Межсетевой экран (файрвол, брандмауэр)

Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

1. Запрещать все, что не разрешено в явной форме;

2. Разрешать все, что не запрещено в явной форме.

Классификация межсетевых экранов. Все межсетевые экраны можно условно разделить категории (технологии) в соответствии с теми уровнями модели OSI, на которых они работают:

- пакетный фильтр (packet filter);

- шлюз сеансового уровня (circuit-level gateway);

- шлюз прикладного уровня (application-level gateway).

- проверка пакетов с фиксацией состояния (Stateful Packet Inspection) SPI -брандмауэры.

Их можно рассматривать как базовые компоненты межсетевых экранов. Только некоторые межсетевые экраны состоят из олного из перечисленных компонент.

В настоящее время все выпускаемые межсетевые экраны можно классифицировать по следующим основным признакам:

- по исполнению: аппаратно-программный, программный;

- по схеме подключения: схема единой защиты сети, схема с защищаемым закрытым и не защищаемым открытым сегментами сети, схема с раздельной защитой закрытого и открытого сегментов сети.

Шлюзы прикладного уровня. Термин шлюз прикладного уровня (application gateway) практически является синонимом терминов бастионный хост (bastion host), прокси-шлюз (proxy gateway) и прокси-сервер (proxy server) поскольку все они описывают тот же самый метод защиты периметра.

Шлюзы прикладного уровня имеют ряд преимуществ:

- невидимость структуры защищаемой сети из глобальной сети Интернет;

- надежная аутентификация и регистрация;

- приемлемое соотношение цены и эффективности; простые правила фильтрации;

- возможность организации большого числа проверок.

Недостатки шлюзов уровня приложений:

- относительно низкая производительность по сравнению с фильтрующими маршрутизаторами;

- более высокая стоимость по сравнению с фильтрующими маршрутизаторами;

- шлюзы прикладного уровня укрепляют защиту, но уязвимы в случае некоторых атак на средства безопасности.

SPI-брандмауэры. Межсетевые экраны типа Stateful Packet Inspection (SPI) объединяют в себе преимущества пакетных фильтров, шлюзов сеансового уровня и шлюзов прикладного уровня. Фактически это многоуровневые межсетевые экраны, которые работают одновременно на сетевом, сеансовом и прикладном уровнях.

SPI-брандмауэры имеют перед технологией фильтрации пакетов существенные преимущества:

- таблица подключений значительно уменьшает вероятность подделки IP-адреса отправителя на схеме внутренних IP-адресов атакуемой сети (spoofing);

- предотвращает маскировку пакетов под часть уже установленного соединения;

- способность исследовать содержимое пакетов некоторых типов и организовать проверку правильности передаваемых команд.

Виртуальные частные сети (VPN)

Необходимо использовать шифрованные туннели VPN. К недостаткам VPN можно отнести:

- относительную сложность развертывания;

- дополнительные расходы на ключи аутентификации;

- увеличение пропускной способности интернет канала;

- ключи аутентификации могут быть скомпрометированы.

Системы обнаружения и предотвращения вторжений (IDS, IPS)

Система обнаружения вторжений (IDS - Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой.

По способу реагирования различают:

- пассивные IDS;

По способу выявления атаки различают системы:

- signature-based;

- anomaly-based.

По способу сбора информации об атаке:

- network-based, NIDS (Network Intrusion Detection Systems);

- host-based, (Host Intrusion Detection Systems, HIDS);

- application-based.

 

Система предотвращения вторжений (IPS - Intrusion Prevention System) - программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения.

Антивирусная защита

Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Антивирусные пакеты предлагают комплексные варианты защиты.

Белые списки

Два основных подхода к информационной безопасности:

- в ОС по умолчанию разрешен запуск любых приложений, если они ранее не внесены в «черный список»;

- разрешен запуск только тех программ, которые заранее были внесены в «белый список», а все остальные программы по умолчанию блокируются.

Фильтрация спама

Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Задача ИТ-отдела компании - отфильтровать максимальное количество спама из общего потока электронной почты.

Основные способы фильтрации спама:

- специализированные поставщики сервисов фильтрации спама;

- ПО для фильтрации спама на собственных почтовых серверах;

- специализированные хардварные решения, развернутые в корпоративном дата-центре.