Способы защиты в компьютерной сети

Обновлено: 07.07.2024

Интернет можно по праву назвать главным символом 21-го века. Глобальная Сеть стала Всемирной, не только охватив своей паутиной все континенты и страны, но и проникнув в каждую сферу жизни. Через Интернет решаются вопросы, начиная от заказа пиццы в ближайшем кафе, заканчивая многомиллионными сделками.

Такая территория очень быстро стала привлекать мошенников. Поэтому встаёт вопрос об информационной безопасности.

Определение информационной безопасности

Информационная безопасность – это набор технологий, стандартов и административных практик, необходимых для защиты данных.

Другими словами, информационная безопасность представляет собой сохранение, защиту информации и ее наиболее важных элементов, включая системы и устройства, которые позволяют использовать, хранить и передавать эту информацию.

Угрозы безопасности информационных систем

Возможные дыры в информационной безопасности могут возникнуть с двух направлений:

Внешняя угроза

  • Люди. Доступ к конфиденциальным данным случайно или преднамеренно получают пользователи внешней сети. Это могут быть и сотрудники компании, и злоумышленники.
  • Форс-мажорные обстоятельства. Например, стихийные бедствия.

Внутренняя угроза

  • Технические факторы. Из-за ошибки программирования может произойти сбой оборудовании или отключение электроснабжения, оставляет возможность проникновения в сеть.

Риски при использовании незащищенного интернета

Конфиденциальными данными можно распорядиться по-разному:

  • Кража информации.
    • Украсть для корыстных целей– к примеру, для последующей перепродажи.
    • Конфиденциальная информация может быть использована для шантажа или вымогательства (вирус «Петя»).

    Как мы видим, риски для ведения бизнеса значительны. Бизнес сам по себе подразумевает высокий риск. Но те угрозы, которые можно устранить, нужно устранить, пока они не пустили на дно до этого уверенно идущий в водах предпринимательства флагман.

    Кому необходима защита информации

    Если кратко отвечать на этот вопрос, то всем.

    В случае с юр. лицами (фирмами и компаниями) защита крайне необходима. Успешная компания всегда на виду, и масштаб трагедии при потере данных идет на сотни миллионов.

    Физическим лицам также требуется защищать свою информацию. Получение конфиденциальных данных может вылиться в проблемы. Варианты ущерба различны: от потери репутации до получения чужих кредитов.

    Основные методы и средства защиты информации в Сети

    В крупных компаниях есть специальный отдел, который занимается техническим обслуживанием аппаратуры, защитой от внешнего проникновения.

    Средний же и малый бизнес обычно обращается за помощью к профессионалам либо покупает уже готовый, специально для них разработанный продукт.

    Можно выделить такие средства защиты:

    1. Программные и технические.
    2. Административные и законодательные.
    3. Смешанные.

    Разумеется, третий вариант предпочтительнее, так как он комплексно включает в себя составляющие из первых двух.

    Программные средства защиты

    • Использование антивирусов. В их задачу входит нахождение, удаление либо же изоляция программ, которые определяются, как вредоносные.
    • Применение «песочниц». Это инструменты для работы с сомнительными приложениями в виртуальном пространстве.
    • Использование брандмауэров. Такие программы предназначены для слежения за траффиком. В их задачу входит сообщить, если на компьютер начинают поступать непонятные сигналы из непроверенных источников.
    • Применение DLP- и SIEM-систем. Это внутренняя защита от недобросовестных сотрудников. В первом случае программа не даёт копировать информацию на сторонние носители, например, флэшку; вторая отслеживает запросы к базе данных и сообщает, если считает ситуацию подозрительной. Например, запросы не типичные или слишком частые.

    Это только основные типы существующих на сегодняшний день программных средств защиты. На самом деле их гораздо больше, они возникают ежегодно, как и новые угрозы. IT-сфера развивается очень динамично.

    Административные средства защиты

    1. Проведение инструктажа среди сотрудников. Необходимо создать свод правил, нарушение которых ведет к штрафу.
    2. Составление официальных договоров о неразглашении. Сотрудники должны понимать, что на них лежит большая ответственность.
    3. Создание системы степеней доступа. Каждый работник должен иметь собственный аккаунт и пароль. Доступ к конфиденциальной информации должны иметь только те, кому она совершенно необходима для работы. Современное ПО позволяет со 100%-й вероятностью вычислить, с какого конкретно компьютера произошёл взлом или утечка информации.
    4. Оптимизация работы отдела кадров. На этапе собеседования стоит качественно отбирать сотрудников.

    Кроме того, существуют аппаратные методы и средства защиты информации в Интернете. Они представляют собой переходный этап между программными и физическими средствами. Чаще всего, это всё-таки существующее в реальности устройство. К примеру, генераторы шума, предназначенные для шифрования данных и маскировки беспроводных каналов.

