На главную страницу ЗАО Софткей
 Главная   Новости   Статьи   Пресс-релизы   Рассылки 
 
Черная пятница: грандиозная распродажа программ со скидками до 50%!

Локальная сеть - взгляд на безопасность

25.06.2009 / Аналитика / Денис Федотов

Современная корпоративная сеть подвержена различным угрозам: распространенные в социальных сетях и нежелательных рассылках средства фишинга могут привести к утечке служебной информации; неосмотрительно запущенное пользователем приложение, содержащее вредоносный код, способно вызвать вирусную эпидемию, потерю данных, нарушить работу отдельных компьютеров или сегментов сети. Противостоять многочисленным угрозам призван защитный периметр, обеспечивающий безопасность как на уровне рабочих станций, так и на границе с потенциально враждебной средой, будь то переносной носитель данных или внешний канал связи.

В общем случае структура защитного периметра может выглядеть следующим образом:

- уровень корпоративной политики безопасности;
- уровень рабочих станций;
- уровень переносных компьютеров;
- уровень серверов.

Корпоративная политика безопасности подразумевает в числе прочего необходимость идентификации каждого пользователя, категорический запрет на разглашение параметров доступа к любым корпоративным сервисам, поддерживаемый в актуальном состоянии список необходимых сотрудникам приложений при жестком ограничении полномочий конечного пользователя, что исключает возможность сознательного запуска (тем более установки) не предусмотренных служебными обязанностями программ.

Безопасность рабочих станций обеспечивают межсетевой экран и антивирус, а также локальные и доменные настройки политики, ограничивающие влияние пользователя на критичные (для безопасности) параметры системы. Излишне говорить о необходимости оперативной установки обновлений, выпускаемых производителем ОС и разработчиками приложений, предназначенных для работы в Глобальной сети (в первую очередь это касается браузера и почтового клиента). Во всех случаях, когда это возможно, имеет смысл запретить подключение переносных носителей (Windows XP такой возможности не предоставляет, потребуется установить специализированное ПО).

Защита переносных компьютеров существенно осложняется регулярной работой за пределами корпоративной сети. Для удаленного подключения к офисным ресурсам необходимо использовать туннельный протокол, обеспечивающий шифрование данных (PPTP или L2TP, второй предпочтительней). Сравнительно высокую надежность аутентификации мобильных пользователей могут обеспечить устройства для двухфакторной проверки подлинности: в этом случае помимо индивидуального пароля при подключении требуется предъявить код, генерируемый ключом-брелоком.

Защита файловых серверов и баз данных обеспечивается:

- локальным антивирусом, выполняющим проверку новых и модифицированных файлов;
- жесткой политикой обмена данными и разграничением доступа;
- межсетевым экраном, который препятствует попыткам несанкционированного доступа и оперативно информирует администратора о возникновении угроз.

Стоит более подробно остановиться на роли интернет-шлюза, отвечающего за совместный доступ к внешнему каналу связи и представляющего собой ключевой элемент периметра в случае бюджетного решения. В ситуации, когда подключение к провайдеру выполнено через оконечное устройство, исполняющее функции межсетевого экрана, надежность периметра повышается, однако и в этом случае на программный прокси-сервер ложится значительная часть ответственности за безопасность офисной сети.

Для наглядности рассмотрим специфику решаемых задач на примере конкретного продукта UserGate 5.x, совмещающего функционал межсетевого экрана и прокси с возможностью антивирусной проверки передаваемых по стандартным протоколам файлов.

Совместный доступ к широкополосному каналу нередко организуется с применением технологии NAT. Таким образом удается скрыть всю офисную сеть за одним внешним IP-адресом, исключив опасность прямой атаки извне на локальные компьютеры. Однако такое решение создает проблемы для приложений, которые ожидают входящих соединений. В этом случае потребуется настроить port mapping, например, чтобы обеспечить трансляцию на порт 1000 конкретного локального компьютера всех пакетов, приходящих на порт 1000 внешнего интерфейса. Если в сети применяется несколько экземпляров приложения, использующего фиксированный внешний порт без возможности перенастройки, для их совместной работы обычно приходится задействовать более одного внешнего интерфейса.

Межсетевой экран оперирует на уровне пакетных протоколов, что существенно затрудняет возможность выявления вредоносного кода. Данная задача возлагается на прокси, который в процессе выполнения запроса:

- выполняет проверку полномочий пользователя;
- осуществляет контроль выделенных квот (по времени доступа, по количеству трафика, по ширине полосы);
- задействует различные фильтры: на предмет вхождения IP или URL в составленный администратором черный список (социальные сети, мультимедийные сервисы) или в запрещенную категорию (источником данных служит сервис BrightCloud), по размеру или типу файлов — .AVI, .MP3, .DLL, .EXE и т. п.;
- обеспечивает антивирусную проверку: предусмотрено подключение одного или сразу двух модулей — Panda Software и "Лаборатории Касперского".

Использование интегрированных в UserGate антивирусных модулей повышает гибкость настроек и позволяет избежать конфликтов, более чем вероятных при одновременном использовании «коробочных» продуктов. Кроме того, сканирование HTML-кода непосредственно на сервере упрощает задачу администратора по блокировке доступа к ресурсам, содержащим вредоносный или потенциально опасный контент.

Антивирусная проверка проходящего по протоколам POP3/SMTP трафика также может быть организована через прокси UserGate, однако по соображениям безопасности более предпочтительно запретить обращение к любым внешним почтовым сервисам и рекомендовать mail forwarding с публичных адресов на рабочие (вероятно, потребуется настройка spam-фильтра во избежание проблем с фильтрацией таких сообщений).

Эффективность механизма фильтрации в некоторой степени определяется ИТ-политикой. К примеру, запрет доступа к социальным сетям и мультимедийным сервисам, с одной стороны, противодействует такой актуальной угрозе, как фишинг, с другой — способствует повышению эффективности труда офисных сотрудников. Тот же механизм позволяет блокировать загрузку рекламного контента, увеличивая тем самым скорость загрузки страниц и сберегая полосу пропускания для полезного трафика.

На уровне прокси естественным образом выполняется кеширование запрашиваемых по FTP/HTTP файлов, что позволяет снизить нагрузку на внешний канал и сократить затраты на трафик, а также избежать многократной антивирусной проверки. Для просмотра содержимого кеш-памяти предназначен дополнительный модуль Cache Explorer. Анализ частоты обращений к различным ресурсам позволяет оценить эффективность кеша и при необходимости скорректировать настройки.

Реализованная в UserGate поддержка туннельных протоколов PPTP и L2TP позволяет устанавливать защищенные VPN-соединения как из локальной сети ко внешним серверам, так и к размещенному в корпоративной сети серверу извне. Последнее критично для безопасного подключения переносных компьютеров через публичные каналы связи.

Организованный по описанной схеме периметр обеспечивает достаточно высокий уровень защиты как от внешних, так и от внутренних угроз при условии регулярного мониторинга со стороны администратора. Выполнение рутинных задач облегчает дополнительный инструментарий. В частности, средства мониторинга активных сессий, анализа статистики и формирования отчетов позволяют оценивать эффективность действующих настроек и оперативно их корректировать.


Программы в каталоге Softkey.ru:

Ссылки по теме:

Автор статьи: Денис Федотов


Рубрики статей
Все статьи
Аналитика
Программы
Игры
Интернет
Авторские права
Интервью
События в мире ПО
Рассылки
Новости мира ПО
Статьи: Мир ПО
Статьи: Программы
Статьи: Игры
Архив выпусков
  «   Ноябрь 2017   »  
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930   
Поиск в архиве

Логин / пароль:
запомнить




Наши партнеры:

 САПР и графика



Написать редактору  | RSSЭкспорт новостей и обзоров


Rambler's
Top100 Rambler's Top100

Разработка компании «Битрикс»
Разработано
«Битрикс»


Copyright © 2001-2017 ЗАО «Софткей»