Kiwszenko Aleksiej, 1880

Ten artykuł zawiera przegląd pięć możliwości rozwiązania problemu organizacji dostępu do usług sieć korporacyjna z Internetu. Przegląd zawiera analizę opcji pod względem bezpieczeństwa i wykonalności, która pomoże zarówno początkującym, jak i bardziej doświadczonym specjalistom zrozumieć istotę zagadnienia, odświeżyć i usystematyzować swoją wiedzę. Materiały zawarte w artykule można wykorzystać do uzasadnienia decyzji projektowych.

Rozważając opcje, weźmy jako przykład sieć, w której chcesz publikować:

1. Zbiorowy serwer poczty elektronicznej(poczta internetowa).
2. Serwer terminali korporacyjnych (RDP).
3. Usługa ekstranetowa dla kontrahentów (Web-API).

Opcja 1: Sieć płaska

W tej opcji wszystkie węzły sieci korporacyjnej zawarte są w jednej wspólnej dla wszystkich sieci („Sieć Wewnętrzna”), w ramach której komunikacja pomiędzy nimi nie jest ograniczona. Sieć jest połączona z Internetem poprzez router graniczny/firewall (zwany dalej IFW).

Hosty uzyskują dostęp do Internetu poprzez NAT, a dostęp do usług z Internetu poprzez przekierowanie portów.

Plusy opcji:

1. Minimalne wymagania dotyczące funkcjonalności IFW(można to zrobić na prawie każdym routerze, nawet na routerze domowym).
2. Minimalne wymagania dotyczące wiedzy dla specjalisty realizującego opcję.

Wady tej opcji:

1. Minimalny poziom bezpieczeństwa. W przypadku włamania, podczas którego Intruz przejmuje kontrolę nad jednym z serwerów opublikowanych w Internecie, wszystkie pozostałe węzły i kanały komunikacyjne sieci korporacyjnej stają się dla niego dostępne do dalszych ataków.

Analogia do prawdziwego życia
Sieć taką można porównać do firmy, w której pracownicy i klienci przebywają w jednym wspólnym pomieszczeniu (open space)


hrmaximum.ru

Opcja 2. DMZ

Aby wyeliminować wspomnianą wcześniej wadę, węzły sieci dostępne z Internetu umieszczane są w specjalnie wyznaczonym segmencie – strefie zdemilitaryzowanej (DMZ). DMZ jest zorganizowana przy użyciu zapory ogniowe, oddzielając go od Internetu ( IFW) oraz z sieci wewnętrznej ( DFW).


W tym przypadku reguły filtrowania zapory sieciowej wyglądają następująco:

1. Z sieci wewnętrznej możesz inicjować połączenia do DMZ i WAN ( Szeroki obszar Sieć).
2. Z DMZ możesz inicjować połączenia z siecią WAN.
3. Z sieci WAN możesz inicjować połączenia z DMZ.
4. Inicjowanie połączeń z sieci WAN i DMZ do sieci wewnętrznej jest zabronione.

Zalety opcji:

1. Zwiększone bezpieczeństwo sieci przed włamaniami usługi indywidualne. Nawet jeśli jeden z serwerów zostanie zhakowany, Intruz nie będzie mógł uzyskać dostępu do zasobów znajdujących się w sieci wewnętrznej (np. drukarki sieciowe, systemy monitoringu wideo itp.).

Wady tej opcji:

1. Samo przeniesienie serwerów do DMZ nie zwiększa ich bezpieczeństwa.
2. Do oddzielenia strefy DMZ od sieci wewnętrznej wymagana jest dodatkowa zapora ogniowa.

Analogia do prawdziwego życia
Ta wersja architektury sieci przypomina organizację pracy i obszarów klienckich w firmie, gdzie klienci mogą znajdować się tylko w strefie klienta, a pracownicy mogą znajdować się zarówno w obszarze klienta, jak i pracy. Segment DMZ jest dokładnie analogiem strefy klienta.


autobam.ru

Opcja 3. Podział usług na Front-End i Back-End

Jak wspomniano wcześniej, umieszczenie serwera w strefie DMZ w żaden sposób nie poprawia bezpieczeństwa samej usługi. Jedną z możliwości naprawienia sytuacji jest podzielenie funkcjonalności usługi na dwie części: Front-End i Back-End. Co więcej, każda część znajduje się na osobnym serwerze, pomiędzy którym organizowana jest interakcja sieciowa. Serwery Front-End, realizujące funkcjonalność interakcji z klientami zlokalizowanymi w Internecie, umieszczane są w strefie DMZ, natomiast serwery Back-End, realizujące pozostałą funkcjonalność, pozostają w sieci wewnętrznej. Do interakcji między nimi DFW utwórz reguły umożliwiające inicjowanie połączeń od Front-Endu do Back-Endu.

Jako przykład rozważmy korporację Poczta, obsługując klientów zarówno z sieci, jak i z Internetu. Klienci z wewnątrz korzystają z POP3/SMTP, a klienci z Internetu działają poprzez interfejs WWW. Zazwyczaj na etapie wdrożenia firmy wybierają najprostszą metodę wdrożenia usługi i umieszczają wszystkie jej komponenty na jednym serwerze. Następnie, jako konieczność zapewnienia bezpieczeństwo informacji, funkcjonalność usługi podzielona jest na części, a część odpowiedzialna za obsługę klientów z Internetu (Front-End) przenoszona jest na odrębny serwer, który współdziała poprzez sieć z serwerem realizującym pozostałą funkcjonalność (Back -Koniec). W tym przypadku Front-End jest umieszczany w strefie DMZ, a Back-End pozostaje w segmencie wewnętrznym. Do komunikacji pomiędzy Front-Endem i Back-Endem DFW utwórz regułę umożliwiającą inicjowanie połączeń od Front-Endu do Back-Endu.

Zalety opcji:

1. Ogólnie rzecz biorąc, ataki skierowane na chronioną usługę mogą „natknąć się” na Front-End, co zneutralizuje lub znacząco zmniejszy ewentualne szkody. Na przykład ataki takie jak TCP SYN Flood lub powolny odczyt http wycelowany w usługę doprowadzą do tego, że serwer Front-End może stać się niedostępny, podczas gdy Back-End będzie nadal działał normalnie i służył użytkownikom.
2. Generalnie serwer Back-End może nie mieć dostępu do Internetu, co w przypadku włamania się na niego (np. poprzez lokalne uruchomienie złośliwego kodu) utrudni zdalne zarządzanie nim z Internetu.
3. Front-End doskonale nadaje się do hostowania zapory ogniowej na poziomie aplikacji (na przykład zapory aplikacji internetowych) lub systemu zapobiegania włamaniom (IPS, na przykład snort).

Wady tej opcji:

1. Do komunikacji pomiędzy Front-Endem i Back-Endem DFW tworzona jest reguła umożliwiająca inicjację połączenia ze DMZ do sieci wewnętrznej, co stwarza zagrożenia związane z użyciem tej reguły z innych węzłów w DMZ (np. poprzez realizację ataków IP spoofing, zatruwanie ARP, itp.)
2. Nie wszystkie usługi można podzielić na Front-End i Back-End.
3. Firma musi wdrożyć procesy biznesowe w celu aktualizacji reguł zapory sieciowej.
4. Firma musi wdrożyć mechanizmy zabezpieczające przed atakami ze strony Intruzów, którzy uzyskali dostęp do serwera w strefie DMZ.

Notatki

1. W prawdziwe życie nawet bez podziału serwerów na Front-End i Back-End, serwery z DMZ bardzo często muszą uzyskać dostęp do serwerów znajdujących się w sieci wewnętrznej, więc wskazane wady tej opcji będą dotyczyć także poprzednio rozważanej opcji.
2. Jeśli weźmiemy pod uwagę ochronę aplikacji działających poprzez interfejs WWW, to nawet jeśli serwer nie obsługuje podziału funkcji na Front-End i Back-End, zastosowanie serwera odwrotnego proxy http (np. nginx) jako Front-End zminimalizuje ryzyko związane z atakami typu „odmowa usługi”. Na przykład ataki typu SYN Flood mogą spowodować, że odwrotne proxy http będzie niedostępne, podczas gdy zaplecze będzie nadal działać.

Analogia do prawdziwego życia
Ta opcja jest zasadniczo podobna do organizacji pracy, w której wykorzystuje się asystentów - sekretarzy - dla bardzo obciążonych pracowników. Wtedy Back-End będzie odpowiednikiem zapracowanego pracownika, a Front-End będzie odpowiednikiem sekretarki.


mln.kz

Opcja 4: Bezpieczna strefa DMZ

Strefa DMZ to część sieci dostępna z Internetu, w związku z czym narażona jest na maksymalne ryzyko naruszenia bezpieczeństwa hosta. Konstrukcja strefy DMZ i podejścia w niej stosowane powinny zapewniać maksymalną przeżywalność w warunkach, w których intruz przejął kontrolę nad jednym z węzłów w strefie DMZ. Jako możliwe ataki rozważmy ataki, na które podatne są prawie wszystkie systemy informatyczne działające z ustawieniami domyślnymi:

Ochrona przed atakami DHCP

Pomimo tego, że DHCP ma na celu automatyzację konfiguracji adresów IP dla stacji roboczych, w niektórych firmach zdarzają się przypadki, gdy adresy IP dla serwerów są nadawane przez DHCP, ale jest to raczej zła praktyka. Dlatego, aby zabezpieczyć się przed fałszywym serwerem DHCP i głodem DHCP, zaleca się całkowite wyłączenie DHCP w strefie DMZ.

