Как защитить компьютерную сеть

Обновлено: 04.07.2024

content/ru-ru/images/repository/isc/2021/privacy_first_1.jpg

С начала 2020 года во всем мире произошел существенный сдвиг в направлении работы из дома. Результатом этого стало совместное использование личных и рабочих устройств, что, в свою очередь, привело к возникновению проблем с конфиденциальностью и безопасностью при работе в интернете.

Почему важна личная конфиденциальность в сети?

Если имело место нарушение безопасности данных, возможные последствия включают:

  • Взлом банковского или другого финансового счета.
  • Чтение и передача личных электронных писем третьим лицам.
  • Обнародование подробной медицинской информации о состоянии здоровья.
  • Кража персональных данных.

В этой статье обсуждается защита личной конфиденциальности в сети в мире, где границы между домашним и рабочим интернетом и устройствами становятся все более размытыми.

Работа из дома: опасно ли использовать корпоративные компьютеры в личных целях?

Работа из дома означает, что многие используют корпоративные компьютеры и телефоны в личных целях. Однако рабочие устройства могут быть не такими надежными, как кажется. У людей, использующих корпоративные компьютеры и телефоны в личных целях, нередко возникает вопрос: может ли работодатель видеть, какие веб-сайты я посещаю через домашнюю сеть Wi-Fi или находясь дома?

Теоретически работодатели могут установить программное обеспечение для отслеживания действий сотрудников на рабочих ноутбуках или компьютерах. В самых строгих компаниях такое программное обеспечение может даже включать кейлоггеры, отслеживающие все, что вводится с клавиатуры, и инструменты для снятия скриншотов, используемые для контроля производительности сотрудников.

На практике степень строгости работодателя зависит от двух факторов:

  1. Размер компании: у более крупных организаций имеется больше ресурсов для такого рода мониторинга.
  2. Тип информации, с которой сотрудники работают в рамках должностных полномочий. Если сотрудник обрабатывает конфиденциальные данные, например, медицинские карты, финансовую информацию или государственные контракты, гораздо более вероятно, что работодатель будет внимательно следить за его работой.

Даже если отслеживания каждого вашего шага в интернете не происходит, работодатели могут просматривать открываемые вами файлы, посещаемые веб-сайты и отправленные электронные письма. Когда вопрос касается конфиденциальности в интернете, рекомендуется исходить из того, что рабочий компьютер находится под наблюдением, и действовать соответствующим образом.

Угрозы безопасности при использовании личных компьютеров для работы

Помимо угроз безопасности, связанных с использованием рабочих устройств в личных целях, существуют также угрозы безопасности, связанные с использованием личных устройств для работы. По мере того, как работодатели внедряют политики использования личных устройств, эти риски возрастают. При использовании сотрудниками собственных устройств появляется множество различных точек входа в системы компании.

Существуют следующие проблемы безопасности:

  • Удаленный доступ к системам организации через устройства, которые она не контролируют, увеличивает риск того, что информация компании может быть скопирована, изменена, передана конкурентам или просто обнародована.
  • Компьютер сотрудника, работающего из дома, может иметь доступ к сети и коммуникациям компании или клиента, что может привести к непреднамеренному нарушению системы защиты данных. При работе на личном компьютере недавно загруженное или активное приложение социальной сети могло получить доступ к базе данных рабочих контактов, а затем распространило идентификационные данные клиентов без их согласия.
  • Если сотрудники работают в общественных местах и отправляют файлы по незащищенным сетям Wi-Fi, есть риск раскрытия конфиденциальной информации злоумышленникам, ищущим доступ к критически важным системам компании.
  • Работающие из дома сотрудники, использующие собственные компьютеры, могут не осознавать рисков и устанавливать приложения из небезопасных источников. Это повышает уязвимость файлов компании для атак со стороны вредоносных программ. Даже отсутствие установленных обновлений (исправлений) на устройстве подвергает его угрозам безопасности.
  • Сотрудники могут оставлять устройства в незащищенном виде или, возможно, позволять пользоваться устройствами друзьям и родственникам. Устройство может быть потеряно или украдено. В этих сценариях, если на устройствах хранится конфиденциальная информация компании, существует вероятность нарушения кибербезопасности.
  • После увольнения сотрудники могут по-прежнему иметь доступ к приложениям компании с мобильных устройств, если компания не выполнит действий для его запрета. Насколько легко будет таким сотрудникам или тем, у кого есть доступ к их устройствам, вернуться в приложение или систему? Смогут ли организации отследить устройство как источник нарушения безопасности?

Многие компании пытаются снизить риски, разрабатывая политики использования собственных устройств, которые могут включать следующие требования:

  • Установка обновлений безопасности в определенные сроки.
  • Блокировка устройства, когда оно не используется.
  • Шифрование устройства.
  • Установка приложений только из официальных магазинов приложений.
  • Установка антивирусного программного обеспечения.
  • Немедленное информирование компании в случае потери или кражи устройства.
  • Запрет получения root-прав и взлома телефона.

Если у компании-работодателя имеются политики использования собственных устройства, рекомендуется ознакомиться с ними, чтобы понимать права обеих сторон. Эту политику можно найти в различных материалах для сотрудников: справочниках, договорах, учебных материалах или конкретном соглашении об использовании собственных устройств.

privacy-first-2.jpg

Как защитить личную конфиденциальность в сети

Выполнение простых действий поможет сохранить конфиденциальность в интернете. Вот несколько советов, которые помогут защитить себя и свои данные в интернете.

Конфиденциальность в сети: 18 советов по безопасности

1. Не храните личные файлы на рабочем ноутбуке или телефоне

Удобно завести личную папку, содержащую фотографии и документы, например, налоговые декларации, на рабочем столе, но важно помнить, что рабочее устройство не является вашей собственностью – оно принадлежит компании. К этим файлам могут получить доступ не только ИТ-специалисты, но и другие сотрудники. Кроме того, некоторые компании используют инструменты безопасности, которые начинают стирать файлы при обнаружении взлома. Если компьютер заражен вредоносными программами, при устранении проблем в рамках предпринятых мер безопасности могут быть удалены также личные файлы. Вместо этого для хранения личных данных лучше использовать USB-накопитель и носить его на связке ключей.

2. Не сохраняйте личные пароли в хранилище ключей рабочего устройства

Многие используют нерабочие учетные записи с рабочих компьютеров. Однако существует риск, что личные данные станут доступны ИТ-команде. Даже зашифрованные транзакции не являются полностью защищенными. Обладая соответствующими знаниями и инструментами, злоумышленники могут получить доступ к личным данным.

3. Избегайте категоричных высказываний в чатах компании

4. Предположим, ваш интернет-трафик отслеживается

Многие работодатели отслеживают интернет-трафик сотрудников. Даже если работодатель не уделяет пристального внимания тому, какие веб-страницы посещают сотрудники, рекомендуется избегать определенных личных дел, например, выполнение второй работы, на корпоративном компьютере. Относитесь к рабочему компьютеру как к заимствованному. По сути, так оно и есть. Спросите себя, понравится ли работодателю просматриваемый вами контент. Если ответ отрицательный, не используйте для этого оборудование компании.

5. Будьте осторожны при использовании компьютера в общественных местах

При удаленной работе может возникнуть соблазн взять ноутбук и подключиться к бесплатному общедоступному Wi-Fi. Однако места, предлагающие бесплатный Wi-Fi, например, ближайшие кафе, могут быть источником мошеннических атак. Это связано с тем, что киберпреступники могут создавать поддельные сети, выглядящие как настоящими, но не являющиеся таковыми. Чтобы обеспечить конфиденциальность при работе в общедоступном Wi-Fi, рекомендуется использовать VPN и следовать советам по безопасности.

6. Проверьте, какое программное обеспечение для мониторинга запущено на вашем компьютере

7. Не предоставляйте коллегам не из ИТ-отдела удаленный доступ к рабочему компьютеру

Программное обеспечение для удаленного доступа позволяет контролировать ваш компьютер и часто используется сотрудниками ИТ-отдела при предоставлении ИТ-поддержки. Не позволяйте другим сотрудникам, не относящимся к ИТ-отделу, управлять вашим устройством.

8. Используйте антивирусные программы

Защитите свое устройство и системы работодателя от вредоносных программ с помощью надежного антивирусного решения. Комплексное решение в области кибербезопасности, такое как Kaspersky Total Security, обеспечивает всестороннее обнаружение угроз и защиту от вредоносных программ.

9. Убедитесь, что ваша система и программы обновлены

Использование последних версий программ и операционной системы способствует повышению безопасности. Включите автоматические обновления, чтобы защитить системы.

10. Обращайте внимание на Wi-Fi и безопасность сети

Шифрование сети повышает безопасность Wi-Fi. Хорошо, если для входа в вашу сеть Wi-Fi требуется пароль. Если нет, измените это в параметрах маршрутизатора. Пароли, используемые по умолчанию для доступа к параметрам маршрутизатора, могут оказаться слабым звеном в безопасности Wi-Fi и сети. Смените пароль маршрутизатора, если вы никогда не делали этого раньше. Злоумышленники могут получить доступ к устройствам через маршрутизатор.

11. Используйте VPN для обеспечения конфиденциальности в сети

Если вы используете компьютер для удаленной работы, включите VPN, например, Kaspersky Secure Connection, для шифрования данных и защиты их от посторонних. При использовании VPN вся интернет-активность будет зашифрована. Единственное, что увидит работодатель – это IP-адрес VPN-сервера и непонятные неподдающиеся взлому данные. Однако имейте в виду следующие аспекты:

Если уже используется VPN, установленная работодателем:

  • Использование корпоративного VPN означает, что весь трафик с вашего рабочего устройства расшифровывается на серверах компании, и все посещенные веб-сайты может видеть работодатель.
  • Однако работодатель не может получить доступ к вашей локальной домашней сети. Информация о посещении сайтов с других устройств работодателю недоступна.

12. Избегайте излишней демонстрации экрана

Во время онлайн-встреч будьте внимательны при демонстрации экрана. По возможности не оставляйте открытыми окна, которые вы не хотите показывать. Вы можете случайно показать контент, не предназначенный для посторонних. То же самое относится к веб-камерам, когда риску подвергается конфиденциальность членов семьи, находящихся поблизости.

13. Будьте осторожны с публикациями в социальных сетях

Размещение избыточной информации в социальных сетях может облегчить киберпреступникам сбор информации о вас. Чтобы обеспечить максимальную конфиденциальность в сети, рекомендуется:

14. Используйте надежные пароли

Надежный пароль – это пароль, который сложно подобрать. Он должен состоять из заглавных и строчных букв, цифр и символов. Не следует использовать один и тот же пароль для нескольких учетных записей. Рекомендуется регулярно менять пароли. Для этого используется Диспетчер паролей.

