Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè ñåòåé

Çàùèùàåì ïåðèìåòð ñåòè

Äåêàáðü 09, 2015 Ìåðèîí Íåòâîðêñ

Ïàðàëëåëüíî ñ ðàçâèòèåì òåõíîëîãèé â ñåãìåíòå êîðïîðàòèâíûõ ñåòåé ïîâûøàþòñÿ ðèñêè êîìïàíèè ïîíåñòè óáûòêè îò óÿçâèìîñòåé â áåçîïàñíîñòè ñåòè. Çëîóìûøëåííèêè ïðèáåãàþò ê êèáåð – àòàêàì íà ñåòü ïðåäïðèÿòèÿ ñ öåëüþ ïîëó÷åíèÿ è ðàñïðîñòðàíåíèÿ âàæíîé êîììåð÷åñêîé äîêóìåíòàöèè, íàíåñåíèÿ óðîíà ÈÒ – êîìïëåêñàì ñ öåëüþ âûâîäà èç ñòðîÿ èëè íàíåñåíèè óðîíà ïî èìèäæó è ðåïóòàöèè êîìïàíèè.

×èñëî çàðåãèñòðèðîâàííûõ íàðóøåíèé ñåòåâîé áåçîïàñíîñòü íà ïðåäïðèÿòèÿõ, ó÷åáíûõ çàâåäåíèÿõ è ïðàâèòåëüñòâåííûõ îðãàíèçàöèÿõ ðåçêî âîçðîñëî çà ïîñëåäíèå íåñêîëüêî ëåò. Âñå ÷àùå ñîâåòû è äàæå ïîäðîáíûå èíñòðóêöèè ïî «âòîðæåíèþ» â êîðïîðàòèâíóþ ñåòü ìîæíî íàéòè â ñâîáîäíîì äîñòóïå â ñåòè èíòåðíåò, ñëåäîâàòåëüíî, ñïåöèàëèñòû ïî ñåòåâîé áåçîïàñíîñòè äîëæíû àíàëèçèðîâàòü ðèñêè è ïðèìåíÿòü îïðåäåëåííûå ìåòîäèêè äëÿ ïðåäîòâðàùåíèÿ àòàê «èçâíå».

Ñîâðåìåííûå óãðîçû ðàçëè÷íû: àòàêè íà îòêàç îáîðóäîâàíèÿ DDoS (Distributed Denial of Service), òàê íàçûâàåìûå «÷åðâè», «òðîÿíû» è ïðîãðàììû, ïðåäíàçíà÷åííûå äëÿ ïîõèùåíèÿ âàæíîé èíôîðìàöèè. Ýòè óãðîçû ìîãóò ëåãêî ïîâðåäèòü âàæíóþ èíôîðìàöèþ, âîññòàíîâëåíèå êîòîðîé çàéìåò ìíîãî âðåìåíè.

Ðàññìîòðèì ïîäðîáíåå áàçîâûå ïðèíöèïû ñåòåâîé áåçîïàñíîñòè, òåðìèíîëîãèþ è ðåøåíèÿ ïî áåçîïàñíîñòè îò êîìïàíèè Cisco Systems – Cisco Adaptive Security Appliances (ASA).

Ïåðâîå, î ÷åì ïîéäåò ðå÷ü – ýòî «ôàåðâîë». «Ôàåðâîë» ìîæåò óñòàíàâëèâàòüñÿ êàê íà ãðàíèöå ñåòè (çàùèòà ïåðèìåòðà), òàê è ëîêàëüíî, íà ðàáî÷èõ ñòàíöèÿõ.

Ñåòåâûå «ôàåðâîëû» îáåñïå÷èâàþò áåçîïàñíîñòü ïåðèìåòðà ñåòè. Ãëàâíàÿ çàäà÷à òàêîãî «ôàåðâîëà» ýòî çàïðåò èëè ðàçðåøåíèå òðàôèêà, êîòîðûé ïðîõîäèò ÷åðåç åäèíóþ òî÷êó âõîäà ñåòè. Ïðàâèëà çàïðåòà îïðåäåëÿþòñÿ çàðàíåå íàñòðîåííîé êîíôèãóðàöèåé îáîðóäîâàíèÿ.

