Угрозы и уязвимости проводных корпоративных сетей. Введение в сетевую безопасность

В попытках обеспечить жизнеспособность компании службы безопасности фокусируют свое внимание на защите сетевого периметра – сервисов, доступных из интернета. Образ мрачного злоумышленника, который готов нападать из любой точки мира на публикуемые сервисы компании, не на шутку пугает владельцев бизнеса. Но насколько это справедливо, учитывая, что наиболее ценная информация находится отнюдь не на периметре организации, а в недрах ее корпоративных сетей? Как оценить соразмерность защищенности инфраструктуры от атак внешних и внутренних?

«Корабль в порту - это безопасно, но не с этой целью корабли строятся»

Ощущение безопасности обманчиво

В условиях тотальной информатизации и глобализации бизнес предъявляет новые требования к корпоративным сетям, на первый план выходят гибкость и независимость корпоративных ресурсов по отношению к его конечным пользователям: сотрудникам и партнерам. По этой причине сегодняшние корпоративные сети весьма далеки от традиционного понятия изолированности (несмотря на то, что изначально они охарактеризовались именно так).

Представьте себе офис: стены защищают от внешнего мира, перегородки и стены делят общую площадь на более мелкие специализированные зоны: кухня, библиотека, служебные комнаты, рабочие места и т. д. Переход из зоны в зону происходит в определенных местах - в дверных проемах, и при необходимости там же контролируется дополнительными средствами: видеокамерами, системами контроля доступа, улыбчивыми охранниками… Заходя в такое помещение, мы чувствуем себя в безопасности, возникает ощущение доверия, доброжелательности. Однако стоит признать, что это ощущение - лишь психологический эффект, основанный на «театре безопасности», когда целью проводимых мероприятий заявляется повышение безопасности, но по факту лишь формируется мнение о ее наличии. Ведь если злоумышленник действительно захочет что-либо предпринять, то нахождение в офисе не станет непреодолимой трудностью, а возможно даже наоборот, найдутся дополнительные возможности.

То же самое происходит и в корпоративных сетях. В условиях, когда существует возможность нахождения внутри корпоративной сети, классические подходы к обеспечению безопасности оказываются недостаточными. Дело в том, что методы защиты строятся исходя из внутренней модели угроз и нацелены на противодействие сотрудникам, которые могут случайно или умышленно, но без должной квалификации, нарушить политику безопасности. Но что если внутри окажется квалифицированный хакер? Стоимость преодоления сетевого периметра организации на подпольном рынке имеет практически фиксированную цену для каждой организации и в среднем не превышает 500$. Так, например, в по черному рынку хакерских услуг компании Dell на апрель 2016 года показан следующий прейскурант:

В итоге, можно купить взлом корпоративного почтового ящика, аккаунт от которого скорее всего подойдет ко всем другим корпоративным сервисам компании из-за распространенного принципа Single Sign-on авторизации. Или приобрести не отслеживаемые для антивирусов полиморфные вирусы и с помощью фишинговой рассылки заразить неосторожных пользователей, тем самым завладев управлением компьютера внутри корпоративной сети. Для хорошо защищенных сетевых периметров используются недостатки человеческого сознания, так, например, купив новые идентификационные документы и получив данные о рабочей и личной жизни сотрудника организации через заказ кибершпионажа, можно использовать социальную инженерию и получить конфиденциальную информацию.

Наш опыт проведения тестов на проникновение показывает, что внешний периметр преодолевается в 83% случаев, и в 54% это не требует высококвалифицированной подготовки. При этом по статистике примерно каждый пятый сотрудник компании готов сознательно продать свои учетные данные, в том числе и от удаленного доступа, тем самым колоссально упрощая преодоление сетевого периметра. При таких условиях внутренний и внешний злоумышленники становятся неотличимыми, что создает новый вызов безопасности корпоративных сетей.

Взять критические данные и не защитить

Внутри корпоративной сети вход во все системы контролируется и доступен только для уже прошедших проверку пользователей. Но эта самая проверка оказывается упомянутым ранее обычным «театром безопасности», так как реальное положение дел выглядит очень мрачно, и это подтверждается статистикой уязвимостей корпоративных информационных систем . Вот некоторые основные недостатки корпоративных сетей.

  • Словарные пароли

Как ни странно, использование слабых паролей свойственно не только для рядового персонала компаний, но и для самих IT-администраторов. Так, например, зачастую в сервисах и оборудовании остаются пароли, установленные производителем по умолчанию, или для всех устройств используется одно и то же элементарное сочетание. Например, одно из самых популярных сочетаний - учетная запись admin с паролем admin или password. Также популярны короткие пароли, состоящие из строчных букв латинского алфавита, и простые численные пароли, такие как 123456. Таким образом, достаточно быстро можно выполнить перебор пароля, найти правильную комбинацию и получить доступ к корпоративным ресурсам.

  • Хранение критичной информации внутри сети в открытом виде

Представим ситуацию: злоумышленник получил доступ к внутренней сети, здесь может быть два варианта развития событий. В первом случае информация хранится в открытом виде, и компания сразу же несет серьезные риски. В другом случае данные в сети зашифрованы, ключ хранится в другом месте - и компания имеет шансы и время противостоять злоумышленнику и спасти важные документы от кражи.

  • Использование устаревших версий операционных систем и их компонентов

Каждый раз, когда появляется обновление, одновременно с этим выпускается технический документ, в котором подробно описывается, какие недочеты и ошибки были исправлены в новой версии. Если была обнаружена проблема, связанная с безопасностью, то злоумышленники начинают активно исследовать эту тему, находить связанные ошибки и на этой основе разрабатывать инструменты взлома.

До 50% компаний либо не обновляют используемые программы, либо делают это слишком поздно. В начале 2016 года Королевский госпиталь Мельбурна пострадал от того, что его компьютеры работали под управлением Windows XP. Первоначально попав на компьютер отделения патологии, вирус стремительно распространился по сети, заблокировав на некоторое время автоматизированную работу всего госпиталя.

