Круглосуточная поддержка клиентов: 8 800 600 75 76

Защита сетей: межсетевые экраны

Как работают межсетевые экраны и от каких угроз защищают

Чаще всего вредоносное ПО стремится получить доступ к конфиденциальным данным – рабочим файлам пользователей, базам данных клиентов, учётным данным. Борьба индустрии информационной безопасности со злоумышленниками – это бесконечная «гонка вооружений».

    Для чего нужны Межсетевые экраны?

    Межсетевой экран, или Firewall, служит первой линией защиты сетей уже более 25 лет. Они устанавливают барьер между контролируемыми, защищенными внутренними сетями, которым можно доверять, и ненадежными внешними сетями.

    Вредоносное ПО ищет способ проникнуть в корпоративную сеть и довольно часто ей в этом помогают сами пользователи. Их можно условно разделить на три группы: злонамеренные, халатные и беспечные.

    Настройка Firewall

    Первые совершают преступные действия по чьему-то указанию, за вознаграждение или с личным мотивом.

    Вторые, «халатные», действуют не из злых намерений, а просто пренебрегают установленными мерами безопасности, например, для возможности удаленной работы. Эта группа пользователей создает особенно большой риск, потому что они зачастую обладают привилегированным доступом к сети, о чем злоумышленник может узнать и воспользоваться. А неправильно настроенное оборудование может этому поспособствовать.

    И наконец – беспечные пользователи. Чаще всего это плохо обученные или технически неопытные люди, которые легко поддаются манипуляциям интернет-мошенников. Такой человек может не сомневаясь перейти по ссылке в фишинговом письме, скачать некий файл, запустить его и тем самым подвергнуть заражению свой компьютер и впоследствии все рабочие станции, подключенные к корпоративной сети.

    Вирус WannaCry

    В 2017 году мир столкнулся с нашествием вирусов-шифровальщиков (Petya, WannaCry, NotPetya), которые при заражении шифровали все данные и требовали огромные суммы за ключ для расшифровки. Каждый случай заражения парализовал работу международных компаний, а ущерб выражался десятками и сотнями миллионов долларов. С тех пор компании стали внимательнее относиться к информационной безопасности, ведь, как показал этот суровый и весьма дорогой урок – опытным злоумышленникам достаточного одного шанса, чтобы нанести огромный вред.

    К счастью, современные поставщики оборудования и ПО активно работают над решениями, способными предотвращать попытки неправомерного доступа, обнаруживать странное поведение рабочих станций пользователей, необычное движение трафика в сети и анализировать его. На данный момент, одним из лучших решений для безопасности корпоративных сетей является серия NGFW, яркий представитель которой - межсетевой экран Cisco Firepower.

    Как работает межсетевой экран

    Во время отправки данные разбиваются на части. Каждый фрагмент содержит в себе определенные данные об устройстве-отправителе и получателе, типе протокола, и многое другое.

    Защитная функция фаервола опирается на анализ таких пакетов данных, передвигающихся в сети. Предварительно заданные правила и политики позволяют устройству принимать решения о допуске или блокировании сетевого трафика в определённых направлениях.

    Современный межсетевой экран способен получать и анализировать гораздо больше информации о передаваемых данных, чем раньше, благодаря чему они принимают более точные решения. Например, NGFW запоминают номер порта, используемые двумя IP-адресами, могут распознавать множество протоколов, приложений и их версии, распознают сигнатуры вредоносного ПО; могут расшифровывать SSL-трафик.

    Cisco Firepower

    При анализе трафика на предмет угроз применяются две основные системы:

    1. IDS (Intrusion Detection System) или система обнаружения вторжений.
    2. IPS (Intrusion Prevention System) или система предотвращения вторжений.

    Обнаружение вторжений обычно подразумевает процесс пассивного мониторинга и анализа сетевого трафика на предмет потенциальных вторжений, а также последующее хранения данных для анализа специалистами по информационной безопасности. Предотвращение вторжений включает в себя обнаружение вторжений, но при этом и способность блокировать или изменять вредоносный трафик.

    В чем преимущества?

    Линейка Cisco Firepower включают в себя решения как для малых, так и крупных предприятий, ЦОД и операторов связи. В зависимости от требований, устройства предлагают пропускную способность от 650 Мбит/с до 168 Гбит/с, а функционал, кроме всего прочего, включает в себя:

    • мониторинг и контроль работы приложений, блокирование нежелательных приложений;
    • систему защиты от вторжений нового поколения (NGIPS);
    • защиту от вредоносного ПО;
    • фильтрацию URL-адресов;
    • блокировку DDoS-атак.

    Фильтрация URL-адресов осуществляется на основании более чем 80 категорий (например, «Стриминг сервисы» или «Онлайн-магазины») и репутации конкретных ресурсов. Система принимает решения руководствуясь локальной базой URL, которая получает регулярные обновления из облака URL, которое «знает» более 200 млн URL-адресов. К примеру, если создано правило, которое блокирует социальные сети, и кто-то опубликует на странице своего профиля ссылку на вредоносное ПО, система может присвоить этой странице репутацию «Высокий риск» и заблокировать её.

    Защита от DDoS-атак (Distributed Denial of Service) реализуется средствами Radware Virtual DefensePro (vDP). DDoS-атака – это скоординированная атака на сетевую инфраструктуру, которая выполняется большим количеством подчиненных злоумышленнику компьютеров-зомби (ботнет), и целью которой является перегрузка сетевых устройств за счёт отправки огромного количества данных, которое оборудование не в состоянии обработать. Пользователи компьютеров-участников атаки чаще всего не подозревают о том, что являются участниками такой сети.

    vDP – это запатентованное решение, которое в реальном времени защищает от множества разновидностей DDoS-атак: SYN, IP, ICMP, TCP, UDP, IGMP, HTTP, DNS. При этом во время атаки система не блокирует законных пользователей.

    Благодаря использованию межсетевых экранов Cisco вы сможете увидеть полную и подробную картину вашей инфраструктуры, быстро обнаруживать угрозы и устранять уязвимости.

    Компания X NET является партнёром Cisco уровня Premier и обладает опытными и сертифицированными инженерами для проведения внедрения, а также собственной службой технической поддержки клиентов, работающей в режиме 24/7.

      Пример проекта

      Построение IТ-инфраструктуры

      Завод «Белая Дача»

      Нами выполнен проект по построению IT-инфраструктуры картофелеперерабатывающего завода. Внедрены следующие решения:

      • 147 промышленных точек доступа для бесшовного покрытия (Wi-Fi)
      • 561 сетевой узел
      • 24 стойки ЦОД с полной виртуализацией
      • 256 датчиков безопасности, политики безопасности системы ИБ для достижения отказоустойчивости сети и беспрерывной работы производства
      • IP-телефония и портал для видеоконференцсвязи

      Инфраструктура и пользователи находятся на технической поддержке X NET.

      Смотрите также