ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

ѕараллельно с развитием технологий в сегменте корпоративных сетей повышаютс€ риски компании понести убытки от у€звимостей в безопасности сети. «лоумышленники прибегают к кибер Ц атакам на сеть предпри€ти€ с целью получени€ и распространени€ важной коммерческой документации, нанесени€ урона »“ Ц комплексам с целью вывода из стро€ или нанесении урона по имиджу и репутации компании.

„исло зарегистрированных нарушений сетевой безопасность на предпри€ти€х, учебных заведени€х и правительственных организаци€х резко возросло за последние несколько лет. ¬се чаще советы и даже подробные инструкции по Ђвторжениюї в корпоративную сеть можно найти в свободном доступе в сети интернет, следовательно, специалисты по сетевой безопасности должны анализировать риски и примен€ть определенные методики дл€ предотвращени€ атак Ђизвнеї.

—овременные угрозы различны: атаки на отказ оборудовани€ DDoS (Distributed Denial of Service), так называемые Ђчервиї, Ђтро€ныї и программы, предназначенные дл€ похищени€ важной информации. Ёти угрозы могут легко повредить важную информацию, восстановление которой займет много времени.

–ассмотрим подробнее базовые принципы сетевой безопасности, терминологию и решени€ по безопасности от компании Cisco Systems Ц Cisco Adaptive Security Appliances (ASA).

ѕервое, о чем пойдет речь Ц это Ђфаерволї. Ђ‘аерволї может устанавливатьс€ как на границе сети (защита периметра), так и локально, на рабочих станци€х.

—етевые Ђфаерволыї обеспечивают безопасность периметра сети. √лавна€ задача такого Ђфаерволаї это запрет или разрешение трафика, который проходит через единую точку входа сети. ѕравила запрета определ€ютс€ заранее настроенной конфигурацией оборудовани€.

ѕроцесс фильтрации трафика включает в себ€ следующие пункты:

  • ѕроста€ фильтраци€ пакетов;
  • ћногогранна€ проверка трафика;
  • »нспекци€ пакетов с сохранением состо€ни€;
  • “рансл€ци€ сетевых адресов.

ѕроста€ фильтраци€ пакетов

÷ель Ђпростойї фильтрации пакетов заключаетс€ в контроле доступа в определенный сегмент сети в зависимости от проход€щего трафика. ќбычно, инспектирование проходит на четвертом уровне эталонной модели OSI (Open System Interconnection). Ќапример, Ђфаерволї анализирует Transmission Control Protocol (TCP) или User Datagram Protocol (UDP) пакеты и принимает решение в зависимости от заранее настроенных правил, которые имеют название Access Control Lists (ACLs).

—ледующие элементы проход€т проверку:

  • јдрес отправител€;
  • јдрес получател€;
  • ѕорт отправител€;
  • ѕорт получател€;
  • ѕротокол

Ќарушение информационной безопасности влечет пр€мые финансовые потери компаний

¬ рамках данного пон€ти€ оперирует устройство под названием Ђпрокси-серверї. ѕрокси-сервер - это устройство, которое выступает посредником от имени клиента защищенной сети. ƒругими словами, клиенты защищенной сети отправл€ет запрос на соединение с незащищенной сетью интернет напр€мую прокси-серверу [7]. ƒалее, прокси отправл€ет запрос в сеть от имени клиента, инициирующего соединение. Ѕольша€ часть прокси-серверов работает на уровне приложений модели OSI. ‘аерволы на базе прокси могут кэшировать (запоминать) информацию, чтобы ускор€ть работу клиентов. ќдно из главных преимуществ прокси-сервера защита от различных WEB атак [10]. Ќедостаток прокси Ђфаерволовї - плоха€ масштабируемость.


»нспекци€ пакетов с сохранением состо€ни€

‘аерволы по типу Statefull Packet Inspection (SPI) обладает большим функционалом по сравнению с простой фильтрацией пакетов. SPI-фаервол провер€ет не только заголовки пакетов, но и информацию на уровне приложений, в рамках пол€ полезной нагрузки. Ќа фаерволе может быть применено множество правил фильтрации, чтобы разрешать или запрещать трафик в зависимости от содержимого пол€ полезной нагрузки. SPI отслеживает параметрические данные соединени€ в течении сессии и записывает их в так называемую Ђтаблицу состо€нийї. ¬ таблице хранитс€ така€ информаци€ как врем€ закрыти€ соединени€, врем€ открыти€, установлени€ и перезагрузки. Ётот механизм предотвращает обширный список атак на корпоративную сеть.

‘аервол может быть сконфигурирован как устройство дл€ разделени€ некоторых сегментов сети. “акие сегменты называют демилитаризированные зоны, или Demilitarized Zone (DMZ). ѕодобные зоны обеспечивают безопасность »“ Ц комплексам, которые наход€тс€ в пределах этих зон, а также, различные уровни безопасности и политики между ними. DMZ могут иметь несколько назначений: например, они могут выступать как сегмент, в котором находитс€ WEB серверна€ ферма, или как сегмент соединени€ к Ђэкстранетуї партнера по бизнесу.

ќбеспечение информационной безопасности сетей

¬ыше, изображена сеть, где в DMZ 1 наход€тс€ WEB сервера, доступные из сети »нтернет, внутренней сети и сети партнера. Cisco ASA, расположенна€ в центре рисунка, контролирует доступ из сети партнера, ограничива€ доступ из DMZ 2 только ресурсам WEB серверов, запреща€ доступ к внутренней сети.

¬ следующих стать€х мы расскажем о технологи€х трансл€ции адресов и систем IDS/IPS.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных