У першій частині ми розповіли про найбільш популярні пасивні засоби ІБ, які застосовуються для моніторингу та аналізу трафіку в мережі. Виникає логічне запитання: якщо системи вміють виявляти загрози, то чому б не блокувати їх? Сьогодні пропонуємо Вам поговорити про активні засоби ІБ, їх застосування та проблеми впровадження в сучасну мережеву інфраструктуру.
Активні засоби безпеки
Засоби активної безпеки, що підключаються «в розрив» (in-line), не тільки виявляють загрози, але і блокують їх в режимі реального часу. При впровадженні активних засобів фахівці стикаються з проблемами забезпечення відмовостійкості мережі, подальшої масштабованості засобів безпеки, а також з необхідністю зменшення затримок передачі пакетів при збільшенні обсягу трафіку в мережі.
Серед найбільш популярних активних засобів інформаційної безпеки зупинимося на IPS, NGFW, SWG, AMP, DLP і Anti-DDoS, а також розглянемо способи їх розгортання на базі Bypass і брокерів мережевих пакетів для забезпечення гарантованої безпеки мережі.
Системи запобігання вторгнень (IPS)
Системи запобігання вторгнень (Intrusion Prevention Systems - IPS) - це програмні та апаратні засоби, призначені для виявлення і запобігання спробам несанкціонованого доступу до конфіденційних даних, підвищення привілеїв, використання вразливостей програмного забезпечення і виведення з ладу комп'ютерних систем. Такі спроби вторгнень здійснюються головним чином через Інтернет або локальну мережу, можуть мати форму атак хакерів/інсайдерів або ж бути результатом дій шкідливих програм.
IPS - це логічна еволюція IDS. Однак якщо IPS заблокувала «хороший» трафік, який, як вона підозрювала, був «поганим» (помилкове спрацьовування), або ж фізично вийшла з ладу, порушивши цілісність мережі, то важливі бізнес-процеси компанії порушаться. Таким чином, фахівці з ІБ повинні ретельно вибирати і розгортати IPS з великою обережністю.
В даний час системи IPS активно розвиваються в частині скорочення числа помилкових спрацьовувань і збільшення ефективності рішення. Результатом удосконалення можна вважати так звані IPS-системи нового покоління - NGIPS, які виконують всі функції в режимі реального часу, ніяк не впливаючи на мережеву активність організації, і, крім усього іншого, надають можливості моніторингу додатків і використання інформації зі сторонніх джерел (наприклад, баз вразливостей).
У просторі IPS рішень представлені продукти наступних виробників: Positive Technologies, Код Безпеки, Smart-Soft, Info Watch, Інфотекс, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft, Trend Micro, Check Point , Palo Аlto Networks.
Міжмережеві екрани нового покоління (NGFW)
Міжмережеві екрани нового покоління (Next-Generation Firewall - NGFW) - це еволюція типових міжмережевих екранів з можливістю відстеження стану з'єднань. Оскільки все більше число компаній зараз використовують онлайн-додатки та служби SaaS, то класичний контроль портів і протоколів вже недостатній для забезпечення ефективної мережевої безпеки. На відміну від попереднього покоління, в нових пристроях додана тісна інтеграція додаткових можливостей, таких як вбудована глибока перевірка пакетів (DPI), запобігання вторгнень (IPS) і перевірка трафіку на рівні додатків (Web Application Firewall). Деякі NGFW також включають перевірку зашифрованого трафіку TLS/SSL, фільтрацію веб-сайтів, управління пропускною спроможністю, QoS, антивірусну перевірку і інтеграцію зі сторонніми системами управління ідентифікацією (LDAP, RADIUS і Active Directory). Рішення NGFW незабаром замінять традиційні міжмережеві екрани, запобігаючи вторгненню і контролюючи додатки як по периметру, так і всередині мережі.
Виробники NGFW рішень: UserGate, Континент, Huawei, Check Point, Сisco, Fortinet, McAfee, Palo Alto Networks і Sourcefire.