  • Использование бизнес-приложений самостоятельной разработки без контроля защищенности

Основная задача собственной разработки - функциональная работоспособность. Подобные приложения имеют низкий порог защищенности, зачастую выпускаются в условиях дефицита ресурсов и должной поддержки от производителя. Продукт по факту работает, выполняет задачи, но при этом его очень просто взломать и получить доступ к необходимым данным.

  • Отсутствие эффективной антивирусной защиты и других средств защиты

Считается, что спрятанное от внешнего взора - защищенно, т. е. внутренняя сеть как бы находится в безопасности. Безопасники внимательно следят за внешним периметром, а если он так хорошо охраняется, то и во внутренний хакер не попадет. А по факту в 88% случаев в компаниях не реализованы процессы обнаружения уязвимостей, нет систем предотвращения вторжений и централизованного хранения событий безопасности. В совокупности это не позволяет эффективно обеспечивать безопасность корпоративной сети.

При этом информация, которая хранится внутри корпоративной сети, имеет высокую степень значимости для работы предприятия: клиентские базы в CRM-системах и биллинге, критичные показатели бизнеса в ERP, деловая коммуникация в почте, документооборот, содержащийся на порталах и файловых ресурсах, и т. п.

Граница между корпоративной и публичной сетью стала настолько размытой, что полностью контролировать ее безопасность стало очень сложно и дорого. Ведь практически никогда не используют контрмеры против воровства или торговли учетными записями, небрежности сетевого администратора, угроз, реализуемых через социальную инженерию, и пр. Что заставляет злоумышленников пользоваться именно этими приемами преодоления внешней защиты и приблизиться к уязвимой инфраструктуре с более ценными сведениями.

Выходом может стать концепция информационной безопасности, в которой безопасность внутренней и внешней сети обеспечивается исходя из единой модели угроз, и с вероятностью трансформации одного вида злоумышленника в другой.

Злоумышленники против защитников - чья возьмет?

Информационная безопасность как состояние возможна только в случае с неуловимым Джо - из-за его ненужности. Противоборство между злоумышленниками и защитниками происходит в принципиально разных плоскостях. Злоумышленники извлекают выгоду вследствие нарушения конфиденциальности, доступности или целостности информации, и чем эффективнее и результативнее их работа, тем большую выгоду они смогут получить. Защитники же не извлекают выгоды из процесса обеспечения безопасности вовсе, любой шаг - это невозвращаемая инвестиция. Именно поэтому получило распространение риск-ориентированное управление безопасностью, при котором внимание защитников фокусируется на наиболее дорогих (с точки зрения оценки ущерба) рисках с наименьшей ценой их перекрытия. Риски с ценой перекрытия выше, чем у охраняемого ресурса, осознанно принимаются или страхуются. Задача такого подхода в том, чтобы как можно больше повысить цену преодоления наименее слабой точки безопасности организации, поэтому критичные сервисы должны быть хорошо защищены вне зависимости от того, где располагается данный ресурс - внутри сети или на сетевом периметре.

Риск-ориентированный подход - лишь вынужденная мера, позволяющая существовать концепции информационной безопасности в реальном мире. По факту, она ставит защитников в затруднительную позицию: свою партию они играют черными, лишь отвечая на возникающие актуальные угрозы.

Угрозы и уязвимости проводных корпоративных сетей

На начальном этапе развития сетевых технологий ущерб от вирусных и других типов компьютерных атак был невелик, так как зависимость мировой экономики от информационных технологий была мала. В настоящее время в условиях значительной зависимости бизнеса от электронных средств доступа и обмена информацией и постоянно растущего числа атак ущерб от самых незначительных атак, приводящих к потерям машинного времени, исчисляется миллионами долларов, а совокупный годовой ущерб мировой экономике составляет десятки миллиардов долларов.

Информация, обрабатываемая в корпоративных сетях, является особенно уязвимой, чему способствуют:
увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;
увеличение числа удаленных рабочих мест;
широкое использование глобальной сети Internet и различных каналов связи;
автоматизация обмена информацией между компьютерами пользователей.

Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные сети, показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС - внутренние источники, так и вне ее - внешние источники. Такое деление вполне оправдано потому, что для одной и той же угрозы (например кражи) методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.

Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).

Согласно данным Национального института стандартов и технологий США (NIST), 55 % случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной ИС делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно. На рис. 2.4 приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.

На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.

Рис. 2.4. Источники нарушений безопасности

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.

Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10 % всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в Internet показывает, что почти каждыйInternet-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88 % компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения НСД. Отдельно следует рассматривать случаи удаленного доступа к информационным структурам организаций.

До построения политики безопасности необходимо оценить риски, которым подвергается компьютерная среда организации и предпринять соответствующие действия. Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.

Приведенные статистические данные могут подсказать администрации и персоналу организации, куда следует направить усилия для эффективного снижения угроз безопасности корпоративной сети и системы. Конечно, нужно заниматься проблемами физической безопасности и мерами по снижению негативного воздействия на безопасность ошибок человека, но в то же время необходимо уделять самое серьезное внимание решению задач сетевой безопасности по предотвращению атак на корпоративную сеть и систему как извне, так и изнутри системы.


Именно такой результат дал опрос более 1000 руководителей IT-подразделений крупных и средних европейских компаний, проведенный по заказу корпорации Intel. Целью опроса было желание определить проблему, которая в большей степени волнует специалистов отрасли. Ответ был вполне ожидаемый, более половины респондентов назвали проблему сетевой безопасности, проблему, требующей незамедлительного решения. Так же вполне ожидаемым можно назвать и другие результаты опроса. Например, фактор сетевой безопасности лидирует среди других проблем в области информационных технологий; степень его важности возросла на 15% по сравнению с ситуацией, существовавшей пять лет тому назад .
По результатам опроса, свыше 30% своего времени высококвалифицированные IT-специалисты тратят на решение как раз именно вопросов обеспечения безопасности . Ситуация, сложившаяся в крупных компаниях (со штатом свыше 500 сотрудников), еще более тревожна - около четверти респондентов тратят половину своего времени на решение этих вопросов.

Баланс угроз и защиты

Увы, но проблематика сетевой безопасности неразрывно связана с основополагающими технологиями, используемыми в современных телекоммуникациях. Так уж случилось, что при разработке семейства IP-протоколов приоритет был отдан надежности функционирования сети в целом. Во времена появления этих протоколов сетевая безопасность обеспечивалась совершенно другими способами, которые просто нереально использовать в условиях Глобальной сети. Можно громко сетовать на недальновидность разработчиков, но кардинально изменить ситуацию практически невозможно. Сейчас просто надо уметь защищаться от потенциальных угроз .
Главным принципом в этом умении должен быть баланс между потенциальными угрозами для сетевой безопасности и уровнем необходимой защиты . Должна быть обеспечена соизмеримость между затратами на безопасность и стоимостью возможного ущерба от реализованных угроз.
Для современного крупного и среднего предприятия информационные и телекоммуникационные технологии стали основой ведения бизнеса. Поэтому они оказались наиболее чувствительны к воздействию угроз. Чем масштабнее и сложнее сеть, тем больших усилий требует ее защита. При этом стоимость создания угроз на порядки меньше затрат на их нейтрализацию. Такое положение дел заставляет компании тщательно взвешивать последствия возможных рисков от различных угроз и выбирать соответствующие способы защиты от наиболее опасных.
В настоящее время наибольшие угрозы для корпоративной инфраструктуры представляют действия связанные с несанкционированным доступом к внутренним ресурсам и с блокированием нормальной работы сети. Существует довольно большое число таких угроз, но в основе каждой из них лежит совокупность технических и человеческих факторов. Например, проникновение вредоносной программы в корпоративную сеть может произойти не только вследствие пренебрежения со стороны администратора сети правилами безопасности, но также в силу излишнего любопытства сотрудника компании, решившего воспользоваться заманчивой ссылкой из почтового спама. Поэтому не стоит надеяться, что даже самые лучшие технические решения в области безопасности станут панацеей от всех бед.

Решения класса UTM

Безопасность всегда является относительным понятием. Если ее слишком много, то заметно усложняется пользование самой системой, которую мы собираемся защитить. Поэтому разумный компромисс становится первоочередным выбором в деле обеспечения сетевой безопасности. Для средних предприятий по российским меркам такой выбор вполне могут помочь сделать решения класса UTM (Unified Threat Management или United Threat Management) , позиционируемы как многофункциональные устройства сетевой и информационной безопасности. По своей сути эти решения представляют собой программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана (firewall), системы обнаружения и предотвращения вторжений в сеть (IPS), а также функции антивирусного шлюза (AV). Часто на эти комплексы возлагается решение дополнительных задач, например маршрутизации, коммутации или поддержки VPN сетей.
Зачастую поставщики решений UTM предлагают использовать их в малом бизнесе. Возможно, такой подход отчасти оправдан. Но все же малому бизнесу в нашей стране и проще, и дешевле воспользоваться сервисом безопасности от своего интернет-провайдера.
Как любое универсальное решение оборудование UTM имеет свои плюсы и минусы . К первым можно отнести экономию средств и времени на внедрение по сравнению с организацией защиты аналогичного уровня из отдельных устройств безопасности. Так же UTM представляет собой предварительно сбалансированное и протестированное решение, которое вполне может решить широкий круг задач по обеспечению безопасности. Наконец, решения этого класса не столь требовательны к уровню квалификации технического персонала. С их настройкой, управлением и обслуживанием вполне может справиться любой специалист.
Основным минусом UTM является факт, что любая функциональность универсального решения зачастую менее эффективна, чем аналогичная функциональность специализированного решения. Именно поэтому когда требуется высокая производительность или высокая степень защищенности специалисты по безопасности предпочитают использовать решения на основе интеграции отдельных продуктов.
Однако, несмотря на этот минус решения UTM становятся востребованными многими организациями, сильно отличающимися по масштабу и роду деятельности. По данным компании Rainbow Technologies, такие решения были успешно внедрены, например, для защиты сервера одного из Интернет магазинов бытовой техники, который подвергался регулярным DDoS-атакам. Так же решение UTM позволило заметно сократить объем спама в почтовой системе одного из автомобильных холдингов. Помимо решения локальных задач, есть опыт построения систем безопасности на базе решений UTM для распределенной сети, охватывающей центральный офис пивоваренной компании и ее филиалы.

Производители UTM и их продукты

Российский рынок оборудования класса UTM сформирован только предложениями зарубежных производителей. К сожалению, никто из отечественных производителей пока не смог предложить собственных решений в данном классе оборудования. Исключение составляет программное решение Eset NOD32 Firewall, которое по сообщению компании было создано российскими разработчиками.
Как уже отмечалось, на российском рынке решения UTM могут быть интересны главным образом средними компаниями, в корпоративной сети которых насчитывается до 100-150 рабочих мест. При отборе оборудования UTM для представления в обзоре главным критерием выбора стала его производительность в различных режимах работы, которая смогла бы обеспечить комфортную работы пользователей. Часто производители указывают характеристики производительности для режимов Firewall, предотвращения вторжения IPS и защиты от вирусов AV.

