Как называется соединение между vpn шлюзами пограничный маршрутизатор межсетевой экран

Обновлено: 06.07.2024

В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) соединением и существует только во время прохождения трафика по сети.

Преимущества, получаемые компанией от построения таких виртуальных туннелей, заключаются прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/extranet сетей и использовать для этого дешевые Интернет-каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступает выделенным линиям.

Очевидная экономическая эффективность от внедрения VPN-технологии активно стимулирует предприятия к скорейшему их внедрению. Об этом, в частности, свидетельствуют авторитетные западные аналитики. Так, например, известный аналитик - компания Gartner Group считает, что в 2002 г. более 90% компаний, использующих Интернет в корпоративных целях, перейдут на VPN.

Исторически, техническая реализация виртуальных туннелей шла по двум направлениям:

построение совокупности соединений (frame relay или ATM) между двумя точками единой инфраструктуры сети, изолированных от других пользователей, путем применения встроенных механизмов организации виртуальных каналов;

построение виртуального IP-туннеля между двумя узлами сети путем применения технологии туннелирования, при котором каждый IP-пакет шифруется и помещается в поле данных нового пакета специального вида.

Однако вскоре VPN-технология стала четко ассоциироваться со средствами защиты информации (СЗИ) и направление создания защищенных виртуальных сетей VPN постепенно вышло на первый план.

11.1.1. Функции и компоненты сети vpn

Защищенной виртуальной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:

 несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.

 несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.

Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности, через сеть Интернет, возможно при эффективном решении следующих задач:

 защиты информации в процессе ее передачи по открытым каналам связи.

 защиты подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

 аутентификации взаимодействующих сторон;

 криптографическом закрытии (шифровании) передаваемых данных;

 проверке подлинности и целостности доставленной информации.

Для этих функций характерна взаимосвязь друг с другом. Реализация этих функций основана на использовании криптографических методов защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем.

Виртуальная частная сеть VPN формируется на основе каналов связи открытой сети. Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой используется сеть Интернет, и более медленные общедоступные каналы связи, в качестве которых обычно применяются каналы телефонной сети. Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи.

Туннелирование

Туннелирование широко используется для безопасной передачи данных через открытые сети. С помощью методики туннелирования пакеты данных передаются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель–получатель данных» устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Суть туннелирования состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что туннелирование само по себе не защищает данные от несанкционированного доступа или искажения, но благодаря туннелированию появляется возможность полной криптографической защиты инкапсулируемых исходных пакетов.

Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP заголовком и отправляет по транзитной сети (рис. 11.1).


Рис.11.1. Пример пакета, подготовленного для туннелирования.

Особенностью туннелирования является то, что эта технология позволяет зашифровать исходный пакет целиком вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети - данные о количестве подсетей и узлов и их IP-адресах. Злоумышленник может использовать такую информацию при организации атак на корпоративную сеть.

Исходный пакет с зашифрованным заголовком не может быть использован для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирование. Исходный пакет зашифровывают полностью вместе с заголовком, и затем этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.

По прибытии в конечную точку защищенного канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети (рис. 11.2).

Туннелирование может быть использовано для обеспечения не только конфиденциальности содержимого пакета, но и его целостности и аутентичности, при этом электронную цифровую подпись можно распространить на все поля пакета.

Рис.11.2. Схема виртуального туннеля

В дополнение к сокрытию сетевой структуры между двумя точками, туннелирование может также предотвратить возможный конфликт адресов между двумя локальными сетями. При создании локальной сети, не связанной с Internet, компания может использовать любые IP-адреса для своих сетевых устройств и компьютеров. При объединении ранее изолированных сетей эти адреса могут начать конфликтовать друг с другом и с адресами, которые уже используются в Internet.

Инкапсуляция пакетов решает эту проблему, поскольку позволяет скрыть первоначальные адреса и добавить новые адреса, уникальные в пространстве IP-адресов Internet, которые затем используются для пересылки данных по разделяемым сетям. Сюда же входит задача настройки IP-адреса и других параметров для мобильных пользователей, подключающихся к локальной сети.

Механизм туннелирования широко применяется в различных протоколах формирования защищенного канала.

Обычно туннель создается только на участке открытой сети, где существует угроза нарушения конфиденциальности и целостности данных, например, между точкой входа в открытый Интернет и точкой входа в корпоративную сеть. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних исходных пакетах в защищенном виде.

Следует отметить, что сам механизм туннелирования не зависит от того, с какой целью применяется туннелирование. Туннелирование может применяться не только для обеспечения конфиденциальности и целостности всей передаваемой порции данных, но и для организации перехода между сетями с разными протоколами (например, IPv4 и IPv6). Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола - "пассажира", несущего протокола и протокола туннелирования. Например, в качестве протокола - "пассажира" может быть использован транспортный протокол IPX, переносящий данные в локальных сетях филиалов одного предприятия. Наиболее распространенным вариантом несущего протокола является протокол IP сети Интернет. В качестве протоколов туннелирования можно указать протоколы канального уровня PPTP и L2TP, а также протокол сетевого уровня IPSec.

Средства VPN

Согласно концепции виртуальной защищенной сети, логическая структура корпоративной сети формируется только из сетевых устройств предприятия, вне зависимости от физической структуры основной сети (например, Internet).

Такие устройства как маршрутизаторы и переключатели скрыты от устройств и пользователей корпоративной сети. Сокрытие инфраструктуры Internet от VPN-приложений становится возможным благодаря туннелированию.

Защищенная виртуальная сеть VPN должна включать средства для предотвращения несанкционированного доступа к внутренним ресурсам корпоративной локальной сети и к корпоративным данным, передаваемым по открытой сети. Отсюда следует, что к средствам VPN может быть отнесен весьма широкий круг устройств защиты: маршрутизатор (router) со встроенными возможностями фильтрации пакетов, proxy-сервер, многофункциональный межсетевой экран (firewall), аппаратный и программный шифраторы передаваемого трафика.

Средства VPN отличаются большим разнообразием. Они могут различаться друг от друга по многим характеристикам:

 точки размещения VPN устройств;

 тип платформы, на которой эти средства работают;

 набор функциональных возможностей,

 применяемые протоколы аутентификации и алгоритмы шифрования.

Конфигурация и характеристики виртуальной частной сети во многом определяются типом применяемых VPN - устройств. По технической реализации различают следующие основные типы VPN - устройств:

 отдельное программное решение, которое дополняет стандартную операционную систему функциями VPN;

 отдельное аппаратное устройство на основе специализированной ОС реального времени, имеющее два или более сетевых интерфейса и аппаратную криптографическую поддержку;

 средства VPN, встроенные в маршрутизатор или коммутатор;

 расширение межсетевого экрана за счет дополнительных функций защищенного канала.

Известны также комбинированные VPN - устройства, которые включают в себя функции VPN, а также функции маршрутизатора, межсетевого экрана и средства управления пропускной способностью.

VPN - устройства могут играть в виртуальных частных сетях роль шлюза безопасности или клиента

Шлюз безопасности VPN (security gateway) - это сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него.

Размещение шлюза безопасности VPN выполняется таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, оно представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности VPN указывается как внешний адрес входящего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза.

Шлюз безопасности VPN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или межсетевого экрана, дополненных функциями VPN.

Клиент VPN представляет собой программный или программно-аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое программное обеспечение модифицировано для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с шлюзами VPN или другими VPN - клиентами. Из-за стоимостных ограничений реализация VPN - клиента обычно представляет собой программное решение, дополняющее стандартную операционную систему - Windows 95/98 или Unix.

Туннели VPN могут создаваться для различных типов конечных пользователей – либо это локальная сеть LAN (local area network ) c шлюзом безопасности либо отдельные компьютеры удаленных и мобильных пользователей. Для создания виртуальной частной сети крупного предприятия нужны как VPN - шлюзы, так и VPN - клиенты. VPN - шлюзы целесообразно использовать для защиты локальных сетей предприятия, а VPN - клиенты используют для защиты удаленных и мобильных пользователей, которым требуется устанавливать соединения с корпоративной сетью через Интернет.

Варианты построения защищенных каналов VPN

Безопасность информационного обмена необходимо обеспечивать как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных или мобильных пользователей. При проектировании VPN обычно рассматриваются две основные схемы:

 защищенный виртуальный канал между локальными сетями (сеть-сеть);

 защищенный виртуальный канал между узлом и локальной сетью (пользователь-сеть) (рис.11.3).

Рис.11.3. Туннели типа сеть- сеть и пользователь-сеть.

Первая схема соединения позволяет заменить дорогостоящие выделенные линии между отдельными офисами и создать постоянно доступные защищенные каналы между ними. В этом случае шлюз безопасности служит интерфейсом между туннелем и локальной сетью при этом пользователи локальных сетей используют туннель для общения друг с другом. Многие компании используют данный вид VPN в качестве замены или дополнения к имеющимся соединениям глобальной сети, таким, как frame relay.

Вторая схема защищенного канала VPN предназначена для установления соединений с удаленными или мобильными пользователями. Создание туннеля инициирует клиент (удаленный пользователь). Для связи со шлюзом, защищающим удаленную сеть, он запускает на своем компьютере специальное клиентское программное обеспечение. Этот вид VPN заменяет собой коммутируемые соединения и может использоваться наряду с традиционными методами удаленного доступа.

Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. Необходима установка средств создания VPN на каждый клиентский компьютер локальной сети. Это усложняет централизованное управление доступом к компьютерным ресурсам и не всегда оправдано экономически. Отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой в большой сети.

Достаточно распространенным является вариант, отличающийся удобством применения, но обладающий сравнительно низкой безопасностью. В соответствии с этим вариантом защищенный туннель прокладывается только внутри открытой сети с коммутацией пакетов, например, внутри Интернет. В качестве конечных точек такого туннеля обычно выступают провайдеры Интернет или пограничные маршрутизаторы (межсетевые экраны) локальной сети.

При объединении локальных сетей туннель формируется только между пограничными провайдерами Интернет или маршрутизаторами (межсетевыми экранами) локальной сети. При удаленном доступе к локальной сети туннель создается между сервером удаленного доступа провайдера Интернет, а также пограничным провайдером Интернет или маршрутизатором (межсетевым экраном) локальной сети.

Построенные по данному варианту виртуальные корпоративные сети, обладают хорошей масштабируемостью и управляемостью. Сформированные защищенные туннели полностью прозрачны для клиентских компьютеров и серверов локальной сети, входящей в такую виртуальную сеть. Программное обеспечение этих узлов остается без изменений.

Однако данный вариант характеризуется сравнительно низкой безопасностью информационного взаимодействия, поскольку частично трафик проходит по открытым каналам связи в незащищенном виде. Если создание и эксплуатацию такой VPN берет на себя провайдер ISP, тогда вся виртуальная частная сеть может быть построена на его шлюзах прозрачно для локальных сетей и удаленных пользователей предприятия. Но возникают проблемы доверия к провайдеру и постоянной оплаты его услуг.

Защищенный туннель создается компонентами виртуальной сети, функционирующими на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором туннеля и терминатором туннеля.

Инициатор туннеля инкапсулирует исходный пакет в новый пакет, содержащий новый заголовок с информацией об отправителе и получателе. Инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, например, NetBEUI. Все передаваемые по туннелю пакеты являются пакетами IP. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть сетью, отличной от Интернет.

Инициировать и разрывать туннель могут различные сетевые устройства и программное обеспечение. Например, туннель может быть инициирован ноутбуком мобильного пользователя, оборудованным модемом и соответствующим программным обеспечением для установления соединений удаленного доступа. В качестве инициатора может выступить также маршрутизатор локальной сети, наделенный соответствующими функциональными возможностями. Туннель обычно завершается коммутатором сети или шлюзом провайдера услуг.

Терминатор туннеля выполняет процесс, обратный инкапсуляции. Терминатор удаляет новые заголовки и направляет каждый исходный пакет адресату в локальной сети.

Конфиденциальность инкапсулируемых пакетов обеспечивается путем их шифрования, а целостность и подлинность - путем формирования электронной цифровой подписи. Существует множество методов и алгоритмов криптографической защиты данных, поэтому необходимо, чтобы инициатор и терминатор туннеля своевременно согласовали друг с другом и использовали одни и те же методы и алгоритмы защиты. Для обеспечения возможности расшифрования данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны также поддерживать функции безопасного обмена ключами. Кроме того, конечные стороны информационного взаимодействия должны пройти аутентификацию, чтобы гарантировать создание туннелей VPN только между уполномоченными пользователями.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения.


Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.


Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.

Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000


Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.


Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.

IP Reputation

Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.

Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.

«Песочница» работает следующим образом:

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.

В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках "Anti-Spam" доступно:

  • «белый список» — "White List", чтобы определять и пропускать полезную почту от доваренных отправителей.
  • «черный список» — "Black List" для выявления и обработки спама;
  • также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.


Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Привет мир! Вы наверняка слышали аббревиатуру - VPN, и возможно даже пользовались этим. А знаете ли что это вообще такое и как это работает? Ну да, как то так. Но лучше - давайте разбираться!

ВИДЕОПОСОБИЕ

VPN расшифровывается как Virtual Private Network, или по русски Виртуальная частная сеть. В названии отражена суть этой технологии - она позволяет установить виртуальное соединение, которое называют туннелем, между вашим устройством, или даже целой сетью и другим удаленным устройством, или же - другой удаленной сетью.

Что значит виртуальное? Это значит что несмотря на то, что ваши данные будут также передаваться в публичную сеть, как правило Интернет, между вами и второй стороной будет образован защищенный виртуальный туннель, и вы окажетесь в одной сети, даже несмотря на то, что вас могут разделять тысячи километров.

VPN часто спасает, например, в случае удаленной работы, когда сотрудник, находясь вне офиса может подключаться к необходимым ресурсам в офисной сети, как если бы он находился там и сидел бы за своим рабочим местом. Или когда необходимо объединить сети, которые территориально располагаются в разных городах в одну большую сеть с единым адресным пространством!

ТИПЫ VPN

Глобально, не обращая внимания на различные протоколы, можно обозначить два типа VPN соединения: Site-to-Site и Remote Access.

Соединение Site-to-Site - это когда с пограничного маршрутизатора или межсетевого экрана, которые называют VPN шлюзом, строится туннель до такого же оборудования, стоящего в другом месте. Таким образом, сотрудники в сети, находящейся за одним VPN-шлюзом получают доступ к ресурсам, находящимся в сети за другим шлюзом через тот самый туннель и в этом случае по туннелю гоняет трафик всех и всего, что находится в этих сетях.

Remote Access, в свою очередь, это построение туннеля только с вашего индивидуального устройства, компьютера, ноутбука, айфона, планшета, например, до определенного VPN-сервера, и как раз такой способ чаще всего и используется для обхода блокировок и каких-нибудь темных дел. Ведь при таком подключении - реальный IP-адрес Вашего устройства будет изменен, а вместо него Вы получите адрес от VPN-сервера. И если Вы находясь где нибудь под Смоленском построите туннель с сервером, который живет на Сейшелах, то в Интернете Ваша геолокация молниеносно изменится. Именно поэтому так сложно определить реальное местоположение из которого осуществлялась кибератака. Злоумышленники никогда не светят свой реальный IP, чтобы к ним раньше времени не пришли из правоохранительных органов. Но не обольщайтесь - сегодня способов определения даже "заVPNненного" девайса более чем достаточно.

Отличаются эти два типа тем, что для Remote Access VPN требуется клиент или расширение для веб-браузера, чтобы можно было на чем-то приземлить туннель, а в случае site-to-site, всё происходит на уровне маршрутизации и все компьютеры, телефоны и прочая инфраструктура могут слать трафик в туннель без всяких дополнительных ухищрений.

КАК VPN ЗАЩИЩАЕТ ПОДКЛЮЧЕНИЕ?

Защита заключается в том, что вся передаваемая информация по VPN туннелю шифруется тем или иным алгоритмом шифрования, и за счет этого, злоумышленники или другие неавторизованные личности не могут получить доступ к информации для ее прочтения или модификации.

Существует множество алгоритмов шифрования, но все они делятся на симметричные и асиметричные. Симметричное шифрование использует один и тот же ключ и для зашифровывания, и для расшифровывания. Пример такого алгоритма - AES (Advanced Encryption Standard) .

Асимметричное шифрование использует два разных ключа: один для зашифровывания, который также называется открытым, другой для расшифровывания - он называется закрытым. Пример такого алгоритма шифрования - RSA.

Кстати, оба типа алгоритмов могут быть криптостойкими, то есть устойчивыми ко взлому и некриптостойкими. Как пример некриптостойкого алгоритма можно привести DES (Data Encryption Standard), длина ключа которого составляет всего 56 бит, за счет этого сегодня его можно взломать с использованием ну оооочень простых современных компьютеров. И противоположный ему - AES256, у которого длина ключа составляет, как можно догадаться, 256 бит. Перебор всех возможных комбинаций для такой длинны ключа занимает астрономически долгое время, поэтому AES не взломан и по сей день.

КАК VPN ПОМОГАЕТ ОБХОДИТЬ БЛОКИРОВКИ?

Что если нужно добавить партнера по бизнесу из другой страны в LinkedIn, но он заблокирован у Вас? Тут поможет VPN, который создает защищенное соединение с VPN сервером, который может находится в другой стране, в которой доступ до нужного ресурса не ограничен, а затем оттуда к самому ресурсу. Погодите, а тогда в чем отличие VPN от прокси?

В зависимости от выполняемой задачи, существует много прокси-серверов, но в контексте этой статьи, прокси сервер - это посредник между пользователем и целевым ресурсом, который может быть заблокирован. Этот сервер тоже может находиться на другом континенте и соответственно иметь доступ туда, куда не имеем мы.

В случае с прокси - Вы просто указываете в своём браузере или другом клиенте адрес прокси сервера, порой с логином и паролем.

При этом виртуальный шифрованный туннель, как в случае с VPN, между Вами не строится, прокси сервер просто передаёт запросы от вас к другим ресурсам и пересылает ответы от них вам.

Помните, что при подключении к любому ВПН или прокси серверу, его администратор может увидеть к каким сайтам вы пробуете получить доступ и какую информацию передаете даже несмотря на то, что она может быть зашифрована.

Поэтому - просто будьте осторожны. Не подключайтесь к серверам и сервисам, которым не доверяете и не используйте VPN и прокси для противозаконных действий, ведь эти технологии разрабатывались совсем не для этого.

Читайте также: