Что такое основы безопасности сети?

Основы безопасности сети — это критически важные составляющие сетевой безопасности или кибербезопасности. Они должны быть реализованы во всех сетях, включая домашние, корпоративные и интернет. Для эффективного обеспечения сетевой безопасности проводных и беспроводных сетей применяются межсетевые экраны, ПО для защиты от вредоносных программ, системы обнаружения вторжений, контроль доступа и многое другое.

Основы безопасности сети

Сетевая безопасность — это широкое и довольно сложное понятие, которое охватывает множество технологий, действий и конфигураций.

Необходимо разделить задачи защиты сети и конечных устройств или хост-систем, которые к ней подключены. Контроль доступа и шифрование применяются для защиты как конечных устройств, так и сети. Однако для обеспечения сетевой безопасности дополнительно требуется сегментация сети и защита периметра.

Обеспечение безопасности сети и защита конечных устройств

Безопасность сети — это только часть информационной безопасности, она обычно ассоциируется с устройствами, которые защищают саму сеть. Межсетевой экран может быть как автономным устройством, которое находится рядом с сетевым оборудованием, таким как маршрутизаторы или коммутаторы, так и программным обеспечением, развернутым в том же физическом блоке, который выполняет функции маршрутизатора и коммутатора. Для защиты сети могут использоваться межсетевые экраны, системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS), устройства VPN, системы предотвращения утечки данных (DLP) и др.

Сеть представляет собой системы, соединенные между собой. Она позволяет вам просматривать сайт Amazon или совершать онлайн-покупки в местном магазине. Но безопасность требуется обеспечить и для конечных устройств, не только для сети. Конечным устройством может быть ноутбук, планшет, телефон и устройство Интернета вещей (IoT).

Устройства IoT — это подключенные термостаты, видеокамеры, холодильники, замки входных дверей, электролампы, насосы для бассейна, умные одеяла и др. Для этих устройств также требуются защитные средства, но не во все устройства можно установить, например, МСЭ на базе хоста или агент защиты от вредоносного ПО. Электрическая лампочка или другое простое конечное устройство может получить защиту только в рамках обеспечения сетевой безопасности.

Контроль доступа

Начинать надо с контроля доступа. Во многих компаниях для этого применяются системы идентификации и управления доступом IAM (Identity and Access Management). Идея контролировать доступ возникла не вчера. Доступ в здания контролируют с тех времен, когда более шести тысяч лет назад на двери повесили первый замок. Сейчас контролируется доступ к сетям, компьютерам, телефонам, приложениям, веб-сайтам и файлам.

По сути, процесс контроля доступа разбит на идентификацию, аутентификацию, авторизацию и учет (IAAA):

  • Идентификация — это распознавание пользователя по имени или другим идентификатором.
  • Аутентификация предоставляет доказательство того, что пользователь действительно тот, за кого себя выдает. Для этого, по-прежнему, в основном используется пароль.
  • Авторизация — предоставление пользователю определенных прав доступа. Неавторизованный пользователь не имеет никаких прав, авторизованному могут быть предоставлены отдельные права на чтение, на запись и т. д., или дано разрешение на полный доступ.
  • Учет — это отслеживание происходящего. Данные журнала событий показывают, что пользователь пытался получить доступ или же получил доступ. Журнал также может включать записи обо всех действиях, которые предпринимает пользователь.
     

Виды аутентификации

Среди всех процессов IAAA, возможно, сейчас наиболее важна аутентификация. Большинство систем в основном используют для аутентификации пароли. Однако это не очень безопасно, потому что пароль несложно взломать.

Если пароль достаточно короткий, хакеру не составит труда его вычислить. Хакеры могут пытаться угадать пароль, перебирая все возможные комбинации. Если же им известен хеш, они могут использовать утилиту восстановления паролей, которая генерирует пароли с таким же хешем.

В настоящее время используются три фактора аутентификации. К ним относятся:

  • Знание чего-либо — строки из символов и цифр, или их комбинации, то есть пароля, фразы для восстановления пароля, ПИН-кода и т. д. Сегодня для хранения такой информации предлагаются менеджеры паролей.
  • Обладание чем либо — устройством или программой для аутентификации, установленной на устройстве. Это может быть приложение Google Authenticator на смартфоне, какой-либо физический токен, смарт-карта и др.
  • Личные биометрические, психологические или поведенческие характеристики: рисунок сетчатки глаза, отпечаток пальца, спектрограмма голоса.

 

Прекрасным выбором будет использование двухфакторной, или многофакторной аутентификации. Рекомендуется применять ее для защиты личного аккаунта в социальных сетях.

Такими приложениями, как Google Authenticator, вы можете пользоваться бесплатно — это гораздо надежнее, чем двухфакторная аутентификация с использованием SMS. Национальный институт стандартов и технологий (NIST) не рекомендует использовать SMS-подтверждения.

Компаниям также рекомендуется использовать двухфакторную аутентификации, но решение об этом принимают на уровне руководителей или политик. При этом надо принимать во внимание множество условий: ресурсы, степень конфиденциальности данных, риски, наличие уязвимостей и т. д.

Сегментация сети

Сегментация сети повышает уровень безопасности благодаря улучшенному контролю потоков данных между подсетями. Чаще всего для сегментации сети используется технология VLAN (виртуальная локальная сеть). Есть несколько вариантов реализации этой технологии: частная VLAN (PVLAN), виртуальная расширенная локальная сеть (VXLAN) и др. VLAN реализуются на втором уровне модели OSI — канальном. Большинство сетевых администраторов привязывают подсеть IP-сети к VLAN.

Для взаимодействия сетей VLAN используются маршрутизаторы, которые направляют трафик между ними в соответствии с конфигурацией. Если вы хотите иметь возможность управления, конфигурация имеет решающее значение.

Облачный вариант сегментации называется виртуальным частным облаком (VPC). Весь входящий и исходящий трафик VPC также контролируется с помощью конфигураций.

Чтобы правильно сконфигурировать и контролировать доступ к VLAN и VPC необходимо определить требования к рабочей нагрузке со стороны бизнеса.

Защита периметра

Защита периметра строится исходя из предположения, что он является границей между внутренней доверенной сетью и ненадежной внешней. Это касается традиционной схемы сети, которая сформировалась в то время, когда сеть и дата-центр ограничивались одним зданием. Тогда соединение между внутренней и внешней сетями обеспечивал маршрутизатор. Маршрутизатор пропускает или не пропускает трафик в соответствии с базовой настройкой списка контроля доступа (ACL).

Усилить защиту периметра можно с помощью межсетевых экранов, а также систем обнаружения и предупреждения вторжений. Чтобы узнать о них больше, см. страницу Средства защиты сети.

Шифрование

Шифрование необходимо для защиты чувствительных данных и конфиденциальных сообщений от посторонних глаз. Шифрование защищает файлы на жестком диске компьютера, банковскую сессию, данные в облачном хранилище, конфиденциальные электронные письма… список можно продолжать долго. Криптография также применяется для проверки целостности данных и аутентификации источника данных.

Существуют два основных типа шифрования — симметричное и асимметричное.

  • В криптографии с симметричным ключом (симметричном шифровании) один и тот же ключ используется как для шифрования, так и для дешифрования. Поскольку ключ должен быть и у отправителя, и у получателя сообщения, его необходимо передать. К актуальным алгоритмам относятся: AES, Blowfish, Triple-DES и др.
  • Для ассиметричного шифрования применяется два различных ключа: открытый (публичный) ключ и закрытый (секретный) ключ. Этот набор из двух ключей принадлежит одному пользователю или сервису (веб-серверу, например). Один ключ применяется для шифрования, второй для дешифрования.
  • Открытый ключ применяется для шифрования информации, чтобы сохранить ее конфиденциальность. А расшифровать шифр сможет только владелец закрытого ключа.
  • Иногда ключи используют наоборот: чтобы подтвердить подлинность источника данных, их шифруют закрытым ключом. Если открытый ключ успешно расшифрует сообщение, то будет доказано, что сообщение подлинное. Открытый ключ действительно «открытый», он доступен для всех.

 

Третий кит криптографии — хеширование. Хотя оно не применяется для шифрования информации, но также служит для защиты данных. При хешировании запускается алгоритм, который вычисляет на основе битов исходной информации строку фиксированной длины — хеш. Любые данные состоят из битов, в том числе голосовые и видео. После хеширования исходная информация остается неизменной. Шифрование же изменяет данные до нечитаемого состояния.

Сколько бы раз хеш-функция ни применялась к одной и той же информации, хеш-значение получается неизменным. Оно подтверждает целостность данных и доказывает, что они пришли в изначальном формате. Хеширование — единственный способ защитить данные от случайных изменений.

Если же хеш был зашифрован асимметричным закрытым ключом, он подтверждает, что данные не подделаны злоумышленником намеренно. Вредоносные изменения не могут произойти, если секретный ключ не скомпрометирован.

Если ключ не скомпрометирован, то получатель знает, что владелец ключа и есть тот человек, который вычислил хеш. Такой ключ может быть как симметричным (иногда его называют секретным ключом), так и ассиметричным секретным ключом.

Безопасность беспроводных сетей

Трудно защитить данные, голосовую и видео-информацию, которые передаются по беспроводной сети. Беспроводные технологии используют для передачи информации инфракрасное излучение или радиоволны. Злоумышленнику, находящемуся в радиусе действия сигнала, гораздо проще перехватить такую передачу, чем данные в проводной сети. Есть специальные стандарты шифрования для беспроводных сетей, но большая часть из них так или иначе была взломана.

В число стандартов входят WEP, WPA, WPA2 и новый WPA3.

  • WEP (Wired Equivalent Privacy) использует для защиты беспроводной передачи потоковый симметричный алгоритм шифрования RC4. Алгоритм защиты быстро взломали, и теперь существует ряд утилит для атаки на WEP, например, WEPCrack, aircrack и др.
  • WPA (Wi-Fi Protected Access) пришел на смену WEP, но похож на него тем, что тоже использует RC4. Хакеры не замедлили модифицировать утилиты взлома WEP для атак на WPA.
  • Следующая версии WPA — стандарт WPA2. Он работает в двух режимах.
    • Персональный режим WPA2 использует заранее установленный (общий) ключ. По сути, это пароль, который вводится в беспроводное устройство, такое как ноутбук, телефон, или в беспроводную точку доступа (WAP). В 2017 г. была раскрыта критическая уязвимость WPA2, названная KRACK (Key Reinstallation AttaCK).
    • Корпоративный режим WPA2 обеспечивает дополнительный уровень безопасности, используя для аутентификации пользователя централизованный RADIUS-сервер. Для передачи данных аутентификации по локальному беспроводному соединению используется фреймворк аутентификации EAP. Комбинация сервера аутентификации (RADIUS) и EAP как протокола безопасности описывается стандартом IEEE 802.1x.
Схема шифрованного соединения
  • Третья версия, WPA3, также имеет две опции.
    • WPA3 для персонального использования обеспечивает высокий уровень защиты пользователя благодаря 128-битному ключу шифрования. WPA3 обеспечивает надежную аутентификацию по паролю, даже если пароль пользователя недостаточно надежный. Это достигается благодаря протоколу SAE («одновременная аутентификация равных»), который пришел на смену заранее установленному ключу WPA2.
    • Корпоративный режим WPA3[SM2] [TA(3] [SM4] использует 192-битный ключ шифрования, что повышает уровень безопасности. Это важное усовершенствование, по сравнению с WPA2, позволяет последовательно применять протоколы безопасности во всей корпоративной сети.

Сертификация безопасности

Обеспечить сетевую безопасность довольно сложно. Приходится вести бесконечную битву со злоумышленниками. Чтобы узнать больше, см. страницу Средства защиты сети.

Всегда полезно пройти сертификацию безопасности. Удобной отправной точкой будет сертификация CompTIA Security+ или System Security Certified Practitioner ((ISC)SSCP). Certified Information System Security Professional ((ISC)CISSP) — это сертификация более высокого уровня: сертифицированный специалист по безопасности информационных систем. Если вы ориентируетесь на конкретного вендора, то также можете получить облачные сертификаты AWS, GCPили Azure.

Статьи по теме