Решение компании Check Point носит название UTM-1 Edge и представляет собой унифицированное устройство защиты, объединяющее межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а так же средства построения VPN и удаленного доступа. Входящий в решение firewall контролирует работу с большим числом приложений, протоколов и сервисов, а так же имеет механизм блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, трафика систем мгновенных сообщений (IM) и одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, трафика FTP и HTTP. При этом нет ограничений на объем файлов и осуществляется декомпрессия архивных файлов "на лету".
Решение UTM-1 Edge обладает развитыми возможностями работы в VPN сетях. Поддерживается динамическая маршрутизация OSPF и подключение VPN клиентов. Модель UTM-1 Edge W выпускается со встроенной точкой WiFi доступа IEEE 802.11b/g.
При необходимости крупномасштабных внедрений, UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление средствами безопасности значительно упрощается.

Компания Cisco традиционно уделяет вопросам сетевой безопасности повышенное внимание и предлагает широкий набор необходимых устройств. Для обзора мы решили выбрать модель Cisco ASA 5510 , которая ориентирована на обеспечение безопасности периметра корпоративной сети. Это оборудование входит в серию ASA 5500, включающую модульные системы защиты класса UTM. Такой подход позволяет адаптировать систему обеспечения безопасности к особенностям функционирования сети конкретного предприятия.
Cisco ASA 5510 поставляется в четырех основных комплектах — межсетевого экрана, средств построения VPN, системы предотвращения вторжений, а так же средств защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager для формирования инфраструктуры управления при разветвленной корпоративной сети, и система Cisco MARS, призванная осуществлять мониторинг сетевой среды и реагировать на нарушение безопасности в режиме реального времени.

Словацкая компания Eset поставляет программный комплекс Eset NOD32 Firewall класса UTM, включающий, помимо функций корпоративного файервола, систему антивирусной защиты Eset NOD32, средства фильтрации почтового (антиспам) и веб-трафика, системы обнаружения и предупреждения сетевых атак IDS и IPS. Решение поддерживает создание сетей VPN. Этот комплекс построен на основе серверной платформы, работающей под управлением Linux. Программная часть устройства разработана отечественной компанией Leta IT , подконтрольной российскому представительству Eset.
Данное решение позволяет контролировать сетевой трафик в режиме реального времени, поддерживается фильтрация контента по категориям веб-ресурсов. Обеспечивается защиту от атак типа DDoS и блокируются попытки сканирования портов. В решение Eset NOD32 Firewall включена поддержка серверов DNS, DHCP и управление изменением пропускной способности канала. Контролируются трафик почтовых протоколов SMTP, POP3.
Так же данное решение включает возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования.

Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя свои решения как способные обеспечить защиту сети при сохранении высокого уровня производительности, а так же надежной и прозрачной работы информационных систем предприятия в режиме реального времени. Для обзора мы выбрали модель FortiGate-224B , которая ориентирована для защиты периметра корпоративной сети с 150 - 200 пользователями.
Оборудование FortiGate-224B включает функциональность межсетевого экрана, сервера VPN, фильтрацию web-трафика, системы предотвращения вторжения, а так же антивирусную и антиспамовскую защиту. Эта модель имеет встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет обойтись без внешних устройств маршрутизации и коммутации. Для этого поддерживается маршрутизация по протоколам RIP, OSPF и BGP, а так же протоколы аутентификации пользователей перед предоставлением сетевых сервисов.

Компания SonicWALL предлагает широкий выбор устройств UTM, из которого в данный обзор попало решение NSA 240 . Это оборудование является младшей моделью в линейке, ориентированной на использование в качестве системы защиты корпоративной сети среднего предприятия и филиалов крупных компаний.
В основе данной линейки лежит использование всех средств защиты от потенциальных угроз. Это межсетевой экран, система защиты от вторжения, шлюзы защиты от вирусов и шпионского программного обеспечения. Есть фильтрация web-трафика по 56 категориям сайтов.
В качестве одной из изюминок своего решения компания SonicWALL отмечает технологию глубокого сканирования и анализа поступающего трафика. Для исключения снижения производительности данная технология использует параллельную обработку данных на многопроцессорном ядре.
Это оборудование поддерживает работу с VPN, обладает развитыми возможностями маршрутизации и поддерживает различные сетевые протоколы. Так же решение от SonicWALL способно обеспечить высокий уровень безопасности при обслуживании трафика VoIP по протоколам SIP и Н.323.

Из линейки продукции компания WatchGuard для обзора было выбрано решение Firebox X550e , которое позиционируется как система, обладающая развитой функциональностью для обеспечения сетевой безопасности и ориентирована на использовании в сетях малых и средних предприятий.
В основе решений класса UTM этого производителя лежит использование принципа защиты от смешенных сетевых атак. Для этого оборудование поддерживает межсетевой экран, систему предотвращения атак, антивирусный и антиспамовский шлюзы, фильтрацию web-ресурсов, а так же систему противодействия шпионскому программному обеспечению.
В этом оборудовании используется принцип совместной защиты, согласно которому сетевой трафик, проверенный по определенному критерию на одном уровне защиты не проверятся по этому же критерию на другом уровне. Такой подход позволяет обеспечивать высокую производительность оборудования.
Другим достоинством своего решения производитель называет поддержку технологии Zero Day, которая обеспечивает независимость обеспечения безопасности от наличия сигнатур. Такая особенность важна при появлении новых видов угроз, на которые еще не найдено эффективное противодействие. Обычно "окно уязвимости" длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий окна уязвимости заметно снижается.

Компания ZyXEL предлагает свое решение сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях, насчитывающих до 500 пользователей. Это решение ZyWALL 1050 предназначено для построения системы сетевой безопасности, включающую полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN в зависимости конфигурации сети.
Устройство поддерживает передачу трафика VoIP приложений по протоколам SIP и Н.323 на уровне firewall и NAT, а так же передачу трафика пакетной телефонии в туннелях сети VPN. При этом обеспечивается функционирование механизмов предотвращения атак и угроз для всех видов трафика, включая VoIP-трафик, работа антивирусной системы с полной базой сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама.
Решение ZyWALL 1050 поддерживает различных топологий частных сетей, рабоуа в режиме VPN-концентратора и объединение виртуальных сетей в зоны с едиными политиками безопасности.

