Защита информации


При развертывании инфраструктуры корпоративной информационной системы неизбежно встает вопрос о защищенности ее от угроз. Насколько адекватны механизмы безопасности существующим рискам? Можно ли доверять этой системе обработку конфиденциальной информации? Имеются ли в текущей конфигурации КИС ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа? Содержит ли установленное ПО уязвимости, которые могут быть использованы для взлома защиты? Как оценить уровень защищенности и как определить, достаточен ли он? Какие контрмеры позволят реально повысить уровень защищенности КИС? На какие критерии оценки защищенности следует ориентироваться?
 Услуги по защите информации +7 (495) 231-4831
 версия для печати   
  Защита сетей

Защита корпоративных сетей

Обследование сети и выбор оптимальной схемы защиты

Как правило, конфигурации корпоративных сетей достаточно сложны, особенно если они включают узлы, работающие на разных платформах (Windows, Unix/Linux, Novell и др.). Важно выбрать схему защиты, оптимальную как с точки зрения эффективности, так и с точки зрения возможностей внедрения, управляемости, масштабируемости и, что немаловажно, — цены.

Комплексный анализ сети, используемого аппаратного и программного обеспечения, политик безопасности позволит выявить наиболее уязвимые места и спроектировать комплексную систему безопасности, оптимальную именно для вашей организации.

Концепция защищенной корпоративной сети

Концепция защищенной корпоративной сети состоит в том, чтобы закрыть трафик корпоративной сети средствами защиты информации сетевого уровня (VPN) и организовать фильтрацию информации в точках соединения с открытыми сетями.

В качестве средств фильтрации информации на интерфейсах с открытыми сетями применяются традиционные решения: межсетевой экран (firewall) и/или сервисы защиты типа proxy.

Важным элементом защиты от несанкционированного проникновения в корпоративную сеть из открытой является последовательное (каскадное) включение нескольких фильтров-эшелонов защиты. Как правило между открытой и корпоративной сетью устанавливается зона контролируемого доступа — т.н. «демилитаризованная зона» (DMZ).

Рынок средств сетевой безопасности

Рассмотрим различные категории продуктов. Начнем с наиболее дешевых, так как именно они обеспечивают безопасность абонентов широкополосных сетей.

В категории менее 500 долл. безусловным лидером является компания ZyXEL, занимающая около половины рынка самых дешевых устройств. Компанией номер два стала фирма D-Link. Из глобальных лидеров здесь "засветился" разве что израильский CheckPoint.

В следующей категории от 500 до 1500 долл. - за место лидера "бьются" компании Cisco и SonicWall, каждая из которых примерно в два раза оторвалась от идущей на третьем месте компании Fortinet. Fortinet пока слабо представлена на российском рынке, но весьма активна за рубежом, особенно в Европе.

В самой "густонаселенной" категории от 1500 до 5000 долл. основными игроками являются SonicWall, Secure Computing, WatchGuard и Cisco. Причем Cisco, занимая около 30% рынка по количеству проданных устройств, идет лишь на третьем месте по объему продаж. Лидером в финансовом выражении является компания WatchGuard.

В ценовом диапазоне от 5000 до 10000 долл. лидером является Cisco. Далее следуют такие компании как Nortel и Nokia, вдвоем суммарно почти сравнявшись с Cisco.

UTM-устройства на страже компьютерной сети

Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.

Российский рынок UTM-устройств представлен только иностранными производителями. Причем, некоторые компании, представляя свои решения и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Подобные устройства нельзя считать полноценной UTM-системой.

Аббревиатура UTM обозначает Unified Threat Management, что дословно можно перевести на русский язык примерно как: объединенное управление угрозами. С учетом терминологии, введенной агентством IDC, под термином UTM мы будем понимать не дословный перевод на русский язык этой аббревиатуры, а «многофункциональные устройства для защиты сетевых ресурсов».

UTM = объединенное управление угрозами = многофункциональные устройства для защиты сетевых ресурсов

Какие же именно функции должно выполнять устройство, чтобы считаться полноценным UTM?

