Основы построения защищённых инфокоммуникационных систем
Анализ систем обнаружения вторжений, представленных на российском рынке
На настоящий момент времени существует множество подсистем информационной безопасности.
Специалисты применительно к данному рынку отмечают следующие виды технологий и устройств защиты:
•Межсетевые экраны UTM/Firewall;
•Системы предотвращения вторжений IPS/IDS;
•Системы защиты от распределенных атак DDoS;
•Контроль доступа к сети NAC;
•Виртуальные частные сети VPN;
•Методы аутентификации и авторизации пользователей AAA;
•Системы управления доступом IDM.
1.1. Обзор межсетевых экранов и их дальнейшее развитие
Межсетевое экранирование – блокирование трафика от несанкционированных источников – одна из первых сетевых технологий безопасности.
Производители соответствующих устройств и приложений продолжают разрабатывать новые подходы, которые помогают эффективнее противодействовать современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы.
Межсетевые экраны нового поколения позволяют создавать политики, используют более широкий спектр контекстных данных, и обеспечивать их соблюдение.
Обзор межсетевых экранов и их дальнейшее развитие
Первые межсетевые экраны (МЭ, FW, Firewall) были разработаны еще в конце 80-х годов прошлого века компанией DEC и функционировали в основном на первых четырех уровнях модели OSI, перехватывая трафик и анализируя пакеты на соответствие заданным правилам.
Затем компания Check Point предложила межсетевые экраны со специализированными микросхемами (ASIC) для глубокого анализа заголовков пакетов.
Эти усовершенствованные системы могли вести таблицу активных соединений и задействовали ее в правилах (Stateful Packet Inspection, SPI).
Технология SPI позволяет проверять IP-адреса отправителя и получателя и контролировать порты.
Обзор межсетевых экранов и их дальнейшее развитие
В 1991 г. появились системы FW, функционирующие на уровне приложений. Первый такой продукт выпустила компания SEAL, а два года спустя появилось открытое решение Firewall Toolkit (FWTK) от компании Trusted Information Systems.
Эти межсетевые экраны проверяли пакеты на всех семи уровнях, что позволило использовать в наборах правил (политика) расширенную информацию – не только о соединениях и их состоянии, но и об операциях с использованием протокола конкретного приложения.
К середине 90-х годов прошлого века межсетевые экраны обрели способность осуществлять мониторинг популярных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet.
Усовершенствованные продукты (application-aware) получили название межсетевых экранов нового поколения (Next-Generation Firewall, NGFW).
Обзор межсетевых экранов и их дальнейшее развитие
В настоящее время для обеспечения безопасности Web-трафика специалисты в области защиты информации сталкиваются с тем, что на рынке существует два класса решений:
Next-Generation Firewall (NGFW) – межсетевой экран нового поколения;
NGFW – современный шлюз безопасности с функциями межсетевого экрана, защиты каналов связи, обнаружения вторжений, глубокого анализа и фильтрации Web-трафика, трафика электронной почты и детального разграничения прав пользователей.
Secure Web Gateway (SWG) – шлюз защиты и контроля Web-трафика;
SWG – это современный шлюз безопасности с функциями глубокого анализа и фильтрации web-трафика, проксирования и детального разграничения прав пользователя.
Обзор межсетевых экранов и их дальнейшее развитие
Набор функций, необходимый для нейтрализации угроз Web-трафику, реализованный в продуктах компаний – мировых лидеров
|
Оборудование |
||
Функции |
Межсетевой экран нового |
Шлюз защиты и |
|
|
поколения |
контроля Web-трафика |
|
Защита от вредоносного кода в трафике (AV) |
Да |
Да |
|
|
|
|
|
Фильтрация категорий и репутаций сайтов в трафике |
Да |
Да |
|
(Web filtering) |
|||
|
|
||
Определение и фильтрация приложений в трафике |
Да |
Да |
|
(Application Filtering) |
|||
|
|
||
Блокирование ботнет трафика (Anti-bot) |
Да |
Да |
|
|
|
|
|
Обнаружение информации в трафике (Web DLP) |
Да |
Да |
|
|
|
|
|
Обзор межсетевых экранов и их дальнейшее развитие
Из таблицы видно, что в лучших продуктах NGFW и в SWG (Secure Web Gateway) реализованы все функции по защите web-трафика, поэтому при выборе системы защиты эксперты дают следующие советы:
Если в компании уже есть FW, который полностью ее устраивает, то можно еще внедрить дополнительный SWG и использовать связку FW + SGW. Только нужно убедиться, что эти два решения друг с другом интегрируются, так как эта возможность будет полезной;
Если в компании есть Proxy сервер, который ее полностью устраивает, то предлагается внедрить дополнительный NGFW и использовать связку NGFW + Proxy, также убедившись в интеграции этих решений;
Если в компании есть много средних и малых удаленных подразделений с собственными каналами в сеть Интернет, то можно внедрить одно устройство на такое подразделение, т.е. NGFW.
Обзор межсетевых экранов и их дальнейшее развитие
Эксперты советуют, что если требуется внедрить функции защиты и фильтрации трафика сети Интернет таким образом, чтобы изменения в существующую инфраструктуру и средства защиты были минимальными, то лучше подходит решение SWG, так как внедрение NGFW, как правило, приводит к существенному изменению внешнего блока корпоративной сети.
В других случаях надо ориентироваться на существующую сетевую инфраструктуру и возможность интеграции решения с ней, опыт работы организации с конкретными производителями, стоимость, наличие русскоязычной поддержки, наличие доступных учебных курсов, сертификатов и т.п.
Обзор межсетевых экранов и их дальнейшее развитие
NGFW система должна уметь:
•Не просто пропускать потоки информации, но и сама принимать участие в их обработке, включая контроль исходящих потоков на присутствие данных, классифицированных как конфиденциальные;
•Иметь гибкие возможности управления политиками для различных групп пользователей в зависимости от точки подключения, времени суток, уровней допуска или назначенных бизнес- задач. Например, доступ к любым сайтам в нерабочее время или выделение максимально широкого канала на период проведения видеоконференций;
•Обеспечить фильтрацию трафика по типу приложений, например, с возможностью блокировки любого Skype-трафика;
•Иметь комплексный арсенал средств сетевой безопасности: от поддержки фильтрации по Layer-7 до встроенных антивирусных движков, системы IDS/IPS и модулей шифрования трафика современными криптоалгоритмами.