img

Защита периметра сети

Устройства третьего уровня модели OSI обеспечивают так называемую трансляцию сетевых адресов, или Network Address Translation (NAT). Устройства третьего уровня, как правило, маршрутизаторы, фаерволы или коммутаторы с функциями L3, преобразуют внутренние IP-адреса во внешние, которые маршрутизируются в сети интернет. В рамках преобразования IP-адреса, фаервол сохраняет внутренний адрес себе в память, затем подменяет его на адрес внешнего интерфейса, либо меняет его на один из адресов внешнего диапазона (пула), и совершает отправку измененного IP-пакета.


Трансляция портов

В современных корпоративных сетях, фаерволы выполняют функцию, которая называется Port Address Translation (PAT). Эта технология позволяет множеству внутренних IP – адресов использовать один и тот же внешний адрес. Данная технология реализуется на четвертом уровне модели OSI. Схема работы PAT показана ниже:

Защита периметра сети

На схеме, компьютеры (рабочие станции) находятся в защищенном участке сети за «фаерволом». Этот участок обозначен как внутренняя сеть, где действует адресация 192.168.0.0 с маской подсети 255.255.255.0. Как было сказано в начале главы, Cisco Adaptive Security Appliances (ASA) выполняет функции по трансляции портов для устройств внутренней сети. Трансляция выполняется для «хостов» подсети 192.168.0.X в во внешний IP-адрес Cisco ASA – 208.104.33.225. В данном примере, компьютер А отправляет TCP пакет с портом назначения 80, получателем которого является WEB – сервер, расположенный во внешнем сегменте сети на компьютере Б. ASA подменяет оригинальный запрос с IP-адреса 192.168.0.44 на свой собственный (208.104.33.225). Параллельно, случайно выбирается номер порта, отличного от исходного (в данном примере порт 1024 заменен на 1188). Только после этого, пакеты отправляются на WEB – сервер к адресу назначения 208.104.33.241.


Система обнаружения и предотвращения вторжений

Система обнаружения вторжений Intrusion Detection System (IDS), это устройства, которые предназначены для обнаружения атак на корпоративную сеть и поддержания ИТ безопасности в целом. Системы обнаружения позволяют отслеживать распределенные DDoS атаки, «черви» и «трояны».

Система обнаружения и предотвращения вторжений

Как показано выше, злоумышленник отправляет «зараженный» пакет на WEB – сервера компании с целью, например, вывести из строя сайт компании. Система обнаружения вторжения (IDS) отслеживает данный пакет, и отправляет сигнал тревоги на систему мониторинга. Недостатком данного механизма является то, что он лишь уведомляет о наличии угрозы, но не предотвращает ее. В данном случае, отправленный злоумышленником пакет дойдет до получателя.

Система предотвращения вторжений, или Intrusion Prevention System (IPS) , способна не только обнаружить «зараженный» пакет, но и уничтожить его. Схема работы IPS показана на рисунке ниже:

Система предотвращения вторжений

Как видно из рисунка, система IPS предотвращает попадание «зараженного» пакета в сегмент корпоративной сети. IPS/IDS системы определяют «зараженный» трафик по следующим критериям:

  • Проверка на базе подписи;
  • Общая политика безопасности;
  • Проверка на базе нелинейности поведения;
  • Проверка на основании репутации.

О критериях определения "плохого" трафика мы расскажем в следующих статьях.

Ссылка
скопирована
Получите бесплатные уроки на наших курсах
Все курсы
Еще по теме:
img
Облака, как они прекрасны, как те, что на небе, так и те, что хранят ваши драгоценные данные. Давайте же мы сегодня поговорим о безопасности данных в облачных сервисах
img
Новомодное словосочетание, мем или же вовсе опасный вирус? Сегодня мы разберемся в том, что такое Zero Trust и почему это круто
img
Сегодня в статье разберемся с таким непростым вопросом, как где и чему стоит учится, чтобы стать востребованным рыцарем кибербезопасности, а также какие есть карьерные возможности для развития
img
Что это за технология XXI века, о которой все говорят? Почему эта трендовая технология набрала популярность и в чем состоит ее безопасность? Об этом мы и расскажем в этой статье
img
В этой статье мы узнаем что такое NGFW, какие у него есть фичи, функции и конечно же минусы (ну а куда без них))