Ïðîöåññ ôèëüòðàöèè òðàôèêà âêëþ÷àåò â ñåáÿ ñëåäóþùèå ïóíêòû:

Ïðîñòàÿ ôèëüòðàöèÿ ïàêåòîâ;
Ìíîãîãðàííàÿ ïðîâåðêà òðàôèêà;
Èíñïåêöèÿ ïàêåòîâ ñ ñîõðàíåíèåì ñîñòîÿíèÿ;
Òðàíñëÿöèÿ ñåòåâûõ àäðåñîâ.

Ïðîñòàÿ ôèëüòðàöèÿ ïàêåòîâ

Öåëü «ïðîñòîé» ôèëüòðàöèè ïàêåòîâ çàêëþ÷àåòñÿ â êîíòðîëå äîñòóïà â îïðåäåëåííûé ñåãìåíò ñåòè â çàâèñèìîñòè îò ïðîõîäÿùåãî òðàôèêà. Îáû÷íî, èíñïåêòèðîâàíèå ïðîõîäèò íà ÷åòâåðòîì óðîâíå ýòàëîííîé ìîäåëè OSI (Open System Interconnection). Íàïðèìåð, «ôàåðâîë» àíàëèçèðóåò Transmission Control Protocol (TCP) èëè User Datagram Protocol (UDP) ïàêåòû è ïðèíèìàåò ðåøåíèå â çàâèñèìîñòè îò çàðàíåå íàñòðîåííûõ ïðàâèë, êîòîðûå èìåþò íàçâàíèå Access Control Lists (ACLs).

Ñëåäóþùèå ýëåìåíòû ïðîõîäÿò ïðîâåðêó:

Àäðåñ îòïðàâèòåëÿ;
Àäðåñ ïîëó÷àòåëÿ;
Ïîðò îòïðàâèòåëÿ;
Ïîðò ïîëó÷àòåëÿ;
Ïðîòîêîë

Íàðóøåíèå èíôîðìàöèîííîé áåçîïàñíîñòè âëå÷åò ïðÿìûå ôèíàíñîâûå ïîòåðè êîìïàíèé

Â ðàìêàõ äàííîãî ïîíÿòèÿ îïåðèðóåò óñòðîéñòâî ïîä íàçâàíèåì «ïðîêñè-ñåðâåð». Ïðîêñè-ñåðâåð - ýòî óñòðîéñòâî, êîòîðîå âûñòóïàåò ïîñðåäíèêîì îò èìåíè êëèåíòà çàùèùåííîé ñåòè. Äðóãèìè ñëîâàìè, êëèåíòû çàùèùåííîé ñåòè îòïðàâëÿåò çàïðîñ íà ñîåäèíåíèå ñ íåçàùèùåííîé ñåòüþ èíòåðíåò íàïðÿìóþ ïðîêñè-ñåðâåðó [7]. Äàëåå, ïðîêñè îòïðàâëÿåò çàïðîñ â ñåòü îò èìåíè êëèåíòà, èíèöèèðóþùåãî ñîåäèíåíèå. Áîëüøàÿ ÷àñòü ïðîêñè-ñåðâåðîâ ðàáîòàåò íà óðîâíå ïðèëîæåíèé ìîäåëè OSI. Ôàåðâîëû íà áàçå ïðîêñè ìîãóò êýøèðîâàòü (çàïîìèíàòü) èíôîðìàöèþ, ÷òîáû óñêîðÿòü ðàáîòó êëèåíòîâ. Îäíî èç ãëàâíûõ ïðåèìóùåñòâ ïðîêñè-ñåðâåðà çàùèòà îò ðàçëè÷íûõ WEB àòàê [10]. Íåäîñòàòîê ïðîêñè «ôàåðâîëîâ» - ïëîõàÿ ìàñøòàáèðóåìîñòü.

Èíñïåêöèÿ ïàêåòîâ ñ ñîõðàíåíèåì ñîñòîÿíèÿ

Ôàåðâîëû ïî òèïó Statefull Packet Inspection (SPI) îáëàäàåò áîëüøèì ôóíêöèîíàëîì ïî ñðàâíåíèþ ñ ïðîñòîé ôèëüòðàöèåé ïàêåòîâ. SPI-ôàåðâîë ïðîâåðÿåò íå òîëüêî çàãîëîâêè ïàêåòîâ, íî è èíôîðìàöèþ íà óðîâíå ïðèëîæåíèé, â ðàìêàõ ïîëÿ ïîëåçíîé íàãðóçêè. Íà ôàåðâîëå ìîæåò áûòü ïðèìåíåíî ìíîæåñòâî ïðàâèë ôèëüòðàöèè, ÷òîáû ðàçðåøàòü èëè çàïðåùàòü òðàôèê â çàâèñèìîñòè îò ñîäåðæèìîãî ïîëÿ ïîëåçíîé íàãðóçêè. SPI îòñëåæèâàåò ïàðàìåòðè÷åñêèå äàííûå ñîåäèíåíèÿ â òå÷åíèè ñåññèè è çàïèñûâàåò èõ â òàê íàçûâàåìóþ «òàáëèöó ñîñòîÿíèé». Â òàáëèöå õðàíèòñÿ òàêàÿ èíôîðìàöèÿ êàê âðåìÿ çàêðûòèÿ ñîåäèíåíèÿ, âðåìÿ îòêðûòèÿ, óñòàíîâëåíèÿ è ïåðåçàãðóçêè. Ýòîò ìåõàíèçì ïðåäîòâðàùàåò îáøèðíûé ñïèñîê àòàê íà êîðïîðàòèâíóþ ñåòü.

Ôàåðâîë ìîæåò áûòü ñêîíôèãóðèðîâàí êàê óñòðîéñòâî äëÿ ðàçäåëåíèÿ íåêîòîðûõ ñåãìåíòîâ ñåòè. Òàêèå ñåãìåíòû íàçûâàþò äåìèëèòàðèçèðîâàííûå çîíû, èëè Demilitarized Zone (DMZ). Ïîäîáíûå çîíû îáåñïå÷èâàþò áåçîïàñíîñòü ÈÒ – êîìïëåêñàì, êîòîðûå íàõîäÿòñÿ â ïðåäåëàõ ýòèõ çîí, à òàêæå, ðàçëè÷íûå óðîâíè áåçîïàñíîñòè è ïîëèòèêè ìåæäó íèìè. DMZ ìîãóò èìåòü íåñêîëüêî íàçíà÷åíèé: íàïðèìåð, îíè ìîãóò âûñòóïàòü êàê ñåãìåíò, â êîòîðîì íàõîäèòñÿ WEB ñåðâåðíàÿ ôåðìà, èëè êàê ñåãìåíò ñîåäèíåíèÿ ê «ýêñòðàíåòó» ïàðòíåðà ïî áèçíåñó.

Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè ñåòåé

Âûøå, èçîáðàæåíà ñåòü, ãäå â DMZ 1 íàõîäÿòñÿ WEB ñåðâåðà, äîñòóïíûå èç ñåòè Èíòåðíåò, âíóòðåííåé ñåòè è ñåòè ïàðòíåðà. Cisco ASA, ðàñïîëîæåííàÿ â öåíòðå ðèñóíêà, êîíòðîëèðóåò äîñòóï èç ñåòè ïàðòíåðà, îãðàíè÷èâàÿ äîñòóï èç DMZ 2 òîëüêî ðåñóðñàì WEB ñåðâåðîâ, çàïðåùàÿ äîñòóï ê âíóòðåííåé ñåòè.

Â ñëåäóþùèõ ñòàòüÿõ ìû ðàññêàæåì î òåõíîëîãèÿõ òðàíñëÿöèè àäðåñîâ è ñèñòåì IDS/IPS.

Ïîëåçíà ëè Âàì ýòà ñòàòüÿ?

Äà
Íåò

ÈÒ Áàçà çíàíèé

NEW!

Ïîëåçíî

Ïîõîæåå

Ïðîòîêîë OSPF

Ïîâûøàåì áåçîïàñíîñòü êîììóòàòîðîâ è ìàðøðóòèçàòîðîâ Cisco

Ñàìîå èíòåðåñíîå ïðî IPSec è VPN

Íàâèãàöèÿ

Ñåðâåðíûå ðåøåíèÿ

Òåëåôîíèÿ

Êîðïîðàòèâíûå ñåòè

Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè ñåòåé

Ïðîñòàÿ ôèëüòðàöèÿ ïàêåòîâ

Èíñïåêöèÿ ïàêåòîâ ñ ñîõðàíåíèåì ñîñòîÿíèÿ

Ïîëåçíà ëè Âàì ýòà ñòàòüÿ?

Ïîæàëóéñòà, ðàññêàæèòå ïî÷åìó?