Ochrona przed atakami typu MAC-flood

Aby zabezpieczyć się przed zalewem MAC, porty przełącznika są skonfigurowane tak, aby ograniczać maksymalne natężenie ruchu rozgłoszeniowego (ponieważ ataki te zwykle generują ruch rozgłoszeniowy). Ataki związane z wykorzystaniem specyficznych (unicast) adresy sieciowe, zostanie zablokowany przez filtrowanie MAC, o którym mówiliśmy wcześniej.

Ochrona przed atakami typu Flood UDP

Ochrona przed tego typu atakami jest podobna do ochrony przed MAC Flood, z tą różnicą, że filtrowanie odbywa się na poziomie IP (L3).

Ochrona przed atakami typu Flood TCP SYN

Aby zabezpieczyć się przed tym atakiem, możliwe są następujące opcje:

1. Ochrona węzła sieciowego wykorzystująca technologię TCP SYN Cookie.
2. Ochrona na poziomie zapory ogniowej (z zastrzeżeniem podziału na podsieci DMZ) poprzez ograniczenie natężenia ruchu zawierającego żądania TCP SYN.

Ochrona przed atakami na usługi sieciowe i aplikacje internetowe

Nie ma uniwersalnego rozwiązania tego problemu, jednak przyjętą praktyką jest wdrażanie procesów zarządzania podatnościami oprogramowania (np. identyfikacja, instalacja poprawek itp.), a także stosowanie systemów wykrywania i zapobiegania włamaniom (IDS/IPS).

Ochrona przed atakami omijającymi uwierzytelnianie

Jeśli chodzi o poprzedni przypadek uniwersalne rozwiązanie nie ma takiego problemu.
Zwykle w przypadku dużej liczby nieudanych prób autoryzacji konta są blokowane, aby uniknąć zgadnięcia danych uwierzytelniających (np. hasła). Ale to podejście jest dość kontrowersyjne i oto dlaczego.
Po pierwsze, Intruz może przeprowadzić selekcję danych uwierzytelniających z intensywnością nie prowadzącą do zablokowania kont (zdarzają się przypadki, gdy wybieranie hasła trwało kilka miesięcy z kilkudziesięciominutowymi przerwami między próbami).
Po drugie, tę funkcję można wykorzystać do ataków typu „odmowa usługi”, podczas których osoba atakująca celowo podejmie dużą liczbę prób autoryzacji w celu zablokowania kont.
Bardzo skuteczna opcja przed atakami tej klasy będzie zastosowanie systemów IDS/IPS, które po wykryciu prób odgadnięcia hasła zablokują nie konto, ale źródło, z którego to zgadnięcie nastąpi (np. zablokują adres IP Intruza).

Ostateczna lista środków ochronnych dla tej opcji:

1. Strefa DMZ jest podzielona na podsieci IP z osobną podsiecią dla każdego węzła.
2. Adresy IP przydzielane są ręcznie przez administratorów. DHCP nie jest używane.
3. Na interfejsach sieciowych, do których podłączone są węzły DMZ, aktywowane jest filtrowanie adresów MAC i IP, ograniczenia intensywności ruchu rozgłoszeniowego oraz ruchu zawierającego żądania TCP SYN.
4. Automatyczna negocjacja typów portów jest wyłączona na przełącznikach, a korzystanie z natywnej sieci VLAN jest zabronione.
5. Plik cookie SYN protokołu TCP jest konfigurowany w węzłach DMZ i serwerach sieci wewnętrznej, z którymi łączą się te węzły.
6. Zarządzanie podatnościami oprogramowania jest realizowane dla węzłów DMZ (a najlepiej reszty sieci).
7. W segmencie DMZ wdrażane są systemy wykrywania i zapobiegania włamaniom IDS/IPS.

Zalety opcji:

1. Wysoki stopień bezpieczeństwa.

Wady tej opcji:

1. Zwiększone wymagania dotyczące funkcjonalności sprzętu.
2. Koszty pracy związane z wdrożeniem i wsparciem.

Analogia do prawdziwego życia
Jeśli wcześniej porównaliśmy strefę DMZ ze strefą klienta wyposażoną w sofy i otomany, wówczas bezpieczna strefa DMZ będzie bardziej przypominać opancerzoną kasę fiskalną.


valmax.com.ua

Opcja 5. Podłącz ponownie

Środki ochrony uwzględnione w poprzedniej wersji opierały się na fakcie, że w sieci znajdowało się urządzenie (switch/router/firewall) zdolne do ich wdrożenia. Ale w praktyce np. przy korzystaniu z infrastruktury wirtualnej (wirtualne przełączniki często mają bardzo ograniczone możliwości), takie urządzenie może nie istnieć.

W tych warunkach sprawca może uzyskać dostęp do wielu z wcześniej omówionych ataków, z których najniebezpieczniejsze będą:

• ataki umożliwiające przechwytywanie i modyfikowanie ruchu (zatruwanie ARP, przepełnienie tabeli CAM + przejmowanie sesji TCP itp.);
• ataki związane z wykorzystaniem luk w serwerach sieci wewnętrznej, do których można inicjować połączenia z DMZ (co jest możliwe poprzez ominięcie reguł filtrowania DFW z powodu fałszowania adresów IP i MAC).

Następną ważną cechą, której wcześniej nie rozważaliśmy, ale która nie przestaje być mniej ważna, jest to, że zautomatyzowane stacje robocze (AWS) użytkowników mogą być również źródłem (na przykład zainfekowanych wirusami lub trojanami) szkodliwych skutków na serwerach.

Stajemy zatem przed zadaniem ochrony serwerów sieci wewnętrznej przed atakami Intruza zarówno ze strefy DMZ, jak i z sieci wewnętrznej (infekcja stacji roboczej trojanem można interpretować jako działania Intruza z sieci wewnętrznej ).

Podejście zaproponowane poniżej ma na celu zmniejszenie liczby kanałów, którymi intruz może zaatakować serwery, a istnieją co najmniej dwa takie kanały. Pierwszą z nich jest zasada DFW, umożliwiający dostęp do wewnętrznego serwera sieciowego z DMZ (nawet jeśli jest ograniczony adresami IP), a drugi jest otwarty na serwerze port sieciowy, na którym oczekiwane są żądania połączenia.

Możesz zamknąć te kanały, jeśli serwer sieci wewnętrznej sam tworzy połączenia z serwerem w DMZ i robi to przy użyciu kryptograficznie bezpiecznych protokołów sieciowych. Wtedy nie będzie żadnego otwarty port, brak zasad DFW.

Problem jednak w tym, że zwykłe usługi serwerowe nie wiedzą jak w ten sposób działać i aby wdrożyć takie podejście konieczne jest wykorzystanie tunelowania sieciowego, realizowanego np. za pomocą protokołu SSH lub VPN, a w obrębie tuneli umożliwiają połączenia z serwera w DMZ do serwera sieci wewnętrznej.

Ogólny schemat działania tej opcji jest następujący:

1. Serwer SSH/VPN jest zainstalowany na serwerze w DMZ, a klient SSH/VPN jest zainstalowany na serwerze w sieci wewnętrznej.
2. Wewnętrzny serwer sieciowy inicjuje budowę tunelu sieciowego do serwera w strefie DMZ. Tunel jest zbudowany z wzajemnym uwierzytelnianiem klienta i serwera.
3. Serwer z strefy DMZ w wybudowanym tunelu inicjuje połączenie z serwerem w sieci wewnętrznej, przez który przesyłane są chronione dane.
4. Na serwerze sieci wewnętrznej skonfigurowana jest lokalna zapora sieciowa, która filtruje ruch przechodzący przez tunel.

Zastosowanie tej opcji w praktyce pokazało, że wygodnie jest budować tunele sieciowe przy użyciu OpenVPN, ponieważ ma on następujące ważne właściwości:

• Wieloplatformowy. Możesz organizować komunikację na serwerach z różnymi systemami operacyjnymi.
• Możliwość budowy tuneli z wzajemnym uwierzytelnianiem klienta i serwera.
• Możliwość stosowania certyfikowanej kryptografii.

Na pierwszy rzut oka może się wydawać, że ten schemat jest niepotrzebnie skomplikowany i że skoro trzeba jeszcze zainstalować lokalną zaporę ogniową na serwerze sieci wewnętrznej, łatwiej byłoby sprawić, aby serwer z DMZ, jak zwykle, połączył się z siecią wewnętrzną serwerem, ale rób to poprzez szyfrowane połączenie. Rzeczywiście, ta opcja rozwiąże wiele problemów, ale nie będzie w stanie zapewnić najważniejszej rzeczy - ochrony przed atakami na luki serwera sieci wewnętrznej przeprowadzanymi poprzez ominięcie zapory ogniowej za pomocą fałszowania adresów IP i MAC.

Zalety opcji:

1. Architektoniczna redukcja liczby wektorów ataku na chroniony serwer sieci wewnętrznej.
2. Zapewnienie bezpieczeństwa w przypadku braku filtrowania ruchu sieciowego.
3. Ochrona danych przesyłanych siecią przed nieuprawnionym przeglądaniem i modyfikacją.
4. Możliwość selektywnego zwiększania poziomu bezpieczeństwa usług.
5. Możliwość realizacji układ dwuobwodowy ochrona, gdzie pierwszy obwód jest zapewniony za pomocą firewalla, a drugi jest zorganizowany w oparciu o tę opcję.

