Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Забезпечення мережевої безпеки спільно з брокерами мережевих пакетів. Частина друга. Активні засоби безпеки

2021-04-30
Автор: Телесфера

У першій частині ми розповіли про найбільш популярні пасивні засоби ІБ, які застосовуються для моніторингу та аналізу трафіку в мережі. Виникає логічне запитання: якщо системи вміють виявляти загрози, то чому б не блокувати їх? Сьогодні пропонуємо Вам поговорити про активні засоби ІБ, їх застосування та проблеми впровадження в сучасну мережеву інфраструктуру.

Активні засоби безпеки

Засоби активної безпеки, що підключаються «в розрив» (in-line), не тільки виявляють загрози, але і блокують їх в режимі реального часу. При впровадженні активних засобів фахівці стикаються з проблемами забезпечення відмовостійкості мережі, подальшої масштабованості засобів безпеки, а також з необхідністю зменшення затримок передачі пакетів при збільшенні обсягу трафіку в мережі.

Серед найбільш популярних активних засобів інформаційної безпеки зупинимося на IPS, NGFW, SWG, AMP, DLP і Anti-DDoS, а також розглянемо способи їх розгортання на базі Bypass і брокерів мережевих пакетів для забезпечення гарантованої безпеки мережі.

Системи запобігання вторгнень (IPS)

Системи запобігання вторгнень (Intrusion Prevention Systems - IPS) - це програмні та апаратні засоби, призначені для виявлення і запобігання спробам несанкціонованого доступу до конфіденційних даних, підвищення привілеїв, використання вразливостей програмного забезпечення і виведення з ладу комп'ютерних систем. Такі спроби вторгнень здійснюються головним чином через Інтернет або локальну мережу, можуть мати форму атак хакерів/інсайдерів або ж бути результатом дій шкідливих програм.

IPS - це логічна еволюція IDS. Однак якщо IPS заблокувала «хороший» трафік, який, як вона підозрювала, був «поганим» (помилкове спрацьовування), або ж фізично вийшла з ладу, порушивши цілісність мережі, то важливі бізнес-процеси компанії порушаться. Таким чином, фахівці з ІБ повинні ретельно вибирати і розгортати IPS з великою обережністю.

В даний час системи IPS активно розвиваються в частині скорочення числа помилкових спрацьовувань і збільшення ефективності рішення. Результатом удосконалення можна вважати так звані IPS-системи нового покоління - NGIPS, які виконують всі функції в режимі реального часу, ніяк не впливаючи на мережеву активність організації, і, крім усього іншого, надають можливості моніторингу додатків і використання інформації зі сторонніх джерел (наприклад, баз вразливостей).

У просторі IPS рішень представлені продукти наступних виробників: Positive Technologies, Код Безпеки, Smart-Soft, Info Watch, Інфотекс, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft, Trend Micro, Check Point , Palo Аlto Networks.

Міжмережеві екрани нового покоління (NGFW)

Міжмережеві екрани нового покоління (Next-Generation Firewall - NGFW) - це еволюція типових міжмережевих екранів з можливістю відстеження стану з'єднань. Оскільки все більше число компаній зараз використовують онлайн-додатки та служби SaaS, то класичний контроль портів і протоколів вже недостатній для забезпечення ефективної мережевої безпеки. На відміну від попереднього покоління, в нових пристроях додана тісна інтеграція додаткових можливостей, таких як вбудована глибока перевірка пакетів (DPI), запобігання вторгнень (IPS) і перевірка трафіку на рівні додатків (Web Application Firewall). Деякі NGFW також включають перевірку зашифрованого трафіку TLS/SSL, фільтрацію веб-сайтів, управління пропускною спроможністю, QoS, антивірусну перевірку і інтеграцію зі сторонніми системами управління ідентифікацією (LDAP, RADIUS і Active Directory). Рішення NGFW незабаром замінять традиційні міжмережеві екрани, запобігаючи вторгненню і контролюючи додатки як по периметру, так і всередині мережі.

Виробники NGFW рішень: UserGate, Континент, Huawei, Check Point, Сisco, Fortinet, McAfee, Palo Alto Networks і Sourcefire.

Шлюзи інформаційної безпеки (SWG)

Проксі-сервери з функціями інформаційної безпеки (Security Web Gateway - SWG), також відомі як веб-фільтри - це програмно-апаратні комплекси (ПЗ + сервер), розроблені й оптимізовані для дотримання політик веб-безпеки компанії і контролю доступу користувачів до веб сайтів. Веб-сайти, які містять шкідливі програми та неприйнятний контент (наприклад, порнографію або азартні ігри), блокуються на SWG, тим самим підвищуючи продуктивність праці співробітників, обмежуючи відповідальність компанії і захищаючи комп'ютерні пристрої користувачів від шкоди.

Постачальники SWG групують веб-сайти за категоріями і випускають оновлення безпеки, як правило, на щоденній основі. Адміністратори SWG можуть створювати політики доступу на основі категорій веб-сайтів і відносити їх до окремих користувачів і груп користувачів.

Виробники SWG рішень: Ростелеком-Солар, Smart-Soft, UserGate, ESET, Kaspersky, Sophos, TRENDmicro, Huawei, Blue Coat, Cisco, McAfee, Trustwave і Websense.

Advanced malware protection (AMP)

Традиційні рішення безпеки, такі як системи запобігання вторгнень, антивірусні продукти і шлюзи інформаційної безпеки призначені для виявлення відомих загроз і експлойтів, націлених на певні уразливості операційних систем і додатків. Однак сьогодні уразливості нульового дня (Zero-Day Exploit - атаки, націлені на уразливості, для яких ще не розроблений захист) викликають найбільшу стурбованість компаній і урядових установ.

Для захисту від цих загроз існує категорія рішень мережевої безпеки - AMP (Advanced Malware Protection). Основне завдання AMP - перевірка файлу, який пересилається через мережевий пристрій і/або записується на кінцеве обладнання, на наявність шкідливого коду. Система AMP здійснює ретроспективний аналіз і забезпечує захист не тільки до моменту атаки або під час атаки, але і після того, як атака пройшла. Крім того, це рішення дозволяє відстежити всі шляхи поширення файлу і може заблокувати файл на рівні мережі.

Виробники AMP рішень: Kaspersky, Malwarebytes, Cisco, Damballa, FireEye і Palo Alto Networks.

Системи запобігання витоку даних (DLP)

Системи запобігання витоку даних (Data Loss Prevention або Data Leakage Prevention - DLP) - це програмно-апаратні комплекси (ПЗ + сервер), які призначені для виявлення і запобігання потенційних порушень конфіденційності даних і особистої інформації (номера кредитних карт, номери телефонів, дані паспорта і т. д.) шляхом моніторингу даних в декількох станах:

  • при використанні (Data-in-Use) - на робочому місці користувача
  • при передачі (Data-in-Motion) - в мережі компанії
  • при зберіганні (Data-at-Rest) - на серверах і робочих станціях компанії

Системи запобігання розподіленої відмови в обслуговуванні (DDoS Protection, Anti-DDoS)

Системи запобігання розподіленої відмови в обслуговуванні (Distributed Denial of Service (DDoS) Protection або Anti-DDoS) - це спеціалізовані програмно-апаратні і програмні засоби, призначені для захисту веб-серверів/сайтів компанії від розподілених атак типу «Відмова в обслуговуванні».