15. Защитите мобильные устройства

Самое основное – используйте пароль для доступа к вашему телефону, который нелегко подобрать. Кроме того, загружайте приложения и игры только из официальных магазинов приложений. Не прибегайте к взлому или рутингу телефона – это позволит злоумышленникам перезаписать ваши настройки и установить вредоносные программы. Рассмотрите возможность установки приложения, позволяющего удаленно удалить все данные на телефоне, в случае его кражи. Всегда используйте последние обновления программного обеспечения и будьте осторожны при переходе по ссылкам в интернете, также как на ноутбуке или компьютере.

16. Не забывайте о разрешениях приложений

Приложение, требующее доступ к камере, микрофону, геолокации, календарю, контактам и учетным записям в социальных сетях, несет потенциальную угрозу конфиденциальности в сети. Также рассмотрите возможность удаления неиспользуемых данных, программ и учетных записей. Чем больше запущено программ и приложений, тем больше вероятность взлома одного из них.

17. Будьте внимательны к фишинговым атакам

18. По возможности используйте двухфакторную аутентификацию

Это повысит вашу безопасность в сети, поскольку помимо пароля используются дополнительные способы подтверждения личности: отправляемый на телефон SMS-код, отпечаток пальца или электронный ключ, подключаемый по USB.

С начала пандемии мы все стали проводить больше времени в интернете. Когда речь идет о конфиденциальности в сети, следует проявлять бдительность. Программа Kaspersky Privacy Checker является полезным инструментом проверки параметров конфиденциальности для различных платформ и устройств. Передовые методы кибербезопасности позволят вам обеспечить конфиденциальность как на устройстве, так и в сети.

Вы уверены, до хорошо защитили домашнюю сеть от злоумышленников? Советуем вам убедиться в этом еще раз.


5 сентября 2013

Если сразу обобщить, то защита домашней сети является непростым делом. Конечно, если у вас всего лишь беспроводной маршрутизатор и ноутбук, то это несложно. Но вот если к ним добавляются еще несколько компьютеров, смартфоны с планшетами, сетевые принтеры, да еще и телевизор Smart TV и медиаплеер, то задача становится намного сложнее. Особенно если учесть, что многие из этих устройств пока не имеют достаточной надежности и полны уязвимостей. Думаю, в будущем это изменится в лучшую сторону, но пока все обстоит именно так.

Советф по правильной защите домашней сети

В идеале было бы лучше подключить все по кабелю, но это не всегда удобно. И уж совсем некомфортно.

Давайте не станем совсем уж усложнять, а представим, что в вашей сети находятся маршрутизатор, пара компьютеров, смартфон или планшет, ну, может быть, сетевой принтер, Smart TV, игровая приставка Xbox или какая-то другая аналогичная.

Наиболее вероятный сценарий заключается в том, что все эти устройства требуют выхода в Интернет через беспроводное соединение. Таким образом, ваш маршрутизатор является туннелем для выхода всех устройств во внешнюю сеть. Ну а если он не защищен, то и все остальные устройства тоже, можно сказать, без защиты. Это касается беспроводного соединения. Конечно, в идеале было бы лучше подключить все по кабелю, но это не всегда удобно. И уж совсем некомфортно.

Начнем с маршрутизатора. Очевидно, вы хотите установить на Wi-Fi уникальный сложный пароль, который невозможно взломать. Сделайте это обязательно. Кстати, большинство новых маршрутизаторов умеют создавать гостевую сеть. Воспользуйтесь этим, предоставив гостям возможность выхода в сеть. Таким образом, вы всегда сможете контролировать свою сеть, не пуская в нее неизвестные устройства, которые могут быть не защищены. Или уже заражены чем-то.

Как только вы получаете инструмент управления маршрутизатором, будьте осторожны и внимательны. Как правило, изначально беспроводная сеть в нем не имеет пароля. Поэтому обязательно зайдите в раздел, посвященный Wi-Fi, и изучите установки по умолчанию. Обычно отсутствие пароля делается для того, чтобы легко соединить между собой два устройства для дальнейшей настройки маршрутизатора под свои цели. И эти настройки необходимо произвести, иначе в сеть легко попадет злоумышленник, после чего он сможет настроить все так, чтобы сеть работала в его пользу. Поэтому обязательно установите уникальный пароль на Wi-Fi.

Очень правильным решением станет отключение администрирования роутера через Wi-Fi.

Кстати, очень правильным решением станет отключение администрирования роутера через Wi-Fi. Это означает, что вход в панель администратора в дальнейшем будет возможен только при непосредственном подключении к устройству Ethernet-кабелем. Мы готовим материал о более детальном освещении вопроса блокировки маршрутизатора, поэтому следите за нами на Kaspersky Daily.

Эта и миллион других причин должны подвигнуть вас убедиться в защите вашей сети и всех устройств в ней. Конечно, верно утверждение, что если ваш маршрутизатор защищен, то защищена и вся ваша сеть. С другой стороны, если одно из ваших устройств заражено, то уже неважно, защитили ли вы свою сеть инструментами роутера. Поэтому стоит убедиться, что защищена не только вся сеть, но и каждое устройство в ней. Причем не только стационарные, но и все мобильные гаджеты тоже.

