Защита периметра сети
Моя сеть — моя крепость
Человеку, далекому от информационных технологий, сеть предприятия может представляться некой физической сущностью: километры кабелей, проложенных к рабочим станциям, мерный гул вентиляторов в серверной комнате, мигающие лампочками корпуса компьютеров... Посвященный читатель, однако, нарисует в памяти совершенно иную, неосязаемую картину: брандмауэры, сетевые соединения, почтовые серверы — вот типичные элементы сети организации в понимании квалифицированного специалиста. Представитель ИT-службы знает, что сеть не ограничивается физической структурой. Сеть — это структура для передачи информации. И в каждой сети существуют входы и выходы, защита которых играет важнейшую роль для обеспечения безопасной работы конечных пользователей и сохранности данных компании.
Поддержание бесперебойной работы сети и отсутствие инцидентов — задача любого системного администратора. Казалось бы, это просто, но на деле требуется сложная многоуровневая система защиты от опасностей, подстерегающих конфиденциальные данные компании в условиях одновременного доступа к ним людей различной квалификации. Даже незначительная брешь в системе безопасности может сильно навредить компании: шальной троянец или, того хуже, кража данных сотрудниками действительно способны причинить компании вполне осязаемый ущерб, выраженный в денежных единицах. Например, в апреле 2006 года утечка информации произошла из военной компании Lockheed Martin. Она обвинила в промышленном шпионаже своего прямого конкурента. Три инсайдера из Lockheed украли результаты проекта по разработке системы тренировок пилотов ВВС США и продали ее конкуренту за баснословную сумму. В результате их действий под угрозу был поставлен миллиардный контракт. Конечно, приведенный случай в абсолютном выражении не сравним с ущербом от троянской программы, случайно подхваченной нерадивым сотрудником. В процентном же отношении и для корпорации с миллиардными оборотами, и для небольшой организации, работающей в секторе среднего и малого бизнеса, любая из проблем безопасности сети может обернуться неприятными последствиями различного масштаба.
Чтобы защитить крепость, необходимо в первую очередь укрепить ее стены и только потом вооружать жителей. В случае с сетью компании ситуация аналогична: сначала нужно определить, что подлежит первоочередной защите. Периметр сети, состоящий из ключевых узлов защиты, — это именно те стены, которые подлежат укреплению.
Важнейшие форпосты корпоративной безопасности разнородны — в это понятие входит и сервер, заведующий электронной корреспонденцией, и брандмауэр, и рабочие станции. Критически важные узлы стоит объединить в две группы: привлекательные с точки зрения злоумышленника и подверженные атакам инсайдеров — недоброжелателей, присутствующих в компании.
Защита пользователей...
Классический принцип обеспечения безопасности можно сформулировать примерно следующим образом: максимально оградить пользователей от опасностей, исходящих извне. Что ж, опасностей извне более чем достаточно: набившие оскомину компьютерные вирусы множатся, на место одиноких вирусописателей приходят сплоченные банды, копеечная прибыль уступает место тысячам долларов за рассылки нежелательных почтовых отправлений (спама) и миллионам долларов, украденных со счетов пользователей. Некоммерческие вирусы окончательно ушли в прошлое в конце 2007 года, и сегодня вирус — это вредоносная программа, направленная главным образом на получение прибыли. Кроме вирусов, существует множество других опасностей, грозящих неприятными последствиями для организаций, — взять хотя бы DDoS-атаки, способные полностью остановить бизнес компании на несколько дней.
Безусловно, защита конечных пользователей — это важно. Но, как уже говорилось, полноценная и надежная защита данных компании возможна только при разумном подходе к организации безопасности периметра сети. Решение этой проблемы нереально без использования наиболее безопасного и защищенного программного обеспечения в серверной части сети.
В первую очередь от набегов неприятелей страдает, конечно, межсетевой экран: именно через него проходит весь трафик компании, именно ему приходится справляться с вредоносными программами и атаками извне. Каковы основные особенности идеального брандмауэра? Чаще всего в организациях, работающих в сфере малого и среднего бизнеса, требуется вполне определенный набор функций.
Защита от вирусов, пожалуй, необходимая опция для межсетевого экрана. На рынке решений для фильтрации трафика сейчас нет продуктов, не обладающих ею. Это и неудивительно — цифрой в 250 новых вирусов в день сейчас уже сложно кого-либо удивить. Выбор сетевого экрана не в последнюю очередь зависит от того антивирусного продукта, которым он оснащен. Одни производители, например Agnitum, используют исключительно собственные разработки, полагая, что «свое — значит, лучшее», другие, скажем UserGate, строго привязаны к одному-двум производителям антивирусов, а третьи, к примеру Kerio WinRoute Firewall, имеют широкий спектр поддерживаемых решений защиты от вредоносных программ и позволяют оснастить сервер фильтрации трафика сразу двумя антивирусными продуктами на выбор.
Необходимым атрибутом каждого межсетевого экрана является способность и качество регистрации сетевых событий. Инструменты для ведения журналов должны учитывать сообщения об ошибках, отладочные работы, сведения об активности пользователей, сканирование портов и прочие подозрительные события. В Kerio WinRoute Firewall, к примеру, есть возможность записывать в файл протокола информацию о работе каждого из правил фильтрации трафика.
Работа с VPN, VoIP и другими аналогичными технологиями, казалось бы, необязательная, но крайне важная деталь брандмауэра в области корпоративной защиты. В условиях постоянных командировок VPN-доступ заметно облегчает сотрудникам работу не из офиса. В данном случае системному администратору может существенно помочь технология uPnP, позволяющая вести гибкий обмен информацией между Windows-приложениями без внесения изменений в настройки сетевого экрана.
В случае атаки на один из каналов связи у организации (особенно это касается компаний, бизнес которых целиком зависит от бесперебойной работы Интернета) должна быть возможность переключения на резервный канал. Поддержка такой функции есть не во всех брандмауэрах, но в случае наступления форс-мажора она позволит исправить ситуацию незаметно для пользователей.
Еще один форпост корпоративной безопасности — почтовый сервер. Секретарша опять подхватила троянца, расползшегося по сети и причинившего массу проблем, потому что кто-то прислал наивной девушке открытку, зараженную вирусом? Виновата не секретарша (недостаточно знакомая с правилами компьютерной безопасности) — виноват почтовый сервер, не отфильтровавший подозрительный контент. Перечисленные выше технологии в области борьбы с вирусами могут применяться и в этой сфере — так, у другого продукта от упомянутой ранее Kerio — Kerio MailServer — два антивирусных движка на выбор, что является ценным дополнением к безопасности почтового продукта.
Защита от спама — проблема всех нынешних почтовых серверов. Настройки на уровне клиента здесь недостаточно: защищенный почтовый сервер должен обладать массой технологий (контентная фильтрация, квотирование количества сообщений по времени отправки, авторизация не только по логину и паролю, но и по IP-адресу).
Недалеко от антиспам-защиты стоит защита от новомодной атаки Directory Harvest, использующей архитектурные недостатки SMTP-протокола. При попытке передачи сообщения почтовый сервер отправителя запрашивает у почтового сервера получателя подтверждение о существовании указанного адреса. В зависимости от результата обработки запроса второй сервер дает положительный или отрицательный ответ. Спамеры часто используют эту уязвимость в своих целях, атакуя почтовый сервер многочисленными запросами о существовании пользователей с различными комбинациями имени и фамилии. Собирая таким образом положительные ответы, спамеры получают в свое распоряжение точный список реальных электронных адресов для будущих рассылок нежелательной корреспонденции. В задачу идеального почтового сервера, кроме распознавания атаки, входят в этом случае фальсификация ответов спамерам и замедление скорости реакции на письма.
Стоит заметить, что все перечисленные факторы — это наиболее распространенные частности в жизни той или иной организации. В целом же полезно применять единую концепцию защиты данных от атак извне: использовать централизованное управление контролем трафика, антивирусными программами и прочими деталями защиты. Для организации небольшого или среднего масштаба, не использующей Exchange в силу его высокой стоимости или чрезмерного количества функций, разумным представляется применение коммерческого программного обеспечения, специально разработанного для таких компаний. Открытый код, который приветствуется многими системными администраторами, зачастую не обладает достаточным уровнем защиты от вторжений. Несколько незначительных и незаметных ошибок в конфигурации способны привести к вторжению злоумышленника и неприятным последствиям, и не у каждого работника ИT-службы хватит квалификации и сил на пошаговую, вдумчивую, сложную настройку сервера на базе *nix. К тому же коммерческие решения часто предоставляют централизованную настройку всех опций безопасности сети, что очень удобно в случае как с внешними, так и с внутренними атаками, о которых пойдет речь далее.
...и защита от пользователей
Пользователь — слабое звено компьютерной сети не только в области защиты от зловредных программ. Часто случается, что организации приходится защищаться от собственных сотрудников. Данные, накопленные компанией за долгие годы, могут быть украдены и использованы для личной выгоды недобросовестным сотрудником. Речь может идти как о распространенном воровстве базы данных клиентов (косвенный убыток для фирмы), так и о краже разработок, которая может нанести прямой ущерб предприятию в случае перепродажи или удаления информации. Персональные данные клиентов и сотрудников, а также стратегии и планы развития компании тоже могут оказаться легкой мишенью для злоумышленников внутри организации, если вовремя не принять меры для обеспечения безопасности таких данных. Предотвратить утечку намного проще, чем постфактум латать бреши в пробитом периметре безопасности компании.
Традиционный подход к этой проблеме предполагает тотальный контроль над теми каналами, через которые может произойти утечка во внешний мир: электронной почтой, Интернетом, мобильными носителями и принтерами. В результате многие аспекты проблемы остаются нерешенными — к примеру сотрудник, по уровню конфиденциальности имеющий легальный доступ к секретным данным, может злоупотребить своими правами в корыстных целях.
Путей развития систем контроля данных два. Первый — вероятностный анализ, при котором используются схожие с борьбой со спамом методы: лингвистический и сигнатурный анализ, технология цифровых отпечатков, контентная фильтрация. Как и в случае с антиспам-методами, такой анализ не претендует на стопроцентное попадание: 80% успешных распознаваний — самый оптимистичный прогноз при применении систем вероятностного анализа. Типичные представители таких решений — WebSense, InfoWatch, Vontu производства Symantec.
Поскольку качество подобного анализа не всегда удовлетворительно и, как следствие, утечки продолжают происходить даже при установленном программном обеспечении для защиты данных, был разработан второй метод — детерминистский — специальная разметка всех конфиденциальных документов. Если предыдущий подход сравнивался с лингвистическим анализом спама, то этот метод можно сравнить с сигнатурным распознаванием антивируса. Использование меток секретных файлов позволяет добиться стопроцентной эффективности защиты, правда с одной оговоркой: защиты всех документов, созданных до внедрения системы и классификации данных. Новые документы, созданные пользователями, сложнее классифицировать, а также поддерживать их статус в актуальном состоянии. Таких систем, называемых еще системами второго поколения, несколько меньше, чем аналогов с использованием вероятностного анализа, — например McAfee и Verdasys применяют в своих решениях именно детерминистские методы.
Внимания в этой области заслуживает также продукт компании Perimetrix, не поддающийся классификации и предлагающий систему контроля доступа к файлам, основанную на принципе, схожем с используемым в режимных заведениях. Каждый файл помечается определенной меткой, а файлы, созданные из содержимого других документов с различной степенью секретности, наследуют метки документов-родителей. Данные применяются в защищенных локальных ресурсах и шифруются — таким образом, даже физическая кража ноутбука с данными ничего злоумышленнику не даст. Подобный подход можно сравнить с читальным залом для секретных документов: просмотреть можно, а вынести или скопировать нельзя. Полный цикл жизни документа контролируется с момента его создания и до официального уничтожения.
Один в поле воин
Защита периметра сети, безусловно, не самая легкая задача, но и не самая сложная, если подойти к ней глобально, выработав общее направление действий в этой области. При грамотном, продуманном подходе автоматизировать процесс контроля внутреннего и внешнего трафика можно практически полностью и без ущерба безопасности. Не стоит уподобляться герою «Двенадцати стульев», говоря, что защита пользователей — дело рук самих пользователей. Перефразируя классиков, защита сети — дело рук администратора сети. Превентивные меры, своевременно принятые в обоих направлениях — и в области предотвращения утечки информации, и в области защиты от внешних угроз, — позволят сотруднику ИT-службы успешно справиться с грозящими компании опасностями.
 |
|
