Что такое сетевая безопасность

Сегодня трудно представить жизнь без интернета. Глобальная сеть с ее безграничными возможностями предлагает не только удобное общение и мгновенный доступ к информации, но и богатство идей и знаний. Мы хотим переписываться с дружелюбными пользователями и встречать только полезные сайты. Вместе с тем почти неконтролируемое информационное пространство несет немалые риски, и действительность оказывается несколько сложнее. Мошенники пытаются обманом заполучить деньги, хакеры — украсть конфиденциальную информацию, а конкуренты — любыми средствами помешать успешному онлайн-бизнесу.

Мы часто рассказываем о подобных опасностях, делимся способами защиты и противодействия. В данной статье рассмотрим только угрозы, связанные с атаками на сетевой трафик.

Типы угроз

В домашних сетях

Может показаться, что домашние сети не подвержены опасности. Отдельно взятый человек как будто не особо интересен хакерам, притом что усилий для атаки придется предпринимать немало. Однако это не так. 

Технологии шагнули далеко вперед, и сегодня не нужно быть гением, чтобы украсть пароль от домашнего Wi-Fi, перехватить трафик, подсмотреть скачиваемые файлы или попользоваться интернетом за чужой счет. Еще проще нарушить работу какого-либо устройства, просто закидав его сетевыми пакетами. Отдельные виды атак — например, «человек посередине» или «отказ в обслуживании» — мы осветим позже.

Действительно, шанс подвергнуться атаке относительно невелик. Однако он значительно возрастает, если роутер имеет публичный, или «белый», IP‑адрес. В таком случае всевозможные боты будут непрерывно сканировать его для выявления уязвимостей, и если повезет, злоумышленник попытаются воспользоваться найденными возможностями. Важно знать, что подобная работа не делается вручную. Все действия автоматизированы, а потому не требуют усилий и хорошо масштабируются. Именно поэтому всегда рекомендуется использовать сложные пароли, чтобы затруднить подбор с помощью специализированных инструментов.

Несмотря на кажущуюся маловероятность стать жертвой атаки, а также на мнимую незначительность ущерба, все же стоит принимать меры безопасности, о которых пойдет речь ниже. Особенно это касается случаев, когда есть публичный IP‑адрес в интернете. Поскольку домашние сети технологически мало отличаются от корпоративных, все сказанное ниже будет применимо и для них.

В корпоративных сетях

Рассмотрим вызовы, с которыми сталкиваются корпоративные сети. Начнем с самых распространенных.

«Человек посередине» (англ. MITM, man in the middle) — тип угрозы, когда злоумышленник «встраивается» в поток передаваемых данных. Подключение может быть даже на физическом уровне через присоединение к кабелю. Атака позволяет прежде всего читать передаваемый трафик. В некоторых случаях злоумышленник может подменять данные и притворяться другим человеком, сайтом, устройством или приложением. Чаще всего наблюдается в открытых или плохо защищенных Wi-Fi сетях. 

Сканирование портов — автоматизированная отправка запросов к различным портам устройства с целью получения информации о конфигурации оборудования и уровнях безопасности. Судя по откликнувшимся портам и ответам от них, можно составить общую картину об установленных приложениях, операционной системе, используемых мерах защиты. Фактически идет сбор информации не о самих портах, а об имеющихся уязвимостях. Помимо хакеров, данным методом часто пользуются DevOps‑инженеры для проверки безопасности собственных  систем.

Существует еще несколько видов атак, которые значительно реже попадают в новости.

Mail Bombing — тот же самый DDoS, но целью является почтовый сервер, который забрасывается огромным количеством бессмысленных писем с объемными вложениями. 

ARP Spoofing (Address Resolution Protocol) — посылка фальшивых ARP‑сообщений в локальную сеть, чтобы связать свой MAC-адрес с IP-адресом другого устройства. Попав в сеть предприятия, злоумышленник начинает выдавать себя за доверенный элемент системы — например, за шлюз по умолчанию или служебный сервер. Здесь мы имеем дело со специализированным случаем атаки «человек посередине». 

DNS Spoofing — изменение DNS‑записей для перенаправления пользователей на поддельные веб-сайты. Данный вид атаки чаще всего применяется для фишинга или распространения вредоносных программ и тоже является частным примером «человека посередине». 

Следующие несколько видов атак нельзя в полной мере отнести к сетевым, так как воздействие идет на людей, сайты или операционную систему. Однако поскольку они в той же мере угрожают корпоративному сектору, их нельзя не упомянуть. 

