Что такое сетевой периметр
Сетевой периметр и его назначение
n Все аппаратно – программные средства, протоколы и интерфейсы, являющиеся входными и выходными «воротами» (прямыми и косвенными) корпоративных сетей для взаимодействия с другими аналогичными или глобальными сетями образует сетевой периметр. Соответственно все аппаратно-программные средства, протоколы и интерфейсы, предназначенные для обеспечения конфиденциальности, целостности и доступности корпоративных информационных ресурсов с учетом всевозможных угроз из сетевого периметра образуют средства обеспечения безопасности этого же периметра.
Периметр – это укрепленная граница вашей сети, которая может включать:
Пограничный маршрутизатор
Маршрутизаторы (routers) можно сравнить с дорожными регулировщиками. Они осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети.
Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.
Автономная система может содержать множество маршрутизаторов, но взаимодействие с другими AS она осуществляет только через один маршрутизатор, называемый пограничным (border gateway, именно он дал название протоколу BGP).
Пограничный маршрутизатор нужен лишь тогда, когда автономная система имеет более одного внешнего канала, в противном случае его функции выполняет порт внешнего подключения (gateway; поддержка внешнего протокола маршрутизации в этом случае не требуется).
Пограничный маршрутизатор сообщает связанным с ним другим пограничным маршрутизаторам, какие сети каких автономных систем достижимы через него. Обмен подобной информацией позволяет пограничным маршрутизаторам занести в таблицу маршрутов записи о сетях, находящихся в других АС. При необходимости эта информация потом распространяется внутри своей автономной системы с помощью протоколов внутренней маршрутизации с тем, чтобы обеспечить внешнюю коннективность своей АС.
65. Брандмауэр, или межсетевой экран
(firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать это трафик по сети или нельзя. Область действия брандмауэра начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов брандмауэров, к которым относятся статические пакетные фильтры (static packet filters), брандмауэры экспертного уровня (stateful-брандмауэры), а также прокси-брандмауэры (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – брандмауэры экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-брандмауэр, например Secure Computing’s Sidewinder. Несмотря на то, что брандмауэры не являются совершенными модулями, они смогут заблокировать все, что мы укажем им блокировать, и разрешить все, что мы им разрешим.
66. IDS (Intrusion Detection System – система обнаружения вторжений) — это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с брандмауэром, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в log-файле. Детекторы IDS могут составлять отчет для центральной базы данных, которая коррелирует поступающую от них информацию.
67. VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть. Вы можете доверять безопасности вашего периметра, однако доверили бы вы безопасность одному из ваших сотрудников, работающему на дому или в номере гостиницы и использующему для связи кабельный модем? Даже если вы доверяете собственным сотрудникам и их защите, можете ли вы доверять защите ваших деловых партнеров, которые для вас являются удаленными пользователями, подключенными в вашу же VPN?
68. Архитектура программного обеспечения
Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Мы могли бы, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части:
n 1. Внешний web-интерфейс, отвечающий за то, в каком виде данное приложение будет представлено пользователю.
n 2. Код приложения, реализующий бизнес-логику приложения.
n 3. Внутренние базы данных, в которых хранятся данные, имеющие отношение к приложению.
n Архитектура программного обеспечения играет существенную роль при обсуждении инфраструктуры безопасности, поскольку основной задачей периметра сети является защита данных, относящихся к приложениям, и сервисов. При организации защиты приложения убедитесь, что архитектура приложения и сеть гармонируют между собой.
69. Демилитаризованные зоны Обычно мы используем термины «демилитаризованная зона» и «экранированные подсети», подразумевая небольшую сеть, содержащую ресурсы общего пользования, подключенные непосредственно к брандмауэру или другому фильтрующему устройству — которые и защищают ее от вторжений извне. DMZ(DeMilitarized Zone – демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Термин DMZ берет свое начало еще со времен войны в Корее. Так называлась закрытая для военных действий полоса земли, расположенная на 38 параллели. DMZ представляет собой незащищенную область между защищенными участками. Если в Корее DMZ оказывалась перед любой линией обороны, то применительно к сетям DMZ размещается перед брандмауэром. Брандмауэр или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему. Запомните следующее: DMZ размещена перед брандмауэром, в то время как экранированная подсеть размещается позади брандмауэра. В контексте нашей книги мы будем твердо придерживаться этих определений.