    Эффективные методы программных средств

    Здесь подразумевается обычно криптография (шифрование посредством алгоритма или устройства, которое проводит операцию автоматически). Шифровать информацию можно десятками различных методов – от перестановки до гаммирования.

    Метод подстановки достаточно простой. Просто исходный алфавит (русский или английский) заменяется альтернативным. В случае с перестановкой используются также цифровые ключи.

    Высшую степень защиты обеспечивает гаммирование. Но для такой криптографической работы потребуется специалист высокого уровня, что не может не сказаться на стоимости услуги.

    Дополнительной системой безопасности может стать создание специальной электронной, цифровой подписи.

    Выводы

    Несмотря на существенные угрозы, исходящие из интернета, реально создать эффективно работающую систему безопасности. Первое что нужно сделать провести ит-аудит безопасности данных, подключить программы на пк, позволяющие сохранить конфиденциальную и любую другую важную для бизнеса или частной жизни информацию. Технических средств и методик более чем достаточно, также можно обеспечить своей компании мониторинг IT-инфраструктуры. Весь вопрос – в желании и возможности их применять.

    Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.

    Безопасность информационной системы - это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.

    Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации.

    Известны следующие источники угроз безопасности информационных систем:

    В свою очередь антропогенные источники угроз делятся:

    При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем.

    Средства защита информации от несанкционированного доступа

    Получение доступа к ресурсам информационной системы предусматривает выполнение трех процедур: идентификация, аутентификация и авторизация.

    Идентификация - присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов).

    Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным способом аутентификации является присвоение пользователю пароля и хранение его в компьютере.

    Авторизация - проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам.

    Защита информации в компьютерных сетях

    Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны - брандмауэры (firewalls). Экран (firewall) - это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными.

    Криптографическая защита информации

    Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа.

    Извлечь зашифрованную информацию можно только с помощью ключа. Криптография - это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами.

    Электронная цифровая подпись

    Защита информации от компьютерных вирусов

    Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи.

    Обеспечение безопасности в компьютерных сетях – это основное условие защиты конфиденциальных данных от разного рода угроз, таких как шпионаж, уничтожение файлов и прочие несанкционированные действия. Каждый из перечисленных факторов может негативно повлиять на корректное функционирование локальной и глобальной сети, что, в свою очередь, нередко приводит к разглашению или утрате конфиденциальной информации. Одной из распространенных сетевых […]

    Обеспечение безопасности в компьютерных сетях – это основное условие защиты конфиденциальных данных от разного рода угроз, таких как шпионаж, уничтожение файлов и прочие несанкционированные действия.

    Каждый из перечисленных факторов может негативно повлиять на корректное функционирование локальной и глобальной сети, что, в свою очередь, нередко приводит к разглашению или утрате конфиденциальной информации.


    Методы защиты информации

    Одной из распространенных сетевых угроз является несанкционированный доступ извне, причем не только умышленный, но и случайный. Также в данном случае велик риск доступа к информации, составляющей врачебную, коммерческую, банковскую или государственную тайну.

    Следующая неприятность, с которой нередко встречаются пользователи во всем мире – это различные сбои в работе программного обеспечения, в том числе и спровоцированные вирусами, заражающими систему в момент выхода в интернет.

    Некорректная работа офисной техники может быть следствием отсутствия электропитания, а также наличием некоторых проблем в работе сервера, вспомогательных устройств и систем. Нельзя исключать и человеческий фактор, так как неграмотные манипуляции сотрудников предприятия могут причинить немало вреда оргтехнике и содержащейся в ней информации.

    Виды защиты информации

    Прогрессивные методы защиты информации при использовании компьютерных сетей в большинстве своем направлены на предотвращение всевозможных факторов, неизбежно ведущих к утрате или воровству конфиденциальной информации. Современные специалисты в сфере компьютерных технологий выделяют три основные категории такой защиты:

    • установка специального ПО;
    • физические средства;
    • административные мероприятия.

    К эффективным средствам защиты можно отнести администрирование, применение антивирусных программ, СКУД и ИБП, а также грамотное распределение полномочий между сотрудниками. С целью предотвращения несанкционированного доступа к секретным файлам применяют криптографические методы защиты, подразумевающие шифрование содержимого файлов при помощи электронных ключей.

    Правила обеспечения защиты

    Средства безопасности компьютерной сети

    Согласно многолетним исследованиям, более половины нарушений в работе сети сопряжено с неисправностями сетевого кабеля и соединительных элементов, причиной которых может быть обрыв проводов, их механическое повреждение или замыкание. Также не стоит забывать об электромагнитном излучении, провоцируемом бытовыми приборами, которое доставляет пользователем немало проблем.

    Как правило, для установки причины и места поврежденного кабеля используют специальные сканеры, функционирование которых основано на подаче электрических импульсов с последующим контролем отраженного сигнала. Современные системы сканирования позволяют задавать номинальные параметры распространения сигнала и выводят результаты диагностики на периферийные устройства.

    Следующей надежной мерой, препятствующей потере важной информации из-за перебоев в подаче электроэнергии, является установка ИБП, который подбирается с учетом технических требований и стандартов. Грамотно подобранное устройство способно обеспечить на определенное время питание локальной сети или отдельного оборудования.

    К средствам физической защиты относят систему архивирования и размножения информации. Для крупномасштабных корпоративных сетей рекомендовано организовывать отдельный архивационный сервер.

    Разумеется, наиболее надежными считаются комплексные способы защиты компьютерных сетей, сочетающие в себе набор мер безопасности, и чем их больше, тем лучше. В данном случае специалисты наряду с обеспечением стандартных решений разрабатывают специальные планы действий на случай возникновения нештатных ситуаций.

    Помимо прочего, руководителям предприятий рекомендовано четко разделять полномочия сотрудников с обязательным контролем доступа подчиненных к техническим средствам. Нужно помнить о том, что в современном мире кибератаки принимают угрожающие масштабы, и только серьезный подход к организации надлежащих мер безопасности позволит защитить конфиденциальную информацию от преступного посягательства, влекущего за собой имиджевые и финансовые потери предприятия.




    Seal

    Чтобы наладить файлообмен без применения дополнительных носителей информации, достаточно создать локальную сеть между двумя компьютерами. После выполнения данной процедуры передача данных будет осуществляться гораздо быстрее и безопаснее, нежели это происходит посредством электронной почты. Сразу отметим, что наладка сети между компьютерами и/или ноутбуками создается по одному и тому же сценарию. Далее мы расскажем, как сделать локальную […]

    Практически постоянно перед корпоративными пользователями ПК в процессе работы встает задача, как скинуть файлы через локальную сеть, особенно если речь идет о папках большого объема. В настоящее время абсолютно все операционные системы обеспечивают доступ к персональным данным. Однако это небезопасно, так как любой участник сети имеет доступ к информации, которая может быть случайно или намеренно […]

    Установка мини-АТС открывает перед пользователями широкий спектр возможностей, в том числе и постоянный контроль над работой системы, ведение отчетности по исходящим и входящим звонкам, и, что немаловажно, минимизацию расходов на услуги офисной связи. Основное назначение АТС, которая согласно классификации может быть аналоговой или цифровой, состоит в коммутации сигналов, а также передаче данных между абонентами. К […]

    В век компьютерных технологий, пожалуй, не осталось ни единой сферы жизнедеятельности человека, где бы не применялась электронная вычислительная техника. Нет смысла перечислять угрозы и риски, спровоцированные неполадками компьютера, они весьма существенны, а в некоторых случаях и вовсе катастрофичны. Лучше остановимся на мерах, уберегающих сложную систему от поломок и сбоев. Отдельные пользователи и корпоративные клиенты зачастую […]

    Эволюционные процессы, которые в первую очередь коснулись компьютерных технологий, привели к появлению нескольких типов вычислительных сетей, подразумевающих совокупность компьютерных устройств, объединенных в одну систему. Основным назначением такой системы является доступ пользователей к совместным ресурсам и возможность обмена данными между абонентами в процессе работы. Практически все предприятия, функционирующие в современных реалиях, организовывают свою работу при помощи […]


    К омпьютерная сеть – самый распространенный на сегодня способ общения и обмена информацией. Всемирная паутина хранит гигабайты персональной информации о своих пользователях. А ПК и сервера в локальной сети – внутреннюю информацию компании. Эти данные нуждаются в защите от постороннего вмешательства.

    Что такое информационная безопасность

    Уровень защиты сетевых операционных систем позволяет сохранять данные, противостоять угрозам и атакам, несанкционированному доступу в сеть. Тем не менее говорить об исключительной, универсальной системе средств защиты информации не приходится. Возникают ситуации, когда она дает сбой, и устройства оказываются уязвимыми для проникновения.

    Информационная безопасность заключается в обеспечении ряда факторов:

    • защищенности сведений от неавторизованного создания, частичной или полной потери;
    • конфиденциальности;
    • гарантии доступа для авторизованных пользователей.

    В отдельных областях (банковской, финансовой, государственном управлении, оборонной и правоохранительной) требуется создание дополнительной, более надежной, системы обеспечения безопасности информации.

    Защита информации в информационных сетях

    Создаваемые масштабные компьютерные линии – локальные, корпоративные, телекоммуникационные – ставят задачу взаимодействия большого количества компьютеров, серверов, сетей и подсетей. Создается проблема определения наиболее эффективного метода защиты информации.

