Защита периметра сети и каналов связи

Защита информации при использовании сетевого взаимодействия является одним из базовых комплексов в современных информационных системах. Технологии защиты сетевого взаимодействия условно можно поделить на следующие типы:

  • межсетевой экран;
  • обнаружение и предотвращение вторжений;
  • криптографическая защита каналов связи.
1. Межсетевой экран

Межсетевые экраны осуществляют защиту информационных систем на сетевом уровне путем контроля и фильтрацию проходящих через нее сетевых пакетов. Фильтрация и контроль сетевых пакетов осуществляется в соответствии с заданными на межсетевых экранах политиками безопасности. Защита сетевого взаимодействия осуществляется в рамках как внутреннего, так и внешнего информационного обмена сетевой инфраструктуры.

Межсетевой экран позволяет осуществлять блокировку потенциально опасной сетевой активности – попыток получения несанкционированного доступа к информационным ресурсам, попыток нарушения работоспособности итд. Таким образом, межсетевой экран обеспечивает защиту информационных ресурсов от внешних и внутренних сетевых атак.


Cегментация локальной сети

Межсетевой экран позволяет разделить локальную вычислительную сеть на несколько логических сегментов. Ограничения взаимодействия между сегментами ЛВС, вводимые при помощи межсетевого экрана, могут быть полными или частичными. При применении полных ограничений, правила фильтрации межсетевого экрана устанавливаются в виде, не подразумевающем прохождения сетевых пакетов между сегментами. При использовании частичных ограничений, правила фильтрации обеспечивают возможность прохождения только разрешенного типа сетевого взаимодействия. Применение данных механизмов позволяет обеспечить защиту каждого сегмента от угроз ИБ связанных с нелегитимной активностью узлов ЛВС других сегментов. Установка межсетевого экрана на периметре сети, позволяет применять политики безопасности на границе между локальной сетью и внешними ИТС (в том числе Интернет), что позволяет существенно снизить вероятность реализации угроз со стороны нарушителей из внешних ИТС.

2. Обнаружение и предотвращение вторжений

Средства обнаружения и предотвращения вторжений применяются для обнаружения и предотвращения некоторых типов потенциально вредоносной активности, которая может нарушить безопасность информационной системы. К такой активности относятся сетевые атаки направленные на уязвимости сетевых сервисов, атаки направленные на повышение прав доступа к информационным ресурсам, нелегитимный доступ к критичной информации, а также действия вредоносного программного обеспечения.

Выделяют следующие типы средств обнаружения и предотвращения вторжений:

  • Host-based - средства защиты отдельных компьютеров и серверов от вредоносной сетевой активности;
  • Network-based – средства обнаружения и блокировки вредоносной активности в сети.
В общем случае подсистемы обнаружения/предотвращения вторжений состоят из следующих модулей:
  • модуль сенсоров (программные, программно-аппаратные);
  • модуль анализа;
  • консоль управления.

Средства защиты Host-Based обеспечивают обнаружение и предотвращение вторжений в пределах заданного узла. Эти средства позволяют обнаруживать и предотвращать вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния отдельных узлов и прочих источников.

Средства защиты Network-based IPS обеспечивают обнаружение и блокирование сетевых атак, а так же оповещение ответственных лиц. Сенсоры могут устанавливаться в разрыв соединения (In-line) или в режиме пассивного мониторинга сетевого трафика, и анализируют сетевые, транспортные и прикладные протоколы взаимодействия. Просматриваемый трафик сравнивается с набором определенных производителем средства защиты образцов (сигнатур) атак или нарушений правил политики безопасности. Так же возможен поведенческий анализ, в рамках которого анализируется сетевой трафик и идентифицируются нетипичные потоки, например DoS и DDoS атаки.

При обнаружении вредоносной активности подсистема обнаружения/предотвращения вторжений может обеспечить применение следующих меры противодействия:

  • блокирование выбранных сетевых пакетов (только в случае работы в режиме In-line);
  • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) в целях предотвращения данного вторжения;
  • регистрация событий и оповещение ответственных лиц.
3. Криптографическая защита каналов связи

Средства криптографической защиты каналов связи обеспечивают:

  • криптографическую защиту каналов связи между несколькими территориально распределенными сегментами сети, взаимодействующими по неконтролируемым каналам связи (Интернет, арендуемые каналы связи и т.п.);
  • организацию защищенного удаленного доступа к информационным ресурсам компании для сотрудников организации, работающих вне локальной сети организации (из дома, в командировке, интернет-кафе и др.).

3.1 Территориально распределенные сегменты сети

Криптографическая защита каналов связи применяется для обеспечения безопасного обмена информацией между территориально разделенными объектами. Применение средств криптографической защиты позволяет создать виртуальную частную сеть (VPN) из удаленных локальных сетей организации и обеспечить конфиденциальность данных, передаваемых между ними. Данная технология защиты информации реализована за счет использования механизмов шифрования трафика между территориально разделенными объектами, с применением специализированных средств криптографической защиты. Применение таких средств позволяет в том числе обеспечить соответствие системы защиты требованиям законодательства (в случае использования сертифицированных ФСБ России СКЗИ).

3.2 Защищенный удаленный доступ

Применение в организации удаленного доступа позволяет пользователям, подключаться к защищаемым ресурсам организации удалённо. Преимущественно применяются два метода организации защищенного удаленного доступа:

  • IP Security (IPsec VPN);
  • Secure Sockets Layer (SSL VPN).

При организации удаленного доступа с применением IPsec VPN на рабочем месте пользователя устанавливается специализированное ПО (VPN-клиент), либо используется встроенный в операционную систему, который обеспечивает поддержку защищенного канала связи со специализированным оборудованием, установленным на границе сети организации.

Удаленный доступ с применением технологии SSL VPN осуществляется посредством интернет-браузера с использованием протокола SSL или TLS (Transport Layer Security) из любого места, где есть доступ к Интернету. SSL VPN не требует установки дополнительного программного обеспечения, что обеспечивает возможность использования данной технологии из любого места и с любого устройства (в том числе с мобильного компьютера или интернет-киоска), подключенного к сети Интернет. Технология построения защищенного удаленного доступа с использованием SSL VPN позволяет обеспечить доступ к внутренним бизнес-приложениям Заказчика, с использованием динамической загрузки в браузер компьютера необходимого программного обеспечения в виде апплета или элемента ActiveX.