Если одно из ваших устройств заражено, то уже неважно, защитили ли вы свою сеть инструментами роутера.

Используйте программное и аппаратное обновления на компьютерах, маршрутизаторах, смартфонах, планшетах, принтерах, игровых приставках и телевизорах, которые подключены к вашей сети.

Напомню вам, что в этих обновлениях обычно содержатся исправления всех известных уязвимостей. Обычно эти обновления как раз и выходят после обнаружения очередного эксплойта, поэтому если вы обновили систему, то уже получили некоторую защиту от него. Проблема только в том, что не все настолько сознательны, чтобы регулярно обновляться. И если бы меня попросили дать только один совет по безопасности, то он бы гласил: регулярное обновление устройств — гарантия безопасности.

Суть всего этого повествования в том, чтобы вы поняли, что необходимо держать свою сеть под контролем и в безопасности. Помните, что надежность любой защиты равна надежности самого слабого звена в ней. Поэтому следуйте рекомендациям: ставьте надежные пароли, регулярно обновляйте программное обеспечение, используйте надежные защитные программы, а также будьте в курсе всего, что связано с угрозами в Сети, читая этот и другие блоги по безопасности.

Edward

Edward, 21.07.2013 21:31

Защита корпоративной сети

Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.

Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.

1. Межсетевой экран (файрвол, брэндмауэр)

Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:

  • В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
  • Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
  • Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.

Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.

2. Виртуальные частные сети (VPN)

Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.

К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.

3. Системы обнаружения и предотвращения вторжений (IDS, IPS)

Система обнаружения вторжений (IDS - англ.: Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.

Система предотвращения вторжений (IPS - англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.

4. Антивирусная защита

Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители - сегмент среднего и малого бизнеса.

Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.

5. Белые списки

Что из себя представляют "белые списки"? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в "черный список". Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в "белый список", а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы, так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.

Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.

6. Фильтрация спама

Основные способы фильтрации спама:

  • Специализированные поставщики сервисов фильтрации спама;
  • ПО для фильтрации спама на собственных почтовых серверах;
  • Специализированные хардварные решения, развернутые в корпоративном дата-центре.

7. Поддержка ПО в актуальном состоянии

Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности - важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.

8. Физическая безопасность

Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.

Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.

Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.


С ростом облачных вычислений и виртуализации современные компьютерные сети становятся всё более уязвимыми и постоянно развиваются, принося с собой новые риски и неопределённости. Давно прошли времена хакерства для удовольствия, хакеры финансово мотивированы и более изощрены, чем когда-либо. Некоторые из них создали хакерские группы, такие как LulzSec и Anonymous, чтобы обмениваться опытом и действовать сообща. Профессионалы информационной безопасности изо всех сил стараются не отставать, пытаясь использовать пассивные (для обнаружения) и активные (для блокировки) инструменты сетевой безопасности. Несмотря на то, что вендоры своевременно разрабатывают и предоставляют инструменты сетевой безопасности для защиты от новейших киберугроз, внедрение этих инструментов является постоянной проблемой по разным причинам. В этой серии публикаций мы опишем наиболее основные средства сетевой безопасности, которые борются с киберугрозами, рассмотрим типичные проблемы при развёртывании и пути их решения с помощью брокеров сетевых пакетов.

Пассивные средства безопасности

Пассивные средства сетевой безопасности применяются для мониторинга и анализа трафика в сети. Такие инструменты работают с копией трафика, полученной со SPAN-портов, ответвителей сетевого трафика (TAP) или брокеров сетевых пакетов (NPB). Пассивный мониторинг не вносит временных задержек и дополнительной служебной информации в сеть. В данное время широко используются такие пассивные средства безопасности, как IDS, Network Forensics, NBA и NTA.


Система обнаружения вторжений (IDS)

Система обнаружения вторжений (Intrusion Detection System - IDS) предназначена для мониторинга сетевого трафика на наличие вредоносных программ, эксплойтов и других киберугроз путём использования большого количества сигнатур угроз (иногда называемых правилами). Программное обеспечение IDS может быть развёрнуто на специально построенных устройствах, предоставленном пользователем оборудовании и в некоторых случаях как виртуальные устройства для VMware, Xen и других платформ виртуализации.

В настоящее время в подавляющем большинстве случаев IDS – это режим работы инструментов системы предотвращения вторжений (Intrusion Prevention System – IPS). Другими словами, на сегодняшний день приобрести решение, которое способно выполнять только пассивный мониторинг будет довольно проблематично. IPS относятся к более сложным и дорогим устройствам, однако, как правило, поддерживают активные IPS и пассивные IDS конфигурации в одном решении. Кроме того, компании обычно развёртывают IPS только для пассивного IDS мониторинга, особенно в ядре сети.

В пространстве IDS решений (как конфигурация пассивного мониторинга системы IPS) представлены продукты компаний Positive Technologies, Код Безопасности, Инфотекс, Smart-Soft, Info Watch, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft, Trend Micro, Check Point.

Сетевая форензика (Network Forensics)

Сетевая форензика (криминалистика) относится к технологии, которая отслеживает, записывает и анализирует трафик компьютерной сети в целях сбора информации, юридических доказательств, а также обнаружения и анализа угроз внутрикорпоративной сетевой безопасности. Эта технология часто описывается как сетевой видеомагнитофон, который записывает (буквально) все пакеты, проходящие через вашу сеть. Программное обеспечение для сетевой криминалистики чаще всего развёртывается на поставляемых поставщиками сетевых устройствах с большими объёмами памяти, но некоторые поставщики предоставляют его как программное решение только для того, чтобы клиенты могли самостоятельно выбрать оборудование для его поддержки.

Производители решений в этом пространстве – MicroOLAP, Гарда Технологии, AccessData, NIKSUN, RSA (NetWitness), Solera Networks.

Анализ поведения сети (NBA) и сетевого трафика (NTA)

Большинство устройств сетевой безопасности размещаются по периметру (за межсетевым экраном) для проверки угроз, поступающих из интернета. Однако мобильные устройства, которые ежедневно приносятся в офис «в кармане», могут содержать вредоносные программы, которые защита периметра может никогда и не увидеть.

Системы анализа поведения сети (Network Behavior Analysis - NBA) обнаруживает угрозы, с которыми сталкивается сеть изнутри, используя NetFlow и другие стандарты потока (cFlow, sFlow, jFlow и IPFIX), чтобы получить базовое значение для нормального сетевого трафика и обнаружить аномалии, такие как распространение вредоносных программ. Системы анализа сетевого трафика (Network Traffic Analysis - NTA) предназначены для перехвата и анализа трафика, а также для обнаружения сложных и целевых атак. С их помощью можно проводить ретроспективное изучение сетевых событий, обнаруживать и расследовать действия злоумышленников, реагировать на инциденты. NTA могут служить отличным источником данных для ситуационных центров информационной безопасности (SOC).

Производители в пространстве NBA и NTA решений – Positive Technologies, Kaspersky, Group-IB, Гарда Технологии, Arbor Networks, Lancope, Riverbed Awake, Cisco, Darktrace, ExtraHop Networks, LogRhythm, Flowmon, RSA, TDS и другие.

Типичные проблемы развёртывания систем сетевой безопасности

ИТ-компании сталкиваются с многочисленными проблемами при развёртывании инструментов сетевой защиты, особенно в больших, сложных и географически распределённых сетях. Звучит знакомо? Ниже приведены кейсы, в которых распространённые проблемы систем мониторинга и информационной безопасности решаются с помощью внедрения брокера сетевых пакетов (NPB).

Кейс № 1. Оптимизация сетевой инфраструктуры информационной безопасности

Современный подход к построению систем информационной безопасности ориентирован на надёжные и экономически эффективные решения, позволяющие уже внедрённым средствам безопасности отслеживать большее количество сегментов сети, повышая её видимость. При этом вновь внедряемые средства безопасности должны иметь доступ к существующим точкам съёма трафика.

Применяемые методы зеркалирования трафика с использованием SPAN-портов или ответвителей сетевого трафика (TAP) имеют свои ограничения и недостатки. Трафик SPAN-портов имеет низкий приоритет и, при повышении нагрузки на коммутаторе, начинает теряться, а при выставлении высокого приоритета, начинает теряться «боевой» трафик, что приводит к более опасным последствиям. Использование TAP позволяет иметь стопроцентную копию трафика, но здесь есть ограничение по количеству возможных точек установки TAP на сетевой инфраструктуре. При увеличении парка средств информационной безопасности, на каждое из которых нужно подавать трафик с одних и тех же сегментов сети, остро встаёт вопрос внедрения их в существующую инфраструктуру.


Задача: В компании, где внедрены системы обнаружения вторжений (IDS) и анализа поведения сети (NBA), разворачиваются системы Network Forensics и NTA. Для получения максимальной видимости трафика, съём осуществляется не через SPAN-порты, а через TAP. Трафик от TAP соответствующих сегментов сети необходимо доставить и распределить между четырьмя видами систем информационной безопасности.

Решение: Данная задача легко решается брокером сетевых пакетов, используя который можно агрегировать трафик, полученный через TAP из сегментов сети, оптимизировать (применить функции фильтрации, классификации, дедупликации, модификации) и зеркалировать его, балансируя на соответствующие системы информационной безопасности.

Кейс № 2. Оптимизация использования средств информационной безопасности

Стандартные устройства сетевой безопасности поставляются с фиксированным количеством интерфейсов для осуществления одновременного мониторинга нескольких сегментов сети. Однако после того, как эти интерфейсы полностью заполняются, компании вынуждены покупать дополнительные единицы средств безопасности.


Задача: Компания имеет систему обнаружения вторжений (IDS) с четырьмя интерфейсами 10GbE. Трафик для мониторинга снимается с четырёх сегментов сети, при этом пиковая нагрузка на IDS не более 40%. Со временем инфраструктура сети увеличилась, и возникла необходимость дополнительно отслеживать два новых сегмента.

Решение: С расчётом на дальнейшее развитие сети и отказа от закупки дополнительной IDS в виду 40% загрузки существующей системы, решать эту задачу рациональнее с помощью брокера сетевых пакетов. В данном случае использование пакетного брокера продиктовано еще и уменьшением проблем, связанных с решением вопросов выделения места в стойке, обеспечения электропитания и кондиционирования. Брокеры сетевых пакетов могут агрегировать трафик из нескольких сегментов сети, а затем оптимизировать (выполняя функции фильтрации, классификации, зеркалирования, балансировки, дедупликации, модификации) этот трафик перед маршрутизацией в IDS. Брокеры сетевых пакетов, как правило, дешевле средств обеспечения безопасности, что позволяет компаниям разумно использовать денежные средства и материальные ресурсы, одновременно повышая отказоустойчивость и производительность инструментов.

Кейс № 3. Использование инструментов безопасности 1G в современных сетях

Стандарт компьютерной сети 10-гигабитный Ethernet (10GbE или 10G) был впервые опубликован в 2002 году, но достиг критической массы к 2007 году. С тех пор 10G стал основой для крупных компьютерных сетевых инфраструктур и магистралей. Уже сейчас широко распространяются стандарты 40G/100G, а в недалёком будущем придут стандарты 200G/400G.

Практически каждая крупная компьютерная сеть имеет десятки, а то и сотни, инструментов мониторинга безопасности волоконной сети 1G. Эти устройства в зависимости от модели могут иметь возможность проверять более 1 Гбит/с трафика, но инструменты, оснащённые интерфейсами 1G, физически не могут подключаться к сетям 10G/40G/100G.


Задача: Компания модернизирует инфраструктуру сети для увеличения пропускной способности каналов внедрением нового сетевого оборудования и линий связи. На замену интерфейсам 1G приходят интерфейсы 10G/40G/100G. Существующая система информационной безопасности состоит из средств с интерфейсами 1G. Необходимо обеспечить функционирование существующей системы информационной безопасности на новой инфраструктуре.

Решение: Брокеры сетевых пакетов решают эту задачу путем агрегирования, балансировки нагрузки и оптимизации трафика (минимизация нецелевого трафика и дедупликация) из сетей 10G/40G/100G в существующие инструменты безопасности 1G. Это решение не только продлевает срок службы существующих инструментов 1G (что откладывает расходы на их замену), но и максимизирует их производительность и отказоустойчивость.

Таким образом, применение брокеров сетевых пакетов решает следующие задачи:

увеличение количества точек контроля/мониторинга;

возможность подключения нужного количества средств контроля/мониторинга трафика;

оптимизация использования средств информационной безопасности;

исключение влияния средств ИБ на отказоустойчивость сети;

обеспечение совместимости интерфейсов в инфраструктуре ИБ;

повышение видимости сети для средств ИБ.

Из приведенных выше кейсов отлично видно, насколько просто решаются проблемы, так часто встречающиеся при построении систем информационной безопасности, выводятся на новый уровень механизмы доставки и повышения видимости трафика, повышается производительность и отказоустойчивость всей системы в целом при применении брокеров сетевых пакетов. В следующей части мы поговорим об активных средствах обеспечения сетевой безопасности, а также разберём типовые кейсы по их интеграции в сетевую инфраструктуру компании.


Так же как и в предыдущей статье «Wi-Fi или витая пара — что лучше?», для создания диалога у нас есть два персонажа: консервативно настроенный сетевой администратор, назовем его условно «Сисадмин», привыкший к проводной сети, и новатор, пробующий всё новое и современное, назовем его условно «Гик», который ратует за повсеместное внедрение беспроводных технологий.

Сисадмин:

Проводные сети безопаснее беспроводных. Хотя бы потому, что в них гораздо труднее вклиниться, чтобы прочитать трафик.

В любом случае атака на проводную сеть связана с физическим проникновением или нахождением на достаточно близком расстоянии (например, если получить доступ к коммутационном шкафу бизнес-центра). Как вариант, можно использовать инсайдера, чтобы подключить к сети портативное устройство с целью перехвата пакетов или создания шквала ARP запросов для атаки на коммутатор. Но приблизиться или даже проникнуть за периметр в любом случае необходимо.

Если проводная сеть спроектировано грамотно и без сомнительной «экономии», то она очень и очень надежна в отличие от беспроводных сетей.

Гик:

Это так, если забыть про человеческий фактор.

Мне не раз приходилось встречать сетевые розетки с активным линком в коридорах офисов. Мало того, такие розетки можно встретить во всевозможных закутках, подсобках и других местах, недоступных для видеонаблюдения. А это серьезная проблема. В такую розетку можно подключить портативное устройство, при помощи которого можно провести те или иные несанкционированные действия с отсылкой результатов, например, по WiFi.

Разумеется, можно и нужно использовать дополнительные меры защиты, такие как port security с фильтрацией по MAC. Но, во-первых, MAC можно подделать, во-вторых, это уже вторая линия обороны. И даже эту линию обороны многие сетевые администраторы предпочитают не использовать. Потому что хлопотно — нужно поддерживать систему защиты в актуальном состоянии, на это нужно время, которого может просто не быть. Эта проблема часто встречается, когда единственный системный администратора занимается всем подряд: от поддержки бухгалтерии до сетевой безопасности.

Но даже если все закрыто и безопасно, остается такая замечательная вещь, как коридорные МФУ. Тут вам, пожалуйста, и свободный порт, и MAC на шильдике написан, и даже патчкорд есть готовый. Вполне можно вечером, когда никто не печатает, вставить этот самый патчкорд в своё портативное устройство, рано утром выключить. При этом камеры видеонаблюдения покажут, что человек подходил к МФУ, а для чего подходил и что он там делал — далеко не всегда удается разобрать. Если при этом на камерах видно, что он держал в руках стопку бумаг, то обычно данный факт не вызывает особых подозрений.

Говорить о проводных сетях, что вот их-то точно никто и никогда не взломает — это неправильно. Другое дело, что для эффективного вмешательства в работу проводных сетей требуется тесный контакт. Проще говоря, кто-то должен подойти и что-то подключить к сети.

Сисадмин:

Ну так это перекрывает всё. В случае с беспроводной сетью злоумышленник может действовать на расстоянии. И это является чуть ли не решающим фактором!

Гик:

Не всё так однозначно. Трафик по кабелю внутри периметра сети обычно передается в открытом виде. В этом случае если незаконное подключение всё же состоялось, дела обстоят едва ли не хуже, чем в случае доступа по WiFi. Да, можно использовать VLAN, списки доступа ACL, но те же самые механизмы доступны и в беспроводных сетях. В организациях с высоким уровнем секретности применяются дополнительные меры защиты, например, VPN соединение от каждого рабочего места пользователя до центрального узла (сервера). Но в обычной жизни рядового офиса такие строгости встречаются далеко не так часто. Кстати, VPN внутри локальной сети можно применять и для беспроводных сетей.

Если в офисе есть переговорная, в которой проводятся и совещания с сотрудниками, и переговоры с партнерами, то необходимо каждый раз для каждого порта (розетки) прописывать на все устройства разрешения в port security. Представьте, пришли на переговоры важные люди, а их просят предъявить ноутбуки, чтобы сетевой администратор смог разрешить доступ с MAC адресов. В итоге каждый раз прописывать новый порт на коммутаторе будет весьма хлопотно. Отключить port security и ACL — это создать брешь в сети. Вот так и приходится жить между двух огней.

В то же время, данную проблему можно легко решить, если сделать гостевой WiFi.

Сисадмин:

Это не совсем так. В случае с коммутатором соединяются только два порта. В управляемых коммутаторах можно настроить зеркалирование порта, но для этого нужно получить доступ к управлению.

А беспроводные сети больше напоминают Ethernet-HUB, когда все устройства слушают один канал, трафик передается сразу по всем направлениям и сами клиенты сети решают, нужен им этот пакет или нет.

Поэтому основная и чуть ли не единственная эффективная защита WiFi — это шифрование трафика.

Гик:

Вот мы и выявили два основных «первородных греха» беспроводных соединений: возможность бесконтактного доступа (ради этого они и создавались) и принцип вещания, когда пакет передается в эфир, и устройства сами определяют, принимать пакет или нет.

Как решается проблемы с безопасностью WiFI

Как известно, абсолютной защиты не бывает, как не бывает идеальных взломов. Основной принцип борьбы заключается в том, чтобы максимально затруднить проведение атаки, сделав результат нерентабельным по отношению к затраченным усилиям.

Поэтому даже когда применяются высоконадежные методы защиты, рекомендуется не игнорировать дополнительные меры (даже самые простые!) в качестве «защиты от дурака».

Какими средствами мы располагаем?

Чтобы избежать путаницы, имеет смысл разделить все имеющиеся возможности и средства на две группы:

  • технологии прямой защиты трафика, такие как шифрование или фильтрация по MAC адресу;
  • технологии, изначально предназначенные для других целей, например, для повышения скорости, но при этом косвенным образом усложняющие жизнь злоумышленнику.

Ниже в этой статье мы рассмотрим методы защиты из первой группы. Постараемся уделить внимание и широко известным технологиям, и новинкам, которые появились в более позднее время.

Скрытие имени WiFi сети

Нехитрый способ — убрать из всеобщего обозрения имя (SSID) своей WiFi сети. На самом деле функция Hide SSID ничего не прячет, а просто перестает открыто оповещать потенциальных клиентов о наличии сети с данным именем. По идее, теперь подключиться будет возможно, если знать имя сети, тип шифрования и пароль.

При скрытом SSID, в открытый доступ все равно транслируется другой идентификатор — BSSID (Basic Service Set Identifie). Поэтому сканеры сетей WiFi могут без особого труда определить нужные параметры. Однако необходимость приложить дополнительные усилия для обнаружения скрытых WiFi сетей в разы снижает активность любопытных глаз и шаловливых рук.

Фильтрация по MAC

Ещё один «замочек от честных людей». Основан на применении списков доступа (Access Control List, ACL). Чем-то напоминает port security для проводных сетей. Но в беспроводных сетях для защиты от слежения за устройствами (чтобы злоумышленники не могли получить точные данные о реальных клиентах сети) зачастую используется подстановка MAC адресов. Поэтому данный способ годится только для внутреннего периметра сети и требует отключить функцию подстановки MAC на устройствах (как вариант — жестко прописать в настройках разрешенные MAC адрес и имя хоста). Для партнеров, клиентов и других посетителей офиса в этом случае рекомендуется сделать гостевую сеть WiFi. Впрочем, даже такой незатейливый метод ограничения доступа способен снизить число потенциальных нарушителей.

Охота на Rogue AP

Rogue AP — это чужие точки доступа, которые не подконтрольны сетевому администратору. Например, это может быть точка доступа, которую использует злоумышленник для перехвата паролей и другой секретной информации, когда клиенты корпоративной сети по ошибке пытаются к ней подключиться и передать учетные данные.

Большинство точек доступа компании Zyxel имеют встроенную функцию сканирования радиоэфира с целью выявления посторонних точек.

Дополнительные функции защиты

Если у злоумышленника не получается вплотную приблизиться к периметру сети, он может попытать использовать точки доступа из соседней сети, например, из другого офиса, в качестве плацдарма для атаки.

Если в качестве контроллера точек доступа используется межсетевой экран, то побороться с этим вполне возможно. Используя методы аутентификации WPA/WPA2-Enterprise, различные реализации Extensible Authentication Protocol (EAP) и встроенный межсетевой экран, маршрутизатор с контроллером беспроводной сети не только находит неавторизованные точки доступа, но и блокирует подозрительные действия в корпоративной сети, которые с большой долей вероятности несут в себе злой умысел.

В качестве примера такого борца с нарушителями можно назвать маршрутизатор USG FLEX 100.


Рисунок 1. Внешний вид маршрутизатора USG FLEX 100.

Использование ключей для доступа и шифрование трафика

Первоначально беспроводные сети работали в открытом режиме, потом появился WEP (Wired Equivalent Privacy, который впоследствии оказался весьма ненадежным), потом WPA, WPA2.

Популярный сейчас WPA2-PSK (pre-shared key) использует единственный ключ для всех клиентов сети. Помимо того, что при компрометации злоумышленник получает доступ ко всей сети, такой ключ достаточно сложно менять — нужно перенастроить все клиенты. Тем не менее из-за простоты реализации такой метод защиты применяется в домашних сетях и малом бизнесе.

До появления WiFi 6 c WPA3 самым защищенным считался WPA2 Enterprise с использованием индивидуальных динамических ключей, которые могут периодически обновляться без разрыва соединения. Для организации работы с такими ключами используется сервер авторизации (обычно RADIUS).

В Nebula для точек AX появилась функция Dynamic Personal Pre-Shared Key (DPPSK) — усовершенствованная аутентификация через облако, позволяющая использовать разные пароли (PSK) для каждого клиента. Можно указать срок действия для каждого пароля, что позволяет гибко управлять доступом к сети WiFi для большого числа устройств.

Что нового в WiFi 6?

Точки доступа с поддержкой WiFi 6, и соответственно, более безопасных технологий WPA3 уже доступны для потребителя. Например, у Zyxel выпущена линейка точек доступа бизнес-класса Unified Pro.

Точки доступа Unified Pro Zyxel WAX510D, Unified Pro Zyxel WAX650S, Unified Pro Zyxel NWA110AX поддерживают стандарт 802.11ax (Wi-Fi 6) и управление из облака Nebula, что позволяет применять их для повышения уровня безопасности и скорости работы сети.


Рисунок 2. Точки доступа Unified Pro Zyxel WAX650S и Unified Pro Zyxel WAX510D.

Ниже мы рассмотрим самые важные нововведения, которые появились в стандарте 802.11ax (WiFi 6).

WPA3-Enterprise 192-bit mode

Улучшения в криптографии в первую очередь затронули именно WPA3-Enterprise — это действительно более стойкий и переработанный стандарт.

Для повышения уровня безопасности, WPA3-Enterprise использует:

  • 256-битный протокол Galois/Counter Mode — для шифрования,
  • 384-битный Hashed Message Authentication Mode — для создания и подтверждения ключей;
  • алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm — для аутентификации ключей.

В WPA3-Enterprise применяются следующие комбинации шифров, используемых для согласования настроек безопасности во время рукопожатия SSL / TLS:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, EC DH/DSA условно-безопасная NIST P-384;
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, EC DH/DSA условно-безопасная NIST P-384, RSA от 3072 бит;
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 — «облегченный» режим, без EC, RSA от 3072 бит, DH-группа 15.

WPA3-Personal на смену WPA2-PSK

В качестве замены Pre-Shared Key, о проблемах которого уже сказано выше, в WPA3 используется метод аутентификации SAE, (стандарт IEEE 802.11-2016)

При подключении и идентификации используется метод dragonfly handshake, с применением криптографической защиты для предотвращения кражи пароля.

SAE предоставляет защиту от атаки с переустановкой ключа (Key Reinstallation Attacks, KRACK ), а также от наиболее распространённых offline атак по словарю, когда компьютер перебирает множество паролей, чтобы подобрать подходящий для расшифровки информации, полученной во время PSK-соединений.

В SAE также добавлена дополнительная функция forward secrecy, повышающая уровень безопасности. Предположим, злоумышленник получил возможность сохранить зашифрованные данные, которые маршрутизатор транслирует в Интернет или локальную сеть, чтобы после подбора пароля расшифровать их. При переходе на SAE шифрующий пароль меняется при каждом новом соединении, поэтому злоумышленник получит только пароль от данных, переданных после вторжения.

Enhanced Open — защита открытых сетей

Это отдельный протокол, разработанный для защиты соединений в открытой сети. Под открытыми сетями на данный момент понимаются сети, когда не требуется предварительная аутентификация, например по ключу (паролю), который в дальнейшем используются как ключ для шифрования.

В Enhanced Open применяется свой метод защиты от перехвата трафика — Opportunistic Wireless Encryption, OWE, описанный в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Также обеспечивается защита от метода unsophisticated packet injection, когда злоумышленник препятствует работе сети через передачу специальных пакетов данных.

Рекомендуемая сфера применения Enhanced Open — защита гостевых и публичных сетей от пассивного прослушивания.

Читайте также: