Green-sell.info

Новые технологии
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Организация безопасности корпоративных сетей

Организация безопасности корпоративных сетей

Высокая безопасность и соответствие нормативным требованиям являются обязательными условиями в проектах по развертыванию корпоративных сетей.

Для защиты собственных информационных ресурсов предприятия внедряют в инфраструктуру решения по обеспечению безопасности сети, гарантирующие безопасность сети и коммерческих данных на всех уровнях:

  • межсетевой экран
  • управляемые VPN сети
  • поиск и блокировка попыток вторжений в сеть
  • защита конечных точек обмена трафиком
  • корпоративная антивирусная система.

Безопасность подключений

Для сотрудников, находящихся в командировках или работающих из дома, услуга удаленного доступа к корпоративной сети стала рабочей необходимостью.

Все больше организаций разрешают партнерам осуществлять удаленный доступ к своим сетям с целью сокращения затрат на обслуживание систем. Поэтому защита конечных точек обмена трафиком – одна из самых важных задач обеспечения безопасности сети компании.

Места, где корпоративная сеть подключается к Интернету, являются периметром безопасности сети. В этих точках пересекается входящий и исходящий трафик. Трафик корпоративных пользователей выходит за границы сети, а интернет — запросы от внешних пользователей для получения доступа к веб-приложениям и приложениям электронной почты входят в сеть компании.

Из-за того, что в конечных точках выполняется постоянное подключение к Интернету, которое обычно разрешает прохождение внешнего трафика в корпоративную сеть, она является основной целью атак злоумышленников.

При построении корпоративной сети безопасности данных на границах сети в точках выхода в Интернет устанавливают межсетевые экраны. Эти устройства позволяют предотвратить и блокировать внешние угрозы при проведении терминации VPN туннелей (см. рис. 1).

Рис.1 Периметр безопасности корпоративной сети

Набор интегрированных решений для безопасных подключений от Cisco Systems обеспечивает конфиденциальность информации. В сети ведется экспертиза всех конечных точек и методов доступа во всех сетях компании: LAN, WAN и беспроводной мобильной сети

Обеспечивается полная доступность межсетевого экрана и сервисов VPN. Функции межсетевого экрана обеспечивают фильтрацию уровня приложений с сохранением состояния для входящего и исходящего трафика, защищенный исходящий доступ для пользователей и сеть DMZ для серверов, к которым необходимо осуществлять доступ из Интернета.

Системный интегратор ИЦ «Телеком-Сервис» строит сети корпоративной безопасности на базе многофункциональных устройств защиты Cisco Systems, Juniper Networks и Huawei Technologies, позволяющих сократить количество необходимых устройств в сети.

Комплексные решения по обеспечению безопасности корпоративной сети Cisco Systems, Juniper Networks и Huawei Technologies имеют ряд преимуществ, важных для эффективного бизнеса:

  • сокращение ИТ-бюджетов на эксплуатацию и обслуживание программно-аппаратного обеспечения
  • повышение гибкости сети
  • снижение затрат на внедрение
  • снижение общей стоимости владения
  • усиление контроля с помощью единого управления и введения политик безопасности
  • повышение прибыли и увеличение показателей эффективности предприятия
  • снижение угроз безопасности для сети и СХД
  • применение эффективных политик безопасности и правил на конечных узлах сети: ПК, КПК и серверах
  • сокращение сроков внедрения новых решений в области безопасности
  • эффективная профилактика сети от вторжений
  • интеграция с ПО других разработчиков в области безопасности и управления.
  • полномасштабное управление доступом к сети

Продукты по безопасности Cisco на всех уровнях сети

Безопасность конечных точек: Программа-агент безопасности Cisco Cisco Security Agent защищает компьютеры и серверы от атак червей.

Встроенные межсетевые экраны: модули PIX Security Appliance, Catalyst 6500 Firewall Services Module и набор функций межсетевого экрана (firewall) защищают сеть внутри и по периметру.

Защита от сетевых вторжений: Датчики IPS 4200 Series sensors, модули служб IDS Catalyst 6500 (IDSM-2) или IOS IPS идентифицируют, анализируют и блокируют злонамеренный нежелательный трафик.

Выявление и устранение атак DDoS: Детектор аномалий трафика Cisco Traffic Anomaly Detector XT и Guard XT обеспечивают нормальную работу в случае атак, прерывающих работу службы. Модули служб детектора аномалий трафика Cisco и Cisco Guard создают стойкую защиту от атак DdoS в коммутаторах серии Catalyst 6500 и маршрутизаторах серии 7600.