Wady tej opcji:

1. Wdrożenie i utrzymanie tej opcji ochrony wymaga dodatkowych kosztów pracy.
2. Niekompatybilne z systemy sieciowe wykrywanie i zapobieganie włamaniom (IDS/IPS).
3. Dodatkowe obciążenie obliczeniowe serwerów.

Analogia do prawdziwego życia
Główne znaczenie tej opcji polega na tym, że osoba zaufana nawiązuje połączenie z osobą niezaufaną, co przypomina sytuację, gdy udzielając kredytu, Banki same oddzwaniają do potencjalnego kredytobiorcy w celu sprawdzenia danych. Dodaj tagi

Zagrożenia i słabe punkty przewodowych sieci korporacyjnych

NA etap początkowy Wraz z rozwojem technologii sieciowych szkody spowodowane wirusami i innymi rodzajami ataków komputerowych były niewielkie, ponieważ zależność światowej gospodarki od technologii informatycznych była niewielka. Obecnie, biorąc pod uwagę znaczną zależność biznesu od środki elektroniczne dostępu i wymiany informacji oraz stale zwiększającej się liczby ataków, szkody spowodowane najdrobniejszymi atakami prowadzącymi do utraty czasu komputera szacowane są w milionach dolarów, a całkowite roczne szkody dla światowej gospodarki wynoszą dziesiątki miliardów dolarów .

Informacje przetwarzane w sieciach korporacyjnych są szczególnie podatne na zagrożenia, czemu sprzyjają:
zwiększenie ilości informacji przetwarzanych, przesyłanych i przechowywanych na komputerach;
koncentracja informacji o różnym stopniu ważności i poufności w bazach danych;
poszerzanie dostępu kręgu użytkowników do informacji zgromadzonych w bazach danych oraz do zasobów sieci komputerowej;
zwiększenie liczby pracy zdalnej;
szerokie zastosowanieświatowy Sieci internetowe i różne kanały komunikacji;
automatyzacja wymiany informacji pomiędzy komputerami użytkowników.

Analiza najczęstszych zagrożeń, na które narażone są współczesne przewodowe sieci korporacyjne, pokazuje, że źródła zagrożeń mogą być różne, od nieautoryzowanych włamań osób atakujących po wirusy komputerowe, przy czym błędy ludzkie stanowią bardzo istotne zagrożenie bezpieczeństwa. Należy wziąć pod uwagę, że źródła zagrożeń bezpieczeństwa mogą znajdować się zarówno wewnątrz WNP – źródła wewnętrzne, jak i poza nim – źródła zewnętrzne. Podział ten jest w pełni uzasadniony, gdyż dla tego samego zagrożenia (na przykład kradzieży) stosuje się środki zaradcze na zewnątrz i na zewnątrz źródła wewnętrzne są różne. Aby dokonać wyboru najbardziej potrzebna jest znajomość możliwych zagrożeń, a także słabych punktów CIS Skuteczne środki zapewnienie bezpieczeństwa.

Do najczęstszych i najbardziej niebezpiecznych (pod względem wielkości szkód) należą niezamierzone błędy użytkowników, operatorów i administratorów systemów obsługujących CIS. Czasami takie błędy prowadzą do bezpośrednich szkód (nieprawidłowo wprowadzone dane, błąd w programie, który spowodował zatrzymanie lub awarię systemu), a czasami tworzą słabe punkty, które mogą zostać wykorzystane przez atakujących (zwykle są to błędy administracyjne).

Według amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST) 55% naruszeń bezpieczeństwa IP wynika z niezamierzonych błędów. Praca w globalnym IP czyni ten czynnik dość istotnym, a źródłem szkód mogą być zarówno działania użytkowników organizacji, jak i użytkowników sieci globalnej, co jest szczególnie niebezpieczne. Na ryc. Rysunek 2.4 przedstawia wykres kołowy ilustrujący dane statystyczne dotyczące źródeł naruszeń bezpieczeństwa w CIS.

Kradzieże i fałszerstwa zajmują drugie miejsce pod względem szkód. W większości zbadanych spraw sprawcami okazali się pełnoetatowi pracownicy organizacji, dobrze zaznajomieni z harmonogramem pracy i środkami ochronnymi. Obecność potężnego kanału informacyjnego komunikacji z sieciami globalnymi przy braku odpowiedniej kontroli nad jego działaniem może dodatkowo ułatwić takie działania.

Ryż. 2.4. Źródła naruszeń bezpieczeństwa

Obrażeni pracownicy, nawet byli, znają procedury obowiązujące w organizacji i potrafią bardzo skutecznie wyrządzić krzywdę. Dlatego też w przypadku zwolnienia pracownika należy odebrać mu prawa dostępu do zasobów informacyjnych.

Celowe próby uzyskania nieautoryzowanego dostępu za pośrednictwem komunikacji zewnętrznej stanowią około 10% wszystkich możliwych naruszeń. Choć wartość ta nie wydaje się aż tak znacząca, doświadczenie w Internecie pokazuje, że niemal każdy serwer internetowy kilka razy dziennie jest poddawany próbom włamań. Testy Agencji Obrony systemy informacyjne(USA) wykazały, że 88% komputerów ma słabe punkty w zakresie bezpieczeństwa informacji, które można aktywnie wykorzystać w celu uzyskania nieautoryzowanego dostępu. Osobno należy rozważyć przypadki zdalnego dostępu do struktur informacyjnych organizacji.

Przed zbudowaniem polityki bezpieczeństwa należy ocenić ryzyko, na jakie narażone jest środowisko komputerowe organizacji i podjąć odpowiednie działania. Oczywistym jest, że koszty organizacji związane z monitorowaniem i zapobieganiem zagrożeniom bezpieczeństwa nie powinny przekraczać oczekiwanych strat.

Dostarczone statystyki mogą poinformować administrację i personel organizacji, gdzie należy skierować wysiłki, aby skutecznie zmniejszyć zagrożenia bezpieczeństwa sieci i systemu korporacyjnego. Oczywiście musimy stawić czoła problemom bezpieczeństwo fizyczne i środki mające na celu ograniczenie negatywnego wpływu błędów ludzkich na bezpieczeństwo, ale jednocześnie należy zwrócić jak największą uwagę na rozwiązywanie problemów bezpieczeństwo sieci aby zapobiec atakom na sieć firmową i system zarówno z zewnątrz, jak i z wnętrza systemu.

Chcąc zapewnić rentowność firmy, zespoły bezpieczeństwa skupiają swoją uwagę na ochronie obwodu sieci – usług dostępnych z Internetu. Wizerunek ciemnego napastnika, który jest gotowy zaatakować opublikowane usługi firmy z dowolnego miejsca na świecie, poważnie przeraża właścicieli firm. Ale czy jest to sprawiedliwe, biorąc pod uwagę, że najcenniejsze informacje nie znajdują się na obrzeżach organizacji, ale w głębi jej sieci korporacyjnych? Jak ocenić proporcjonalność bezpieczeństwa infrastruktury przed atakami zewnętrznymi i wewnętrznymi?

„Statek w porcie jest bezpieczny, ale nie po to buduje się statki”

Poczucie bezpieczeństwa jest zwodnicze

W warunkach całkowitej informatyzacji i globalizacji biznes stawia nowe wymagania sieciom korporacyjnym, na pierwszy plan wysuwa się elastyczność i niezależność zasobów przedsiębiorstwa w stosunku do jego użytkowników końcowych: pracowników i partnerów. Z tego powodu dzisiejsze sieci korporacyjne są bardzo dalekie od tradycyjnej koncepcji izolacji (mimo że pierwotnie tak je charakteryzowano).

Wyobraźmy sobie biuro: ściany chronią przed światem zewnętrznym, przegrody i ścianki dzielą całą powierzchnię na mniejsze wyspecjalizowane strefy: kuchnię, bibliotekę, pomieszczenia usługowe, miejsca pracy itp. Przejście ze strefy do strefy następuje w określonych miejscach – w drzwiach i, w razie potrzeby kontrolowane tam dodatkowe fundusze: kamery wideo, systemy kontroli dostępu, uśmiechnięci strażnicy... Wchodząc do takiego pomieszczenia czujemy się bezpiecznie, jest poczucie zaufania i życzliwości. Warto jednak przyznać, że to poczucie jest jedynie efektem psychologicznym opartym na „teatrze bezpieczeństwa”, kiedy celem działań jest zwiększenie bezpieczeństwa, a w rzeczywistości kształtuje się jedynie opinia o jego istnieniu. Przecież jeśli atakujący naprawdę chce coś zrobić, to przebywanie w biurze nie stanie się trudnością nie do pokonania, a może wręcz przeciwnie, pojawią się dodatkowe możliwości.

To samo dzieje się w sieciach korporacyjnych. W warunkach, w których możliwe jest przebywanie w sieci korporacyjnej, klasyczne podejście do zapewnienia bezpieczeństwa jest niewystarczające. Faktem jest, że metody ochrony opierają się na modelu zagrożeń wewnętrznych i mają na celu przeciwdziałanie pracownikom, którzy mogą przypadkowo lub celowo, ale bez odpowiednich kwalifikacji, naruszyć politykę bezpieczeństwa. Ale co, jeśli w środku jest utalentowany haker? Koszt pokonania granic sieci organizacji na rynku podziemnym ma prawie stałą cenę dla każdej organizacji i średnio nie przekracza 500 dolarów. Na przykład na czarnym rynku usług hakerskich firmy Dell widoczny jest następujący cennik, stan na kwiecień 2016 r.:

W rezultacie możesz kupić hack na firmową skrzynkę pocztową, z którego konto najprawdopodobniej będzie pasować do wszystkich pozostałych usługi korporacyjne firm ze względu na powszechną zasadę autoryzacji Single Sign-on. Możesz też kupić wirusy polimorficzne, których programy antywirusowe nie mogą wyśledzić, i wykorzystywać wiadomości e-mail phishingowe do infekowania nieostrożnych użytkowników, przejmując w ten sposób kontrolę nad komputerem w sieci firmowej. W przypadku dobrze chronionych obwodów sieci wykorzystuje się braki ludzkiej świadomości, na przykład kupując nowe dokumenty identyfikacyjne i uzyskując dane o pracy i życiu osobistym pracownika organizacji w drodze zlecenia cyberszpiegostwa, można zastosować socjotechnikę i uzyskać poufna informacja.

Z naszego doświadczenia w przeprowadzaniu testów penetracyjnych wynika, że ​​w 83% przypadków penetracja obwodu zewnętrznego jest możliwa, a w 54% nie wymaga to wysoko wykwalifikowanego przeszkolenia. Jednocześnie, według statystyk, mniej więcej co piąty pracownik firmy jest gotowy świadomie sprzedać swoje dane uwierzytelniające, w tym te umożliwiające zdalny dostęp, znacznie ułatwiając w ten sposób penetrację obwodu sieci. W takich warunkach atakujący wewnętrzni i zewnętrzni stają się nierozróżnialni, co stwarza nowe wyzwanie dla bezpieczeństwa sieci korporacyjnych.

Zabieranie krytycznych danych i brak ich ochrony

W sieci korporacyjnej logowanie do wszystkich systemów jest kontrolowane i dostępne tylko dla już zweryfikowanych użytkowników. Ale ta właśnie kontrola okazuje się wspomnianym wcześniej zwykłym „teatrem bezpieczeństwa”, ponieważ rzeczywisty stan rzeczy wygląda bardzo ponuro, co potwierdzają statystyki dotyczące podatności korporacyjnych systemów informatycznych. Oto niektóre z głównych wad sieci korporacyjnych.

• Hasła słownikowe

Co dziwne, używanie słabych haseł jest typowe nie tylko dla zwykłego personelu firmy, ale także dla samych administratorów IT. Na przykład często usługi i sprzęt zachowują domyślne hasła ustawione przez producenta lub dla wszystkich urządzeń używana jest ta sama podstawowa kombinacja. Na przykład jedną z najpopularniejszych kombinacji jest Konto admin z hasłem admin lub hasłem. Krótkie hasła składające się z małe litery Alfabet łaciński i proste hasła numeryczne, takie jak 123456. Dzięki temu możesz szybko brutalnie wymusić hasło, znaleźć właściwą kombinację i uzyskać dostęp do zasobów firmowych.

• Przechowywanie krytycznych informacji w sieci w przejrzystej formie

Wyobraźmy sobie sytuację: atakujący uzyskał dostęp do sieci wewnętrznej, mogą być dwa scenariusze rozwoju wydarzeń. W pierwszym przypadku informacje są przechowywane w formie otwartej, a firma natychmiast naraża się na poważne ryzyko. W innym przypadku dane w sieci są szyfrowane, klucz przechowywany jest w innym miejscu – a firma ma szansę i czas przeciwstawić się atakującemu i uratować ważne dokumenty przed kradzieżą.

• Korzystanie z przestarzałych wersji systemów operacyjnych i ich komponentów

Za każdym razem, gdy dostępna jest aktualizacja, jest ona wydawana w tym samym czasie dokument techniczny, który szczegółowo opisuje, w jakich niedociągnięciach i błędach poprawiono Nowa wersja. Jeśli wykryty zostanie problem związany z bezpieczeństwem, napastnicy zaczynają aktywnie badać ten temat, znaleźć powiązane błędy i na tej podstawie opracowywać narzędzia hakerskie.

Aż 50% firm albo nie aktualizuje swojego oprogramowania, albo robi to za późno. Na początku 2016 r. szpital Royal Melbourne Hospital cierpiał z powodu awarii komputerów Sterowanie Windowsem XP. Wirus, który początkowo wylądował na komputerze oddziału patologii, szybko rozprzestrzenił się po sieci, blokując na pewien czas zautomatyzowaną pracę całego szpitala.

• Korzystanie z samodzielnie opracowanych aplikacji biznesowych bez kontroli bezpieczeństwa

Główne zadanie własny rozwój- wydajność funkcjonalna. Takie aplikacje mają niski próg bezpieczeństwa i często są wydawane w warunkach niedoboru zasobów i odpowiedniego wsparcia ze strony producenta. Produkt faktycznie działa, realizuje zadania, ale jednocześnie bardzo łatwo jest go zhakować i uzyskać dostęp do niezbędnych danych.

• Brak skutecznej ochrony antywirusowej i innych zabezpieczeń

Uważa się, że chronione jest to, co zakryte przed zewnętrznym okiem, czyli sieć wewnętrzna jest niejako bezpieczna. Ochroniarze ściśle monitorują obwód zewnętrzny, a jeśli jest on tak dobrze strzeżony, haker nie przedostanie się na obwód wewnętrzny. Ale tak naprawdę w 88% przypadków firmy nie wdrażają procesów wykrywania podatności, nie ma systemów zapobiegania włamaniom ani scentralizowanego przechowywania zdarzeń związanych z bezpieczeństwem. Podsumowując, nie zapewnia to skutecznie bezpieczeństwa sieci korporacyjnej.

Jednocześnie informacje przechowywane w sieci korporacyjnej wysoki stopień znaczenie dla funkcjonowania przedsiębiorstwa: bazy klientów w systemach CRM i billingach, krytyczne wskaźniki biznesowe w ERP, komunikacja biznesowa w poczcie, obieg dokumentów zawartych w portalach i zasobach plikowych itp.

Granica pomiędzy siecią korporacyjną a publiczną tak się zatarła, że ​​pełna kontrola nad jej bezpieczeństwem stała się bardzo trudna i kosztowna. W końcu prawie nigdy nie stosują środków zaradczych przeciwko kradzieży lub obrotowi kontami, zaniedbaniom Administrator sieci, zagrożenia wdrażane za pomocą socjotechniki itp. Co zmusza atakujących do użycia właśnie tych technik w celu pokonania zabezpieczeń zewnętrznych i zbliżenia się do podatnej na ataki infrastruktury z cenniejszymi informacjami.

Rozwiązaniem może być koncepcja bezpieczeństwa informacji, w której bezpieczeństwo sieci wewnętrznej i zewnętrznej zapewniane jest w oparciu o pojedynczy model zagrożenia i z prawdopodobieństwem przekształcenia jednego typu atakującego w inny.

Atakujący kontra obrońcy – kto wygra?

Bezpieczeństwo informacji jako państwa jest możliwe tylko w przypadku nieuchwytnego Joe – ze względu na jego bezużyteczność. Konfrontacja atakujących i obrońców odbywa się na zasadniczo różnych płaszczyznach. Atakujący czerpią korzyści z naruszenia poufności, dostępności lub integralności informacji, a im bardziej wydajna i efektywna jest ich praca, tym więcej mogą zyskać. Obrońcy w ogóle nie odnoszą korzyści z procesu bezpieczeństwa; każdy krok jest inwestycją bezzwrotną. Dlatego też upowszechniło się zarządzanie bezpieczeństwem oparte na ryzyku, w którym uwaga obrońców skupia się na najdroższych (z punktu widzenia oceny szkód) ryzykach przy najniższych kosztach ich pokrycia. Ryzyka, których koszt ubezpieczenia jest wyższy niż koszt chronionego zasobu, są świadomie akceptowane lub ubezpieczane. Celem tego podejścia jest maksymalne zwiększenie kosztów pokonania najsłabszego punktu bezpieczeństwa organizacji, dlatego usługi krytyczne muszą być dobrze chronione niezależnie od tego, gdzie znajduje się zasób - wewnątrz sieci czy na jej obwodzie.

Podejście oparte na ryzyku jest jedynie niezbędnym środkiem, który pozwala na zaistnienie koncepcji bezpieczeństwa informacji w świecie rzeczywistym. Tak naprawdę stawia to obrońców w trudnej sytuacji: grają czarnymi, reagując jedynie na pojawiające się realne zagrożenia.

Dziś na naszym blogu postanowiliśmy poruszyć aspekty bezpieczeństwa sieci korporacyjnych. Pomoże nam w tym Michaił Lyubimov, dyrektor techniczny LWCOM.

Dlaczego temat bezpieczeństwa sieci jest niezwykle istotny we współczesnym świecie?