Шлюзи інформаційної безпеки (SWG)
Проксі-сервери з функціями інформаційної безпеки (Security Web Gateway - SWG), також відомі як веб-фільтри - це програмно-апаратні комплекси (ПЗ + сервер), розроблені й оптимізовані для дотримання політик веб-безпеки компанії і контролю доступу користувачів до веб сайтів. Веб-сайти, які містять шкідливі програми та неприйнятний контент (наприклад, порнографію або азартні ігри), блокуються на SWG, тим самим підвищуючи продуктивність праці співробітників, обмежуючи відповідальність компанії і захищаючи комп'ютерні пристрої користувачів від шкоди.
Постачальники SWG групують веб-сайти за категоріями і випускають оновлення безпеки, як правило, на щоденній основі. Адміністратори SWG можуть створювати політики доступу на основі категорій веб-сайтів і відносити їх до окремих користувачів і груп користувачів.
Виробники SWG рішень: Ростелеком-Солар, Smart-Soft, UserGate, ESET, Kaspersky, Sophos, TRENDmicro, Huawei, Blue Coat, Cisco, McAfee, Trustwave і Websense.
Advanced malware protection (AMP)
Традиційні рішення безпеки, такі як системи запобігання вторгнень, антивірусні продукти і шлюзи інформаційної безпеки призначені для виявлення відомих загроз і експлойтів, націлених на певні уразливості операційних систем і додатків. Однак сьогодні уразливості нульового дня (Zero-Day Exploit - атаки, націлені на уразливості, для яких ще не розроблений захист) викликають найбільшу стурбованість компаній і урядових установ.
Для захисту від цих загроз існує категорія рішень мережевої безпеки - AMP (Advanced Malware Protection). Основне завдання AMP - перевірка файлу, який пересилається через мережевий пристрій і/або записується на кінцеве обладнання, на наявність шкідливого коду. Система AMP здійснює ретроспективний аналіз і забезпечує захист не тільки до моменту атаки або під час атаки, але і після того, як атака пройшла. Крім того, це рішення дозволяє відстежити всі шляхи поширення файлу і може заблокувати файл на рівні мережі.
Виробники AMP рішень: Kaspersky, Malwarebytes, Cisco, Damballa, FireEye і Palo Alto Networks.
Системи запобігання витоку даних (DLP)
Системи запобігання витоку даних (Data Loss Prevention або Data Leakage Prevention - DLP) - це програмно-апаратні комплекси (ПЗ + сервер), які призначені для виявлення і запобігання потенційних порушень конфіденційності даних і особистої інформації (номера кредитних карт, номери телефонів, дані паспорта і т. д.) шляхом моніторингу даних в декількох станах:
- при використанні (Data-in-Use) - на робочому місці користувача
- при передачі (Data-in-Motion) - в мережі компанії
- при зберіганні (Data-at-Rest) - на серверах і робочих станціях компанії
Системи запобігання розподіленої відмови в обслуговуванні (DDoS Protection, Anti-DDoS)
Системи запобігання розподіленої відмови в обслуговуванні (Distributed Denial of Service (DDoS) Protection або Anti-DDoS) - це спеціалізовані програмно-апаратні і програмні засоби, призначені для захисту веб-серверів/сайтів компанії від розподілених атак типу «Відмова в обслуговуванні».
Атака типу «відмова в обслуговуванні» (DoS) - це спроба одного комп'ютера зробити інший комп'ютер недоступним для його передбачуваних користувачів шляхом «забивання» його смуги пропускання і/або обчислювальних ресурсів паразитним трафіком, часто через потік пакетів SYN або ICMP. Розподілена відмова в обслуговуванні (DDoS) - це DoS-атака, що ініціюється ботнетом (сукупністю комп'ютерів, які називаються ботами, які заражені зомбі-агентами або троянами), зазвичай використовується для атак на цільові веб-сайти. Всі боти в даному ботнет запрограмовані на виконання дій в точно узгоджений час, як це наказано центральною системою управління і контролю (Сommand and Сontrol - С & C), керованою злочинцем.
На підприємствах системи Anti-DDoS допомагають виявляти і запобігати DDoS-атаки шляхом використання пропрієтарних алгоритмів і оцінки механізмів захисту.
Засоби безпеки в цій галузі виробляють компанії: DDOS-GUARD, СТОРМ СИСТЕМС, Variti, Гарда Технології, Kaspersky, Inoventica Technologies, Qrator Labs, Akamai Technologies, CloudFlare, Imperva, Sucuri, F5 Networks, Arbor Networks, Cisco, Corero і VeriSign.
Типові проблеми розгортання систем мережевої безпеки
Як ми вже згадували на початку статті, активні інструменти роблять більше, ніж просто відстежують трафік, вони також можуть керувати ним. Активні засоби втручаються в інформаційний обмін, фільтруючи або блокуючи його в частині шкідливої складової. Впровадження активних інструментів створює ризики в доступності мережі: якщо такі інструменти втрачають живлення або виходять з ладу, то зв'язок втрачається на всьому сегменті мережі.
Кейс №1 Розгортання декількох копій активних засобів безпеки для обробки трафіку в сучасних високонавантажених мережах 40G/100G
В даний час широко поширюються стандарти 40G/100G. Виробники активних засобів безпеки намагаються не відставати і пропонують високопродуктивні інструменти для забезпечення захисту мереж даних стандартів. На жаль, далеко не всі пропоновані сучасні інструменти можуть обробити трафік високонавантажених мереж стандартів 40G/100G. А небагато з тих, які здатні, мають високу вартість і роблять це з обмеженнями.
Завдання: Мережа компанії побудована за стандартом 40G. Існуюча система NGFW має інтерфейси 40G, але її продуктивності вистачає тільки при навантаженні в мережі до 30%. При підвищенні навантаження в мережі встановлена NGFW вже не справляється і починає втрачати трафік. Необхідно впровадити рішення, яке буде забезпечувати працездатність мережі з використанням існуючої активної системи NGFW і мінімально можливими інвестиціями.
Рішення: Для вирішення даного завдання необхідні: брокер мережевих пакетів і додаткова одиниця NGFW (в деяких випадках навіть менш продуктивна). Існуючу і знову придбану NGFW потрібно підключити до брокеру мережевих пакетів, який, в свою чергу, підключити через Bypass до мережі компанії. Пакетний брокер буде балансувати одержуваний з мережі трафік на входи NGFW зі збереженням цілісності сесій і агрегувати трафік з виходів NGFW для подальшої передачі. Таким чином, навантаження буде рівномірно розподілятися на дві системи NGFW, що дозволить підтримувати необхідну пропускну здатність і швидкодію мережі компанії.
Кейс №2 Безпечне розгортання кількох активних засобів безпеки послідовно
Багато компаній для досягнення більш глибокого захисту корпоративної мережі послідовно розгортають кілька активних засобів безпеки. Таким чином, перш ніж трафік з інтернету потрапить в корпоративну мережу, він повинен пройти через системи IPS, Firewall, SWG та ін. і отримати дозвіл на подальше поширення по мережі. Для мінімізації ризиків простою мережі компанії потребують ефективного та безпечного способу послідовного розгортання активних засобів ІБ.
Завдання: У компанії, в мережевій інфраструктурі якої розгорнута система брандмауера, планується впровадити активні системи IPS і Anti-DDoS. При цьому необхідно забезпечити безперебійність роботи мережі при виході з ладу засобів ІБ.
Рішення: Для забезпечення безперебійної роботи мережі найбільш ефективним варіантом буде підключення активних засобів безпеки до мережі через Bypass і брокер мережевих пакетів. В такому випадку пакетний брокер буде маршрутизувати трафік через кожну послідовно підключену активну систему, і якщо будь-яка система вийде з ладу, то брокер виключить її з послідовності. Таким чином, простою мережі не відбувається, а інфраструктура із забезпечення інформаційної безпеки продовжує функціонувати. У свою чергу, Bypass, при виході з ладу брокера мережевих пакетів, дозволить зберегти цілісність мережі шляхом виключення останнього з схеми з'єднання.
Кейс №3 Підтримка відмовостійких мережевих конфігурацій і активних систем інформаційної безпеки
Компанії не можуть собі дозволити тривалі періоди простою активних систем інформаційної безпеки в разі їх відмови. Тому фахівці часто вдаються до використання стійких до відмов схем, що включають кілька однотипних груп активних систем ІБ.
Відмовостійкі мережеві архітектури вимагають надлишкових компонентів мережевої інфраструктури і додаткових одиниць активних засобів ІБ. Щоб надмірність звести до мінімуму і в той же час забезпечити максимальну відмовостійкість, необхідно проектувати мережу з використанням брокера мережевих пакетів і Bypass.
Завдання: У компанії поставлено завдання по організації відмовостійкої конфігурації мережі з активними засобами ІБ. Необхідно забезпечити безперебійне функціонування системи ІБ в разі відмови групи систем і/або одного з елементів групи. Побудований сегмент активних засобів ІБ не повинен впливати на працездатність загальної мережевої інфраструктури компанії. Також потрібно передбачити можливість подальшої масштабованості і підвищення продуктивності активних систем ІБ без зміни загальної конфігурації мережі.
Рішення: Всі вимоги поставленого завдання виконуються за допомогою використання брокера мережевих пакетів і Bypass для підключення активних засобів ІБ. Таке рішення дозволить зменшити надмірність компонентів мережевої інфраструктури, а також забезпечити більш високу відмовостійкість системи. Брокер мережевих пакетів може ефективно маршрутизувати трафік як через кожен послідовно підключений активний інструмент, так і через групу активних інструментів з балансуванням навантаження. Балансування навантаження дозволяє рівномірно розподіляти трафік між окремими інструментами безпеки, тим самим забезпечуючи їх оптимальне завантаження і підвищуючи відмовостійкість мережі. Якщо який-небудь інструмент виходить з ладу, то брокер мережевих пакетів виключає його з послідовності і балансує навантаження на решту робочих засоби безпеки. Використання Bypass в даному випадку аналогічно першому кейсу і, при виході з ладу брокера мережевих пакетів, дозволить зберегти цілісність мережі шляхом виключення останнього з схеми з'єднання. Підключення активних засобів безпеки через брокер мережевих пакетів також дозволяє здійснювати подальшу масштабованість і впровадження нових систем ІБ з мінімальними витратами і простою реалізацією.
Наведені вище кейси наочно показують, як брокери мережевих пакетів і Bypass спрощують підключення активних систем ІБ до мережевої інфраструктури і підвищують надійність роботи таких конфігурації мережі.
Резюмуючи, хочеться виділити переваги застосування брокерів мережевих пакетів:
- Простота інтеграції, надійність і відмовостійкість мережі
- Масштабованість активних засобів контролю трафіку без ускладнення топології мережі
- Постійний моніторинг доступності кожного активного пристрою ІБ і різні сценарії реагування на аварії
- Один Bypass для декількох активних засобів
- Варіативність пропускання трафіку через активні системи ІБ
- Простота впровадження нових рішень в інфраструктуру
Джерело: https://habr.com/ru/company/dsol/blog/551124/
Про компанію Телесфера Інтеграція.
Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу. Ми розробляємо рішення, що роблять Ваш бізнес успішним.
Основні напрямки роботи компанії:
- Побудова локальних обчислювальних мереж;
- Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
- Продаж телекомунікаційного обладнання;
- Аудит локальних обчислювальних мереж;
e-mail: office@telesphera.net
Телефон: (093) 198-11-82
КОММЕНТАРІ ДО СТАТТІ