Как победить в классовой войне IP-адресов

ТЕХНИЧЕСКИЙ ОБЗОР

Стратегия Subnet 10 сулит огромные резервы безопасного адресного пространства

Тот, кому доводилось создавать крупномасштабную внутрикорпоративную сеть, сталкивается со множеством проблем, и одна из них  -  распределение IP-адресов. Жизнь была бы намного проще, если бы сетевой информационный центр InterNIC решился пересмотреть структуру длинных сетевых адресов класса А, призванных обеспечивать работу 16 миллионов хост-компьютеров или нескольких тысяч подсетей.

Но такое едва ли произойдет, поэтому лучше воспользоваться запасным вариантом  -  при организации внутрикорпоративных Internet разделить специальное адресное пространство класса А  -  сеть 10.0.0.0  -  на подсети меньшего масштаба. Это позволит не только защитить корпоративную информацию, но и обеспечит гибкий доступ в Сеть, обработку адресов и безопасность.

Описание таких IP-адресов для специальных сетей содержится в различных документах RFC (Request for Comments  -  документы, определяющие "устройство" Internet), относящихся к частным сетям, т. е. таким TCP/IP-сетям, которые не входят в Internet. Использование этих адресов, конечно же, вовсе не исключает возможности доступа в Internet.

Такой подход, получивший название стратегии Subnet 10, не просто снимает все ограничения на использование адресного пространства (на практике для небольших сетей могут оказаться вполне достаточными более короткие специальные адреса классов В и С). Он позволяет организовывать частные внутрикорпоративные сети, защищенные брандмауэрами и серверами-представителями, и открывает широкие перспективы управления IP-адресацией в таких сетях.

Прибегнув к помощи Subnet 10, можно создавать крупномасштабные шаблоны для сложных услуг Internet и внутрикорпоративных сетей. Такой прием устраняет ограничения на конфигурирование малых сетей класса С и допустимое их количество.

Более того, такую схему, способную обслуживать огромные кампусные и региональные сети, можно задействовать даже в отдельных офисах, малых сетях или жестко контролируемых структурах внутрикорпоративных сетей.

План операции

В отличие от обычных сетей, в которых уникальные IP-адреса присваивает сервис-провайдер Internet или центр InterNIC, стратегия Subnet 10 предусматривает изоляцию специальных адресов от внешнего мира. Все использующие их хост-компьютеры, маршрутизаторы и рабочие станции должны быть скрыты за брандмауэрами и серверами-представителями. Пользователи при этом могут выходить в Internet через представителя, но у администратора появляется возможность вводить собственную внутреннюю систему адресов.

Для структур Subnet 10 необходима и вторая, внешняя сеть со свободным доступом из Internet. В ней размещаются элементы, к которым может обратиться любой желающий,  -  узлы WWW, анонимные FTP-серверы, хост-компьютеры системы доменных имен и другие им подобные.

Ключевым элементом такой системы выступает сервер-представитель, без которого воплощение новой стратегии окажется невозможным. Он выполняет роль интеллектуального ретранслятора, преобразующего специальные адреса Subnet 10 в

"реальные" IP-адреса перед направлением трафика в Internet. Кроме того, в его задачи входит обработка HTTP-, FTP-, Telnet- и других транзакций на уровне приложения, направляемых на хост-компьютеры Subnet 10. Тем самым обеспечивается сокрытие истинной сущности последних и даже самого факта их существования от внешних наблюдателей. При этом вносятся изменения даже в обратные IP-адреса пакетов.

Хост-компьютеры внутренней защищенной сети имеют уникальные имена, связанные с теми специальными сетевыми адресами классов А, В или С, которые выделяются для элементов частной сети. Это помогает защитить информацию от злоумышленников: чтобы добраться до частного хост-компьютера, им понадобится указать его адрес, но дейтаграммы со специальными адресами не смогут пройти через внешние маршрутизаторы.

Создание внутрикорпоративной сети

Чтобы построить частную внутрикорпоративную сеть на принципах Subnet 10, прежде всего нужно скрыть все ее элементы, в том числе и хост-компьютеры, за одним сервером, который будет выполнять роль шлюза в Internet. Затем в канале, проходящем через маршрутизатор в Internet, следует разместить брандмауэр и представитель (или несколько представителей).

В качестве брандмауэров чаще всего используются устройства под управлением Unix или Windows NT с установленными на них коммерческими пакетами (например, Firewall-1 фирмы Checkpoint Software Technologies или Eagle NT фирмы Raptor Systems). Они могут объединяться с маршрутизаторами, обеспечивая фильтрацию пакетов. Представитель  -  это хост-компьютер, выполняющий при проведении Internet-транзакций роль агента, действующего от имени всех хост-компьютеров Subnet 10.

Пользователи внутренней сети, защищенные от внешнего мира брандмауэром и представителем, могут свободно общаться друг с другом, не опасаясь быть подслушанными. Если же им потребуется выход в Internet, они обращаются к представителю, который и организует подключение, используя собственный "реальный" адрес.

На следующем этапе воплощения стратегии Subnet 10 нужно пронумеровать все хост-компьютеры и подсети внутрикорпоративной сети в пределах сетевого адресного пространства 10.0.0.0. При этом производится распределение адресов класса А (это могут быть и классы В или С) по подсетям, количество которых не ограничено.

Администраторам, под управлением которых находятся несколько внутрикорпоративных сетей, следует знать, что в каждой из них допустимо равное количество подсетей, скрытых за брандмауэрами и представителями. Другими словами, одна и та же система нумерации может быть использована в различных структурах Subnet 10 (скажем, обслуживающих отделения в Далласе и Атланте).

На границе двух миров

Subnet 10 состоит из трех слоев: внутренней сети, серверов-представителей (или "хост-бастионов") и внешней сети.

Доступ к компьютерам внутренней сети получают только те пользовательские рабочие станции, серверы, хост-компьютеры электронной почты и серверы доменной службы имен, которые входят в эту сеть или ее подсети. Хост-компьютеры электронной почты и почтовые системы обычно скрыты от систем электронной почты Internet за SMTP-шлюзом и почтовым хост-компьютером, расположенным в доступной из Internet внешней сети. На границе между внутренней и внешней сетями устанавливаются серверы-представители, защищающие хост-компьютеры внутренней сети. Эти компоненты соединяют внутреннюю и внешнюю сети, поэтому на них хранится информация об обоих мирах и они знают друг о друге.

В системе могут использоваться несколько серверов-представителей. Чаще всего встречаются следующие: представитель WWW; представитель FTP и Telnet (правда, при проведении FTP-сеанса с Web-браузера трафик минует его и поступает непосредственно на Web-представитель  -  единственный хост-бастион, к которому может обратиться браузер). Могут использоваться и представители приложений, например, утилит Ping, Traceroute и TCP-дампа (иногда они размещаются на FTP- и Telnet-серверах представителей, а не на отдельной закрепленной системе). В случае надобности возможно применение даже представителей тематических конференций и разговорных каналов.

В почтовом представителе необходимости нет, так как системы электронной почты или почтовые хост-компьютеры внутренней сети осуществляют связь с Internet посредством шлюза электронной почты, установленного во внешней сети вне зоны представителей. Почтовый хост-компьютер может общаться только с системами электронной почты внутренней сети (чтобы исключить попадание внутреннего трафика во внешнюю сеть, его можно разместить на границе между верхним и нижним слоями Subnet 10).

За крепостными стенами

Внешняя сеть общедоступна, и она не входит в структуру Subnet 10. У нее свой реальный, зарегистрированный в InterNIC или у сервис-провайдера Internet сетевой адрес, обеспечивающий маршрутизацию сообщений по всей Сети. Здесь располагаются лишь несколько хост-компьютеров, поэтому для работы вполне достаточно адресов класса С.

Все хост-компьютеры внешней сети доступны для просмотра, подключения и  -  увы, мы живем в весьма опасное время  -  взлома через Internet. В их число входят фирменный узел "Всемирной паутины", хост-система анонимного FTP, шлюз электронной почты и внешняя служба доменных имен. В эту же сеть включены и внешние элементы серверов-представителей.

Расположенный здесь сервер доменных имен знает только адреса хост-компьютеров внешней сети. Его взаимодействие с внутренней системой имен носит односторонний характер и ограничивается обработкой запросов последней при передаче сообщений в Internet.

Естественно, во внешней сети расположен и брандмауэр, подключенный к сервис-провайдеру Internet,  -  единственная точка входа в систему, через которую проходит весь трафик.

Наружный периметр защищенной сети Subnet 10 определяется сервером входящего трафика (если таковой существует), установленным позади брандмауэра. Обработка всех исходящих сообщений также должна производиться под защитой брандмауэра. В последнем случае для достижения максимального уровня защиты желательно использовать терминальную систему контроля за доступом, например X-TACACS фирмы Cisco Systems, а перед хост-компьютером внутренней сети создать второй рубеж аутентификации пароля.

Исходящий запрос на подключение проходит через коммуникационный сервер на бастион, который запускает утилиту проведения аутентификации во внутренней сети. После этого тот же сервер может переслать трафик от проверенного пользователя через брандмауэр и сервер представителей адресату во внутренней сети. Преобразование входящего запроса в адрес хост-компьютера Subnet 10 представитель осуществляет в обратном порядке.

Уильям Датчер

Уильям Датчер работает в Большом Вашингтоне, ведет семинары по сетевым технологиям и доступу в Internet. Связаться с ним можно по адресу: bdutcher@mcimail.com.

Преобразование адресов во внутренней и внешней системе доменных имен

Сервер доменных имен внешней сети (обрабатывает запросы на преобразование адресов, поступающие из Internet)

HTTPPROXY.BIGCO.COM=207.133.112.59

MAILGWY.BIGCO.COM=207.133.112.64

Сервер доменных имен внутренней сети (обрабатывает запросы на преобразование адресов, поступающие от Subnet 10)

MAILSVR.BIGCO.COM=10.2.5.20

FILESVR.BIGCO.COM=10.4.17.15

Основы основ

Чтобы построить частную внутрикорпоративную сеть на принципах Subnet 10, прежде всего нужно скрыть все ее элементы, в том числе и хост-компьютеры, за одним сервером, который будет выполнять роль шлюза в Internet. Затем в канале, проходящем через маршрутизатор в Internet, следует разместить брандмауэр и представитель (или несколько представителей).