Основные характеристики UTM

Мнение специалиста

Дмитрий Костров, директор по проектам Дирекции технологической защиты корпоративного центра ОАО "МТС"

Сфера применения решений UTM главным образом распространяется на компании, относящиеся к предприятиям малого и среднего бизнеса. Само понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, согласно которому UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств. Обычно это межсетевой экран, VPN, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного и антиспамовского шлюзов и фильтрации URL.
Для того чтобы добиться действительно эффективной защиты устройство должно быть многоуровневым, активным и интегрированным. При этом многие производители средств защиты уже имеют достаточно широкую линейку продуктов, относящихся к UTM. Достаточная простота развертывания систем, а также получение системы "все в одном" делает рынок указанных устройств достаточно привлекательным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении данных устройств кажутся очень привлекательными.
Но это решение UTM похоже на "швейцарский нож" - есть инструмент на каждый случай, но чтобы пробить в стене дырку нужна настоящая дрель. Есть также вероятность, что появление защиты от новых атак, обновление сигнатур и т.п. не будет столь быстрыми, в отличие от поддержки отдельных устройств, стоящих в "классической" схеме защиты корпоративных сетей. Также остается проблема единой точки отказа.

Идентификация / аутентификация (ИА) операторов должна вы­полняться аппаратно до этапа загрузки ОС. Базы данных ИА долж­ны храниться в энергонезависимой памяти систем защиты инфор­мации (СЗИ), организованной так, чтобы доступ к ней средствами ПК был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПК.

Идентификация / аутентификация удаленных пользователей, как и в предыдущем случае, требует аппаратной реализации. Аутенти­фикация возможна различными способами, включая электронную цифровую подпись (ЭЦП). Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения про­цедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты злоумышленник не мог нанести ощутимого ущерба.

2. Защита технических средств от НСД

Средства защиты компьютеров от НСД можно разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие - способ реализации контроля це­лостности. Электронные замки аппаратно выполняют процедуры И/А пользователя, используют внешнее ПО для выполнения про­цедур контроля целостности. АМДЗ аппаратно реализуют как функ­ции ЭЗ, так и функции контроля целостности и функции админи­стрирования.

Контроль целостности технического состава ПК и ЛВС. Кон­троль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролиро­ваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе центральный процессор, системный BIOS, гибкие диски, жесткие диски и CD-ROM.

Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенных ПК к сети и далее через заранее определенные администратором безопасности интер­валы времени.

Контроль целостности ОС, т.е. контроль целостности системных областей и файлов ОС должен выполняться контроллером до загруз­ки ОС для обеспечения чтения реальных данных. Так как в элек­тронном документообороте могут использоваться различные ОС, то встроенное в контроллер ПО должно обеспечивать обслуживание наиболее популярных файловых систем.

Контроль целостности прикладного программного обеспечения (ППО) и данных может выполняться как аппаратным, так и программным компонентом СЗИ.

3. Разграничение доступа к документам, ресурсам ПК и сети

Современные операционные системы все чаще содержат встро­енные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и ос­нованы на атрибутах, связанных с одним из уровней API операци­онной системы. При этом неизбежно возникают следующие две проблемы.


Привязка к особенностям файловой системы. В современных опе­рационных сйстемах, как правило, используются не одна, а несколь­ко ФС - как новые, так и устаревшие. Обычно на новой ФС встро­енное в ОС разграничение доступа работает, а на старой - может и не работать, так как использует существенные отличия новой ФС.

Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Именно с целью обеспечения совместимости старые ФС в этом случае включаются в состав новых ОС.

Привязка к API операционной системы. Как правило, операцион­ные системы меняются сейчас очень быстро - раз в год-полтора. Не исключено, что будут меняться еще чаще. Если при этом атри­буты разграничения доступа отражают состав API, с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д.

Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему и тем самым быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности системы.

4. Защита электронных документов

Защита электронного обмена информацией включает два класса задач:

Обеспечение эквивалентности документа в течение его жиз­ненного цикла исходному ЭлД-эталону;

Обеспечение эквивалентности примененных электронных тех­нологий эталонным.

Назначение любой защиты - обеспечение стабильности задан­ных свойств защищаемого объекта во всех точках жизненного цик­ла. Защищенность объекта реализуется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). Например, в случае, если в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом до­кументе), то это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологиче­ских требований, а именно - неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вари­антов атрибутов могут быть защитные коды аутентификации (ЗКА).

Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации. Запись копии электронного документа на внешние носители до вы­работки ЗКА должна быть исключена. Если ЭлД формируется опе­ратором, то ЗКА должен быть привязан к оператору. Если ЭлД по­рождается программным компонентом АС, то ЗКА должен выраба­тываться с привязкой к данному программному компоненту.

Защита документа при его передаче. Защита документа при его передаче по внешним (открытым) каналам связи должна выпол­няться на основе применения сертифицированных криптографиче­ских средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант - с помощью ЭЦП подписывается пачка докумен­тов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП), например ЗКА.

Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается второй ЗКА и только за­тем снимается ЭЦП.

Защита документа при доступе к нему из внешней среды. Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удален­ных пользователей и разграничение доступа к документам, ресурсам ПК и сети.

5. Защита данных в каналах связи

Традиционно для защиты данных в канале связи применяют канальные шифраторы и передаются не только данные, но и управ­ляющие сигналы.

6. Защита информационных технологий

Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При за­щите информационной технологии в отличие от защиты ЭлД досто­верно известны характеристики требуемой технологии-эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией, т.е. результате. Единст­венным объектом, который может нести информацию о фактиче­ской технологии (как последовательности операций), является соб­ственно ЭлД, а точнее входящие в него атрибуты. Как и ранее, од­ним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее коли­чество функциональных операций привязывается к сообщению че­рез ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того, можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответст­вующей операции, а значение ЗКА характеризует целостность со­общения на данном этапе технологического процесса.