Атака типу «відмова в обслуговуванні» (DoS) - це спроба одного комп'ютера зробити інший комп'ютер недоступним для його передбачуваних користувачів шляхом «забивання» його смуги пропускання і/або обчислювальних ресурсів паразитним трафіком, часто через потік пакетів SYN або ICMP. Розподілена відмова в обслуговуванні (DDoS) - це DoS-атака, що ініціюється ботнетом (сукупністю комп'ютерів, які називаються ботами, які заражені зомбі-агентами або троянами), зазвичай використовується для атак на цільові веб-сайти. Всі боти в даному ботнет запрограмовані на виконання дій в точно узгоджений час, як це наказано центральною системою управління і контролю (Сommand and Сontrol - С & C), керованою злочинцем.

На підприємствах системи Anti-DDoS допомагають виявляти і запобігати DDoS-атаки шляхом використання пропрієтарних алгоритмів і оцінки механізмів захисту.

Засоби безпеки в цій галузі виробляють компанії: DDOS-GUARD, СТОРМ СИСТЕМС, Variti, Гарда Технології, Kaspersky, Inoventica Technologies, Qrator Labs, Akamai Technologies, CloudFlare, Imperva, Sucuri, F5 Networks, Arbor Networks, Cisco, Corero і VeriSign.

Типові проблеми розгортання систем мережевої безпеки

Як ми вже згадували на початку статті, активні інструменти роблять більше, ніж просто відстежують трафік, вони також можуть керувати ним. Активні засоби втручаються в інформаційний обмін, фільтруючи або блокуючи його в частині шкідливої складової. Впровадження активних інструментів створює ризики в доступності мережі: якщо такі інструменти втрачають живлення або виходять з ладу, то зв'язок втрачається на всьому сегменті мережі.

Кейс №1 Розгортання декількох копій активних засобів безпеки для обробки трафіку в сучасних високонавантажених мережах 40G/100G

В даний час широко поширюються стандарти 40G/100G. Виробники активних засобів безпеки намагаються не відставати і пропонують високопродуктивні інструменти для забезпечення захисту мереж даних стандартів. На жаль, далеко не всі пропоновані сучасні інструменти можуть обробити трафік високонавантажених мереж стандартів 40G/100G. А небагато з тих, які здатні, мають високу вартість і роблять це з обмеженнями.

Завдання: Мережа компанії побудована за стандартом 40G. Існуюча система NGFW має інтерфейси 40G, але її продуктивності вистачає тільки при навантаженні в мережі до 30%. При підвищенні навантаження в мережі встановлена NGFW вже не справляється і починає втрачати трафік. Необхідно впровадити рішення, яке буде забезпечувати працездатність мережі з використанням існуючої активної системи NGFW і мінімально можливими інвестиціями.

Рішення: Для вирішення даного завдання необхідні: брокер мережевих пакетів і додаткова одиниця NGFW (в деяких випадках навіть менш продуктивна). Існуючу і знову придбану NGFW потрібно підключити до брокеру мережевих пакетів, який, в свою чергу, підключити через Bypass до мережі компанії. Пакетний брокер буде балансувати одержуваний з мережі трафік на входи NGFW зі збереженням цілісності сесій і агрегувати трафік з виходів NGFW для подальшої передачі. Таким чином, навантаження буде рівномірно розподілятися на дві системи NGFW, що дозволить підтримувати необхідну пропускну здатність і швидкодію мережі компанії.

Кейс №2 Безпечне розгортання кількох активних засобів безпеки послідовно

Багато компаній для досягнення більш глибокого захисту корпоративної мережі послідовно розгортають кілька активних засобів безпеки. Таким чином, перш ніж трафік з інтернету потрапить в корпоративну мережу, він повинен пройти через системи IPS, Firewall, SWG та ін. і отримати дозвіл на подальше поширення по мережі. Для мінімізації ризиків простою мережі компанії потребують ефективного та безпечного способу послідовного розгортання активних засобів ІБ.

Завдання: У компанії, в мережевій інфраструктурі якої розгорнута система брандмауера, планується впровадити активні системи IPS і Anti-DDoS. При цьому необхідно забезпечити безперебійність роботи мережі при виході з ладу засобів ІБ.