Безопасность контента: модуль устройства Access Router Content Engine module защищает бизнес-приложения, работающие с интернет, обеспечивает доставку веб-контента без ошибок.

Интеллектуальные службы администрирования сети и систем безопасности: в маршрутизаторах и коммутаторах Cisco находят и блокируют нежелательный трафик и приложения.

Менеджмент и мониторинг:

  • CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) — система управления информацией о состоянии безопасности

    Технология Network Admission Control (NAC) от Cisco

    Контроль доступа в сеть (Network Admission Control, NAC) – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems.

    NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Так снижается возможный ущерб в сети от угроз безопасности.

    Безопасный удаленный доступ к корпоративной VPN сотрудникам и партнерам многофункциональные устройства защиты обеспечивают с помощью протоколов SSL и IPsec VPN, встроенных блокировочных сервисов для предупреждения и предотвращения IPS вторжений.

    Self-Defending Network — стратегия самозащищающейся сети от Cisco

    Self-Defending Network является развивающейся стратегией будущего от Cisco. Технология позволяет защитить бизнес-процессы предприятия путем обнаружения и предотвращения атак, адаптации к внутренним и внешним угрозам сети.

    Предприятия могут эффективнее использовать интеллектуальные возможности сетевых ресурсов, оптимизировать бизнес-процессы и сократить расходы.

    Пакет управления безопасностью Cisco

    Пакет управления безопасностью Cisco представляет собой набор продуктов и технологий, разработанных для масштабируемого администрирования и усиления политик безопасности для само защищающейся сети Cisco.

    Интегрированный продукт Cisco позволяет автоматизировать задачи управления безопасностью с помощью ключевых компонентов: менеджера управления и Cisco Security MARS — системы мониторинга, анализа и реагирования.

    Менеджер управления системой безопасности Cisco имеет простой интерфейс для настройки межсетевого экрана, VPN и системы защиты от вторжений (IPS) на устройствах безопасности, межсетевых экранах, маршрутизаторах и коммутаторах Cisco.

    Защита информации в корпоративных сетях

    М. Савельев

    Мир связи. Connect! № 9, 2004

    Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей.

    На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты.

    Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Это могло бы быть шуткой, если бы мы не наблюдали воочию, как усилия многих специализированных компаний «размазываются» в попытках создать универсальный продукт. На мой взгляд, для потребителей была бы полезнее консолидация усилий нескольких производителей, направленных, например, на создание единой консоли управления.

    Так чего же ждать от производителей средств защиты? Ответить на этот вопрос я попытался в рамках этой статьи, поставив перед собой цель — не анализировать конкретные возможности тех или иных продуктов, а посмотреть, в каком направлении развиваются те или иные средства защиты.

    Межсетевые экраны были и являются базовым средством обеспечения сетевой безопасности. Впервые они появились в конце 80-х годов. С их помощью решалась задача разделения компьютерных сетей. В то время межсетевой экран представлял собой компьютер, разделявший защищаемую сеть и все остальные, «открытые» сети. С тех пор принципиальных изменений эта технология практически не претерпела.

    Исторически эволюция межсетевых экранов началась с пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов (всевозможные шлюзы, например, почтовые, Proxy-сервера и т.п.). Наконец, компания Check Point Software Technologies разработала технологию stateful inspection. Суть ее состоит в хранении информации о контексте соединений (состояние соединения, текущие номера пакетов и пр.) — как активных, так и существовавших ранее.

    Борьба за потребителя среди производителей межсетевых экранов с определенного момента стала заключаться в том, что каждый из них стремился придать своему детищу наиболее удобное управление и больший функционал — и для обеспечения информационной безопасности, и для решения прикладных задач.

    Сейчас уже практически невозможно отыскать межсетевой экран без возможности организации VPN. Интеграцию межсетевых экранов с антивирусами и средствами обнаружения атак тоже можно считать решенной задачей.

    В развитии технологии межсетевого экранирования можно отметить две основные тенденции. Первая — тенденция к «ожелезиванию». До недавнего времени аппаратные решения конкурировали с программными, которые сегодня стремительно сдают свои позиции. Этому есть объяснение. «Железное» решение снимает с заказчика большое число таких проблем как, например:

    · приобретение компьютера и периферийного оборудования для развертывания межсетевого экрана,

    · приобретение, установка и настройка лицензионной операционной системы,

    · установка и настройка самой системы защиты.

    Помимо снижения временных и финансовых затрат, «ожелезивание» способствует и повышению надежности. Идентичные изделия взаимозаменяемы, легко образуют кластеры для балансировки нагрузки, пригодны для «холодного» и «горячего» резервирования.