7. Разграничение доступа к потокам данных

Для целей разграничения доступа к потокам данных применя­ются, как правило, маршрутизаторы, которые используют крипто­графические средства защиты. В таких случаях особое внимание уделяется ключевой системе и надежности хранения ключей. Требо­вания к доступу при разграничении потоков отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм - доступ разрешен или запрещен.

Выполнение перечисленных требований обеспечивает достаточ­ный уровень защищенности электронных документов как важнейше­го вида сообщений, обрабатываемых в информационных системах.

В качестве технических средств защиты информации в настоя­щее время разработан аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий загрузку ОС вне зависимости от ее типа для пользователя, аутентифицированного защитным механизмом. Результаты разработки СЗИ НСД «Аккорд» (разработчик ОКБ САПР) серийно выпускаются и являются на сегодня самым извест­ным в России средством защиты компьютеров от несанкциониро­ванного доступа. При разработке была использована специфика прикладной области, отраженная в семействе аппаратных средств защиты информации в электронном документообороте, которые на различных уровнях используют коды аутентификации (КА). Рас­смотрим примеры использования аппаратных средств.

1. В контрольно-кассовых машинах (ККМ) КА используются как средства аутентификации чеков как одного из видов ЭлД. Каждая ККМ должна быть снабжена блоком интеллектуальной фискальной памяти (ФП), которая кроме функций накопления данных об ито­гах продаж выполняет еще ряд функций:

Обеспечивает защиту ПО ККМ и данных от НСД;

Вырабатывает коды аутентификации как ККМ, так и каждого чека;

Поддерживает типовой интерфейс взаимодействия с модулем налогового инспектора;

Обеспечивает съем фискальных данных для представления в налоговую инспекцию одновременно с балансом.

Разработанный блок ФП «Аккорд-ФП» выполнен на основе СЗИ «Аккорд». Он характеризуется следующими особенностями:

Функции СЗИ НСД интегрированы с функциями ФП;

В составе блока ФП выполнены также энергонезависимые ре­гистры ККМ;

Процедуры модуля налогового инспектора так же интегриро­ваны, как неотъемлемая часть в состав блока «Аккорд-ФП».

2. В системе контроля целостности и подтверждения достоверно­сти электронных документов (СКЦПД) в автоматизированной сис­теме федерального или регионального уровня принципиальным отли­чием является возможность защиты каждого отдельного документа. Эта система позволила обеспечить контроль, не увеличивая значи­тельно трафик. Основой для создания такой системы стал контрол­лер «Аккорд-С Б/КА» - высокопроизводительный сопроцессор безопасности, реализующий функции выработки/проверки кодов аутентификации.

Обеспечивает управление деятельностью СКЦПД в целом ре­гиональный информационно-вычислительный центр (РИВЦ), взаимодействуя при этом со всеми АРМ КА - АРМ операторов- участников, оснащенными программно-аппаратными комплексами «Аккорд-СБ/КА» (А-СБ/КА) и программными средствами СКЦПД. В состав РИВЦ должно входить два автоматизированных рабочих места - АРМ-К для изготовления ключей, АРМ-Р для подготовки рассыпки проверочных данных.

3. Применение кодов аутентификации в подсистемах технологиче­ской защиты информации ЭлД. Основой для реализации аппаратных средств защиты информации может служить «Аккорд СБ» и «Ак­корд АМДЗ» (в части средств защиты от несанкционированного доступа). Для защиты технологий используются коды аутентифика­ции. Коды аутентификации электронных документов в подсистеме технологической защиты информации формируются и проверяются на серверах кода аутентификации (СКА) с помощью ключевых таб­лиц (таблиц достоверности), хранящихся во внутренней памяти ус­тановленных в СКА сопроцессоров «Аккорд-СБ». Таблицы досто­верности, закрытые на ключах доставки, доставляются на СКА и загружаются во внутреннюю память сопроцессоров, где и происхо­дит их раскрытие. Ключи доставки формируются и регистрируются на специализированном автоматизированном рабочем месте АРМ-К и загружаются в сопроцессоры на начальном этапе в процессе их персонализации.

Опыт широкомасштабного практического применения более 100 ООО модулей аппаратных средств защиты типа «Аккорд» в ком­пьютерных системах различных организаций России и стран ближне­го зарубежья показывает, что ориентация на программно-аппаратное решение выбрано правильно, так как оно имеет большие возмож­ности для дальнейшего развития и совершенствования.

Выводы

Недооценка проблем, связанных с безопасностью информации, может приводить к огромному ущербу.

Рост компьютерной преступности вынуждает заботиться об ин­формационной безопасности.

Эксплуатация в российской практике однотипных массовых про­граммно-технических средств (например, IBM-совместимые пер­сональные компьютеры; операционные системы - Window, Unix, MS DOS, Netware и т.д.) создает в определенной мере условия для злоумышленников.

Стратегия построения системы защиты информации должна опираться на комплексные решения, на интеграцию информаци­онных технологий и систем защиты, на использование передовых методик и средств, на универсальные технологии защиты инфор­мации промышленного типа.

Вопросы для самоконтроля

1. Назовите виды угроз информации, дайте определение угрозы.

2. Какие существуют способы защиты информации?

3. Охарактеризуйте управление доступом как способ защиты ин­формации. Каковы его роль и значение?

4. В чем состоит назначение криптографических методов защиты информации? Перечислите их.

5. Дайте понятие аутентификации и цифровой подписи. В чем их сущность?

6. Обсудите проблемы защиты информации в сетях и возможности их разрешения.

7. Раскройте особенности стратегии защиты информации с исполь­зованием системного подхода, комплексных решений и принци­па интеграции в информационных технологиях.

8. Перечислите этапы создания систем защиты информации.

9. Какие мероприятия необходимы для реализации технической защиты технологий электронного документооборота?

10. В чем заключается суть мультипликативного подхода?

11. Какие процедуры необходимо выполнить, чтобы защитить сис­тему электронного документооборота?

12. Какие функции выполняет сетевой экран?

Тесты к гл. 5

Вставьте недостающие понятия и словосочетания.

1. События или действия, которые могут привести к несанкциони­рованному использованию, искажению или разрушению информации, называются...

2. Среди угроз безопасности информации следует выделить два вида: ...

3. Перечисленные виды противодействия угрозам безопасности ин­формации: препятствие, управление доступом, шифрование, регламента­ция, принуждение и побуждение относятся к... обеспечения безопас­ности информации.

4. Следующие способы противодействия угрозам безопасности: фи­зические, аппаратные, программные, организационные, законодатель­ные, морально-этические, физические относятся к... обеспечения без­опасности информации.


5. Криптографические методы защиты информации основаны на ее...

6. Присвоение пользователю уникального обозначения для подтвер­ждения его соответствия называется...

7. Установление подлинности пользователя для проверки его соот­ветствия называется...

8. Наибольшая угроза для корпоративных сетей связана:

а) с разнородностью информационных ресурсов и технологий;

б) с программно-техническим обеспечением;

в) со сбоями оборудования. Выберите правильные ответы.

9. Рациональный уровень информационной безопасности в корпо­ративных сетях в первую очередь выбирается исходя из соображений:

а) конкретизации методов защиты;

б) экономической целесообразности;

в) стратегии защиты.

10. Резидентная программа, постоянно находящаяся в памяти компью­тера и контролирующая операции, связанные с изменением информации на магнитных дисках, называется:

а) детектором;

в) сторожем;

г) ревизором.

11. Антивирусные средства предназначены:

а) для тестирования системы;

б) для защиты программы от вируса;

в) для проверки программ на наличие вируса и их лечение;

г) для мониторинга системы.


Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.

При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:

  1. Корпоративный почтовый сервер (Web-mail).
  2. Корпоративный терминальный сервер (RDP).
  3. Extranet сервис для контрагентов (Web-API).

Вариант 1. Плоская сеть

В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к Интернет через пограничный маршрутизатор/межсетевой экран (далее - IFW ).

Доступ узлов в Интернет осуществляется через NAT , а доступ к сервисам из Интернет через Port forwarding .

Плюсы варианта :

  1. Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
  2. Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.
Минусы варианта :
  1. Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.
Аналогия с реальной жизнью
Подобную сеть можно сравнить с компанией, где персонал и клиенты находятся в одной общей комнате (open space)


hrmaximum.ru

Вариант 2. DMZ

Для устранения указанного ранее недостатка узлы сети, доступные из Интернет, помещают в специально выделенный сегмент – демилитаризованную зону (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет (IFW ) и от внутренней сети (DFW ).


При этом правила фильтрации межсетевых экранов выглядят следующим образом:
  1. Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
  2. Из DMZ можно инициировать соединения в WAN.
  3. Из WAN можно инициировать соединения в DMZ.
  4. Инициация соединений из WAN и DMZ ко внутренней сети запрещена.


Плюсы варианта:
  1. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).
Минусы варианта:
  1. Сам по себе вынос серверов в DMZ не повышает их защищенность.
  2. Необходим дополнительный МЭ для отделения DMZ от внутренней сети.
Аналогия с реальной жизнью
Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент - это как раз и есть аналог клиентской зоны.


autobam.ru

Вариант 3. Разделение сервисов на Front-End и Back-End

Как уже отмечалось ранее, размещение сервера в DMZ никоим образом не улучшает безопасность самого сервиса. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: Front-End и Back-End . При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие. Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. Для взаимодействия между ними на DFW создают правила, разрешающие инициацию подключений от Front-End к Back-End.

В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.

Плюсы варианта:

  1. В общем случае атаки, направленные против защищаемого сервиса, могут «споткнуться» об Front-End, что позволит нейтрализовать или существенно снизить возможный ущерб. Например, атаки типа TCP SYN Flood или slow http read , направленные на сервис, приведут к тому, что Front-End сервер может оказаться недоступен, в то время как Back-End будет продолжать нормально функционировать и обслуживать пользователей.
  2. В общем случае на Back-End сервере может не быть доступа в Интернет, что в случае его взлома (например, локально запущенным вредоносным кодом) затруднит удаленное управление им из Интернет.
  3. Front-End хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort).
Минусы варианта:
  1. Для связи между Front-End и Back-End на DFW создается правило, разрешающее инициацию соединения из DMZ во внутреннюю сеть, что порождает угрозы, связанные с использованием данного правила со стороны других узлов в DMZ (например, за счет реализации атак IP spoofing, ARP poisoning и т. д.)
  2. Не все сервисы могут быть разделены на Front-End и Back-End.
  3. В компании должны быть реализованы бизнес-процессы актуализации правил межсетевого экранирования.
  4. В компании должны быть реализованы механизмы защиты от атак со стороны Нарушителей, получивших доступ к серверу в DMZ.
Примечания
  1. В реальной жизни даже без разделения серверов на Front-End и Back-End серверам из DMZ очень часто необходимо обращаться к серверам, находящимся во внутренней сети, поэтому указанные минусы данного варианта будут также справедливы и для предыдущего рассмотренного варианта.
  2. Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать.
Аналогия с реальной жизнью
Данный вариант по сути похож на организацию труда, при которой для высоко загруженных работников используют помощников - секретарей. Тогда Back-End будет аналогом загруженного работника, а Front-End аналогом секретаря.


mln.kz

Вариант 4. Защищенный DMZ

DMZ это часть сети, доступная из Internet, и, как следствие, подверженная максимальному риску компрометации узлов. Дизайн DMZ и применяемые в ней подходы должны обеспечивать максимальную живучесть в условиях, когда Нарушитель получил контроль над одним из узлов в DMZ. В качестве возможных атак рассмотрим атаки, которым подвержены практически все информационные системы, работающие с настройками по умолчанию:

Защита от атак, связанных с DHCP

Не смотря на то, что DHCP предназначен для автоматизации конфигурирования IP-адресов рабочих станций, в некоторых компаниях встречаются случаи, когда через DHCP выдаются IP-адерса для серверов, но это довольно плохая практика. Поэтому для защиты от Rogue DHCP Server , DHCP starvation рекомендуется полный отказ от DHCP в DMZ.

Защита от атак MAC flood

Для защиты от MAC flood проводят настройку на портах коммутатора на предмет ограничения предельной интенсивности широковещательного трафика (поскольку обычно при данных атаках генерируется широковещательный трафик (broadcast)). Атаки, связанные с использованием конкретных (unicast) сетевых адресов, будут заблокированы MAC фильтрацией, которую мы рассмотрели ранее.

Защита от атак UDP flood

Защита от данного типа атак производится аналогично защите от MAC flood, за исключением того, что фильтрация осуществляется на уровне IP (L3).

Защита от атак TCP SYN flood

Для защиты от данной атаки возможны варианты:
  1. Защита на узле сети с помощью технологии TCP SYN Cookie .
  2. Защита на уровне межсетевого экрана (при условии разделения DMZ на подсети) путем ограничения интенсивности трафика, содержащего запросы TCP SYN.

Защита от атак на сетевые службы и Web-приложения

Универсального решения данной проблемы нет, но устоявшейся практикой является внедрение процессов управления уязвимостями ПО (выявление, установка патчей и т.д., например, так), а также использование систем обнаружения и предотвращения вторжений (IDS/IPS).

Защита от атак на обход средств аутентификации

Как и для предыдущего случая универсального решения данной проблемы нет.
Обычно в случае большого числа неудачных попыток авторизации учетные записи, для избежания подборов аутентификационных данных (например, пароля) блокируют. Но подобный подход довольно спорный, и вот почему.
Во-первых, Нарушитель может проводить подбор аутентификационной информации с интенсивностью, не приводящей к блокировке учетных записей (встречаются случаи, когда пароль подбирался в течении нескольких месяцев с интервалом между попытками в несколько десятков минут).
Во-вторых, данную особенность можно использовать для атак типа отказ в обслуживании, при которых Нарушитель будет умышленно проводить большое количество попыток авторизации для того, чтобы заблокировать учетные записи.
Наиболее эффективным вариантом от атак данного класса будет использование систем IDS/IPS, которые при обнаружении попыток подбора паролей будут блокировать не учетную запись, а источник, откуда данный подбор происходит (например, блокировать IP-адрес Нарушителя).

Итоговый перечень защитных мер по данному варианту:

  1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
  2. IP адреса назначаются вручную администраторами. DHCP не используется.
  3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
  4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
  5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
  6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
  7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.
Плюсы варианта:
  1. Высокая степень безопасности.
Минусы варианта:
  1. Повышенные требования к функциональным возможностям оборудования.
  2. Трудозатраты во внедрении и поддержке.
Аналогия с реальной жизнью
Если ранее DMZ мы сравнили с клиентской зоной, оснащенной диванчиками и пуфиками, то защищенный DMZ будет больше похож на бронированную кассу.


valmax.com.ua

Вариант 5. Back connect

Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство (коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.

В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:

  • атаки, позволяющие перехватывать и модифицировать трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
  • атаки, связанные с эксплуатацией уязвимостей серверов внутренней сети, к которым можно инициировать подключения из DMZ (что возможно путем обхода правил фильтрации DFW за счет IP и MAC spoofing).
Следующей немаловажной особенностью, которую мы ранее не рассматривали, но которая не перестает быть от этого менее важной, это то, что автоматизированные рабочие места (АРМ) пользователей тоже могут быть источником (например, при заражении вирусами или троянами) вредоносного воздействия на сервера.

Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).

Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW , разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй - это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.

Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW .

Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.

Общая схема работы данного варианта выглядит следующим образом:

  1. На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
  2. Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
  3. Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
  4. На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.

Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN , поскольку он обладает следующими важными свойствами:

  • Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
  • Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
  • Возможность использования сертифицированной криптографии .
На первый взгляд может показаться, что данная схема излишне усложнена и что, раз на сервере внутренней сети все равно нужно устанавливать локальный межсетевой экран, то проще сделать, чтобы сервер из DMZ, как обычно, сам подключался к серверу внутренней сети, но делал это по шифрованному соединению. Действительно, данный вариант закроет много проблем, но он не сможет обеспечить главного - защиту от атак на уязвимости сервера внутренней сети, совершаемых за счет обхода межсетевого экрана с помощью IP и MAC spoofing.

Плюсы варианта:

  1. Архитектурное уменьшение количества векторов атак на защищаемый сервер внутренней сети.
  2. Обеспечение безопасности в условиях отсутствия фильтрации сетевого трафика.
  3. Защита данных, передаваемых по сети, от несанкционированного просмотра и изменения.
  4. Возможность избирательного повышения уровня безопасности сервисов.
  5. Возможность реализации двухконтурной системы защиты, где первый контур обеспечивается с помощью межсетевого экранирования, а второй организуется на базе данного варианта.
Минусы варианта:
  1. Внедрение и сопровождение данного варианта защиты требует дополнительных трудовых затрат.
  2. Несовместимость с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).
  3. Дополнительная вычислительная нагрузка на сервера.
Аналогия с реальной жизнью
Основной смысл данного варианта в том, что доверенное лицо устанавливает связь с не доверенным, что похоже на ситуацию, когда при выдаче кредитов Банки сами перезванивают потенциальному заемщику с целью проверки данных. Добавить метки