71.Эшелонированная защита (DefenseinDepth)
Ни одна из концепций не является столь важной при анализе безопасности сети, как эшелонированная, многоуровневая защита; она используется в качестве основы при проектировании и реализации периметра. Принцип эшелонирования поможет защитить ресурсы сети, даже если один из уровней периметра взломан. В конце концов, ни один из уровней защиты не может гарантировать необходимую устойчивость при каждой атаке.
Мы работаем в реальном мире плохо сконфигурированных систем, дефектов в программном обеспечении, недовольных сотрудников и отягощенных заботами системных администраторов. Более того, любой практический проект безопасности нуждается в определенных капиталовложениях, направленных на открытие нескольких портов брандмауэров, на выполнение дополнительных сервисов на сервере или во избежание последующего внесения изменений в систему защиты, поскольку она может повредить важному бизнес-приложению. Попытайтесь рассматривать все компоненты безопасности периметра как части логически последовательной многоуровневой защиты – это поможет вам развернуть их таким образом, чтобы учесть все недостатки и достоинства каждого индивидуального компонента. Естественно, что с учетом требований вашей организации вы можете реализовать не все компоненты, которые рассматриваются в данной главе. Степень эшелонирования уровней защиты зависит от требований и возможностей вашего бизнеса.
Должным образом защитить сеть могут многие компоненты, работающие совместно. Эшелонированная (многослойная, многоуровневая) защита (defenseindepth), представляет собой совокупность уровней таких компонентов, в которой возможности каждого компонента выполняют свои функции должным образом. Эта технология является гибкой в том смысле, что позволяет выбирать компоненты, соблюдая при этом технические ограничения, ограничения бюджета и ограничения в политике, и комбинируя их таким способом, который бы не подверг риску общую безопасность или степень использования сети.
72.Внутренняя сеть
Внутренняя сеть представляет собой сеть, защищенную периметром. Эта сеть содержит все серверы, рабочие станции и ИТ-инфраструктуру, с которой организация ведет свой бизнес.
Как часто говорят администраторы: «Мы можем доверять нашим людям». Организации зачастую пренебрегают безопасностью внутренней сети в силу того, что риск от проявления внутренних атак не учитывается. Внутренняя атака не обязательно должна исходить от злоумышленного сотрудника — атаку может породить и небрежный сотрудник. Поскольку организации учатся на собственном опыте с появлением каждого нового червя, они не могут позволить себе пренебречь защищенностью внутренней сети!
Во внутренней сети мы можем иметь следующие устройства «периметра», которые способны остановить атаку взломщика:
— входящая и исходящая фильтрация на каждом маршрутизаторе;
— внутренние брандмауэры для разделения ресурсов;
— прокси для повышения производительности и безопасности;
— детекторы IDS, функционирующие, подобно канарейкам в угольной шахте (они использовались в качестве живых индикаторов наличия в воздухе взрывоопасного метана), для мониторинга за внутренней сетью;
Внутри мы можем использовать следующее:
— укрепление операционной системы;
Концепция пакетной фильтрации. Примеры
Пакетная фильтрация – одно из самых старых и наиболее распространенных средств управления доступом к сети. Идея пакетной фильтрации проста: установить, разрешено ли данному пакету вводить в сеть либо выходить из нее. Для этого анализируются некоторые идентифицирующие данные, размещенные в заголовке пакета. Технология пакетной фильтрации применяется в операционных системах, программных и аппаратных брандмауэрах, а также в большинстве маршрутизаторов.