    Вторая тенденция в развитии межсетевых экранов — их переклассификация из средств коллективной защиты в персональные. Название «персональный межсетевой экран» плотно вошло в обиход и уже не кажется абсурдным. Более того, межсетевые экраны теперь встраиваются в отдельные приложения, например в ПО Web-серверов.

    Нельзя не отметить и видимую ориентацию производителей средств на сегмент SOHO, что в первую очередь выражается в отмеченном ранее расширении функционала. Этому явлению сложно дать однозначную оценку. С одной стороны, решение «все в одном» удобно, когда мы говорим о защите небольшой сети из 10-50 компьютеров. С другой стороны, возникает риторический вопрос: стоит ли класть все яйца в одну корзину? Когда же речь заходит о крупных системах, в которых одним из важнейших показателей является доступность, то поневоле задумаешься: не станет ли отказ или перегрузка одной из подсистем причиной для сбоя сложного устройства?

    Средства построения VPN

    В этом сегменте средств защиты продолжается борьба за повышение производительности процессов шифрования. Этого требует рост телекоммуникационных возможностей: скоростными каналами с пропускной способностью в 1 Гбит между сетями территориально распределенных подразделений компании уже никого не удивить.

    Читать еще:  Языки программирования классификация и история развития

    Второе направление, в котором развивается данная технология — «мобильность» клиента. Под этим понимается не только внедрение соответствующего функционала в карманные компьютеры, смартфоны и телефоны, но и создание клиентов, не требующих предварительной установки какого-либо софта. Такой клиент может загружаться как скрипт, например во время посещения защищенного раздела корпоративного сайта. Достоинство — возможность доступа из любого интернет-кафе, с любого компьютера, недостаток — ключ шифрования генерируется на основе пароля.

    До недавнего времени производители средств защиты от вирусов соревновались в основном в скорости обновления антивирусных баз. Например, компания Trend Micro объявляла о 20-минутном «зазоре» от начала распространения вируса до выпуска профилактических правил для своих продуктов, позволяющих пресечь распространение вируса или червя. При этом многие производители забывали о реальных потребностях пользователей. А ведь антивирусные программы — самое распространенное средство защиты — от отдельных компьютеров домашних пользователей до огромных корпоративных сетей. Корпоративная сеть нуждается в централизованном управлении, обновлении и пр. Кроме того, в ней установлено огромное количество прикладных программ, которые тоже необходимо защищать.

    Первыми, как мне кажется, об этом вспомнили Symantec, Sophos и Trend Micro. Помимо расширенных возможностей управления, они предложили комплекс средств для построения эшелонированной защиты: компоненты их систем не только защищают рабочие станции и сервера, но и закрывают наиболее вероятные пути проникновения вирусов в сеть — почтовые шлюзы и Proxy-сервера для доступа в Интернет.

    Сегодня многие компании, даже имеющие системы антивирусной защиты на рабочих станциях, добавляют в их функции защиту шлюзов. Параллельное использование двух антивирусов, имеющих разные базы сигнатур и разные методы обнаружения вирусов, позволяет быть уверенным в действительно высоком уровне защиты.

    Системы обнаружения атак прошли достаточно интересный путь. В начале 80-х годов обнаружение атак заключалось в ручном анализе журналов регистрации событий. Через 10 лет появились первые автоматизированные средства анализа. На очередном витке развития коммуникаций возможностей систем обнаружения атак стало явно не хватать. Жизнь требовала не только обнаружения, но и блокирования вредоносных воздействий. Так системы обнаружения атак слились с межсетевыми экранами и коммутационным оборудованием, появились персональные системы обнаружения атак, позволявшие блокировать атаку непосредственно на защищаемом узле.

    Следующий виток развития и опять интеграция: обнаружение атак тесно связывается с системами анализа защищенности. Эта технология получила собственное название — система корелляции событий.

    Корреляция событий позволяет сосредоточить внимание администратора безопасности только на значимых событиях, способных нанести реальный ущерб инфраструктуре компании. Система не будет отвлекать администратора сообщениями о тех атаках, которые не опасны для данной сети (например, направлены на Unix-сервер, которого просто нет в защищаемой сети), или о тех, которые обнаружены в трафике, но блокированы access-листами коммутационного оборудования.

    По принципу корреляции строят свои решения такие компании, как Internet Security Systems и NetForensics.

    Кроме того, как и в области VPN, производители IDS отчаянно борются за скоростные показатели своих систем. Основная цель — нормальная работа систем на мультигигабитных скоростях.

    Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого — это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета.

    Одна из приоритетных задач производителей подобных средств, — сделать так, чтобы работа системы контроля содержимого не ощущалась пользователем. Ведь анализ больших объемов трафика — ресурсоемкая задача.

    Здесь в ход идут различные схемы распределения вычислений — от расстановки отдельно стоящих, но централизованно управляемых и реализующих единую политику безопасности серверов в подразделениях компании, до кластеризации и распараллеливания вычислений.

    Существует много серьезных проблем, сдерживающих повсеместное внедрение этой технологии. И дело не только в отсутствии в нашей стране положения о лицензировании удостоверяющих центров. В настоящее время немногие приложения могут полноценно работать с ЭЦП. Если говорить об имеющемся и реально эксплуатируемом в компаниях ПО, которое разрабатывалось 5-10 лет назад, то в нем функции работы с ЭЦП вообще не предусматривались. Отечественные разработчики пытаются восполнить этот пробел, но их продукты зачастую несовместимы между собой. Правда, работа по преодолению этой помехи уже ведется.

    Под управлением безопасностью чаще всего понимается автоматизация управления информационной безопасностью на основе стандарта ISO 17799. В иных случаях управление безопасностью трактуют как создание некой единой консоли для управления всеми подсистемами — от антивируса до систем обнаружения атак. Однако проблема управления стоит гораздо серьезнее.

    Крупная организация использует в своей сети множество аппаратных и программных средств обработки данных (приложения и СУБД, коммутационное оборудование, средства безопасности и т.п.), каждое из которых управляется подчас несколькими людьми. Руководство ставит перед ними различные задачи: перед администраторами — поддерживать работоспособность и надежность сети, перед службой информационной безопасности — обеспечить конфиденциальность данных, и т.п.

    Во многих компаниях автоматизировать процессы управления пытаются за счет документооборота: для внесения изменений в объекты, так или иначе влияющие на информационную безопасность предприятия, используют механизм заявок. Но тут возникает новая проблема: по мере накопления заявок невозможно отследить их взаимную непротиворечивость и их соответствие корпоративным требованиям безопасности. Кроме того, отсутствуют механизмы контроля реального состояния объектов.

    Масло в огонь подливают и проблемы общения с бизнес-подразделениями компании. Термин отдела кадров «зачислен новый сотрудник» означает для отделов IT «завести учетную запись пользователя в:», «создать сертификат для пользователя:» и множество прочих подобных инструкций.

    Работа по автоматизации процессов управления информационной безопасностью уже ведется. Идеология решения заключается в том, что управление безопасностью нанизывается на каркас бизнес-процессов компании. Система, обладая знаниями об информационной системе организации, не только транслирует эту информацию с языка одного подразделения на язык другого, но и раздает поручения на выполнение конкретных операций. Вездесущие агенты системы контролируют своевременность и правильность выполнения этих поручений.

    Какова бы ни была система защиты информации в конкретной организации, главное — помнить два основных правила.

    Первое: комплексная защита информации — это, прежде всего, совокупность принятых в компании мер по защите, а не набор продуктов. Нельзя списывать со счетов и то, что в обеспечении информационной безопасности участвует каждый сотрудник компании.

    Второе: основа любой системы защиты — это люди. От того, насколько грамотно персонал настроит эксплуатируемые системы, как он будет готов реагировать на инциденты в области безопасности, зависит защищенность предприятия в целом.

    Что же касается технологий и конкретных средств защиты информации, то использование антивирусов, межсетевых экранов и механизмов разграничения доступа обеспечивает лишь минимально необходимый уровень защищенности, а применение дополнительных механизмов защиты должно определяться экономической целесообразностью.

    Защита корпоративной информации

    Защита информации в корпоративных сетях – это комплекс мер по предотвращению утечки корпоративных данных, персональных данных (ПНд) сотрудников и клиентов, отражение атак на ресурсы компании. Современные методы защиты включают в себя идентификацию и аутентификацию, разграничение прав доступа и управление доступом к данным, криптографию и создание межсетевых экранов.

    Защита информации в корпоративных системах требуется:

    • для организаций и предприятий со сложной административно-территориальной структурой: банков, торговых сетей, государственных и транснациональных компаний, производственных комплексов;
    • а также предприятий любого уровня, использующих облачные технологии, он-лайн кассы, IP-телефонию, Интернет-банки, системы электронного документооборота (ЭДО).

    Организация процедур комплексной защиты корпоративной информации в сетях крупных компаний осложнена использованием оборудования разных поколений и разных производителей, различных баз данных, локальных сетей (LAN).

    Что такое Интернет сегодня. Миллионы компьютеров, серверов, объединенных в одну большую глобальную сеть. В сети Интернет ежесекундно проходят терабайты информации: фотографии, файлы, личные сообщения, денежные транзакции и т.д. Если информация важная, то за нее можно получить деньги. А места, в которых можно быстро и без усилий заработать деньги привлекают злоумышленников.

    И если на заре развития сети Интернет в 90-е годы обычное платежное банковское поручение можно было отправить по электронной почте незашифрованным письмом, то сегодня такое письмо может содержать информацию, изменённую злоумышленниками в корыстных целях. Да, совершенствуются методы защиты передачи информации, но и инструменты, которые применяют злоумышленники не стоят на месте. Тем не менее методы атаки всегда остаются прежними, как и узкие места защиты.

    Технологии защиты корпоративной информации

    Система корпоративной защиты информации должна отражать любые типы атак:

    • попытки взлома хакерами;
    • несанкционированный доступ к конфиденциальным данным, в т.ч. ПНд;
    • заражение вредоносным программным обеспечением (ПО): вирусами, троянскими программами, «червями»;
    • загрузке и установке шпионских программ, рекламного софта;
    • спаму, фишинг-атакам;
    • взлому сайтов (CMS), корпоративных групп в социальных сетях.

    При этом применяемые средства и технологии защиты корпоративных данных не должны препятствовать нормальному функционированию информационных систем (ИС) предприятия, включая доступность данных из ИС для авторизованных пользователей. В целом, система комплексной защиты корпоративных данных должна отвечать требованиям:

    • доступности для авторизованных, идентифицированных пользователей;
    • целостностью, т.е. полноты и достоверности возвращаемых на запрос сведений;
    • конфиденциальностью – предоставлением данных согласно уровню доступа пользователя.

    Технология защиты корпоративных данных подразумевает:

    • использование межсетевых экранов (программных и аппаратных) – современные решения позволяют настраивать VPN, интегрироваться с антивирусами;
    • установку антивирусной защиты с закрытием почтовых шлюзов, прокси-серверов (зачастую одновременно применяется 2 – 3 антивирусные программы с различными методами обнаружения вредоносного ПО);
    • настройку систем обнаружения атак (IDS);
    • создание единой консоли управления информационной безопасности.

    Комплексная защита корпоративной информации

    Современная система защиты корпоративных данных в сетях должна противодействовать случайным и преднамеренным атакам, внутренним и внешним источникам угрозы (направленным на данные, программы, аппаратуру, поддерживающую инфраструктуру).

    Также не следует трактовать защиту корпоративных данных исключительно только как предотвращение несанкционированного доступа со стороны злоумышленников. Часто перед специалистами ставится задачи:

    • при выборе оператора облачного сервиса, виртуального сервера (хостинг-провайдера) – отслеживать uptime сервера (объективно он не может быть равен 100%, однако для ответственных решений существует правило 4-х и ли 5-и девяток, т.е. доступности сервера в 99,99% или 99,999% времени), особенно если остановка его (сервера) работы может привести к серьезным потерям;
    • устранение последствий технических сбоев, потерь данных в случае техногенных катастроф, случайного или умышленного нарушения правил эксплуатации информационной системы (ИС), при превышении расчетного числа запросов к БД, пропускной способности каналов связи и т.д.;
    • устранения ошибок конфигурирования, топологии сети, отказов аппаратных или программных модулей, физического разрушения (износа) аппаратной части системы и т.п.

    Однако настоящие проблемы являются, как правило, прозрачными и прогнозируемыми. В то время как попытки взлома, несанкционированного доступа потенциально более опасны, непредсказуемы.

    Читать еще:  Как запрограммировать комп на выключение

    Задача 1-я: защита корпоративных данных от атак

    Самое узкое место в защите передачи информации – это белый IP адрес, через который передается и принимается информация. Большинство атак в сети Интернет направленно на выявление незащищенных портов на устройстве (далее Firewall (файрволл)), к которому привязан данный белый IP адрес.

    Атакующий перебирает все популярные протоколы передачи информации (SSH, RDP, FTP, HTTP, SMTP и другие) и сканируя открытые порты устройства.

    Найдя такие порты, злоумышленник начинает перебирать известные логины сотрудников организации и сопоставляя скомпрометированные пароли отправляя запросы на авторизацию на устройстве.

    Как узнать логин пользователя организации? Все просто – это первая часть корпоративной электронной почты до символа @, вторая часть электронной почты после символа @ обычно является именем корпоративного домена. К примеру, ivanovii@domen.ru злоумышленник будет использовать при атаке следующим образом – domen.ruivanovii + пароли.

    Где злоумышленники находят электронные адреса сотрудников? Везде:

    • на сайте организации в разделах: контакты, закупки (тендера), вакансии и другие;
    • на сайтах объявлений, hh.ru и подобных;
    • покупают базы электронных адресов.

    Задача 2-я: доступ к информации в корпоративных системах

    Помимо защиты от атак извне необходим доступ к корпоративной информации организации сотрудников вне пределов периметра организации через сеть Интернет. Используя FTP-сервера, RDP подключение к рабочему компьютеру, мы просто упрощаем работу злоумышленника. Правильнее сегодня использовать VPN (Virtual Private Network) сети. Почему? RDP подключение использует для соединения один порт устройства, и если удаленных сотрудников 10, 20, 100 – то нужно открыть 10, 20, 100 портов на файрволле. В случае организации подключения через VPN – открытый порт будет один.

    Задача 3: управление каналом Интернет при защите корпоративных данных

    Чем больше сотрудников в организации, работающих в сети Интернет, тем больше нагрузка на основной канал. А ширина канала Интернет всегда ограничена, да и сотрудник организации должен работать, а не сидеть в социальных сетях, развлекательных, игровых сайтах. Для этого вырабатываем правила использования сети Интернет внутри организации – идет градация сотрудников. Например, можно назначить три вида доступа:

    1. Обычный – ограниченный: запрещены доступы к социальным сетям, сайтам типа youtube, rutube, игровым и т.д.;
    2. Привилегированный – неограниченный доступ к сети Интернет, но через специальную систему фильтр (о ней поговорим дальше);
    3. Прямой доступ – доступ к сети интернет минуя все корпоративные системы защиты информации. Обычно такой доступ предоставляли системам дистанционного банковского обслуживания, системам корпоративной видеосвязи.

    Большинство пользователей организации заходят на одни и те же сайты и каждый раз открывая одну и ту же страницу в Интернет создают дополнительную нагрузку на канал. В целях экономии трафика рекомендуется использовать прокси-сервер.

    Задача 4: фильтрация трафика в корпоративных сетях

    Пользователи через канал Интернет получают различную информацию – файлы, сообщения электронной почты и многое другое. Злоумышленник постарается прислать для взлома корпоративной сети вирус, троян, ссылку на фишинговый сайт.

    Логично, что необходимо фильтровать весь входящий и исходящий в единой общей точке.

    Задача 5: анализ данных

    В организациях каждая служба (кадровая, служба безопасности и другие) хочет понимать, чем живет и дышит их сотрудник, какие сайты посещает. К примеру, частое посещение сотрудником сайтов типа hh.ru будет означать, что сотрудник хочет поменять место работы, а если это ключевой сотрудник, то по определенным направления работы организации будет провал.

    Необходимо знать, сколько времени сотрудник проводит в сети Интернет, отрываясь от основной работы. Поэтому работу сотрудника в сети Интернет необходимо тщательно анализировать.

    Вышеперечисленные задачи всегда в определенный момент времени возникают перед службой ИТ и каждый начинает решать их по-своему. И если использовать разнообразные системы, то на их поддержку уйдет много времени и потребуется не один сотрудник.

    Но существуют комплексные решения управления и защиты интернет трафика, которые содержат в себе – программный файрвол, систему фильтрации трафика, интеграция с антивирусом для фильтрации входящего и исходящего трафика, прокси-сервер, VPN-сервер, систему обнаружения и предотвращения вторжений (IPS).

    Самым удачным продуктом был Microsoft Forefront Threat Management Gateway. К сожалению, он перестал продаваться в 2012 году. Снятие его с продаж вызвало недоумение у всего ИТ-шного мира. Но это решение крупной компанию. Чем заменить и что использовать?

    Наиболее доступными из решений являются Kerio, Ideco, UserGate. Решения Checkpoint, Sophos, Fortigate относятся к классу Enterprise. Большинство решений являются независимыми аппаратно-программными комплексами, что сказывается на их цене. Решения поддерживают интеграцию с большинством известных антивирусов, содержат мощный инструмент отчетности и анализа.

    Следует понимать, что не существует ПО, которое обеспечивало бы 100% уровень защиты. Более того, пользователь (системный администратор) зачастую не может повлиять на уязвимости в конкретном продукте (иначе как отказаться от его использования). Поэтому при выборе инструментов защиты корпоративных данных следует использовать ПО, уязвимости которого либо не несут пользователю ощутимой угрозы, либо их реализация с точки зрения злоумышленника бесполезна.

    На что обращать внимание при выборе таких систем:

    • функционал;
    • требования к аппаратной части;
    • юзабилити (удобство использования);
    • возможность анализировать https трафик;
    • работа без агентов;
    • интеграция с существующим в организации антивирусом;
    • обязательно просмотрите встроенную отчетность. в случае Microsoft TMG докупалась лицензию на систему анализа логов – Internet Access Monitor;
    • возможность резать канал интернет на полосы;
    • на возможность решения поставленных перед вами задач.

    Перед внедрением разверните тестовую версию продукта и протестируйте на ограниченном круге лояльных пользователей.

    ИТ-услуги для бизнеса

    +7(913)949-61-60

    8 основных рубежей защиты корпоративной сети

    Несколько наиболее важных шагов построения базовой защиты сети предприятия

    Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.

    Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
    Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.

    1. Межсетевой экран (файрвол, брэндмауэр)

    Брандмауэр или файрвол — это первая линия обороны, которая встречает непрошенных гостей.
    По уровню контроля доступа выделяют следующие типы брэндмауэра:

    • В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
    • Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
    • Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.

    Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.

    2. Виртуальные частные сети (VPN)

    Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.

    К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.

    3. Системы обнаружения и предотвращения вторжений (IDS, IPS)

    Система обнаружения вторжений (IDS — англ.: Intrusion Detection System) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.

    Система предотвращения вторжений (IPS — англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.

    4. Антивирусная защита

    Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители — сегмент среднего и малого бизнеса.

    Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
    Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.

    5. Белые списки

    Что из себя представляют «белые списки»? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в «черный список». Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в «белый список», а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы, так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.

    Читать еще:  Событие безопасности это

    Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.

    6. Фильтрация спама

    Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании — отфильтровать максимальное количество спама из общего потока электронной почты.

    Основные способы фильтрации спама:

    • Специализированные поставщики сервисов фильтрации спама;
    • ПО для фильтрации спама на собственных почтовых серверах;
    • Специализированные хардварные решения, развернутые в корпоративном дата-центре.

    7. Поддержка ПО в актуальном состоянии

    Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности — важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
    На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.

    8. Физическая безопасность

    Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.

    Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
    Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.

    Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.

    Организация корпоративных сетей на основе VPN: построение, управление, безопасность

    Корпоративная компьютерная сеть – это неотъемлемая составляющая современной компании. При помощи подобных сетей можно безопасно и оперативно передавать и получать необходимые данные. Подобные сети VPN позволяют обеспечивать связь между компьютерами в рамках одной организации, расположенных в пределах одного или различных зданий.

    Способы построения корпоративной сети

    Подобные сети можно построить несколькими способами. До недавнего времени наиболее популярными оставались системы Local Area Network (LAN), которые объединяли между собой ограниченное количество компьютеров. Они могли гарантировать максимальную скорость обмена файлами и абсолютно безопасность информации, т.к. ее потоки не попадают в общий доступ. Использование подобной структуры абсолютно бесплатно. Недостатком подобной сети является невозможность подключения удаленного пользователя. Достойная альтернатива виртуальной сети — Virtual Private Network (VPN), принцип которых базируется на построении поверх глобальных сетей WAN (Wide Area Network). Коммуникации внутри виртуальной сети проводится посредством базовых каналов с низким доверием, а использование средств шифрования дает возможность гарантировать максимальный уровень безопасности передачи данных.

    Именно за счет своей простоты и дешевизны технология набирает все большую популярность.

    Неоспоримым их преимуществом является их простота, следовательно, минимальная стоимость построения, возможность подключения большого количества абонентов, которые находятся в различных точках мира и безопасность передачи информации. За счет своей экономичности и гибкости сети VPN активно используются и вытесняют из лидирующих позиций LAN. В это нет ничего удивительного, т.к. по независимым подсчетам, стоимость обслуживания VPN в три раза ниже, чем использование логистических структур, которые построены по технологии LAN.

    В чем преимущества и недостатки использования корпоративной сети на базе VPN?

    VPN без проблем масштабируется, поэтому станет идеальным решением для компаний, которые имеют большое количество филиалов – подключение нового сотрудника не требует дополнительных затрат на коммуникации. В этой время первоначальная организация виртуальной системы требует минимум финансовых вложений – они сводятся к оплате услуг провайдера интернета. Если говорить о недостатках, то необходимо отметить, что документы проходят через Всемирную паутину, хотя и по зашифрованным каналам. Необходимо позаботится о том, чтобы настройка была выполнена профессионалом, и важные документы не попали третьим лицам. При использовании VPN относительно низкая скорость передачи файлов, если сравнивать с частными аналогами. Но для корпоративной сети, где чаще передаются документы по несколько мегабайт – вполне достаточно.

    Архитектура корпоративной сети: варианты построения VPN

    Зависимо от конкретных задач и особенностей работы фирмы, Virtual Private Network может быть по различным моделям:

    • Intranet – идеальное решение, если нужно объединить несколько филиалов и организаций. Передача данных осуществляется исключительно по открытым каналам. Может использоваться для обычных филиалов компании и для мобильных офисов. Необходимо понимать, что подобный вариант предусматривает установку сервера в каждом подключаемом офисе.
    • Remote Access – создание защищенного канала между удаленным пользователем и офисом, который подключается к ресурсам предприятий домашнего ПК при помощи интернета. Такие системы являются максимально простыми в построении, но не такими безопасными, как большинство аналогов. Они используются компаниями, где большое количество удаленных сотрудников.
    • Extranet – доступ к информации предоставляется клиенту или другим внешним пользователям. В это время их возможности по использованию системы являются заметно ограниченными. Не предназначенные для абонентов файлы надежно защищают специальные средства шифрования. Идеальный вариант для фирм, где нужно гарантировать клиенту доступ к определенным сведениям.
    • Client/Server – такой вариант позволяет обмениваться данными между узлами внутри единого сегмента. Пользуется высоким уровнем популярности в организациях, где нужно в рамках одной сети создать несколько логических сетей. Чтобы защитить трафик от третьих лиц, используется шифрование.

    Несколько слов о безопасности корпоративной сети на базе VPN

    Самыми известными алгоритмами кодирования считаются AES, DES и Triple DES. Беспрецедентную безопасность обеспечивают специальные проколы, которые группируют данные и создают туннель, шифруя данные внутри образного туннеля. Мы подробно рассмотрели виды протоколов в материале «Какие бывают типы VPN, и чем они отличаются?», а сейчас рассмотрим с вами наиболее широко используемые протоколы для корпоративных сетей на базе VPN:

    • PPTP (Point-to-Point Tunneling Protocol) – это туннельный протокол, который обеспечивает сохранение подлинности, шифрование и сжатие информации. Корпорация Microsoft предлагает для протокола PPTP применять для шифрования метод MPPE. Помимо этого, информация может передавать в открытом, не зашифрованном виде. Инкапсуляция проводится посредством добавление заголовков IP и GRE.
    • L2TP (Layer Two Tunneling Protocol) – этот протокол появился благодаря объединению L2F и PPTP. Может гарантировать максимальную защиту файлов. Шифрование осуществляется посредством протокола 3DES и IPSec. Максимальная безопасность данных гарантирует первым вариантом, но снижается скорость работы сети и повышается нагрузка на центральный процессор.

    Подтверждение подлинности нужно для того, чтобы информация дошла к адресату в первоначальном виде. Операция выполняется посредством различных алгоритмов SHA1 и MD5, включая проверку целостности документов и идентификацию объектов. Идентификация проводится посредством традиционных операций введения логина и пароля, а при помощи более надежных и эффективных средств – серверы проверки и сертификаты.

    Что необходимо для построения VPN?

    Только профессионалы могут создать сеть, которая будет соответствовать всем потребностям предприятия, поэтому первое, что должен сделать потенциальный заказчик – подготовить ТЗ. В большинстве случаев провайдеры могут предоставить все необходимое оборудование на срок действия договора, но если есть желание, заказчику может купить технику и самостоятельно. В этом случае нужно купить стандартное сетевое оборудование и специально предназначенный шлюз Virtual Private Network Gateway. Именно этот шлюз необходим для защиты данных, формирования туннелей, контроля трафика, а в некоторых случаях и централизованного управления.

    Выводы

    Как видите, корпоративные сети на базе Virtual Private Network (VPN) – это оптимальное решение, которое актуально для компаний различного уровня, которые имеют в своем штате специалистов, работающих удаленно в других городах и странах. Помимо этого, такие системы являются просто незаменимым в организациях, где часто меняются круг лиц с доступом к конфиденциальной информации, есть абоненты, которым нужно предоставлять доступ различного уровня и есть необходимость создавать несколько логических сетей в рамках одной физической структуры. Но помните, что настройка должна осуществляться только профессионалом. Только в этом случае вы сможете гарантировать безопасность и защищенность всех данных.

  • Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector