Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Забезпечення мережевої безпеки спільно з брокерами мережевих пакетів. Частина друга. Активні засоби безпеки

2021-04-30
Автор: Телесфера

У першій частині ми розповіли про найбільш популярні пасивні засоби ІБ, які застосовуються для моніторингу та аналізу трафіку в мережі. Виникає логічне запитання: якщо системи вміють виявляти загрози, то чому б не блокувати їх? Сьогодні пропонуємо Вам поговорити про активні засоби ІБ, їх застосування та проблеми впровадження в сучасну мережеву інфраструктуру.

Активні засоби безпеки

Засоби активної безпеки, що підключаються «в розрив» (in-line), не тільки виявляють загрози, але і блокують їх в режимі реального часу. При впровадженні активних засобів фахівці стикаються з проблемами забезпечення відмовостійкості мережі, подальшої масштабованості засобів безпеки, а також з необхідністю зменшення затримок передачі пакетів при збільшенні обсягу трафіку в мережі.

Серед найбільш популярних активних засобів інформаційної безпеки зупинимося на IPS, NGFW, SWG, AMP, DLP і Anti-DDoS, а також розглянемо способи їх розгортання на базі Bypass і брокерів мережевих пакетів для забезпечення гарантованої безпеки мережі.

Системи запобігання вторгнень (IPS)

Системи запобігання вторгнень (Intrusion Prevention Systems - IPS) - це програмні та апаратні засоби, призначені для виявлення і запобігання спробам несанкціонованого доступу до конфіденційних даних, підвищення привілеїв, використання вразливостей програмного забезпечення і виведення з ладу комп'ютерних систем. Такі спроби вторгнень здійснюються головним чином через Інтернет або локальну мережу, можуть мати форму атак хакерів/інсайдерів або ж бути результатом дій шкідливих програм.

IPS - це логічна еволюція IDS. Однак якщо IPS заблокувала «хороший» трафік, який, як вона підозрювала, був «поганим» (помилкове спрацьовування), або ж фізично вийшла з ладу, порушивши цілісність мережі, то важливі бізнес-процеси компанії порушаться. Таким чином, фахівці з ІБ повинні ретельно вибирати і розгортати IPS з великою обережністю.

В даний час системи IPS активно розвиваються в частині скорочення числа помилкових спрацьовувань і збільшення ефективності рішення. Результатом удосконалення можна вважати так звані IPS-системи нового покоління - NGIPS, які виконують всі функції в режимі реального часу, ніяк не впливаючи на мережеву активність організації, і, крім усього іншого, надають можливості моніторингу додатків і використання інформації зі сторонніх джерел (наприклад, баз вразливостей).

У просторі IPS рішень представлені продукти наступних виробників: Positive Technologies, Код Безпеки, Smart-Soft, Info Watch, Інфотекс, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft, Trend Micro, Check Point , Palo Аlto Networks.

Міжмережеві екрани нового покоління (NGFW)

Міжмережеві екрани нового покоління (Next-Generation Firewall - NGFW) - це еволюція типових міжмережевих екранів з можливістю відстеження стану з'єднань. Оскільки все більше число компаній зараз використовують онлайн-додатки та служби SaaS, то класичний контроль портів і протоколів вже недостатній для забезпечення ефективної мережевої безпеки. На відміну від попереднього покоління, в нових пристроях додана тісна інтеграція додаткових можливостей, таких як вбудована глибока перевірка пакетів (DPI), запобігання вторгнень (IPS) і перевірка трафіку на рівні додатків (Web Application Firewall). Деякі NGFW також включають перевірку зашифрованого трафіку TLS/SSL, фільтрацію веб-сайтів, управління пропускною спроможністю, QoS, антивірусну перевірку і інтеграцію зі сторонніми системами управління ідентифікацією (LDAP, RADIUS і Active Directory). Рішення NGFW незабаром замінять традиційні міжмережеві екрани, запобігаючи вторгненню і контролюючи додатки як по периметру, так і всередині мережі.

Виробники NGFW рішень: UserGate, Континент, Huawei, Check Point, Сisco, Fortinet, McAfee, Palo Alto Networks і Sourcefire.

Шлюзи інформаційної безпеки (SWG)

Проксі-сервери з функціями інформаційної безпеки (Security Web Gateway - SWG), також відомі як веб-фільтри - це програмно-апаратні комплекси (ПЗ + сервер), розроблені й оптимізовані для дотримання політик веб-безпеки компанії і контролю доступу користувачів до веб сайтів. Веб-сайти, які містять шкідливі програми та неприйнятний контент (наприклад, порнографію або азартні ігри), блокуються на SWG, тим самим підвищуючи продуктивність праці співробітників, обмежуючи відповідальність компанії і захищаючи комп'ютерні пристрої користувачів від шкоди.

Постачальники SWG групують веб-сайти за категоріями і випускають оновлення безпеки, як правило, на щоденній основі. Адміністратори SWG можуть створювати політики доступу на основі категорій веб-сайтів і відносити їх до окремих користувачів і груп користувачів.

Виробники SWG рішень: Ростелеком-Солар, Smart-Soft, UserGate, ESET, Kaspersky, Sophos, TRENDmicro, Huawei, Blue Coat, Cisco, McAfee, Trustwave і Websense.

Advanced malware protection (AMP)

Традиційні рішення безпеки, такі як системи запобігання вторгнень, антивірусні продукти і шлюзи інформаційної безпеки призначені для виявлення відомих загроз і експлойтів, націлених на певні уразливості операційних систем і додатків. Однак сьогодні уразливості нульового дня (Zero-Day Exploit - атаки, націлені на уразливості, для яких ще не розроблений захист) викликають найбільшу стурбованість компаній і урядових установ.

Для захисту від цих загроз існує категорія рішень мережевої безпеки - AMP (Advanced Malware Protection). Основне завдання AMP - перевірка файлу, який пересилається через мережевий пристрій і/або записується на кінцеве обладнання, на наявність шкідливого коду. Система AMP здійснює ретроспективний аналіз і забезпечує захист не тільки до моменту атаки або під час атаки, але і після того, як атака пройшла. Крім того, це рішення дозволяє відстежити всі шляхи поширення файлу і може заблокувати файл на рівні мережі.

Виробники AMP рішень: Kaspersky, Malwarebytes, Cisco, Damballa, FireEye і Palo Alto Networks.

Системи запобігання витоку даних (DLP)

Системи запобігання витоку даних (Data Loss Prevention або Data Leakage Prevention - DLP) - це програмно-апаратні комплекси (ПЗ + сервер), які призначені для виявлення і запобігання потенційних порушень конфіденційності даних і особистої інформації (номера кредитних карт, номери телефонів, дані паспорта і т. д.) шляхом моніторингу даних в декількох станах:

  • при використанні (Data-in-Use) - на робочому місці користувача
  • при передачі (Data-in-Motion) - в мережі компанії
  • при зберіганні (Data-at-Rest) - на серверах і робочих станціях компанії

Системи запобігання розподіленої відмови в обслуговуванні (DDoS Protection, Anti-DDoS)

Системи запобігання розподіленої відмови в обслуговуванні (Distributed Denial of Service (DDoS) Protection або Anti-DDoS) - це спеціалізовані програмно-апаратні і програмні засоби, призначені для захисту веб-серверів/сайтів компанії від розподілених атак типу «Відмова в обслуговуванні».

Атака типу «відмова в обслуговуванні» (DoS) - це спроба одного комп'ютера зробити інший комп'ютер недоступним для його передбачуваних користувачів шляхом «забивання» його смуги пропускання і/або обчислювальних ресурсів паразитним трафіком, часто через потік пакетів SYN або ICMP. Розподілена відмова в обслуговуванні (DDoS) - це DoS-атака, що ініціюється ботнетом (сукупністю комп'ютерів, які називаються ботами, які заражені зомбі-агентами або троянами), зазвичай використовується для атак на цільові веб-сайти. Всі боти в даному ботнет запрограмовані на виконання дій в точно узгоджений час, як це наказано центральною системою управління і контролю (Сommand and Сontrol - С & C), керованою злочинцем.

На підприємствах системи Anti-DDoS допомагають виявляти і запобігати DDoS-атаки шляхом використання пропрієтарних алгоритмів і оцінки механізмів захисту.

Засоби безпеки в цій галузі виробляють компанії: DDOS-GUARD, СТОРМ СИСТЕМС, Variti, Гарда Технології, Kaspersky, Inoventica Technologies, Qrator Labs, Akamai Technologies, CloudFlare, Imperva, Sucuri, F5 Networks, Arbor Networks, Cisco, Corero і VeriSign.

Типові проблеми розгортання систем мережевої безпеки

Як ми вже згадували на початку статті, активні інструменти роблять більше, ніж просто відстежують трафік, вони також можуть керувати ним. Активні засоби втручаються в інформаційний обмін, фільтруючи або блокуючи його в частині шкідливої складової. Впровадження активних інструментів створює ризики в доступності мережі: якщо такі інструменти втрачають живлення або виходять з ладу, то зв'язок втрачається на всьому сегменті мережі.

Кейс №1 Розгортання декількох копій активних засобів безпеки для обробки трафіку в сучасних високонавантажених мережах 40G/100G

В даний час широко поширюються стандарти 40G/100G. Виробники активних засобів безпеки намагаються не відставати і пропонують високопродуктивні інструменти для забезпечення захисту мереж даних стандартів. На жаль, далеко не всі пропоновані сучасні інструменти можуть обробити трафік високонавантажених мереж стандартів 40G/100G. А небагато з тих, які здатні, мають високу вартість і роблять це з обмеженнями.

Завдання: Мережа компанії побудована за стандартом 40G. Існуюча система NGFW має інтерфейси 40G, але її продуктивності вистачає тільки при навантаженні в мережі до 30%. При підвищенні навантаження в мережі встановлена NGFW вже не справляється і починає втрачати трафік. Необхідно впровадити рішення, яке буде забезпечувати працездатність мережі з використанням існуючої активної системи NGFW і мінімально можливими інвестиціями.

Рішення: Для вирішення даного завдання необхідні: брокер мережевих пакетів і додаткова одиниця NGFW (в деяких випадках навіть менш продуктивна). Існуючу і знову придбану NGFW потрібно підключити до брокеру мережевих пакетів, який, в свою чергу, підключити через Bypass до мережі компанії. Пакетний брокер буде балансувати одержуваний з мережі трафік на входи NGFW зі збереженням цілісності сесій і агрегувати трафік з виходів NGFW для подальшої передачі. Таким чином, навантаження буде рівномірно розподілятися на дві системи NGFW, що дозволить підтримувати необхідну пропускну здатність і швидкодію мережі компанії.

Кейс №2 Безпечне розгортання кількох активних засобів безпеки послідовно

Багато компаній для досягнення більш глибокого захисту корпоративної мережі послідовно розгортають кілька активних засобів безпеки. Таким чином, перш ніж трафік з інтернету потрапить в корпоративну мережу, він повинен пройти через системи IPS, Firewall, SWG та ін. і отримати дозвіл на подальше поширення по мережі. Для мінімізації ризиків простою мережі компанії потребують ефективного та безпечного способу послідовного розгортання активних засобів ІБ.

Завдання: У компанії, в мережевій інфраструктурі якої розгорнута система брандмауера, планується впровадити активні системи IPS і Anti-DDoS. При цьому необхідно забезпечити безперебійність роботи мережі при виході з ладу засобів ІБ.

Рішення: Для забезпечення безперебійної роботи мережі найбільш ефективним варіантом буде підключення активних засобів безпеки до мережі через Bypass і брокер мережевих пакетів. В такому випадку пакетний брокер буде маршрутизувати трафік через кожну послідовно підключену активну систему, і якщо будь-яка система вийде з ладу, то брокер виключить її з послідовності. Таким чином, простою мережі не відбувається, а інфраструктура із забезпечення інформаційної безпеки продовжує функціонувати. У свою чергу, Bypass, при виході з ладу брокера мережевих пакетів, дозволить зберегти цілісність мережі шляхом виключення останнього з схеми з'єднання.

Кейс №3 Підтримка відмовостійких мережевих конфігурацій і активних систем інформаційної безпеки

Компанії не можуть собі дозволити тривалі періоди простою активних систем інформаційної безпеки в разі їх відмови. Тому фахівці часто вдаються до використання стійких до відмов схем, що включають кілька однотипних груп активних систем ІБ.

Відмовостійкі мережеві архітектури вимагають надлишкових компонентів мережевої інфраструктури і додаткових одиниць активних засобів ІБ. Щоб надмірність звести до мінімуму і в той же час забезпечити максимальну відмовостійкість, необхідно проектувати мережу з використанням брокера мережевих пакетів і Bypass.

Завдання: У компанії поставлено завдання по організації відмовостійкої конфігурації мережі з активними засобами ІБ. Необхідно забезпечити безперебійне функціонування системи ІБ в разі відмови групи систем і/або одного з елементів групи. Побудований сегмент активних засобів ІБ не повинен впливати на працездатність загальної мережевої інфраструктури компанії. Також потрібно передбачити можливість подальшої масштабованості і підвищення продуктивності активних систем ІБ без зміни загальної конфігурації мережі.

Рішення: Всі вимоги поставленого завдання виконуються за допомогою використання брокера мережевих пакетів і Bypass для підключення активних засобів ІБ. Таке рішення дозволить зменшити надмірність компонентів мережевої інфраструктури, а також забезпечити більш високу відмовостійкість системи. Брокер мережевих пакетів може ефективно маршрутизувати трафік як через кожен послідовно підключений активний інструмент, так і через групу активних інструментів з балансуванням навантаження. Балансування навантаження дозволяє рівномірно розподіляти трафік між окремими інструментами безпеки, тим самим забезпечуючи їх оптимальне завантаження і підвищуючи відмовостійкість мережі. Якщо який-небудь інструмент виходить з ладу, то брокер мережевих пакетів виключає його з послідовності і балансує навантаження на решту робочих засоби безпеки. Використання Bypass в даному випадку аналогічно першому кейсу і, при виході з ладу брокера мережевих пакетів, дозволить зберегти цілісність мережі шляхом виключення останнього з схеми з'єднання. Підключення активних засобів безпеки через брокер мережевих пакетів також дозволяє здійснювати подальшу масштабованість і впровадження нових систем ІБ з мінімальними витратами і простою реалізацією.

Наведені вище кейси наочно показують, як брокери мережевих пакетів і Bypass спрощують підключення активних систем ІБ до мережевої інфраструктури і підвищують надійність роботи таких конфігурації мережі.

Резюмуючи, хочеться виділити переваги застосування брокерів мережевих пакетів:

  • Простота інтеграції, надійність і відмовостійкість мережі
  • Масштабованість активних засобів контролю трафіку без ускладнення топології мережі
  • Постійний моніторинг доступності кожного активного пристрою ІБ і різні сценарії реагування на аварії
  • Один Bypass для декількох активних засобів
  • Варіативність пропускання трафіку через активні системи ІБ
  • Простота впровадження нових рішень в інфраструктуру

Джерело: https://habr.com/ru/company/dsol/blog/551124/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82 

КОММЕНТАРІ ДО СТАТТІ

Aruba випустила своє перше рішення з підтримкою Wi-Fi 6E

Aruba випустила своє перше рішення з підтримкою Wi-Fi 6E
Aruba Networks,Wi-Fi,Налаштування Aruba,новини,Телесфера Інтеграція

Компанія ELKO Ukraine, офіційний дистриб'ютор Aruba в Україні, оголосила про те, що вендор створив портфель корпоративних рішень стандарту Wi-Fi 6E і анонсував його першого представника - AP-635, кампусну точку доступу серії 630.

Методи для виявлення і діагностика несправностей стосовно IoT

Методи для виявлення і діагностика несправностей стосовно IoT
IoT,Послуги Телесфера Інтеграція,Налаштування,Блог Телесфера

Поточна промислова тенденція щодо автоматизації та промислових підприємств веде нас до все більш і більш складних систем. У свою чергу простої системи можуть призводити до величезних фінансових втрат. У деяких випадках поломка однієї деталі може привести до руйнування цілої системи без можливості відновлення. У зв'язку з цим виникає необхідність розробки Виявлення і Діагностики Несправностей (ВДН), яка може запобігти і локалізувати несправності, при цьому підвищується продуктивність систем. Діагностика полягає в виявленні ненормального функціонування за даними датчиків. Зазвичай дані від датчиків бувають дуже зашумленими або пошкодженими, з шумами мережі передачі даних, відповідно алгоритми ВДН також повинні бути стійкі до викидів.

Так, цьому можна запобігати. Великі аварії в ЦОДах за останні роки

Так, цьому можна запобігати. Великі аварії в ЦОДах за останні роки
ЦОД,cisco безпека,Блог Телесфера

Як відомо, значення дата-центрів для всіх типів компаній і звичайних користувачів неухильно зростає. При цьому лише одна хвилина простою великого ЦОД може спровокувати мільйонні збитки для клієнтів оператора. Ми вже не говоримо про збитки від багатогодинних і багатоденних простоїв. Однак аварії в ЦОДах продовжують регулярно відбуватися, і вони зовсім не обов'язково пов'язані з пожежею - за даними Uptime Institute пожежі трапляються рідше ніж раз на рік. Ми розглянемо найбільші аварії в дата-центрах за останній час і проаналізуємо їх причини.