Функции межсетевых экранов
МЭ должен располагаться между защищаемой сетью организации (являющейся внутренней) и потенциально враждебной внешней сетью. Все взаимодействия должны осуществляться только через МЭ.
По функционированию на уровнях модели OSI МЭ можно классифицироватьследующим образом:
- пакетный фильтр;
- шлюз сеансового уровня;
- прикладной шлюз;
- шлюз экспертного уровня.
МЭ экспертного уровня сочетают в себе элементы 3-х предыдущих видов МСЭ, т.е. прикладного, сеансового и сетевого. Как МСЭ с фильтрацией пакетов, они работают на сетевом уровне, фильтруя пакеты, на основе IP адресов и номеров портов. Они выполняют функции МСЭ сеансового уровня, также выполняют функции прикладного уровня, проверяя содержимое каждого пакета в соответствии с использованной политикой безопасности и используя специальные алгоритмы распознавания и обработки данных на уровне приложения. Зачастую имеют систему протоколирования событий и оповещения администраторов, средства поддержки удаленных пользователей (например авторизация), средства построения виртуальных частных сетей и т.д. К этому виду относятся почти все имеющиеся на рынке брандмауэры.
Эволюция межсетевых экранов прошла длинный путь. Вначале МЭ функционировали на первых 4 уровнях модели OSI. Затем компания Check Point предложила межсетевые экраны со специализированными микросхемами для глубокого анализа заголовков пакетов. Такие системы могли вести таблицу активных соединений, проверять IP-адреса отправителя и получателя, контролировать порты. Далее появились межсетевые экраны, функционирующие на уровне приложений, они проверяли пакеты на всех 7 уровнях. К середине 90-х межсетевые протоколы могли осуществлять мониторинг протоколов прикладного уровня: FTP, SMTP, Telnet и др.
еще в конце 80-х компанией DEC и функционировали в основном на первых
Основы технологии виртуальных защищенных сетей (VPN)
VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
Термин VPN используется в следующих смыслах:
Защищённые
Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
Доверительные (защита может осуществляться другими средствами)
Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).
Примеры протоколов VPN
- IPSec (IP security) — часто используется поверх IPv4.
- PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
- L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
- OpenVPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server
Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.
Для защиты информации при ее пеередачи по открытым каналам активно используется технология виртуальных частных сетей. Виртуальной частной сетью (Virtual Private Network ) называется объединение лоальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность данных в ней. VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы называют туннелями VPN. Сеть VPN позволяет с помощью таких туннелей безопасным образом соединить головной офис, филиалы, бизнес-партнеров и удаленных пользователей через Интернет.
Туннель VPN представляет собой соединение через открытую сеть, по которому передаются криптографически защищенные пакеты данных. Для обеспечения безопасности информации в туннелях VPN используется:
- аутентификация взаимодействующих сторон;
- шифрование данных;
- проверка подлинности и целостности передаваемой информации.
Шлюз VPN – сетевое устройство создающее канал VPN и выполняющее функции шифрования и аутентификации. Шлюз VPN располагается так, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Шлюз VPN может быть выполнен в виде отдельного программного или аппаратного решения, а также в виде криптомаршрутизатора или межсетевого экрана.
Для безопасной передачи данных через открытые каналы используется инкапсуляция и туннелирование. Между парой «отправитель-получатель» устанавливается своеобразный туннель – логическое соединение, позволяющее инкапсулировать (вставлять) данные одного протокола в пакеты другого. При туннелировании блок данных вместе со служебными полями инкапсулируется (упаковывается) в новый пакет («конверт»). Само по себе туннелирование не защищает данные, но предоставляет возможность полной криптографической защиты инкапсулируемых исходных пакетов. Для обеспечения конфиденциальности, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети.
IDS (Intrusion Detection System)Система обнаружения вторжений (СОВ), программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)
Обычно архитектура СОВ включает:
- сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
- подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
- хранилище, обеспечивающее накопление первичных событий и результатов анализа
- консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты
DLP(предотвращение утечек, англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
DMZ(демилитаризованная зона,) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗ.
Honeypot («Лову́шка») (англ. горшочек с мёдом) — ресурс, представляющий собой приманку для злоумышленников.Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Любое внешнее взаимодействие с этим ресурсом рассматривается как недобросовестная активность. Honeypot собирает небольшое количество информации, после анализирования которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.