Угрозы сетевой безопасности — это такая вещь, к которой в большинстве случаев серьезно начинают относиться только после того, как она превратилась в свершившийся факт. Но когда гром грянул, креститься уже поздно. Поэтому не будет лишним еще раз напомнить о том, к чему может привести беспечность, и рассказать, как можно защититься от угроз максимально эффективно.

Для начала краткий ликбез — врага ведь надо знать в лицо. Что такое угроза сетевой безопасности и чем она может быть опасна?

Угроза — это потенциально возможное событие, которое способно причинить ущерб посредством воздействия на компоненты информационной системы. Для реализации угрозы злоумышленники в основном используют уязвимости (чаще всего сетевых протоколов, операционных систем, систем управления базами данных, приложений и т.д.) — именно на них направлены атаки.

Кстати, мы не раз сталкивались с тем, что клиенты (особенно далекие от ИТ) не понимают, зачем кому-то атаковать их информационную систему, какая от этого польза злоумышленникам и в чем состоит их мотивация?

В большинстве случаев мотивация самая простая — деньги, поэтому целью атаки могут быть:

• нарушение нормального функционирования объекта атаки (отказ в обслуживании) — например, DDoS-атака сайта конкурента;
• получение контроля над объектом атаки — к примеру, для рассылки спама;
• получение конфиденциальной и критичной информации — например, кража данных банковских карт;
• модификация и фальсификация данных — к примеру, для затруднения работы конкурента.

Если с вопросом «зачем» разобрались, стоит уделить немного внимания самим механизмам реализации атаки. Злоумышленники могут применять:

• перехват трафика сетевого сегмента (прослушивание);
• сканирование портов (служб) объекта атаки, попытки подбора пароля;
• создание ложных объектов и маршрутов;
• рассылка пакетов определённого типа на атакуемый объект (для отказа объекта или работающей на нём службы);
• вирусы, черви, трояны.

И теперь самый главный вопрос нашего ликбеза — как защищаться от атак? Основные меры предосторожности из категории «must have» включают: сегментацию сети; использование учетных записей с пониженными привилегиями; использование сложных паролей и их регулярная смена; ограничение доступа к конфиденциальным данным; регулярная установка обновлений для приложений и ОС.

Но всего этого может быть недостаточно, и тогда на помощь приходят специальные решения. О своем опыте их выбора и использования мы и расскажем дальше.

Ты помнишь, с чего начиналось…

Начиналось все с переезда в новый офис, в каком-то смысле даже с новой жизни ИТ-инфраструктуры компании. В прежнем офисе границу сети охранял виртуальный шлюз Kerio Сontrol (и свои обязанности выполнял целиком и полностью), но при переезде в новый офис мы столкнулись с требованиями, который старый добрый Kerio не смог потянуть.

Во-первых, хотелось обеспечить большую отказоустойчивость всей системы, то есть продублировать функции. Например, мы планировали подключить двух интернет-провайдеров. В прежнем офисе это было сделать невозможно ввиду монополизации провайдера в бизнес-центре.

Во-вторых, мы столкнулись с трудностями «физического» характера. При проектировании сети офиса на каждое рабочее место было заложено по одной Ethernet-розетке, а для работы сотруднику нужно два IP-адреса из разных подсетей (один для телефона, другой — для ПК), то есть без VLAN (виртуальной локальной сети) нам было не обойтись.

Итак, задача понятна, осталось лишь найти необходимое решение. После первичного анализа в шорт-лист попали следующие разработки:

• Cisco (ASA c подпиской FirePOWER);
• WatchGuard;
• Juniper;
• Check Point;
• FortiGate.

Помимо двух указанных выше критериев нам, как и любой компании, при выборе был очень важен критерий «цена/производительность». Мы протестировали решения («сделав дырку» в головах поставщиков и вендоров соответственно), и остановили свой выбор на американской компании Fortinet и их решении FortGate. И вот почему.

Осознанный выбор

Во-первых, Fortigate — это целый комплекс сетевой безопасности, который выполняет массу функций (некоторые из них доступны по подписке, что также сыграло в его пользу): антивирус, IPS, web- и Spam-фильтр, контроль приложений, защита от DoS-атак, DLP, маршрутизация/коммутация, VPN…

Во-вторых, FortiGate работает как VLAN-коммутатор и сегментирует офисную сеть (что позволило решить проблему с розетками, заложенную при проектировании).

В-третьих, FortiGate имеет на борту два порта WAN, при помощи которых мы и подключили двух провайдеров Интернета, и таким образом обеспечили бесперебойный доступ во всемирную сеть для наших сотрудников. При этом все критичные сервисы всегда остаются он-лайн. Также есть выделенный DMZ-порт для безопасного подключения внутренних web-серверов.

В-четвертых, в выбранном решении поддерживается также Site-to-Site VPN для организации безопасного соединения филиалов компании (в нашем случае, например, для безопасной удаленной работы сотрудников).

В-пятых, все сервисы безопасности предоставляет одна компания, что гарантирует их консолидацию и слаженную работу. К примеру, если взять устройства компании Juniper, то антивирусная защита там предоставляется на выбор.

Далее, устройства Fortinet поддерживают так называемые виртуальные домены, то есть можно поделить физическое устройство на несколько независимых виртуальных устройств, и обслуживать/настраивать их будут независимые друг от друга администраторы.

Аргументов в пользу этого решения уже, в общем-то, немало, но сомнения оставались, и главное из них — нераспространенность решения на нашем рынке. Мало ли что?… Окончательной соломинкой, сломавшей спину верблюду, стал «user experience» — мы, команда инженеров, по достоинству оценили удобство работы с решением.

Александр Сапура, инженер компьютерных систем Softkey.ua: «Самое главное достоинство устройства — видимость всего происходящего в сети, что для администратора является важной функцией. Мы постоянно мониторим, какими приложениями пользуются сотрудники, какие web-сайты посещают, сколько трафика расходуют. А потом, на основании анализа логов и отчетов, просто блокируем ненужные сервисы/сайты либо всем, либо только тем, кто злоупотребляет рабочим временем. Имеется множество настроек блокировки приложений. Например, можно заблокировать использовать Skype или просто запретить пересылку файлов посредством Skype, а чат и видеозвонки — разрешить.

Очень удобно предоставлять удаленный доступ сотрудникам по VPN. Устройство поддерживает протоколы IPSec и SSL VPN. Есть бесплатный VPN-клиент для устройств на Mac, iOS, Windows, Android. Удаленный доступ настраивается для сотрудника/группы сослуживцев к конкретной сети/серверу (так называемый Policy-Based VPN), то есть на основании политик фаервола каждому сотруднику предоставляется доступ только к необходимым ему ресурсам. С помощью токенов и сертификатов также поддерживается усиленная двухфакторная аутентификация.

Для администратора доступны удобные функции обновления прошивок в два клика, создания бэкапов конфигурации устройства в шифрованный файл. В общем, очевидно, что эти решения создавались администраторами для администраторов».

Вместо заключения

Собственно, вот таким вердиктом и закончились наши муки выбора, о чем мы совершенно не жалеем. Конечно, это совсем не означает, что наш выбор подойдет для любой компании — у всех разная структура, требования к безопасности, тем более что стоимость подписки зависит от определенного устройства, на которое она покупается, а также от количества сервисов безопасности. Но поделиться полезным и позитивным клиентским опытом мы были просто обязаны.

Автор статьи — инженер компьютерных систем Softkey.ua