Каковы преимущества использования таких систем и от каких видов угроз они могут защитить?

Угрозы среди нас

Когда сеть подвергается вторжению, DoS-атаке или вирусной эпидемии, под угрозой оказывается деятельность всей организации. Это происходит, потому что увеличивается опасность для операционных ресурсов, пользовательских данных, собственных средств и технологий. Интеллектуальная собственность может быть украдена и неправомерно использоваться третьей стороной.

Защита локальных сетей предприятий с каждым годом становится все более сложной задачей и сегодня является одним из основополагающих факторов, с которым сталкивается бизнес. Новые и постоянно изменяющиеся угрозы появляются с пугающей регулярностью, и ни одна организация от них не застрахована.

Каждый раз, при появлении новых, более опасных угроз, изменяется само понятие «безопасная сеть».

Разновидности сетевых атак

  • Сетевое вторжение. В случае использования сетевого вторжения хакер, не имеющий прав доступа, пытается удаленно проникнуть в сеть для осуществления враждебных действий.
  • DoS/DDoS-атаки. В случае DoS-атаки подвергнутые нападению системы становятся недоступными зачастую из-за монопольного захвата сетевых ресурсов. Распределенные DoS-атаки (DDoS) используют множество компьютерных систем, возможно, сотни, для посылки трафика на выбранные адреса.
  • Вирусы. Вирус – это компьютерная программа, которая «заражает» другие программы своими копиями, клонируя себя с диска на диск или от одной системы к другой по компьютерным сетям. Вирус запускается и производит свои разрушительные действия при работе «зараженной» программы.
  • Рекламное и шпионское программное обеспечение. Рекламное ПО – это программы, которые при запуске демонстрируют рекламные баннеры. Они могут проявляться в виде выскакивающих окон или полоски на экране компьютера. Шпионское ПО используется для получения сведений о персональных данных пользователя и передаче их третьей стороне.
  • Rootkits. Rootkit – это программа, внедряющаяся в операционную систему и перехватывающая команды доступа к файлам на жестком диске, которые другие программы используют для осуществления основных функций. Rootkit маскируется среди ОС и сервисных программ и контролирует все их действия;
  • DNS Poisoning. Серверы системы доменных имен перенаправляют трафик с нормальных ресурсов на «зараженные», с которых вредоносное и шпионское ПО скрытно проникает на компьютер жертвы.

Сеть также может стать уязвимой во время расширения или изменения структуры организации. Когда сети становятся более сложными и должны решать больше задач по поддержке и развитию различных видов деловой активности, лучшей защитой от вредоносных атак и растущих уязвимостей может стать мощное, многоуровневое решение безопасности.

Сигнатуры – это только часть решения

Решения, основанные на сигнатурах в течение многих лет являются основой арсенала безопасности и используют базу данных известных шаблонов для обнаружения и блокирования вредоносного трафика прежде, чем он попадет внутрь сети. Эти решения обеспечивают защиту против таких угроз и нарушений политик безопасности как: троянские программы, переполнение буфера, случайное исполнение вредоносного SQL кода, службы мгновенных сообщений и общения типа «точка-точка» (используемого в Napster, Gnutella и Kazaa).

В тоже время, после выявления и идентификации предполагаемой угрозы до создания соответствующих файлов сигнатур, доступных для скачивания, может пройти от нескольких часов до нескольких недель. Этот лаг создает окно уязвимости (рис.1), в течение которого сети открыты для атаки:



Рис.1. Жизненный цикл атаки и окно уязвимости

Таким образом, возникает вопрос - что необходимо предпринять, если сигнатуры в одиночку не могут справиться с угрозами? Ответом является - Unified Threat Management (UTM). В UTM-устройствах многоуровневая система безопасности работает совместно с решениями, основанными на сигнатурах и другими службами, обеспечивая мощную, всеобъемлющую защиту от сложных угроз.

Почему устройства называют unified threat management

Финансовая выгода

Интегрированные системы, в отличие от решений многоуровневой безопасности, которые строятся с помощью множества отдельных устройств, используют намного меньше оборудования. Это отражается на итоговой стоимости. Полностью интегрированное решение может включать в себя межсетевой экран, VPN, многоуровневую систему безопасности, антивирусный фильтр, системы предотвращения вторжений и защиты от шпионского ПО, фильтр URL и системы централизованного мониторинга и управления.

Остановка атак на сетевом шлюзе без прерывания рабочего процесса.

Многоуровневый подход позволяет избежать катастрофы, блокируя сетевые атаки там, где они пытаются проникнуть в сеть. Вредоносный код не сможет нарушить защиту на уровне рабочей станции или сервера, поскольку уровни осуществляют защиту совместно. Осуществив один раз функцию проверки, те же ресурсы UTM-устройства на следующем уровне повторно не используются. Поэтому скорость трафика не снижается и, реагирующие на нее приложения, остаются доступными для работы.

Простота установки и использования

Являетесь вы экспертом или новичком в IT технологиях безопасности, интегрированные системы с централизованным управлением позволяют легко формировать, а также управлять устройствами и службами. Это значительно упрощает работу администраторов и снижает операционные расходы.

Возможность с легкостью установить и развернуть системы, используя помощь «мастеров», оптимальные настройки «по умолчанию» и другие автоматизированные средства, снимают многие технические барьеры на пути быстрого создания системы безопасности сети. Система управления наглядно демонстрирует способы отображения сетевой активности. Ясная и лаконичная программа отчетности держит вас в курсе всех событий безопасности, что позволяет быстро определить возможные проблемы и предпринять необходимые предупреждающие или корректирующие шаги.

Как выглядят решения unified threat management

Чтобы добиться действительно эффективной защиты, которая называется UTM, устройство должно быть активным, интегрированным и многоуровневым и должно выполнять следующие функции

  • многоуровневая защита в сети
  • антивирусный фильтр, система предотвращения вторжений и защита от шпионского ПО, расположенные на сетевом шлюзе
  • защита от небезопасных URL и спама, зависящая от источника атаки

Многоуровневая защита

Многоуровневая защита обеспечивает активный глубокий анализ потока данных и передает информацию о подозрительном трафике различным уровням устройства

  • обнаружение аномалий протокола – стандарты Интернета применительно к потоку данных используются для определения некорректного трафика и изолирования угроз
  • анализ поведения – хосты, которые ведут себя подозрительно, обнаруживаются и блокируются
  • проверка на совпадение шаблонов – опасные файлы, о которых известно, что через них могут распространяться вирусы или атаки, помечаются и удаляются из системы

Трафик постоянно проверяется на вирусы, черви, шпионское ПО, троянцы и другой нежелательный код, который при обнаружении активно блокируется устройством. В то же время, остальной поток данных проходит в сеть, не задерживаясь в нем. При использовании многоуровневой системы безопасности нет необходимости дожидаться доступности файлов сигнатур. Поэтому, вы всегда защищены от новых, еще не известных атак.

Антивирусы и системы, основанные на сигнатурах

Антивирусные сигнатурные фильтры, совместно с другими способами защиты, образуют на сетевом шлюзе уровень защиты от угроз, реализуемых через электронную почту. Это - вирусы, черви и смешанные угрозы. Опасный трафик, маскирующийся под нормальный, определяется и останавливается в режиме on-line прежде, чем сможет внедрить свои вложения и повредить вашу сеть.

Системы защиты от вторжений и шпионского ПО обеспечивают постоянную защиту от известных угроз на уровне сети и приложений. При этом, входящий трафик соответствует стандартам, но его содержимое может представлять собой нежелательный код, атакующий системы, используя уязвимости в протоколах и приложениях.

Защита от небезопасных URL и СПАМа

Бесконтрольное перемещение сотрудников компании по Web сайтам увеличивает вероятность подвернуться заражению опасным шпионским ПО, троянскими программами и определенными вирусами. Вдобавок к этому, снижается производительность труда, уменьшается пропускная способность сети и может даже случиться, что вашей компании придется отвечать перед законом за определенные нарушения. Служба URL фильтрации позволяет наложить запрет на сайты с небезопасным или нежелательным содержимым. Можно упорядочить доступ к Web-ресурсам в зависимости от дня недели, потребностями подразделения или индивидуальными запросами пользователя.

СПАМ может полностью заполнить почтовый сервер, перегрузить сетевые ресурсы и отрицательно сказаться на производительности труда сотрудников. Он также может являться носителем различных видов опасных атак, включая вирусы, уловки социальной инженерии при использовании Web или фишинг. При использовании выделенной службы блокирования спама, вы сможете эффективно остановить лишний трафик на сетевом шлюзе, прежде чем он попадет в сеть и нанесет вред.

UTM-устройства от WatchGuard

UTM-устройства компании WatchGuard давно зарекомендовали себя на российском рынке как надежные решения с оптимальным соотношением функционал/стоимость. Сегодня WatchGuard Technologies - один из мировых лидеров в производстве UTM-устройств.

Архитектура защиты

Firebox® X и Intelligent Layered Security

Архитектура Intelligent Layered Security (ILS) является сердцевиной линейки UTM-устройств Firebox® X компании WatchGuard® и обеспечивает эффективную защиту для развивающихся предприятий. Используя динамическое взаимодействие между уровнями, ILS обеспечивает безопасность при оптимальной производительности устройства.

Архитектура ILS состоит из шести слоев защиты (рис.2), взаимодействующих друг с другом. Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный попускается внутрь сети. Это позволяет противостоять как известным, так и неизвестным атакам, обеспечивая максимальную защиту при минимальных затратах.



Рис.2. Архитектура Intelligent Layered Security и UTM

Рассмотрим подробнее каждый уровень

  • внешние службы безопасности – предлагают технологии, расширяющие защиту сети за межсетевой экран
  • целостность данных – проверяет целостность пакетов и их соответствие протоколам
  • VPN – проверяет зашифрованные внешние соединения организации
  • межсетевой экран с динамическим анализом – ограничивает трафик от источников, до тех пунктов назначения и портов, которые разрешены в соответствии с политикой безопасности
  • глубокий анализ приложений – обеспечивает их соответствие с уровнем приложений модели ISO, отсекает опасные файлы по шаблону или по типу файла, блокирует опасные команды и преобразует данные для избежания утечки
  • безопасность содержимого – анализирует и упорядочивает трафик для соответствующего приложения (примером этого являются технологии, основанные на применении сигнатур, службы блокирования спама и фильтрации URL)

Дополнительные сервисы

Защита с использованием технологий сигнатур

Антивирус/система предотвращения вторжений на шлюзе является встроенной службой безопасности, основанной на использовании сигнатур. Она в режиме on-line вычисляет и блокирует опасный трафик и код. При использовании в многоуровневой системе безопасности антивируса и системы предотвращения вторжений обеспечивается надежная защита от шпионского ПО, вирусов и опасных приложений.

Встроенное ПО URL фильтрации

WebBlocker обеспечивает гибкость в настройке доступа пользователей в Интернет. При его использовании можно снизить загрузку сети, значительно увеличить производительность труда сотрудников и уменьшить возможные угрозы безопасности.

Блокирование СПАМа

SpamBlocker, разработанный компанией WatchGuard, является лучшим решением в области разделения нормального содержимого от СПАМерских атак. Благодаря ему, в режиме on-line блокируется до 97% нежелательных почтовых сообщений.

Преимущества UTM-устройств

Объединение и преобразование традиционных средств безопасности в интегрированные UTM-устройства дает возможность предприятиям перейти на новый, более высокий уровень защиты своих локальных сетей. Подход компании WatchGuard, основанный на специальной технологии, реализованной в архитектуре ILS, позволяющей интегрировать сразу несколько уровней защиты совместно с дополнительными функциями, несомненно, является эффективной защитой для любой: как уже сформированной, так и развивающейся сетевой инфраструктуры.

Использование полноценных UTM-устройств, таких как, WatchGuard Firebox приобретает особую актуальность в настоящие дни, когда с увеличивающейся частотой появляются все более изощренные виды угроз.

Firebox X e-Series

Firebox X e-Series - самая современная продуктовая линейка компании WatchGuard Technologies с усовершенствованными аппаратными и программными частями.

В новых устройствах Firebox X Core e-Series и Firebox X Peak e-Series повышена производительность VPN и межсетевого экрана, увеличено количество портов и добавлены дополнительные функции безопасности, а для увеличения скорости обработки данных удвоена оперативная память. Для этих линеек также вышла новая версия операционной системы - Fireware Pro 8.3. Вдобавок к предыдущему функционалу, она позволяет сканировать и HTTP-трафик, распространяя антивирусную защиту на веб-серверы и клиентские приложения. Кроме того, в новых UTM-устройствах Core e-Series и Peak e-Series усилена защита Zero Day. Эта многоуровневая система безопасности отражает новые неизвестные атаки на сеть без использования сигнатур. Она останавливает вирусы, шпионское ПО, трояны, атаки на переполнение буфера и пр. при помощи уникальной технологии - Intelligent Layer Security (ILS). У устройств Firebox X Edge e-Series появились новые функции приоритезации трафика и управления шириной полосы пропускания в зависимости от важности передаваемых данных. Динамическая приоретизация трафика от WatchGuard позволяет использовать всю полосу пропускания целиком, увеличивая пропускную производительность устройства. В рамках e-Series существует три класса устройств с различной производительностью, что позволяет подобрать оптимальное решение в зависимости от сложности структуры защищаемой сети.

  • Firebox X Peak e-Series - защита сложных, разветвлённых, высокоскоростных сетей до 2 Гбит/с. Firebox X Peak e-Series выпускается с восемью гигабитными Ethernet-портами и используется преимущественно в сложных, разветвленных сетях. Также доступна модель, поддерживающая оптоволоконные интерфейсы. Пропускная способность увеличена до 2.0 гигабит в секунду для трафика через брандмауэр и 600 мегабит в секунду для трафика через VPN. Новые Peak e-Series поставляются с операционной системой Fireware Pro 8.3.

  • Firebox X Core e-Series - защита сетей предприятий малого и среднего бизнеса. Firebox X Core е-Series доступны в модификациях с четырьмя и восемью портами. Подобный диапазон позволяет использовать решения WatchGuard в различных по конфигурациям сетях. Это могут быть как малые нераспределённые сети, VPN-сети дочерних предприятий или удалённые пользователи, так и сети предприятий среднего бизнеса с более строгими требованиями к инфрастуктуре и VPN. Новые Firebox X Core е-Series поставляются с упрощённой версией Fireware Pro 8.3 - операционной системой Fireware, которую можно расширить до полной версии покупкой лицензионного ключа.

  • Firebox X Edge e-Series - защита сетей предприятий малого бизнеса, удалённых офисов и мобильных пользователей. Firebox X Edge e-Series являются модернизируемыми и расширяемыми решениями, которые обеспечивают 100 мегабитную пропускную способность межсетевого экрана и 35-ти мегабитную пропускную способность VPN. Кроме того, они включают в себя такие сервисы как: фильтрация URL с помощью WebBlocker, что помогает предотвратить несанкционированный доступ в Интернет, увеличить производительность труда работника и надежно защитить от злонамеренных атак с неблагоприятных сайтов.

Все модели семейства Firebox X созданы на расширяемой платформе, обеспечивающей возможность модернизации любого устройства до старшей модели без дорогостоящей замены оборудования. Firebox X - единственные в своём классе устройства, позволяющие использовать лицензионные ключи для своей модернизации, то есть для получения большей производительности, пропускной способности и функционала, имеющегося в старших моделях.

Служба LiveSecurity (подписка на поддержку)

Служба LiveSecurity - предоставление услуг по обеспечению информационной безопасности: техническая поддержка в режиме реального времени, поддержка ПО и его обновление, удаленные тренинги и руководства, а также сообщения LiveSecurity Broadcasts - оперативное оповещение об угрозах и методах борьбы с ними.

Все модели семейства Firebox X обеспечены 90-дневной подпиской на службу LiveSecurity - наиболее полное в индустрии предложение технической поддержки и услуг. Далее, по желанию Клиента, подписку можно продлить на 1 или 2 года.

Security Services (подписка на услуги)

Вместе с покупкой устройств Firebox, пользователю предоставляется возможность приобрести подписку на одну или несколько услуг, расширяющих возможности устройства.

  • SpamBlocker - лучший сервис, фильтрующий установленные соединения от проникновения спама в реальном времени и блокирующий до 97% нежелательной электронной почты. Использование SpamBlocker позволяет повысить производительность каждого сотрудника, значительно уменьшить возможность проникновения спама в корпоративную сеть предприятия. SpamBlocker не требует отдельного сервера, дополнительной настройки или дорогих лицензий на каждое клиентское место. При покупке производится оплата только за одно устройство, что добавляет большее сбережение средств.

  • WebBlocker - встроенное программное обеспечение, обеспечивающее контентную фильтрацию web-трафика. Это удобный инструмент для гибкого управления доступом в Интернет сотрудников предприятия. Использование WebBlocker позволяет значительно уменьшить возможность атаки на сеть предприятия, а также уменьшить риски, связанные с нарушением закона. WebBlocker не требует отдельного сервера, дополнительной настройки или дорогих лицензий на каждое клиентское место. При покупке производится оплата только за одно устройство, что добавляет большее сбережение средств.

  • Gateway AV/IPS - Шлюзовой антивирус/Служба предотвращения вторжений с противодействием шпионскому ПО. Использование Gateway AV/IPS предлагает устойчивую, основанную на сигнатурах защиту на шлюзе, работающую против вирусов, троянов, шпионского ПО, Web-cканеров и других смешанных угроз. Контролирует использование IM и P2Р-программ. Gateway AV/IPS не требует отдельного сервера, дополнительной настройки или дорогих лицензий на каждое клиентское место. При покупке производится оплата только за одно устройство, что добавляет большее сбережение средств.

Bundles (комплексные пакеты)

UTM Software Suite – это комплексный пакет, включающий подписку на полный набор услуг по льготной цене. В состав комплексного пакета входит:

  • подписка на услугу LiveSecurity на 1 год
  • подписка на услугу SpamBlocker на 1 год
  • подписка на услугу WebBlocker на 1 год
  • подписка на услугу Gateway AV/IPS на 1 год

UTM Bundle – это комплексный пакет, позволяющий пользователю приобрести устройство Firebox в комплекте с подпиской на полный набор услуг по льготной цене. В состав комплексного пакета входит:

  • устройство Firebox
  • подписка на услугу LiveSecurity на 1 год
  • подписка на услугу SpamBlocker на 1 год
  • подписка на услугу WebBlocker на 1 год
  • подписка на услугу Gateway AV/IPS на 1 год

Сертифицированные модели

На основании результатов сертификационных испытаний и экспертного заключения ФСТЭК России, самые популярные UTM-устройства WatchGuard Firebox X класса e-Series, модели Core и Peak с программным обеспечением Fireware Pro получили Сертификат Соответствия № 1361 сроком действия до 30 марта 2010 года.

Данный документ подтверждает, что эти устройства являются программно-аппаратными средствами защиты от несанкционированного доступа к информации в сетях передачи данных на основе TCP/IP-протокола и соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по 3-му классу защищенности.

Раздел подготовлен с использованием материалов,
предоставленных компанией Rainbow Technologies
  © 2008-2009, ProtectMe  +7 (495) 231-4831  
  «Лаборатория защиты» E-mail: info@protectme.ru