Хостинг > Статьи > Схема доступа

Схема доступа

 

Из всех вариантов расположения VPN-шлюза наиболее предпочтительной является схема с расположением его в демилитаризованной зоне (DMZ), при этом локальная сеть организации, DMZ и Интернет отделены друг от друга межсетевым экраном (МСЭ). Этот вариант наиболее безопасен, так как позволяет контролировать трафик как между VPN-шлюзом и Интернетом, так и между VPN-шлюзом и локальной сетью.

Далее, основываясь на одном из основных принципов безопасности - минимизации привилегий, определим политику доступа для 3 групп пользователей VPN, описанных выше.

Мы должны ограничить доступ клиентов VPN к локальной сети компании только теми ресурсами, которые им действительно необходимы.

Очевидно, что у пользователей второй и третьей групп не должно быть доступа к ресурсам друг друга и первой группы.

Даже администраторам не следует предоставлять удаленный доступ ко всей сети только на терминальный сервер по той причине, что не все администраторы должным образом следят за безопасностью своих компьютеров. Поэтому если не ограничить доступ, вирус с зараженного домашнего компьютера администратора может прорваться в локальную сеть компании.

Контролировать доступ мы будем, используя такую замечательную возможность MPD, как NAS ACL. NAS (Network Access Server) - это сервер доступа, то есть сам MPD, a ACL (Access Control List) - это списки доступа, в данном случае это правила IPFW (родной пакетный фильтр FreeBSD).

По умолчанию весь трафик с адресов VPN-клиентов будет заблокирован, но когда клиент пройдет авторизацию, сервер RADIUS определит группу, в которую входит данный клиент, и выдаст MPD-атрибут(один или несколько) mpd-rule, определенный для данной группы, Значением этого атрибута является правило IPFW, которое откроет доступ на разрешенный для него ресурс, после отключения клиента правило будет удалено.

Для нормального функционирования VPN-шлюза в DMZ на МСЭ необходимо разрешить следующие типы трафика:

-          Прохождение GRE-пакетов с любого IP на VPN и обратно на интерфейсах inetO и dmzO.

-          Прохождение TCP-пакетов с любого IP на VPN (порт 1723) и обратно на интерфейсах neto и dmzO.

-          Разрешить на интерфейсах (inetO и lanO) все пакеты с VPN-шлюза в локальную сеть и обратно согласно нашей политике доступа (TCP с VPN-шлюза на 192.168.10.10 порт 3389 и на порт 192.168.10.11/24 80, и на (192.168.10.12-192.168.10.15) порт 1494).

 

Хостинг
Home


www.ost-host.ru