Безпека мережевої інфраструктури. Приклади рішень.

Безпека мережевої інфраструктури. Приклади  рішень.

Безпека мережевої інфраструктури. Приклади рішень.

  1. Що таке безпека мережевої інфраструктури і навіщо вона потрібна.
  2. Загальні підходи та технології для побудови безпечної мережі
  3. Реалізація захищеної мережі для невеликого офісу
  4. Приклади рішень безпечної інфраструктури для середнього офісу
  5. Мережева безпека у великій розподіленої мережі підприємства

Що таке безпека мережевої інфраструктури і навіщо вона потрібна

У наш час, коли інформаційні технології вже міцно пов’язані з бізнес-процесами більшості компаній, а способи і методи мережевих атак постійно удосконалюються і розвиваються, все ще існує думка що установка звичайного мережевого екрану на кордоні мережі достатньо для захисту внутрішніх корпоративних ресурсів. Це, на жаль, не зовсім так, а, вірніше, зовсім не так.

Як приклад малої ефективності звичайного брандмауера, користувач системи може самостійно натиснути на посилання, отримане від добре знайомого друга в соціальній мережі або поштою, завантажити і запустити вірус, який, використовуючи відомий експлоїт неоновленої ​​операційної системи або програми, отримає права адміністратора і буде виконувати зловмисну ​​задачу зсередини корпоративної мережі. При цьому копії вірусу будуть активно розсилатися по контакт листу ураженої системи. В Інтернеті доступні онлайн системи для тестування підозрілих файлів різними антивірусними програмами, але ними в першу чергу користуються ті ж зловмисники для написання нових «непомітних» вірусів. У зв’язку з цим у наш час існує така величезна кількість бот-нет мереж, досить просто купити номера крадених кредитних карток і все більше злом комп’ютерів стає звичайним методом заробляння грошей. Тому завдання забезпечення безпеки вимагає комплексного підходу на всіх рівнях мережевої інфраструктури і комп’ютерних ресурсів.

Загальні підходи та технології для побудови безпечної мережі

Процес побудови безпечної мережевої інфраструктури починається з планування. На цьому етапі перераховуються сервіси, які будуть використовуватися в мережі, пов’язані з ними ризики, визначаються необхідні кроки і механізми для зниження цих ризиків. На підставі даних, отриманих на етапі планування, розробляється відповідний дизайн мережевої інфраструктури і створюється набір політик безпеки. Після цього йде етап безпосереднього впровадження. Оскільки безпека це не кінцевий результат, а процес, впровадженням і первинним налаштуванням якої-небудь системи захисту нічого не закінчується. Рішення безпеки вимагають постійної «уваги»: відстеження подій безпеки, їх аналізу та оптимізації відповідних політик.

Від написання ефективних політик безпеки та їх суворого дотримання дуже залежить робота всього комплексу захисту. Правильні політики повинні бути зафіксовані документально, не мати великої кількості винятків. На все обладнання повинні регулярно встановлюватися оновлення. Також велику загрозу для безпеки складають прості паролі, помилки в конфігурації пристроїв, використання налаштувань за замовчуванням, незахищених протоколів і технологій.

Для забезпечення повної безпеки всієї IT інфраструктури необхідно впроваджувати механізми захисту на всіх рівнях мережі від кордону до комутаторів доступу. На рівні доступу рекомендується використовувати керовані комутатори з підтримкою функціоналу захисту протоколів ARP, DHCP, STP. Авторизувати користувачів при підключенні за допомогою технології 802.1x. Підключати співробітників в різні VLAN залежно від їх функціональних обов’язків і задавати правила взаємодії і доступу до різних ресурсів на рівні розподілу.

При підключенні до мережі WAN та Інтернет важливо крім брандмауера мати можливість сканувати трафік на рівні додатків, перевіряти наявність загроз за допомогою IPS систем. Прикордонне обладнання повинно бути стійким до DoS і DDoS атак. Вкрай рекомендується для виходу користувачів в Інтернет використовувати проксі сервера з додатковою перевіркою на віруси, небажане, шкідливе і шпигунське ПЗ. На проксі додатково можна організувати веб та контент фільтрацію. Також важлива наявність рішення для перевірки пошти на предмет спаму і вірусів. Всі корпоративні ресурси, до яких потрібно забезпечити доступ ззовні в цілях безпеки повинні бути винесені в окрему демілітаризовану зону DMZ. Для віддаленого доступу використовувати технологію VPN з шифруванням переданих даних.

Для управління всім мережевим обладнанням повинні використовуватися захищені протоколи SSH, HTTPS, SNMPv3. Для можливості аналізу логів час на пристроях має бути синхронізований. Для розуміння, який трафік ходить в мережі, наскільки завантажено обладнання, які події на ньому відбуваються, використовувати протоколи Syslog, RMON, Sflow, NetFlow. Дуже важливо вести облік, хто, коли і які зміни вносить в конфігурацію устаткування. Повний перелік технологій, які використовуються для забезпечення безпеки мережевої інфраструктури, вказані на схемі і на мал.1.

Мал. 1. Перелік технологій для забезпечення безпеки мережевої інфраструктури

 

Реалізація захищеної мережі для невеликого офісу

Для невеликих офісів з кількістю співробітників до 25 осіб рекомендуємо використовувати UTM рішення, яке в одному пристрої об’єднує повний функціонал безпеки, що включає міжмережевий екран, антивірус, анти-спам, IPS, захист від атак DoS і DDoS, веб і контент фільтрація, різні способи побудови VPN. Такі продукти виробляють компанії Fortinet і SonicWall, лідери на ринку в даній області. Пристрої мають повноцінний веб інтерфейс управління, що спрощує завдання конфігурації для адміністратора, який часто в маленьких компаніях тільки один. Наявність в обладнанні достатньої кількості дротових і бездротових інтерфейсів, підтримка віддаленого доступу до корпоративних ресурсів, інтеграція з різними службами каталогів робить ці пристрої ідеальним рішенням для невеликого офісу. Для підключення дротових користувачів в рішення рекомендуємо додати керований комутатор другого рівня з налагодженим  захистом від атак з локальної мережі. Логічна схема рішення зображена на мал.2.

Мал. 2. Логічна схема реалізації безпечної інфраструктури в невеликому офісі

 

Приклади рішень безпечної інфраструктури для середнього офісу

Для середніх офісів рекомендується модульна організація мережі, де кожен пристрій відповідає за певне коло завдань. На таких підприємствах локальну мережу необхідно будувати з обов’язковим поділом рівнів ядра і доступу користувачів. При великій кількості серверів окремо виносити комутатори агрегації дата центру. Рекомендується розмежувати функції прикордонного маршрутизатора і міжмережевого екрану, розділивши їх на два різних пристрої. Сервера, до яких необхідний доступ ззовні, перенести в окрему зону DMZ. Резервування модуля підключення до Інтернет мережі можна досягти шляхом дублювання всього обладнання і налаштування на них відповідних протоколів відмовостійкості. При наявності в компанії філій, надомних і мобільних співробітників, підключення до корпоративних ресурсів необхідно забезпечити за технологією VPN. Також однією з важливих складових рішення безпеки є програмне забезпечення для моніторингу мережі, наявність якого суттєво полегшить роботу мережевих адміністраторів і дозволить вчасно реагувати на загрози, забезпечуючи цим безперервність роботи всіх мережевих сервісів. Приклад реалізації відмовостійкої мережевої інфраструктури для підприємства середніх розмірів зображено на мал.3.

 Мал. 3. Логічна схема реалізації безпечної інфраструктури для середнього офісу

 

 

Для побудови такого роду рішення рекомендуємо використовувати обладнання виробників Cisco, HP, Huawei, Fortinet, SonicWall, PaloAlto, у кожного з яких є свої сильні сторони і унікальні особливості, які в сумі дають змогу отримати безпечну і в той же час прозору для управління та моніторингу мережу.

Мережева безпека у великій розподіленій мережі підприємства

Мережа великого розподіленого підприємства за принципом реалізації подібна до середнього і відрізняється більшим розподілом функцій між пристроями, вищими вимогами до відмовостійкості, наявністю виділеної WAN мережі для передачі даних між філіями. Модуль підключення до WAN в цілях безпеки реалізується окремо від модуля підключення до Інтернет. Приклад реалізації мережевої інфраструктури вказано на логічній схемі на мал.4. Для побудови такої мережі використовується обладнання тих же виробників, які були перераховані для середнього підприємства.

< Повернутися до розділу