Если локальная сеть организации или персональный компьютер пользователя имеют выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проникновения в систему извне (используя подобранный или украденный пароль, уязвимости программного обеспечения и т.д.), перехват и подмена данных, передаваемых в сеть или получаемых из сети — вот перечень наиболее типичных угроз.
Существует ряд средств, методов и технологий защиты информации, учитывающих специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений.
Межсетевой экран (брандмауэр, файрвол) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Межсетевой экран, как правило, обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер — это программа или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например, Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT — Network Address Translation). Когда какой-то узел внутренней сети хочет передавать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение, и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).
Существует ряд классификаций межсетевых экранов по различным критериям:
1. В зависимости от охвата контролируемых потоков данных.
— Традиционный межсетевой экран — программа, установленная на шлюзе (сервере переедающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Основная задача такого брандмауэра — предотвращение несанкционированного доступа во внутреннюю сеть организации.
— Персональный межсетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
— Работающие на сетевом уровне — фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
— Работающие на сеансовом уровне — отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP (такие пакеты часто используются в злонамеренных операциях: сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т.д.).
— Работающие на уровне приложений — фильтрация на основании анализа данных приложения, передаваемых внутри пакета; передача потенциально опасной и нежелательной информации блокируется на основании политик и настроек.
3. В зависимости от отслеживания активных соединений.
— Stateless (простая фильтрация) — не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
— Stateful (фильтрация с учётом контекста) — отслеживают текущие соединения и пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.
Популярные брандмауэры, реализованные в виде прикладных программ.
1. Outpost Firewall Pro. Персональный брандмауэр, обладает следующими функциональными возможностями:
— предотвращение несанкционированного доступа к данным;
— сокрытие присутствия защищаемой системы в сети (таким образом она делается «невидимой» для взломщиков);
— анализ входящих почтовых сообщений и блокировка потенциально опасных;
— мониторинг и анализ сетевой активности системы;
— блокировка доступа к «запрещенным» сайтам (для детей или сотрудников).