.

Аналогия с реальной жизнью
Если ранее DMZ мы сравнили с клиентской зоной, оснащенной диванчиками и пуфиками, то защищенный DMZ будет больше похож на бронированную кассу.


valmax.com.ua

Вариант 5. Back connect

Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство (коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.

В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:

• атаки, позволяющие перехватывать и модифицировать трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
• атаки, связанные с эксплуатацией уязвимостей серверов внутренней сети, к которым можно инициировать подключения из DMZ (что возможно путем обхода правил фильтрации DFW за счет IP и MAC spoofing).

Следующей немаловажной особенностью, которую мы ранее не рассматривали, но которая не перестает быть от этого менее важной, это то, что автоматизированные рабочие места (АРМ) пользователей тоже могут быть источником (например, при заражении вирусами или троянами) вредоносного воздействия на сервера.

Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).

Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW , разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй - это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.

Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW .

Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.

Общая схема работы данного варианта выглядит следующим образом:

1. На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
2. Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
3. Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
4. На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.

Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN , поскольку он обладает следующими важными свойствами:

• Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
• Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
• Возможность использования сертифицированной криптографии .

На первый взгляд может показаться, что данная схема излишне усложнена и что, раз на сервере внутренней сети все равно нужно устанавливать локальный межсетевой экран, то проще сделать, чтобы сервер из DMZ, как обычно, сам подключался к серверу внутренней сети, но делал это по шифрованному соединению. Действительно, данный вариант закроет много проблем, но он не сможет обеспечить главного - защиту от атак на уязвимости сервера внутренней сети, совершаемых за счет обхода межсетевого экрана с помощью IP и MAC spoofing.

Плюсы варианта:

1. Архитектурное уменьшение количества векторов атак на защищаемый сервер внутренней сети.
2. Обеспечение безопасности в условиях отсутствия фильтрации сетевого трафика.
3. Защита данных, передаваемых по сети, от несанкционированного просмотра и изменения.
4. Возможность избирательного повышения уровня безопасности сервисов.
5. Возможность реализации двухконтурной системы защиты, где первый контур обеспечивается с помощью межсетевого экранирования, а второй организуется на базе данного варианта.

Минусы варианта:

1. Внедрение и сопровождение данного варианта защиты требует дополнительных трудовых затрат.
2. Несовместимость с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).
3. Дополнительная вычислительная нагрузка на сервера.

Аналогия с реальной жизнью
Основной смысл данного варианта в том, что доверенное лицо устанавливает связь с не доверенным, что похоже на ситуацию, когда при выдаче кредитов Банки сами перезванивают потенциальному заемщику с целью проверки данных. Добавить метки