Маршрутизатор Cisco в качестве пакетного фильтра
На данный момент Cisco ACL представляет собой один из наиболее доступных пакетных фильтров. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом (access control list, ACL). ACL представляет собой длинный список всех элементов, которые маршрутизатор должен просматривать в заголовках пакетов для принятия решения относительно разрешения или запрета доступа пакету к сегменту сети. Эта процедура лежит в основе управления трафиком маршрутизатора Cisco.
Cisco ACL – это просто средство фильтрации трафика, проходящего через ваш маршрутизатор. Его можно представить двумя основными синтаксическими типами: пронумерованными и именованными списками, он выполняет функции нескольких типов фильтрации, включая стандартную, расширенную и рефлексивную, которые мы рассмотрим далее в этой главе.
Собираем конструктор или архитектура сетевой безопасности. Случай 1 – Небольшой офис
Сетевая безопасность? Да у нас на периметре роутер стоит и все нормально!
Благодаря многолетней работе в интеграторе я периодически сталкиваюсь с таким мнением, поэтому надеюсь, что популяризация данной темы поможет избежать проблем в виде каких-нибудь шифровальщиков хотя бы в паре компаний.
Что такое «сетевая безопасность»? По сути, это способность IT-инфраструктуры адекватно реагировать на сетевые угрозы. Что интересно, способность не только сети, а всей IT-инфраструктуры. Нет смысла рассматривать сеть как «сферического коня в вакууме» – сеть, прежде всего, это транспорт для различных сервисов, поэтому сетевая безопасность затрагивает большой пласт IT-инфраструктуры от сервисов до пользователей и рабочих станций, о чем мы с вами поговорим в дальнейшем.
В плане написать несколько статей, на протяжении которых мы с вами откроем маленькое предприятие и вырастим его до большой распределенной корпорации шаг за шагом, где рассмотрим различные сетевые случаи от классической модели организации периметра до облаков и сетей АСУ ТП.
Мы будем говорить больше о технологиях, а не о конкретных решениях конкретных вендоров, т.к. технологии у всех производителей весьма похожи и отличаются реализацией и нюансами. Названия решений буду приводить только в качестве примеров.
Я надеюсь, у вас уже есть небольшой бэкграунд в области сетей, поэтому не буду вдаваться в детали той или иной технологии, если это не требуется в ходе нашего разговора. Наша цель – разобрать варианты применения этих технологий.
Также отмечу, что представленные мной варианты построения архитектуры не единственно верные. У нас в руках кубики, которые мы можем поставить и так, и так, и еще вот так, вариантов может быть много. Здесь самое главное – чтобы злоумышленник на своем пути неизменно встречал адекватную реакцию на свое неадекватное поведение.
Итак, начнем.
Совершенно неожиданно мы с вами решаем, что идея привозить из дружественной нам Поднебесной ультрамодные шляпы для собак очень перспективна, и открываем небольшую компанию, которая будет заниматься доставкой и продажей этих самых шляп счастливым владельцам четвероногих товарищей.
Несмотря на уроки пандемии мы, по старинке, снимаем небольшой уютный офис и нанимаем четырех сотрудников дабы наш бизнес успешно рос и приносил доход. Но наши сотрудники – люди активные и не хотят весь рабочий день сидеть в офисе, они придерживаются современных взглядов – где открыл ноутбук, там и офис – и убеждают нас также придерживаться этого не лишенного смысла мнения. Для работы нам абсолютно необходим Интернет, как в офисе, так и вне его. Как же нам сделать взаимодействие с продуваемым всеми ветрами Интернетом чуть более безопасным?
И вот здесь стоит подробнее обсудить какие же основные технологии сетевой безопасности нам будут интересны в самом начале:
Межсетевое экранирование (Firewall) – пакетный фильтр уровня L3-L4 (здесь и далее подразумеваем уровни сетевой модели OSI) с инспекцией с сохранением состояния (Stateful Inspection).
Система обнаружения и предотвращения вторжений (IPS) – система предотвращения сетевых атак. Мониторит трафик на наличие сигнатур атак или аномалий в трафике.
Антивирус (Anti-Virus) – мониторинг трафика на наличие вредоносного кода.
Контроль приложений (Application Control) – контроль трафика вплоть до L7: от проверки параметров пакетов на соответствие стандартам для определенных протоколов (например, блокирование ICMP-туннелирования) до контроля интернет-приложений (например, разрешение на чтение сообщений на Facebook, но запрет на просмотр видео).
URL фильтрация (URL Filtering) – контроль доступа пользователей к ресурсам сети Интернет по категориям, отдельным URL или спискам «черных» и «белых» ресурсов.
Анти-бот (Anti-Bot) – блокировка соединений от зараженных вредоносами ресурсов в локальной сети к Command & Control серверам в Интернете.
Эмуляция работы файлов (Sandbox, Threat Emulation) – запуск файлов в изолированной среде («песочнице») для отслеживания вредоносного поведения.
Обезвреживание файлов (Content Disarm and Reconstruction – CDR, Threat Extraction) – удаление из файлов активного содержимого либо преобразование, например, в формат PDF.
Отдельно стоит упомянуть, что сейчас большая часть трафика шифруется в рамках SSL-соединений, поэтому чтобы заглянуть в трафик и, тем более, выполнить глубокую проверку нам требуется SSL-инспекция – по сути, легитимная атака «человек посередине», когда трафик расшифровывается где-то по пути между пользователем и сервером.
По каждой из этих технологий можно написать отдельную статью, которых довольно много, здесь же ограничимся примером:
Наша компания активно развивается, и мы планируем нанять дополнительный персонал, для чего у нас появляется специально обученный человек – HR Маша. Маша девушка занятая, у нее нет времени смотреть всякую ерунду про безопасность, поэтому она, не думая, скачивает и смело открывает все, что попадается ей на глаза.
Итак, утром Маша приходит в офис, включает компьютер и начинает рабочий день с Интернет-серфинга. Трафик от Маши в сеть Интернет, как и обратный трафик в рамках этого соединения, разрешается в соответствии с правилами межсетевого экранирования (Firewall). Обратный трафик также проверяется на соответствие стандартам (IPS).
В начале рабочего дня Маша предвкушает пару часов интересного контента на сайте знакомств, но, к сожалению, вместо интересных новых знакомств Маша получает чуть менее интересное сообщение о том, что доступ к данному ресурсу заблокирован, т.к. категория ресурсов Dating блокируется (URL Filtering).
Маша понимает, что от работы ей не скрыться. Она связывается с потенциальным кандидатом на вакансию и тот высылает Маше на почту свое резюме в формате DOC. Прежде чем Маша сможет его открыть, резюме проверяется на наличие вредоносного кода сигнатурами (Anti-Virus) и, если совпадений найдено не было, отправляется на эмуляцию работы файла в облачную или локальную «песочницу» (Sandbox). Но такая эмуляция занимает обычно несколько минут, а Маше, разумеется, файл требуется срочно. Для этого исходный файл преобразуется в PDF без активного содержимого (CDR) и Маша уже может его безопасно открыть, не дожидаясь окончания эмуляции оригинального файла в «песочнице». Если Маше потребуется оригинал, она сможет его открыть только после окончания эмуляции и вердикта что файл «чистый».
Маша получила резюме и теперь хочет проверить профиль кандидата в ВК. Она заходит на ресурс, смотрит фотографии, может даже что-то написать кандидату в личку, но вот послушать музыку на его странице она уже не сможет, т.к. такая опция блокируется (Application Control).
Но, несмотря на все предосторожности, Маша каким-то образом схватила вредонос и он очень хочет связаться со своим центром управления – С&C-сервером. Запрос соединения с С&C-сервером перехватывается и блокируется (Anti-Bot).
Далее перечисленные технологии в комплексе для удобства будем именовать как Unified Threat Management или UTM. UTM крайне рекомендуется к употреблению практически при любых взаимодействиях с сетью Интернет.
Далее же мы немедленно переходим к архитектуре.
Случай 1 – Небольшой офис
Обычная ситуация, когда на стык с оператором связи устанавливается маршрутизатор, который выполняет динамический NAT из «серой» ip-адресации в «белую». Он одновременно может являться ядром сети и беспроводной точкой доступа. В случае количества проводных устройств больше, чем портов на маршрутизаторе, используются L2 коммутаторы для увеличения портовой емкости.
Пользователи внутри сети подключаются проводными каналами связи к коммутатору, а при помощи Wi-Fi сети – к маршрутизатору. Пользователи вне периметра имеют выход в сеть Интернет посредством сотовой связи. Никаких корпоративных сервисов внутри периметра нет. Вместо них обычно используется локально установленное на рабочих станциях программное обеспечение (ПО), либо / в дополнение какие-либо бесплатные сервисы сети Интернет, например, почта.
Плюсов такой топологии ровно два: просто и дешево. При этом пользователи не имеют практически никакой защиты и легко ловят ботов, шифровальщиков и прочих зловредов по самым разным каналам.
Как мы можем использовать существующие технологии?
Во-первых, надо понимать, что технологии защиты могут быть реализованы где угодно на пути трафика между пользователями и «открытым» Интернетом: различные сервисы Security as a service (SaaS) в облаке производителя средств защиты (вендора), в услуге от оператора связи, на периметральном шлюзе нашей сети и даже на рабочей станции пользователя как последнем рубеже обороны.
Вариант 1 – рабочая станция пользователя: рассмотренные выше технологии реализуются в виде софта для рабочих станций. Ярким примером могут быть Check Point Harmony Endpoint, Fortinet FortiClient + EDR/XDR, Cisco Secure Endpoint, Palo Alto Cortex XDR. Подобные решения начинают разрабатывать и для мобильных ОС Android и iOS, например Check Point Harmony Mobile.
Плюс такой реализации в том, что пользователь защищен при подключении к любой сети в любой точке мира.
Вариант 2 – шлюз на периметре сети организации: вместо граничного маршрутизатора устанавливается специализированный шлюз безопасности для контроля трафика. В нашем случае подойдут младшие модели лучших мировых производителей – Check Point Security Gateway, Fortinet FortiGate, Cisco Firepower, Palo Alto Next-Generation Firewall. Шлюзы подобного класса также могут быть со встроенным функционалом Wi-Fi для подключения корпоративных пользователей. Для защиты Wi-Fi здесь применимы собственные механизмы аутентификации шлюзов (WPA2 – Personal или WPA3 если клиентские устройства поддерживают).
Вариант для пользователей при выходе за периметр сети – на рабочие станции пользователей устанавливается агент удаленного доступа (VPN-агент, обычно у каждого вендора свой). При подключении к сети Интернет пользователь первым делом устанавливает VPN-туннель до шлюза безопасности на периметре сети и выходит в Интернет только через него. Прямой доступ к Интернету без использования шлюза запрещаются. Таким образом, весь трафик даже удаленных пользователей контролируется периметральным шлюзом.
Вариант 3 – облачные решения: представьте, что мы берем шлюз безопасности из нашей сети и перетаскиваем в облако вендора или оператора связи, принципиальной разницы нет. В данном случае:
либо все пользователи устанавливают VPN-туннель до шлюза в облаке и весь трафик к сети Интернет проходит через него;
либо граничный маршрутизатор сам устанавливают VPN-туннель до шлюза в облаке и сам перенаправляет трафик пользователей на шлюз в облаке.
Здесь подходят набирающие популярность SaaS или Secure Access Service Edge (SASE) решения тех же мировых лидеров.
Более подробно о VPN-туннелях при удаленном доступе (Remote Access) и между площадками (Site-to-Site) поговорим в дальнейшем.
Вариант 4 – смешанный: возможно применение различных вариантов одновременно, например, шлюз безопасности на периметре корпоративной сети и агенты на рабочих станциях удаленных пользователей.
Развитие нашего бизнеса рассмотрим в следующей части.