Рішення: Для забезпечення безперебійної роботи мережі найбільш ефективним варіантом буде підключення активних засобів безпеки до мережі через Bypass і брокер мережевих пакетів. В такому випадку пакетний брокер буде маршрутизувати трафік через кожну послідовно підключену активну систему, і якщо будь-яка система вийде з ладу, то брокер виключить її з послідовності. Таким чином, простою мережі не відбувається, а інфраструктура із забезпечення інформаційної безпеки продовжує функціонувати. У свою чергу, Bypass, при виході з ладу брокера мережевих пакетів, дозволить зберегти цілісність мережі шляхом виключення останнього з схеми з'єднання.

Кейс №3 Підтримка відмовостійких мережевих конфігурацій і активних систем інформаційної безпеки

Компанії не можуть собі дозволити тривалі періоди простою активних систем інформаційної безпеки в разі їх відмови. Тому фахівці часто вдаються до використання стійких до відмов схем, що включають кілька однотипних груп активних систем ІБ.

Відмовостійкі мережеві архітектури вимагають надлишкових компонентів мережевої інфраструктури і додаткових одиниць активних засобів ІБ. Щоб надмірність звести до мінімуму і в той же час забезпечити максимальну відмовостійкість, необхідно проектувати мережу з використанням брокера мережевих пакетів і Bypass.

Завдання: У компанії поставлено завдання по організації відмовостійкої конфігурації мережі з активними засобами ІБ. Необхідно забезпечити безперебійне функціонування системи ІБ в разі відмови групи систем і/або одного з елементів групи. Побудований сегмент активних засобів ІБ не повинен впливати на працездатність загальної мережевої інфраструктури компанії. Також потрібно передбачити можливість подальшої масштабованості і підвищення продуктивності активних систем ІБ без зміни загальної конфігурації мережі.

Рішення: Всі вимоги поставленого завдання виконуються за допомогою використання брокера мережевих пакетів і Bypass для підключення активних засобів ІБ. Таке рішення дозволить зменшити надмірність компонентів мережевої інфраструктури, а також забезпечити більш високу відмовостійкість системи. Брокер мережевих пакетів може ефективно маршрутизувати трафік як через кожен послідовно підключений активний інструмент, так і через групу активних інструментів з балансуванням навантаження. Балансування навантаження дозволяє рівномірно розподіляти трафік між окремими інструментами безпеки, тим самим забезпечуючи їх оптимальне завантаження і підвищуючи відмовостійкість мережі. Якщо який-небудь інструмент виходить з ладу, то брокер мережевих пакетів виключає його з послідовності і балансує навантаження на решту робочих засоби безпеки. Використання Bypass в даному випадку аналогічно першому кейсу і, при виході з ладу брокера мережевих пакетів, дозволить зберегти цілісність мережі шляхом виключення останнього з схеми з'єднання. Підключення активних засобів безпеки через брокер мережевих пакетів також дозволяє здійснювати подальшу масштабованість і впровадження нових систем ІБ з мінімальними витратами і простою реалізацією.

Наведені вище кейси наочно показують, як брокери мережевих пакетів і Bypass спрощують підключення активних систем ІБ до мережевої інфраструктури і підвищують надійність роботи таких конфігурації мережі.

Резюмуючи, хочеться виділити переваги застосування брокерів мережевих пакетів:

  • Простота інтеграції, надійність і відмовостійкість мережі
  • Масштабованість активних засобів контролю трафіку без ускладнення топології мережі
  • Постійний моніторинг доступності кожного активного пристрою ІБ і різні сценарії реагування на аварії
  • Один Bypass для декількох активних засобів
  • Варіативність пропускання трафіку через активні системи ІБ
  • Простота впровадження нових рішень в інфраструктуру

Джерело: https://habr.com/ru/company/dsol/blog/551124/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82 

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).