    Системная топология, основанная на расположении межкомпьютерных связей, остается главным компонентом всех локальных и корпоративных сетей. Безопасность данных в компьютерных сетях достигается путем обработки критической информации. Этим термином обозначаются факторы, способствующие эффективному управлению основными структурными элементами сети и максимально полному выполнению стратегических задач любого уровня секретности (для личного, служебного пользования, коммерческая тайна либо интеллектуальная собственность физического или юридического лица).

    Уязвимость большинства информационных сетей связана с кабельной системой. Есть данные, что именно она становится причиной сбоев и нарушений функционирования. Это необходимо учитывать уже на стадии проектирования сетевых связей.

    Широкое распространение получили так называемые структурированные системы кабелей. Принцип их устройства – наличие однотипных проводов для передачи всех видов информации (цифровой, телефонной, видео, сигналов систем охраны).

    Структурированность заключается в возможности разделить всю систему кабелей на ряд уровней по их назначению и наличию различных компонентов: внешней, администрирующей, аппаратной, магистральной, горизонтальной подсистем.

    Основные проблемы в процессе защиты материалов

    Решая вопрос защиты информации в корпоративных сетях, стоит обратить внимание на возможные перебои и нарушения в процессе доступа, способные уничтожить или исказить сведения.

    Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов:

    1. Нарушения работы системного оборудования: разрыв кабелей, перебои в электропитании, сбой в дисковой системе, нарушения функционирования серверов, сетевых карт, рабочих станций, системы архивации.

    2. Уничтожение данных вследствие некорректной работы программного обеспечения: ошибки системы, заражение компьютерными вирусами.

    3. Следствие несанкционированного доступа: пиратское копирование, устранение или фальсификация данных, работа посторонних с секретными материалами.

    4. Неграмотное сохранение архивов.

    5. Ошибки технического штата и пользователей сетевого ресурса: случайное искажение либо уничтожение информации, некорректное пользование программными продуктами.

    В каждом из перечисленных случаев требуется устранить нарушения и усилить систему безопасности компьютерной сети.

    Какими средствами можно защитить информацию

    Как показывает практика, неавторизованные пользователи либо программные продукты вирусного типа могут получить доступ даже к защищенным сетевым ресурсам. Для этого они должны иметь определенный опыт в сфере сетевого или системного программирования и желание подключиться к определенным файлам.

    Для полной конфиденциальности разработаны дополнительные средства защиты информации:

    • Аппаратные (антивирусные программы, брандмауэры, сетевые экраны и фильтры, устройства шифрования протоколов).
    • Программные (сетевой мониторинг, архивация данных, криптография, идентификация и аутентификация пользователя, управление доступом, протокол и аудит).
    • Административные (ограничение доступа в помещения, разработка планов действий при ЧС и стратегии безопасности компании).

    Любые из этих способов способны ограничить доступ вредоносных программ и файлов или полностью отказать в нем. Задача системных администраторов – выбрать наиболее актуальные. Для надежности барьера часто используют комбинацию нескольких видов защитных средств.

    Архивирование и дублирование информации

    Сохранить информацию в сети способна грамотная и надежная система архивации данных. Если сеть невелика, система архивации устанавливается в свободный слот сервера. Большие корпоративные сети лучше оснастить отдельным архивирующим сервером.

    Такое устройство архивирует данные в автоматическом режиме и с заданной периодичностью представляет отчет. При этом управлять процессом резервного копирования можно, используя консоль системного администратора.

    Возможно использование установки на архивирование сведений в связи с отсутствием на жестком диске какого-то количества свободного места или по причине сбоя «зеркального» диска сервера. Эта функция может быть подключена также в автоматическом режиме.
    Как поставить барьер для вирусов

    Распространение компьютерных вирусов в информационных сетях происходит с невероятной скоростью. Тысячи уже известных вредоносных программ регулярно пополняются сотнями новых. Самые доступные средства борьбы с ними – антивирусные программы.

    Подобные программные пакеты способны перекрыть доступ к информации и решить проблему с зараженными файлами. Оптимальным для сохранения системных сведений будет использование комбинации программного и аппаратного барьера. Чаще всего это специализированные платы для борьбы с вирусами.

    Защита данных от несанкционированного доступа

    Вопрос защиты информации в компьютерной системе от неразрешенного входа связан с широким охватом информационного пространства глобальными телекоммуникационными сетями. Простейшие ошибки самих пользователей наносят более ощутимый вред, чем сбой в системе или поломка оборудования. Для предотвращения подобных ситуаций стоит разграничить пользовательские полномочия.

    С этой целью используются встроенные программы операционных систем сети. Каналов утечки данных и возможностей несанкционированного входа десятки. Наиболее распространенные:

    В целях полноценной защиты информации рекомендуется использовать целый ряд организационных и технических методов.

    Организационные мероприятия заключаются, прежде всего, в ограничении доступности зданий и офисов, где проводится работа с информацией. Взаимодействовать с ней имеют право только аттестованные и проверенные специалисты. Все носители информации, журналы регистрации и учета необходимо хранить в закрытых сейфах. Стоит исключить возможность просмотра материалов посторонними через мониторы или принтеры. При передаче секретных сведений по каналам связи лучше использовать криптографическое кодирование. И, наконец, нужно следить за тем, чтобы все отработанные устройства и носители, содержащие ценные данные, были вовремя уничтожены.

    К организационно-техническим средствам защиты можно отнести устройство независимого блока питания для системы обработки ценных файлов, оснащение входных дверей кодовыми замками и использование ЖК или плазменных дисплеев с высокочастотным излучением электромагнитных импульсов. Кроме того, отправляя оргтехнику в ремонт, нужно стереть все имеющиеся данные. Помещения, в которых происходит работа с секретными материалами, рекомендуется оборудовать стальными экранами.

    Технические защитные средства включают в себя установку системы охраны операционных залов и организацию работы контрольно-пропускных пунктов. Нужно обеспечить контроль за возможностью проникновения в память ЭВМ, а также блокировку сведений и использование ключей.

    Архитектура программного оборудования заключается в жестком контроле безопасности при вхождении в систему, регистрации в специальных книгах, контроле действий пользователей. Требуется установка системы реагирования (в том числе и звуковой) на проникновение в корпоративную сеть.

    Для надежности систему безопасности и защиты данных необходимо регулярно тестировать, проверять готовность и работу всех ее элементов. Большое значение имеет и фиксация всех манипуляций, имеющих хоть какое-то отношение к системной защите.

    Механизмы достижения гарантированной безопасности

    На сегодня разработаны и с успехом применяются различные методы защиты сведений. Самые актуальные и доступные из них:

    1. Использование криптографии. Это применение шифра, позволяющего изменять содержимое файла, делая его нечитаемым. Узнать содержание возможно только посредством использования специальных ключей или паролей.

    Для создания шифровки используются два взаимосвязанных понятия: алгоритм и ключ. Первое задает способ кодировки, второе помогает интерпретировать послание. Это просто и доступно без больших финансовых вложений. Один алгоритм может использоваться с несколькими ключами для разных получателей. К тому же при утрате секретности ключи можно сразу сменить, не нарушая алгоритма. Безопасность в таком случае связана только с ключами.

    Для достижения большего эффекта кодовые ключи можно делать длинными и сложными. Схемы шифровки две: симметричная (один ключ для отправителя и получателя) и асимметричная (ключ открытого доступа).

    2. Применение электронно-цифровой подписи (ЭЦП). Она подтверждает личность отправителя, создается при помощи его личного ключа. Дополнительная степень сохранности ЭЦП – уникальный номер владельца.

    3. Аутентификация пользователей. Пожалуй, основной способ защиты данных в сети. Для получения доступа к ресурсу пользователь должен подтвердить это право. Соответствующий сервер принимает запрос на использование ресурса и пересылает его серверу, отвечающему за аутентификацию. Только после получения положительного результата доступ будет открыт.

    Одна из версий подтверждения личности – использование пароля. Это может быть любое секретное слово, которое вводится в начале работы с системой. В особых случаях сервер может запросить новый пароль на выходе. Причем они могут быть разными.

    Брешь возможна, если секретным словом завладеет кто-то другой. Для предотвращения подобного пароли лучше делать разовыми. Даже перехваченное кодовое слово будет бесполезным при следующем сеансе. Генерировать пароли можно при помощи программ или специальных устройств, вставляемых в слот компьютера.

    4. Защита информации внутри корпоративной сети. Сетевые системы корпораций, как правило, подключены к Всемирной паутине. Это создает дополнительные возможности, но и делает систему безопасности уязвимой. Для защиты материалов во внутренней сети нужны брандмауэры (межсетевые экраны), способные разделить трафик на несколько потоков и обозначить условия обмена данными из одного потока в другой. Брандмауэр анализирует проходящий трафик и, проверяя каждый пакет данных, решает – пропускать его или нет. Для этого формируется алгоритм работы программы, где прописаны правила и порядок прохождения данных.

    Брандмауэры реализуются аппаратными способами (как специализированный физический элемент) либо в виде отдельной программы, установленной на компьютере. Для обеспечения безопасного функционирования межсетевого экрана в систему, отвечающую за его функционал, регулярно вносятся корректировки. Возможности входа для рядовых пользователей в эту программу нет, он доступен только для системного администратора.