Ze względu na niemal powszechną dostępność szerokopasmowego Internetu większość działań na urządzeniach odbywa się za pośrednictwem sieci, zatem dla 99% współczesnych zagrożeń sieć jest transportem, za pośrednictwem którego zagrożenie dostarczane jest od źródła do celu. Oczywiście rozprzestrzenianie szkodliwego kodu jest możliwe za pomocą nośników wymiennych, jednak metoda ta jest obecnie stosowana coraz rzadziej, a większość firm już dawno nauczyła się radzić sobie z tego typu zagrożeniami.

Co to jest sieć danych?

Narysujmy najpierw architekturę klasycznej korporacyjnej sieci danych w uproszczonej i zrozumiałej formie.

Sieć transmisji danych rozpoczyna się od przełącznika warstwy dostępowej. Do tego przełącznika bezpośrednio podłączone są miejsca pracy: komputery, laptopy, drukarki, urządzenia wielofunkcyjne i różne inne, np. punkty bezprzewodowe dostęp. W związku z tym możesz mieć dużo sprzętu, może on łączyć się z siecią w zupełnie różnych miejscach (piętra, a nawet oddzielne budynki).

Zazwyczaj korporacyjna sieć danych budowana jest w topologii „gwiazdy”, więc interakcję wszystkich segmentów ze sobą zapewni sprzęt na poziomie rdzenia sieci. Przykładowo można zastosować ten sam przełącznik, tyle że zazwyczaj w wersji mocniejszej i bardziej funkcjonalnej w porównaniu do tych stosowanych na poziomie dostępu.

Serwery i systemy pamięci masowej są zwykle skonsolidowane w jednym miejscu i z punktu widzenia sieci danych mogą być podłączone bezpośrednio do sprzętu podstawowego lub mogą posiadać wydzieloną do tych celów część sprzętu dostępowego.

Następnie mamy sprzęt do interfejsu z zewnętrznymi sieciami danych (na przykład Internetem). Zazwyczaj w tych celach firmy korzystają z takich urządzeń jak routery, firewalle i różnego rodzaju serwery proxy. Wykorzystywane są także do organizowania komunikacji z rozproszonymi biurami firm oraz do łączenia zdalnych pracowników.

Jest to architektura sieci lokalnej, która jest łatwa do zrozumienia i powszechna we współczesnych realiach.

Jaka klasyfikacja zagrożeń istnieje dzisiaj?

Zdefiniujmy główne cele i wektory ataków w komunikacji sieciowej.

Najczęstszym i najprostszym celem ataku jest urządzenie użytkownika. Złośliwy oprogramowaniełatwo jest rozpowszechniać w tym kierunku poprzez treści w zasobach internetowych lub za pośrednictwem poczty.

W przyszłości atakujący, uzyskawszy dostęp do stacji roboczej użytkownika, może albo ukraść poufne dane, albo przeprowadzić atak na innych użytkowników lub inne urządzenia w sieci firmowej.

Kolejnym możliwym celem ataku są oczywiście serwery. Jeden z najbardziej znane typy ataki na opublikowane zasoby to DoS i Ataki DDoS, które służą do zakłócenia stabilnej pracy zasobów lub ich całkowitej awarii.

Ataki mogą być również kierowane z sieci zewnętrznych na określone opublikowane aplikacje, na przykład zasoby sieciowe, serwery DNS, pocztę elektroniczną. Ataki mogą być również kierowane z wnętrza sieci – z komputera zainfekowanego użytkownika lub od osoby atakującej podłączonej do sieci, na aplikacje takie jak udziały plików lub bazy danych.

Istnieje również kategoria ataków selektywnych, a jednym z najniebezpieczniejszych jest atak na samą sieć, czyli na dostęp do niej. Osoba atakująca, która uzyskała dostęp do sieci, może przeprowadzić następujący atak na praktycznie każde podłączone do niej urządzenie, a także w tajemnicy uzyskać dostęp do dowolnych informacji. Co najważniejsze, skuteczny atak tego rodzaju jest dość trudny do wykrycia i nie da się go wyleczyć standardowe środki. To znaczy, że tak jest Nowy użytkownik lub, co gorsza, administratorem, o którym nic nie wiesz.

Kolejnym celem atakującego mogą być kanały komunikacji. Należy rozumieć, że udany atak na kanały komunikacji pozwala nie tylko odczytać przesyłane przez nie informacje, ale także ma identyczne skutki jak atak na sieć, gdy atakujący może uzyskać dostęp do wszystkich zasobów lokalnej sieci komputerowej.

Jak zorganizować kompetentne i niezawodna ochrona transmisja danych?

Na początek możemy przedstawić światowe praktyki i rekomendacje dotyczące organizacji ochrony firmowej sieci danych, czyli zestaw narzędzi, które przy minimalnym wysiłku pozwolą uniknąć większości istniejących zagrożeń, tzw. bezpieczne minimum.

W tym kontekście konieczne jest wprowadzenie terminu „obwód bezpieczeństwa sieci”, ponieważ im bliżej możliwe źródło zagrożenia, które kontrolujesz, tym bardziej zmniejszysz liczbę metod ataku dostępnych dla atakującego. W takim przypadku obwód musi istnieć zarówno dla połączeń zewnętrznych, jak i wewnętrznych.

Przede wszystkim zalecamy zabezpieczenie interfejsu z sieciami publicznymi, gdyż największa liczba płyną z nich zagrożenia. Obecnie istnieje szereg wyspecjalizowanych narzędzi bezpieczeństwa sieci, zaprojektowanych specjalnie z myślą o bezpiecznej organizacji połączeń z Internetem.

Terminy takie jak NGFW (zapora nowej generacji) i UTM (Unified Threat Management) są powszechnie używane w odniesieniu do nich. Urządzenia te nie tylko łączą w sobie funkcjonalność klasycznego routera, firewalla i serwera proxy, ale także zapewniają dodatkowe usługi zabezpieczenia, takie jak filtrowanie adresów URL i treści, program antywirusowy itp. W tym przypadku urządzenia często korzystają systemy chmurowe sprawdzanie zawartości, które pozwala szybko i sprawnie sprawdzić wszystkie przesyłane dane pod kątem zagrożeń. Najważniejsze jednak jest możliwość raportowania zidentyfikowanych zagrożeń z perspektywy czasu, czyli identyfikowania zagrożeń w przypadkach, gdy zainfekowana zawartość została już przekazana użytkownikowi, ale producent otrzymał informację o szkodliwości tego oprogramowania później.

Rzeczy takie jak kontrola ruchu HTTPS i automatyczna analiza aplikacji pozwalają kontrolować nie tylko dostęp do określonych stron, ale także zezwalać/zabronić na działanie aplikacji takich jak: Skype, Team Viewer i wielu innych, a jak wiadomo większość z nich działają już od dłuższego czasu Protokoły HTTP zarówno HTTPS, jak i standard środki sieciowe ich pracy po prostu nie da się kontrolować.

Oprócz tego w ramach jednego urządzenia można uzyskać także system zapobiegania włamaniom, który odpowiada za powstrzymywanie ataków wymierzonych w opublikowane zasoby. Można dodatkowo dokupić serwer VPN do bezpiecznej pracy zdalnej pracowników i łączenia oddziałów, antyspam, system kontroli botnetów, sandbox itp. Wszystko to sprawia, że ​​takie urządzenie jest naprawdę ujednoliconym narzędziem bezpieczeństwa sieci.

Jeśli Twoja firma nie korzysta jeszcze z tego typu rozwiązań, to zdecydowanie polecamy zacząć z nich korzystać już teraz, gdyż czas na ich skuteczność już nadszedł i możemy śmiało powiedzieć, że tego typu urządzenia udowodniły, że radzą sobie z dużą szereg zagrożeń, co nie miało miejsca jeszcze 5 lat temu. W tamtym czasie takie rzeczy dopiero wchodziły na rynek, sprawiały wiele problemów, były dość drogie i mało wydajne.

Jak wybrać zaporę ogniową nowej generacji?

Teraz na rynku jest ogromna liczba urządzeń sieciowych z deklarowaną podobną funkcjonalnością, ale naprawdę skuteczna ochrona Tylko nieliczni są w stanie to zapewnić. Tłumaczy się to faktem, że tylko ograniczona liczba producentów dysponuje środkami i faktycznie inwestuje je w nieustanny rozwój bieżących zagrożeń, tj. stale aktualizuj bazy danych o potencjalnie niebezpiecznych zasobach, zapewniaj nieprzerwane wsparcie w zakresie rozwiązań itp.

Wielu partnerów będzie próbowało sprzedać Ci rozwiązania, które będą dla nich opłacalne, więc cena rozwiązania nie zawsze odpowiada jego realnej zdolności do przeciwdziałania zagrożeniom. Osobiście w celu doboru urządzenia polecam sięgnąć po materiały z niezależnych ośrodków analitycznych, np. raporty NSS Labs. Moim zdaniem są one bardziej dokładne i bezstronne.

Oprócz zagrożeń z zewnątrz, Twoje zasoby mogą zostać zaatakowane również od wewnątrz. Tzw. „bezpieczne minimum”, które należy zastosować w swojej sieci lokalnej, to jej podział na sieci VLAN, czyli tzw. wirtualne sieci prywatne. Oprócz segmentacji obowiązkowe jest stosowanie między nimi polityk dostępu, przynajmniej przy użyciu środków standardowej listy dostępu (ACL), ponieważ samo posiadanie sieci VLAN w walce ze współczesnymi zagrożeniami praktycznie nic nie daje.

Jako osobną rekomendację przedstawię celowość korzystania z kontroli dostępu bezpośrednio z portu urządzenia. Należy jednak pamiętać o obwodzie sieci, tj. Im bliżej chronionych usług zastosujesz zasady, tym lepiej. W idealnym przypadku takie zasady powinny zostać wdrożone w przełącznikach dostępowych. W takich przypadkach zaleca się zastosowanie 4 prostych zasad jako najbardziej minimalnych zasad bezpieczeństwa:

• administracyjnie wyłącz wszystkie nieużywane porty przełącznika;
• nie używaj pierwszej sieci VLAN;
• używaj arkuszy filtrujących MAC na przełącznikach dostępowych;
• użyj kontroli protokołu ARP.

Świetne rozwiązanie będzie korzystać z tych samych zapór sieciowych z systemami zapobiegania włamaniom na ścieżce transmisji danych, a także pod względem architektonicznym będzie wykorzystywać strefy zdemilitaryzowane. Najlepiej wdrożyć uwierzytelnianie podłączonego urządzenia przy pomocy protokołu 802.1x, wykorzystując różne systemy AAA (systemy uwierzytelniania, autoryzacji i rozliczania) w celu scentralizowanej kontroli dostępu do sieci. Zazwyczaj rozwiązania te określane są powszechnym wśród producentów określeniem NAC (Network Access Control). Przykładem takiego komercyjnego systemu jest Cisco ISE.

Osoby atakujące mogą również przeprowadzać ataki na kanały. Aby chronić kanały, należy stosować silne szyfrowanie. Wiele osób o tym zapomina i potem ponosi konsekwencje. Niezabezpieczone kanały to nie tylko informacje, które mogą zostać skradzione, ale także możliwość zaatakowania niemal wszystkich zasobów firmy. Nasi klienci mieli w swojej praktyce wiele precedensów, kiedy przeprowadzano ataki telefonia firmowa organizując komunikację poprzez niezabezpieczone kanały transmisji danych pomiędzy centralą a zdalnym biurem (na przykład po prostu za pomocą tuneli GRE). Firmy otrzymały szalone rachunki!

Co możesz nam powiedzieć o sieciach bezprzewodowych i BYOD?

Temat Praca zdalna, sieci bezprzewodowe i wykorzystanie własne urządzenia Chciałbym podkreślić osobno. Z mojego doświadczenia wynika, że ​​te trzy rzeczy stanowią jedną z największych potencjalnych luk w zabezpieczeniach Twojej firmy. Ale jednocześnie stanowią jedną z największych przewag konkurencyjnych.

Krótko ustosunkowując się do problemu, zalecam albo całkowity zakaz korzystania z sieci bezprzewodowych, pracy zdalnej, czy pracy na własnych urządzeniach mobilnych, powołując się na zasady korporacyjne, albo świadczenie tych usług możliwie najdokładniej z punktu widzenia bezpieczeństwa, zwłaszcza, że ​​nowoczesne rozwiązania dają możliwość zrobienia tego w najlepszym wydaniu.

Jeśli chodzi o pracę zdalną, te same mogą Ci pomóc Następne pokolenie Zapory ogniowe lub urządzenia UTM. Z naszej praktyki wynika, że ​​istnieje szereg stabilnych rozwiązań (m.in. Cisco, Checkpoint, Fortinet, Citrix), które pozwalają na pracę z różnorodnymi urządzenia klienckie, przy jednoczesnym zapewnieniu najwyższych standardów zdalnej identyfikacji pracowników. Na przykład wykorzystanie certyfikatów, uwierzytelnianie dwuskładnikowe, hasła jednorazowe dostarczane SMS-em lub generowane za pomocą specjalnego klucza. Możesz także monitorować oprogramowanie zainstalowane na komputerze, z którego następuje próba dostępu, na przykład pod kątem instalacji odpowiednich aktualizacji lub uruchomionych programów antywirusowych.

Bezpieczeństwo Wi-Fi to temat zasługujący na osobny artykuł. W tym poście postaram się podać najważniejsze rekomendacje. Jeśli budujesz korporacyjną sieć Wi-Fi, pamiętaj o uwzględnieniu wszystkich możliwych aspektów bezpieczeństwa z nią związanych.

Nawiasem mówiąc, Wi-Fi jest zupełnie odrębnym źródłem dochodów naszej firmy. Zajmujemy się nimi profesjonalnie: projekty wyposażenia galerii i centrów handlowych, centrów biznesowych, magazynów w sprzęt bezprzewodowy, z wykorzystaniem nowoczesnych rozwiązań takich jak pozycjonowanie, realizujemy w trybie non-stop. A według wyników naszych ankiet radiowych, w co drugim biurze i magazynie znajdujemy przynajmniej jeden domowy router Wi-Fi, który sami pracownicy podłączyli do sieci. Zwykle robią to dla własnej wygody pracy, np. aby wyjść z laptopem do palarni lub aby móc swobodnie poruszać się po pomieszczeniu. Oczywiste jest, że do takich routerów nie zastosowano żadnych korporacyjnych zasad bezpieczeństwa, a hasła zostały rozesłane do znanych kolegów, następnie do kolegów z pracy, a następnie do gości, którzy przyszli na kawę, w wyniku czego prawie wszyscy mieli dostęp do sieci firmowej choć było to całkowicie niekontrolowane.

Oczywiście warto zabezpieczyć sieć przed podłączeniem takiego sprzętu. Główne sposoby, aby to zrobić, to: autoryzacja portów, filtrowanie według adresów MAC itp. Ponownie, z punktu widzenia Wi-Fi, powinieneś używać silnego algorytmy kryptograficzne i korporacyjne metody uwierzytelniania. Powinieneś jednak zrozumieć, że nie wszystkie metody uwierzytelniania w przedsiębiorstwie są równie przydatne. Na przykład urządzenia z systemem Android w niektórych wersjach oprogramowania mogą domyślnie ignorować publiczny certyfikat sieci Wi-Fi, umożliwiając w ten sposób ataki bliźniacze Evil. Jeśli używana jest metoda uwierzytelniania, taka jak EAP GTC, klucz jest przesyłany w postaci zwykłego tekstu i może zostać całkowicie przechwycony w tym ataku. W sieciach korporacyjnych zalecamy stosowanie wyłącznie uwierzytelniania za pomocą certyfikatu, tj. Są to metody TLS, ale należy pamiętać, że znacznie zwiększają obciążenie administratorów sieci.

Jest inny sposób: jeśli sieć korporacyjna ma odległa praca, możesz zmusić urządzenia połączone za pośrednictwem sieci Wi-Fi do korzystania również z klienta VPN. Oznacza to, że przydziel segment sieci Wi-Fi do początkowo niezaufanego obszaru, a na koniec otrzymasz dobrą działającą opcję przy minimalizacji kosztów zarządzania siecią.

Producenci rozwiązań Wi-Fi dla przedsiębiorstw, tacy jak Cisco, Ruckus, czyli obecnie Brocade, Aruba, czyli obecnie HPE standardowe rozwiązania do organizacji Wi-Fi, zapewniają całą gamę usług automatycznego monitorowania bezpieczeństwa środowiska bezprzewodowego. Oznacza to, że rozwiązania takie jak WIPS (bezprzewodowy system zapobiegania włamaniom) sprawdzają się w nich całkiem dobrze. Producenci ci wdrożyli czujniki bezprzewodowe, które mogą monitorować całe spektrum częstotliwości, dzięki czemu mogą automatycznie monitorować całkiem poważne zagrożenia.

Poruszmy teraz tematy takie jak BYOD (Przynieś własne urządzenie) i MDM (Zarządzanie urządzeniami mobilnymi). Oczywiście każde urządzenie mobilne, które przechowuje dane firmowe lub ma dostęp do sieci firmowej potencjalne źródło problemy. Temat bezpieczeństwa takich urządzeń dotyczy nie tylko bezpieczny dostęp do sieci korporacyjnej, ale także scentralizowane zarządzanie politykami dla urządzeń mobilnych: smartfonów, tabletów, laptopów używanych poza organizacją. Temat ten jest aktualny od bardzo dawna, jednak dopiero teraz na rynku pojawiły się naprawdę działające rozwiązania, które pozwalają zarządzać różnorodną flotą sprzętu mobilnego.

Niestety nie będzie można o nich porozmawiać w tym poście, ale wiedzcie, że rozwiązania są w Ostatni rok Jesteśmy świadkami gwałtownego wzrostu wykorzystania rozwiązań MDM firm Microsoft i MobileIron.

Mówiłeś o „minimalnym bezpieczeństwie”, czym w takim razie jest „maksymalne bezpieczeństwo”?

Swego czasu w Internecie pojawił się popularny obraz: zalecał instalowanie jednej zapory ogniowej po drugiej w celu ochrony sieci. znani producenci. W żadnym wypadku nie zachęcamy Cię do tego samego, niemniej jednak jest w tym trochę prawdy. Posiadanie tego będzie niezwykle przydatne Urządzenie sieciowe z analizą sygnatur wirusów, na przykład z SOFOS, a w miejscach pracy już instalują program antywirusowy firmy Kaspersky Lab. Otrzymujemy zatem dwa systemy ochrony przed złośliwym kodem, które nie kolidują ze sobą.

Istnieje szereg specjalistycznych narzędzi zapewniających bezpieczeństwo informacji:

DLP. Na rynku dostępne są specjalistyczne narzędzia bezpieczeństwa informacji, czyli opracowane i nakierowane na rozwiązanie konkretnego zagrożenia. Obecnie coraz większą popularnością cieszą się systemy DLP (Data Loss Prevention), czyli systemy zapobiegające wyciekom danych. Pracują zarówno na poziomie sieci, integrując się ze środowiskiem transmisji danych, jak i bezpośrednio na serwerach aplikacji, stacjach roboczych, urządzenia mobilne.

Odchodzimy nieco od tematu sieci, ale zagrożenie wyciekiem danych będzie istniało zawsze. W szczególności rozwiązania te stają się istotne dla firm, w których utrata danych niesie ze sobą ryzyko i konsekwencje handlowe i reputacyjne. Wprowadzenie 5 lat temu Systemy DLP było dość trudne ze względu na ich złożoność i konieczność przeprowadzenia procesu rozwoju dla każdego konkretnego przypadku. Dlatego ze względu na ich koszt wiele firm porzuciło te rozwiązania lub napisało własne. Obecnie systemy rynkowe są na tyle dojrzałe, że wszystkie niezbędne funkcjonalności bezpieczeństwa można uzyskać od razu po wyjęciu z pudełka.

NA Rynek rosyjski systemy komercyjne reprezentowane są głównie przez producenta Infowatch (poniżej zdjęcie tego producenta pokazujące jak prezentuje swoje rozwiązanie w dużej firmie) oraz dość znany MacAfee.

WAF. W związku z rozwojem usług handlu internetowego, takich jak bankowość internetowa, pieniądz elektroniczny, handel elektroniczny, usługi ubezpieczeniowe itp., w ostatnim czasie pojawiło się zapotrzebowanie na specjalistyczne narzędzia do ochrony zasobów sieciowych. Mianowicie WAF - zapora sieciowa aplikacji internetowych.

To urządzenie pozwala odeprzeć ataki mające na celu luki w zabezpieczeniach samej witryny. Oprócz selektywnych ataków DoS, gdy witryna jest zasypywana uzasadnionymi żądaniami, mogą to być ataki polegające na wstrzykiwaniu SQL, Strona krzyżowa skryptowanie itp. Wcześniej takie urządzenia kupowały głównie banki, ale nie było na nie popytu u innych klientów, a kosztowały mnóstwo pieniędzy. Na przykład koszt działającego rozwiązania zaczynał się od 100 000 dolarów. Obecnie na rynku dostępna jest duża liczba rozwiązań znanych producentów (Fortinet, Citrix, Positive Technologies), z których za całkiem rozsądne pieniądze (3-5 razy mniej niż wcześniej wskazana kwota) można uzyskać działające rozwiązanie chroniące Twoją witrynę internetową ).

Rewizja. Organizacje, szczególnie te dbające o własne bezpieczeństwo, wdrażają narzędzia do automatycznego audytu. Rozwiązania te są drogie, ale pozwalają na przeniesienie szeregu funkcji administratora do obszaru automatyzacji, na który jest niezwykle zapotrzebowanie w dużych przedsiębiorstwach. Takie rozwiązania stale skanują sieć i audytują wszystkie zainstalowane systemy operacyjne i aplikacje pod kątem znanych luk w zabezpieczeniach, aktualności aktualizacji i zgodności z politykami korporacyjnymi. Prawdopodobnie najbardziej znanymi rozwiązaniami w tej dziedzinie nie tylko w Rosji, ale na całym świecie są produkty firmy Positive Technologies.

SIEM. Podobne do rozwiązań SIEM. Są to systemy przeznaczone do wykrywania sytuacji awaryjnych związanych konkretnie ze zdarzeniami związanymi z bezpieczeństwem. Nawet standardowy zestaw kilku zapór sieciowych, kilkunastu serwerów aplikacji i tysięcy komputerów stacjonarnych może wygenerować dziesiątki tysięcy alertów dziennie. Jeśli masz dużą firmę i masz dziesiątki urządzeń brzegowych, to ręczne zrozumienie otrzymanych od nich danych staje się po prostu niemożliwe. Automatyzacja kontroli zebranych logów jednocześnie ze wszystkich urządzeń pozwala administratorom i pracownikom bezpieczeństwa informacji na natychmiastowe działanie. Rozwiązania SIEM firm Arcsight (część produktów HPE) i Q-RADAR (część produktów IBM) są dość dobrze znane na rynku.

I na koniec: jaką radę możesz dać osobom poważnie zaangażowanym w organizację ochrony swoich zasobów IT?

Oczywiście organizując bezpieczeństwo IT dla przedsiębiorstwa nie należy zapominać o regulacjach administracyjnych. Użytkownicy i administratorzy powinni mieć świadomość, że znalezionych dysków flash nie można używać na komputerze, podobnie jak nie można korzystać z podejrzanych łączy w wiadomościach e-mail ani otwierać podejrzanych załączników. Bardzo ważne jest wskazanie i wyjaśnienie, które linki i załączniki są niezweryfikowane. Tak naprawdę nie wszyscy rozumieją, że nie trzeba przechowywać haseł na karteczkach samoprzylepnych przyklejanych do monitora czy telefonu, że trzeba nauczyć się czytać ostrzeżenia, które aplikacje zapisują użytkownikowi itp. Powinieneś wyjaśnić użytkownikom, czym jest certyfikat bezpieczeństwa i co oznaczają powiązane z nim komunikaty. Generalnie należy wziąć pod uwagę nie tylko techniczną stronę zagadnienia, ale także zaszczepić pracownikom kulturę korzystania z korporacyjnych zasobów IT.
Mam nadzieję, że ten wspaniały post był dla Ciebie interesujący i przydatny.

Systemy informatyczne, w których urządzenia do transmisji danych należą do jednej firmy i są wykorzystywane wyłącznie na potrzeby tej firmy, nazywane są zwykle siecią korporacyjną – korporacyjną siecią komputerową (CN). CS jest wewnętrzną siecią prywatną organizacji, która łączy w sobie zasoby obliczeniowe, komunikacyjne i informacyjne tej organizacji i jest przeznaczona do przesyłania danych elektronicznych, którymi mogą być dowolne informacje. Tym samym na podstawie powyższego możemy stwierdzić, że w ramach W CS zdefiniowano specjalną politykę opisującą sprzęt i oprogramowanie, zasady uzyskiwania dostępu użytkowników do zasobów sieciowych, zasady zarządzania siecią, kontrola wykorzystania zasobów oraz dalszy rozwój sieci. Sieć korporacyjna to sieć pojedynczej organizacji.

Nieco podobną definicję można sformułować w oparciu o koncepcję sieci korporacyjnej podaną w pracy Olifera V.G. i Olifer N.D. „ Sieć komputerowa: zasady, technologie, protokoły”: każda organizacja to zbiór oddziałujących na siebie elementów (działów), z których każdy może mieć własną strukturę. Elementy są ze sobą powiązane funkcjonalnie, tj. wykonują określone rodzaje pracy w ramach jednego procesu biznesowego, a także przekazują informacje, wymieniają dokumenty, faksy, zamówienia pisemne i ustne itp. Ponadto elementy te wchodzą w interakcję systemy zewnętrzne, a ich interakcja może mieć zarówno charakter informacyjny, jak i funkcjonalny. I ta sytuacja dotyczy prawie wszystkich organizacji, bez względu na rodzaj działalności, jaką wykonują - agencji rządowej, banku, przedsiębiorstwa przemysłowego, firmy handlowej itp.

Takie ogólne spojrzenie na organizację pozwala na sformułowanie kilku ogólnych zasad budowy korporacyjnych systemów informatycznych, tj. systemów informatycznych w całej organizacji.

Sieć korporacyjna to system zapewniający przepływ informacji pomiędzy firmami różne zastosowania wykorzystywane w systemie korporacyjnym. Sieć korporacyjna to każda sieć działająca w oparciu o protokół TCP/IP i korzystająca ze standardów komunikacji internetowej, a także aplikacji usługowych zapewniających dostarczanie danych użytkownikom sieci. Na przykład firma może tworzyć serwer internetowy do publikowania ogłoszeń, harmonogramów produkcji i innych dokumentów urzędowych. Pracownicy uzyskują dostęp do wymaganych dokumentów za pomocą narzędzi przeglądania sieci Web.

Serwery internetowe w sieci korporacyjnej mogą udostępniać użytkownikom usługi podobne do usług internetowych, na przykład pracę ze stronami hipertekstowymi (zawierającymi tekst, hiperłącza, obrazy graficzne i nagrania dźwiękowe), zapewniając niezbędne zasoby dla żądań klientów WWW, a także dostęp do baz danych. W tym przewodniku wszystkie usługi wydawnicze nazywane są „usługami internetowymi”, niezależnie od tego, gdzie są wykorzystywane (w Internecie czy w sieci korporacyjnej).

Sieć korporacyjna z reguły jest rozproszona geograficznie, tj. jednoczący biura, oddziały i inne struktury zlokalizowane w znacznych odległościach od siebie. Zasady budowy sieci korporacyjnej znacznie różnią się od zasad stosowanych przy tworzeniu sieci lokalnej. To ograniczenie jest fundamentalne i projektując sieć korporacyjną należy podjąć wszelkie działania, aby zminimalizować ilość przesyłanych danych. W przeciwnym razie sieć korporacyjna nie powinna narzucać ograniczeń na to, które aplikacje i w jaki sposób przetwarzają przesyłane przez nią informacje. Cecha charakterystyczna taka sieć jest tym sprzętem jak najbardziej różni producenci i pokoleń, a także heterogeniczne oprogramowanie, które początkowo nie jest nastawione na wspólne przetwarzanie danych.

Aby w najprostszy i najwygodniejszy sposób podłączyć użytkowników zdalnych do sieci firmowej niedroga opcja jest pożytek komunikacja telefoniczna. W miarę możliwości można korzystać z sieci ISDN. Do łączenia węzłów sieciowych w większości przypadków wykorzystywane są globalne sieci danych. Nawet tam, gdzie istnieje możliwość ułożenia dedykowanych łączy (np. w obrębie tego samego miasta), zastosowanie technologii komutacji pakietów pozwala na ograniczenie liczby niezbędnych kanałów komunikacyjnych i, co ważne, zapewnienie kompatybilności systemu z istniejącymi sieciami globalnymi.

Podłączenie sieci firmowej do Internetu jest uzasadnione, jeśli potrzebny jest dostęp do odpowiednich usług. W wielu pracach pojawia się opinia na temat łączenia się z Internetem: Internet jako medium transmisji danych warto wykorzystywać tylko wtedy, gdy nie ma innych możliwości, a względy finansowe przeważają nad wymogami niezawodności i bezpieczeństwa. Jeśli Internet będzie wykorzystywany jedynie jako źródło informacji, lepiej jest skorzystać z technologii dial-on-demand, czyli tzw. ten sposób połączenia, gdy połączenie z węzłem internetowym zostaje nawiązane tylko z Twojej inicjatywy i na czas, jakiego potrzebujesz. To znacznie zmniejsza ryzyko nieuprawnionego wejścia do Twojej sieci z zewnątrz.

Do przesyłania danych w sieci firmowej warto także wykorzystać kanały wirtualne sieci komutacji pakietów. Głównymi zaletami tego podejścia są wszechstronność, elastyczność, bezpieczeństwo

W wyniku badań struktury sieci informatycznych (IS) i technologii przetwarzania danych opracowywana jest koncepcja bezpieczeństwa informacji SI. Koncepcja odzwierciedla następujące główne punkty:

• 1) Organizacja sieci organizacji
• 2) istniejące zagrożenia bezpieczeństwo informacji, możliwości ich wdrożenia i spodziewane szkody wynikające z tego wdrożenia;
• 3) organizacja przechowywania informacji w IS;
• 4) organizacja przetwarzania informacji;
• 5) regulacja dostępu personelu do tej lub innej informacji;
• 6) odpowiedzialność personelu za zapewnienie bezpieczeństwa.

Rozwijając ten temat, bazując na podanej powyżej koncepcji bezpieczeństwa informacji IS, zaproponowano schemat bezpieczeństwa, którego konstrukcja musi spełniać następujące warunki:

Zabezpieczenie przed nieuprawnionym przedostaniem się do sieci firmowej i możliwością wycieku informacji kanałami komunikacji.

Wyznaczenie przepływów informacji pomiędzy segmentami sieci.

Ochrona krytycznych zasobów sieciowych.

Kryptograficzna ochrona zasobów informacyjnych.

W celu szczegółowego rozważenia powyższych warunków bezpieczeństwa zaleca się wydanie opinii: w celu ochrony przed nieuprawnioną penetracją i wyciekiem informacji proponuje się stosowanie zapór ogniowych lub zapór ogniowych. W rzeczywistości zapora ogniowa to brama, która pełni funkcje ochrony sieci przed nieautoryzowanym dostępem z zewnątrz (na przykład z innej sieci).

Istnieją trzy typy zapór sieciowych:

Brama poziomu aplikacji Brama poziomu aplikacji jest często nazywana serwerem proxy i działa jako przekaźnik danych dla ograniczonej liczby aplikacji użytkownika. Oznacza to, że jeśli brama nie obsługuje określonej aplikacji, odpowiednia usługa nie jest świadczona, a dane odpowiedniego typu nie mogą przejść przez zaporę.

Filtrowanie routera. Filtruj router. Dokładniej jest to router, którego dodatkowymi funkcjami jest router filtrujący pakiety. Używany w sieciach z komutacją pakietów w trybie datagramu. Oznacza to, że w technologiach przesyłania informacji w sieciach komunikacyjnych, w których nie ma płaszczyzny sygnalizacyjnej (wstępne nawiązanie połączenia między interfejsem użytkownika a UE) (na przykład IP V 4). W tym przypadku decyzja o przesłaniu przychodzącego pakietu danych przez sieć opiera się na wartościach pól nagłówka warstwy transportowej. Dlatego zapory tego typu są zazwyczaj implementowane jako lista reguł stosowanych do wartości pól nagłówka warstwy transportowej.

Przełącz bramę warstwy. Bramka poziomu przełączania - ochrona realizowana jest w płaszczyźnie sterowania (na poziomie sygnalizacji) poprzez zezwolenie lub zablokowanie określonych połączeń.

Szczególne miejsce zajmuje kryptograficzna ochrona zasobów informacyjnych w sieciach korporacyjnych. Ponieważ szyfrowanie jest jednym z najbardziej niezawodnych sposobów ochrony danych przed nieautoryzowanym dostępem. Cechą szczególną stosowania narzędzi kryptograficznych są rygorystyczne regulacje prawne. Obecnie w sieciach korporacyjnych instaluje się je tylko na tych stacjach roboczych, na których przechowywane są informacje o bardzo dużym znaczeniu.

Tak więc, zgodnie z klasyfikacją środków kryptograficznej ochrony zasobów informacyjnych w sieciach korporacyjnych, dzieli się je na:

Kryptosystemy jednokluczowe są często nazywane kryptosystemami tradycyjnymi, symetrycznymi lub jednokluczowymi. Użytkownik tworzy otwartą wiadomość, której elementami są znaki skończonego alfabetu. Generowany jest klucz szyfrujący w celu zaszyfrowania otwartej wiadomości. Zaszyfrowana wiadomość jest generowana przy użyciu algorytmu szyfrowania

Powyższy model zakłada, że ​​klucz szyfrujący generowany jest w tym samym miejscu co sama wiadomość. Możliwe jest jednak inne rozwiązanie tworzenia klucza - klucz szyfrujący jest tworzony przez stronę trzecią (centrum dystrybucji kluczy), któremu ufają obaj użytkownicy. W takim przypadku osoba trzecia jest odpowiedzialna za dostarczenie klucza obu użytkownikom. Ogólnie rzecz ujmując, rozwiązanie to stoi w sprzeczności z samą istotą kryptografii – zapewnieniem tajemnicy przesyłane informacje użytkownicy.

Kryptosystemy jednokluczowe wykorzystują zasady podstawienia (zastępowania), permutacji (transpozycji) i kompozycji. Podstawienie zastępuje pojedyncze znaki w otwartej wiadomości innymi znakami. Szyfrowanie wykorzystujące zasadę permutacji polega na zmianie kolejności znaków w czytelnym komunikacie. Aby zwiększyć niezawodność szyfrowania, wiadomość zaszyfrowana otrzymana przy użyciu określonego szyfru może zostać ponownie zaszyfrowana przy użyciu innego szyfru. Mówią, że w tym przypadku zastosowano podejście kompozycyjne. Dlatego symetryczne (jednokluczowe) kryptosystemy można podzielić na systemy wykorzystujące szyfry podstawieniowe, permutacyjne i złożone.

Kryptosystem klucza publicznego. Dzieje się tak tylko wtedy, gdy użytkownicy używają różnych kluczy KO i KZ podczas szyfrowania i deszyfrowania. Ten kryptosystem nazywany jest kluczem asymetrycznym, dwukluczowym lub publicznym.

Odbiorca wiadomości (użytkownik 2) generuje powiązaną parę kluczy:

KO- klucz publiczny, który jest publicznie dostępny i tym samym dostępny dla nadawcy wiadomości (użytkownik 1);

KS to tajny, osobisty klucz, który pozostaje znany tylko odbiorcy wiadomości (użytkownik 1).

Użytkownik 1, posiadający klucz szyfrujący KO, wykorzystuje określony algorytm szyfrowania do generowania tekstu zaszyfrowanego.

Użytkownik 2, posiadający tajny klucz Kс, ma możliwość wykonania odwrotnej akcji.

W tym przypadku użytkownik 1 przygotowuje wiadomość do użytkownika 2 i przed wysłaniem szyfruje tę wiadomość przy użyciu klucza prywatnego KS. Użytkownik 2 może odszyfrować tę wiadomość za pomocą klucza publicznego KO. Ponieważ wiadomość została zaszyfrowana osobistym kluczem nadawcy, może pełnić funkcję podpis cyfrowy. Dodatkowo w tym przypadku nie ma możliwości zmiany wiadomości bez dostępu do klucza osobistego użytkownika 1, więc wiadomość rozwiązuje także problem identyfikacji nadawcy i integralności danych.

Na koniec chciałbym powiedzieć, że instalując środki bezpieczeństwa kryptograficznego, możesz niezawodnie chronić Miejsce pracy pracownik organizacji, który bezpośrednio pracuje z informacjami szczególnie istotnymi dla istnienia tej organizacji, przed nieuprawnionym dostępem.