SQL‑инъекции — подбрасывание вредоносного SQL-кода в запросы к СУБД через уязвимые веб-приложения, что может привести к утечке данных или повреждению.

XSS (Cross-Site Scripting) — внедрение вредоносного скрипта на веб-страницу с целью кражи сессии, перехвата паролей и других подобных действий, направленных против посетителей. 

Брутфорс, или атака «грубой силы» (англ. Brute Force), — попытка перебора паролей или ключей шифрования путем последовательного тестирования всех возможных или самых популярных комбинаций. 

Фишинг — мошенничество, при котором злоумышленники пытаются получить конфиденциальную информацию, выдавая себя за надежные или привычные для пользователей ресурсы сети — например, подложные сайты или электронную почту. 

Опасность может исходить не только от программного обеспечения. Не стоит забывать и про физическую защищенность локальной сети и ее устройств. Зачем тратить время на поиск неординарных подходов для взлома сетевого роутера, если его можно физически просто отключить? Или же подменить на внешне похожий, но особым образом подготовленное для вредоносных действий?

Рассмотрим основные меры для усложнения работы злоумышленника до такой степени, что атаки становится нерентабельными или неосуществимыми на практике.

Основные меры для обеспечения безопасности сети

Контроль доступа

Первоочередная мера — ввод для сотрудников и партнеров контроля доступа к оборудованию и сетевым устройствам. Такой шаг поможет не только защититься от злонамеренного физического воздействия на элементы инфраструктуры, но и своевременно обнаружить их, а также определить виновного. Система включает в себя пропускной режим, разграничение помещений, на входе которых требуется идентификация сотрудника, а также повсеместное видеонаблюдение. У каждого пользователя должна быть учетная запись, а все его действия фиксируются.

Сегментация сети

Чтобы минимизировать поверхность атаки, используется такой подход, как разделение общей корпоративной сети на несколько подсетей. Сочетание разграничения доступа с продуманной сегментацией сети, в том числе при помощи межсетевых экранов нового поколения (NGFW), остановит злоумышленника (или как минимум сильно усложнит ему жизнь). Такая система поможет и установить его личность. 

Чаще всего выделяют следующие сегменты:

• пользовательские устройства и офисные сети: компьютеры, ноутбуки, смартфоны, планшеты, которые обеспечивают доступ к ресурсам;
• сегмент хранения данных — такие устройства, как NAS (Network Attached Storage) или SAN (Storage Area Network);
• демилитаризованная зона (англ. DMZ, Demilitarized Zone) — сегмент, который изолирует внешние сервисы от внутренней сети;
• сегмент управления, который отвечает за координацию и администрирование сетевых ресурсов.

В настоящее время все стремятся к общепризнанной «модели нулевого доверия»: что чем больше сегментов будет в корпоративной сети и чем детальнее будут определены доступы сотрудников к ним, тем выше будет общая защищенность системы.

Сегментация позволяет, например, выделить отдельно устройства в рамках сети Wi-Fi, камеры видеонаблюдения, принтеры, сопутствующую периферию и так далее.

В случае комплексных инсталляций можно «нарезать» под каждое крупное приложение свой сегмент — например, под базы данных. Архитектура разбиения будет определяться компонентами корпоративной сети.

Технология VLAN позволяет разделить трафик сегментов, а сетевые экраны следующего поколения NGFW (Next Generation FireWall) — грамотно фильтровать передачу данных между сегментами.

Шифрование

Без шифрования невозможно говорить о защите трафика. Он не только скрывается от непрошеных глаз, которым может быть интересна чья-то конфиденциальная информация, но и защищает передаваемые данные от анализа и фальсификации.

Поскольку обмен происходит через незащищенную сеть, то критически важно не передавать ничего, что могло бы раскрыть передаваемые материалы. Для подобных условий была разработана технология асимметричного шифрования. На каждой стороне генерируется специальная пара ключей: открытый и закрытый. Первый из них используется для шифрования информации и может быть доступен всем. Второй применяется для расшифровки — он хранится втайне и не выходит за пределы узла‑источника.

Защита периметра и ресурсов сети

Обезопасить инфраструктуру от угроз из внешней глобальной сети — первоочередная задача. В среднем проходит 5−10 минут с момента публикации сервиса до первых попыток его взлома. В качестве защиты периметра необходимо использовать упомянутые выше NGFW (межсетевые экраны следующего поколения) и весь их функционал, такой как IPS, proxy, потоковый антивирус и прочие. Однако вся эта мощь окажется бесполезной, если не уделять достаточно внимания систематическому мониторингу инфраструктуры. Только так можно  вовремя выявлять и устранять потенциальные проблемы.

Современные приложения — утилиты, серверы, сетевые устройства — неизменно фиксируют свое состояние в файлах или используют систему централизованного логирования. Для своевременного обнаружения нехватки ресурсов или отказа оборудования необходим постоянный контроль за состоянием устройств. Существуют разнообразные инструменты, но самым распространенным остается Zabbix — он позволяет настраивать оповещения на определенные события, визуализировать загрузку интерфейсов и многое другое.

За состоянием информационной безопасности инфраструктуры необходимо следить так же, как и за ее работоспособностью. Для этого используются SIEM‑решения (Security Information and Event Management) — они управляют информацией и событиями безопасности в организации: собирают из различных источников, анализируют и хранят соответствующие данные.

Такие решения обрабатывают множество журналов с различных устройств, строят между ними логические связи и сигнализируют о повышении привилегий пользователя или противоправных действиях. Необходимо учитывать, что подобные продукты дороги и практически бесполезны без службы информационной безопасности, которая сможет расследовать инциденты.

Как компании защитить себя

Как упоминалось ранее, для защиты домашней сети обычного интернет-пользователя достаточно настроить межсетевой экран на роутере и не открывать лишние порты для доступа извне. Некоторые устройства способны отправлять уведомления в виде СМС или сообщений в мессенджере при входе в панель управления — это отличный механизм, им следует пользоваться. Иногда может оказаться полезным отправлять логи с сетевого устройства на собственный сервер — для этого можно адаптировать уже существующие решения. 

Когда заходит разговор об интересах компании, все становится гораздо сложнее, поэтому опишем общие принципы. 

1. Позаботиться о безопасности сети. Необходимо сегментировать сеть, фильтровать трафик с помощью NGFW, анализировать его на предмет угроз посредством IPS. Уделять подобное внимание следует не только интернет‑трафику, но и обмену данными между сегментами сети. Здесь поможет целый класс решений NGFW, которые можно арендовать в Selectel. 

2. Обеспечить физическую защиту. Прямой доступ к оборудованию должен быть ограничен. Для примера можно посмотреть, как устроены современные центры обработки данных (ЦОД):

• все стойки закрыты на замок;
• доступ к своему оборудованию в ЦОД клиенты согласовывают заранее;
• во всех помещениях присутствуют камерами видеонаблюдения; 
• система контроля и управления доступом (СКУД) используется повсеместно.

Такие меры приводит к тому, что попасть незамеченным в ЦОД оказывается невозможно.

3. Защита конечных устройств. Помимо физической защиты, оборудование нуждается в программной. Для этого применяются антивирусы и средства от несанкционированного доступа — например, Secret Net.

4. Защита данных. Компании стараются использовать DLP (Data Loss Prevention) — технологию и набор мер, направленных на предотвращение утечки конфиденциальных сведений. Появляется возможность проверять трафик на предмет запрещенной к распространению информации, блокировать такую передачу и сигнализировать специальной команде.

5. Мониторинг. Необходимо следить за состоянием инфраструктуры, а также за событиями информационной безопасности. Как правило, для этого существует отдельная группа экспертов, которая при помощи SIEM‑решений выявляет и предотвращает атаки соответствующего типа.

Сетевая безопасность в Selectel

Ряд ключевых особенностей Selectel:

• физическая безопасность — центры обработки данных Selectel оснащены современными системами, в том числе круглосуточное видеонаблюдение, контроль доступа и охрану;
• защита данных — информация передается и хранится исключительно в зашифрованном виде, проводятся регулярные аудиты и тесты на проникновение. 
• сетевая безопасность — применяются межсетевые экраны, системы предотвращения вторжений (IPS) и другие средства для защиты от сетевых атак;
• резервное копирование и восстановление — регулярное сохранение копий данных клиентов позволяет быстро восстановить информацию в случае непредвиденных обстоятельств;
• комплаенс и сертификации — Selectel соответствует различным стандартам и требованиям, таким как ISO, что подтверждает высокий уровень информационной безопасности;
• техническая поддержка — команда экспертов готова оперативно реагировать на любые инциденты и помогать клиентам по всем вопросам.