    Брандмауэр состоит из нескольких компонентов, в том числе фильтров либо экранирующих устройств для блокирования части трафика. Можно выделить два вида подобных программных элементов:

    • прикладные – блокирующие доступ к отдельным сетевым ресурсам;
    • пакетные – фильтрующие информационные блоки с помощью маршрутизаторов.

    В итоге весь трафик, исходящий из внешней системы во внутреннюю и обратно, проходит через систему брандмауэра. Только данные, соответствующие стратегии обеспечения безопасности, достигают адресата.


    Так же как и в предыдущей статье «Wi-Fi или витая пара — что лучше?», для создания диалога у нас есть два персонажа: консервативно настроенный сетевой администратор, назовем его условно «Сисадмин», привыкший к проводной сети, и новатор, пробующий всё новое и современное, назовем его условно «Гик», который ратует за повсеместное внедрение беспроводных технологий.

    Сисадмин:

    Проводные сети безопаснее беспроводных. Хотя бы потому, что в них гораздо труднее вклиниться, чтобы прочитать трафик.

    В любом случае атака на проводную сеть связана с физическим проникновением или нахождением на достаточно близком расстоянии (например, если получить доступ к коммутационном шкафу бизнес-центра). Как вариант, можно использовать инсайдера, чтобы подключить к сети портативное устройство с целью перехвата пакетов или создания шквала ARP запросов для атаки на коммутатор. Но приблизиться или даже проникнуть за периметр в любом случае необходимо.

    Если проводная сеть спроектировано грамотно и без сомнительной «экономии», то она очень и очень надежна в отличие от беспроводных сетей.

    Гик:

    Это так, если забыть про человеческий фактор.

    Мне не раз приходилось встречать сетевые розетки с активным линком в коридорах офисов. Мало того, такие розетки можно встретить во всевозможных закутках, подсобках и других местах, недоступных для видеонаблюдения. А это серьезная проблема. В такую розетку можно подключить портативное устройство, при помощи которого можно провести те или иные несанкционированные действия с отсылкой результатов, например, по WiFi.

    Разумеется, можно и нужно использовать дополнительные меры защиты, такие как port security с фильтрацией по MAC. Но, во-первых, MAC можно подделать, во-вторых, это уже вторая линия обороны. И даже эту линию обороны многие сетевые администраторы предпочитают не использовать. Потому что хлопотно — нужно поддерживать систему защиты в актуальном состоянии, на это нужно время, которого может просто не быть. Эта проблема часто встречается, когда единственный системный администратора занимается всем подряд: от поддержки бухгалтерии до сетевой безопасности.

    Но даже если все закрыто и безопасно, остается такая замечательная вещь, как коридорные МФУ. Тут вам, пожалуйста, и свободный порт, и MAC на шильдике написан, и даже патчкорд есть готовый. Вполне можно вечером, когда никто не печатает, вставить этот самый патчкорд в своё портативное устройство, рано утром выключить. При этом камеры видеонаблюдения покажут, что человек подходил к МФУ, а для чего подходил и что он там делал — далеко не всегда удается разобрать. Если при этом на камерах видно, что он держал в руках стопку бумаг, то обычно данный факт не вызывает особых подозрений.

    Говорить о проводных сетях, что вот их-то точно никто и никогда не взломает — это неправильно. Другое дело, что для эффективного вмешательства в работу проводных сетей требуется тесный контакт. Проще говоря, кто-то должен подойти и что-то подключить к сети.

    Сисадмин:

    Ну так это перекрывает всё. В случае с беспроводной сетью злоумышленник может действовать на расстоянии. И это является чуть ли не решающим фактором!

    Гик:

    Не всё так однозначно. Трафик по кабелю внутри периметра сети обычно передается в открытом виде. В этом случае если незаконное подключение всё же состоялось, дела обстоят едва ли не хуже, чем в случае доступа по WiFi. Да, можно использовать VLAN, списки доступа ACL, но те же самые механизмы доступны и в беспроводных сетях. В организациях с высоким уровнем секретности применяются дополнительные меры защиты, например, VPN соединение от каждого рабочего места пользователя до центрального узла (сервера). Но в обычной жизни рядового офиса такие строгости встречаются далеко не так часто. Кстати, VPN внутри локальной сети можно применять и для беспроводных сетей.

    Если в офисе есть переговорная, в которой проводятся и совещания с сотрудниками, и переговоры с партнерами, то необходимо каждый раз для каждого порта (розетки) прописывать на все устройства разрешения в port security. Представьте, пришли на переговоры важные люди, а их просят предъявить ноутбуки, чтобы сетевой администратор смог разрешить доступ с MAC адресов. В итоге каждый раз прописывать новый порт на коммутаторе будет весьма хлопотно. Отключить port security и ACL — это создать брешь в сети. Вот так и приходится жить между двух огней.

    В то же время, данную проблему можно легко решить, если сделать гостевой WiFi.

    Сисадмин:

    Это не совсем так. В случае с коммутатором соединяются только два порта. В управляемых коммутаторах можно настроить зеркалирование порта, но для этого нужно получить доступ к управлению.

    А беспроводные сети больше напоминают Ethernet-HUB, когда все устройства слушают один канал, трафик передается сразу по всем направлениям и сами клиенты сети решают, нужен им этот пакет или нет.

    Поэтому основная и чуть ли не единственная эффективная защита WiFi — это шифрование трафика.

    Гик:

    Вот мы и выявили два основных «первородных греха» беспроводных соединений: возможность бесконтактного доступа (ради этого они и создавались) и принцип вещания, когда пакет передается в эфир, и устройства сами определяют, принимать пакет или нет.

    Как решается проблемы с безопасностью WiFI

    Как известно, абсолютной защиты не бывает, как не бывает идеальных взломов. Основной принцип борьбы заключается в том, чтобы максимально затруднить проведение атаки, сделав результат нерентабельным по отношению к затраченным усилиям.

    Поэтому даже когда применяются высоконадежные методы защиты, рекомендуется не игнорировать дополнительные меры (даже самые простые!) в качестве «защиты от дурака».

    Какими средствами мы располагаем?

    Чтобы избежать путаницы, имеет смысл разделить все имеющиеся возможности и средства на две группы:

    • технологии прямой защиты трафика, такие как шифрование или фильтрация по MAC адресу;
    • технологии, изначально предназначенные для других целей, например, для повышения скорости, но при этом косвенным образом усложняющие жизнь злоумышленнику.

    Ниже в этой статье мы рассмотрим методы защиты из первой группы. Постараемся уделить внимание и широко известным технологиям, и новинкам, которые появились в более позднее время.

    Скрытие имени WiFi сети

    Нехитрый способ — убрать из всеобщего обозрения имя (SSID) своей WiFi сети. На самом деле функция Hide SSID ничего не прячет, а просто перестает открыто оповещать потенциальных клиентов о наличии сети с данным именем. По идее, теперь подключиться будет возможно, если знать имя сети, тип шифрования и пароль.

    При скрытом SSID, в открытый доступ все равно транслируется другой идентификатор — BSSID (Basic Service Set Identifie). Поэтому сканеры сетей WiFi могут без особого труда определить нужные параметры. Однако необходимость приложить дополнительные усилия для обнаружения скрытых WiFi сетей в разы снижает активность любопытных глаз и шаловливых рук.

    Фильтрация по MAC

    Ещё один «замочек от честных людей». Основан на применении списков доступа (Access Control List, ACL). Чем-то напоминает port security для проводных сетей. Но в беспроводных сетях для защиты от слежения за устройствами (чтобы злоумышленники не могли получить точные данные о реальных клиентах сети) зачастую используется подстановка MAC адресов. Поэтому данный способ годится только для внутреннего периметра сети и требует отключить функцию подстановки MAC на устройствах (как вариант — жестко прописать в настройках разрешенные MAC адрес и имя хоста). Для партнеров, клиентов и других посетителей офиса в этом случае рекомендуется сделать гостевую сеть WiFi. Впрочем, даже такой незатейливый метод ограничения доступа способен снизить число потенциальных нарушителей.

    Охота на Rogue AP

    Rogue AP — это чужие точки доступа, которые не подконтрольны сетевому администратору. Например, это может быть точка доступа, которую использует злоумышленник для перехвата паролей и другой секретной информации, когда клиенты корпоративной сети по ошибке пытаются к ней подключиться и передать учетные данные.

    Большинство точек доступа компании Zyxel имеют встроенную функцию сканирования радиоэфира с целью выявления посторонних точек.

    Дополнительные функции защиты

    Если у злоумышленника не получается вплотную приблизиться к периметру сети, он может попытать использовать точки доступа из соседней сети, например, из другого офиса, в качестве плацдарма для атаки.

    Если в качестве контроллера точек доступа используется межсетевой экран, то побороться с этим вполне возможно. Используя методы аутентификации WPA/WPA2-Enterprise, различные реализации Extensible Authentication Protocol (EAP) и встроенный межсетевой экран, маршрутизатор с контроллером беспроводной сети не только находит неавторизованные точки доступа, но и блокирует подозрительные действия в корпоративной сети, которые с большой долей вероятности несут в себе злой умысел.

    В качестве примера такого борца с нарушителями можно назвать маршрутизатор USG FLEX 100.


    Рисунок 1. Внешний вид маршрутизатора USG FLEX 100.

    Использование ключей для доступа и шифрование трафика

    Первоначально беспроводные сети работали в открытом режиме, потом появился WEP (Wired Equivalent Privacy, который впоследствии оказался весьма ненадежным), потом WPA, WPA2.

    Популярный сейчас WPA2-PSK (pre-shared key) использует единственный ключ для всех клиентов сети. Помимо того, что при компрометации злоумышленник получает доступ ко всей сети, такой ключ достаточно сложно менять — нужно перенастроить все клиенты. Тем не менее из-за простоты реализации такой метод защиты применяется в домашних сетях и малом бизнесе.

    До появления WiFi 6 c WPA3 самым защищенным считался WPA2 Enterprise с использованием индивидуальных динамических ключей, которые могут периодически обновляться без разрыва соединения. Для организации работы с такими ключами используется сервер авторизации (обычно RADIUS).

    В Nebula для точек AX появилась функция Dynamic Personal Pre-Shared Key (DPPSK) — усовершенствованная аутентификация через облако, позволяющая использовать разные пароли (PSK) для каждого клиента. Можно указать срок действия для каждого пароля, что позволяет гибко управлять доступом к сети WiFi для большого числа устройств.

    Что нового в WiFi 6?

    Точки доступа с поддержкой WiFi 6, и соответственно, более безопасных технологий WPA3 уже доступны для потребителя. Например, у Zyxel выпущена линейка точек доступа бизнес-класса Unified Pro.

    Точки доступа Unified Pro Zyxel WAX510D, Unified Pro Zyxel WAX650S, Unified Pro Zyxel NWA110AX поддерживают стандарт 802.11ax (Wi-Fi 6) и управление из облака Nebula, что позволяет применять их для повышения уровня безопасности и скорости работы сети.


    Рисунок 2. Точки доступа Unified Pro Zyxel WAX650S и Unified Pro Zyxel WAX510D.

    Ниже мы рассмотрим самые важные нововведения, которые появились в стандарте 802.11ax (WiFi 6).

    WPA3-Enterprise 192-bit mode

    Улучшения в криптографии в первую очередь затронули именно WPA3-Enterprise — это действительно более стойкий и переработанный стандарт.

    Для повышения уровня безопасности, WPA3-Enterprise использует:

    • 256-битный протокол Galois/Counter Mode — для шифрования,
    • 384-битный Hashed Message Authentication Mode — для создания и подтверждения ключей;
    • алгоритмы Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm — для аутентификации ключей.

    В WPA3-Enterprise применяются следующие комбинации шифров, используемых для согласования настроек безопасности во время рукопожатия SSL / TLS:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, EC DH/DSA условно-безопасная NIST P-384;
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, EC DH/DSA условно-безопасная NIST P-384, RSA от 3072 бит;
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 — «облегченный» режим, без EC, RSA от 3072 бит, DH-группа 15.

    WPA3-Personal на смену WPA2-PSK

    В качестве замены Pre-Shared Key, о проблемах которого уже сказано выше, в WPA3 используется метод аутентификации SAE, (стандарт IEEE 802.11-2016)

    При подключении и идентификации используется метод dragonfly handshake, с применением криптографической защиты для предотвращения кражи пароля.

    SAE предоставляет защиту от атаки с переустановкой ключа (Key Reinstallation Attacks, KRACK ), а также от наиболее распространённых offline атак по словарю, когда компьютер перебирает множество паролей, чтобы подобрать подходящий для расшифровки информации, полученной во время PSK-соединений.

    В SAE также добавлена дополнительная функция forward secrecy, повышающая уровень безопасности. Предположим, злоумышленник получил возможность сохранить зашифрованные данные, которые маршрутизатор транслирует в Интернет или локальную сеть, чтобы после подбора пароля расшифровать их. При переходе на SAE шифрующий пароль меняется при каждом новом соединении, поэтому злоумышленник получит только пароль от данных, переданных после вторжения.

    Enhanced Open — защита открытых сетей

    Это отдельный протокол, разработанный для защиты соединений в открытой сети. Под открытыми сетями на данный момент понимаются сети, когда не требуется предварительная аутентификация, например по ключу (паролю), который в дальнейшем используются как ключ для шифрования.

    В Enhanced Open применяется свой метод защиты от перехвата трафика — Opportunistic Wireless Encryption, OWE, описанный в стандарте Internet Engineering Task Force RFC 8110, чтобы защищаться от пассивного подслушивания. Также обеспечивается защита от метода unsophisticated packet injection, когда злоумышленник препятствует работе сети через передачу специальных пакетов данных.

    Рекомендуемая сфера применения Enhanced Open — защита гостевых и публичных сетей от пассивного прослушивания.

    Читайте также: