Абонентское обслуживание компьютеров организаций по договору

В этой статье мы рассмотрим безопасность локальной сети. Особое внимание будет уделено вопросам связанным с защитой технического уровня и рекомендациям по безопасности локальной сети. Данная область довольно большая, по этому основное внимание будет направленно на следующие вопросы: основные уязвимости локальных сетей и политики безопасности, которые требуются для обеспечения высокой степени безопасности.
Как и в любом деле, для хорошего результата требуется крепкий фундамент. Помимо центральной политики безопасности, без реализации которой просто не возможно представить надежную и безопасную сеть, стоит заострить внимание на следующих пунктах:
Применение безопасных протоколов передачи информации. Хорошо известно, что текстовые протоколы (FTP, Telnet) являются серьезными уязвимостями в локальной сети. По этому их использование следует ограничить, либо же совсем отказаться от них. Так же стоит организовать туннелирование данных, что можно организовать по средства SSH.
Организовать шифрование важных и критических данных, причем для этого следует использовать криптостойкие алгоритмы шифрования.
При создание локальной сети следует задумать об использование архитектуры с DMZ (демилитаризованной зоны), которая будет обслуживаться двумя Firewall`ми.
Использовать NAT, IDS, IPS
Защита периферии по средствам создания тонких клиентов.
Известно, что системы, которые имеют открыт доступ из внешней сети, являются основными целями для хакеров и злоумышленников. А защита периметра сети, стоит особенно остро для организаций имеющих конфиденциальную и критическую информацию. Особенно тщательно следует продумывать систему безопасности систем, которые работают с внешними ресурсами (web – сервер, mail – сервер и другие), ведь в первую очередь именно на них происходит атака. В этом случаи требуется технология, которая ограничивает доступ к конфиденциальной информации, хранящийся во внутренней части локальной сети.
Именно для этого и разработана технология DMZ – эта аббревиатура расшифровывается demilitarized zone (демилитаризованная зона). Она представляет собой отдельный фрагмент локальной сети, которая имеет ограничения и не полностью доверительна. Такая система необходима для того, чтобы ограничить доступ к внутренней части локальной сети, от запросов поступающих из сети Интернет. DMZ создается на основе нескольких межсетевых экранов и маршрутизаторов с жесткой фильтрацией поступающих пакетов. Затем, аппаратная и программная часть DMZ настраивается в соответствие с основной политикой безопасности, то есть определяется трафик, который может проходить только внутри демилитаризованной зоны, а какой может проходить внутрь локальной сети. Естественно, все системы, которые имеют доступ из публичной части сети должны быть расположены в DMZ. Следует отметить, что в случаи, если система имеет доступ через SSH или Telnet, то появляется возможность провести атаку на другие системы, которые так же находятся в демилитаризованной зоне.
IDS – это система предназначенная для обнаружения вторжения со стороны злоумышленников. То есть, в идеальном случаи, такая система только выдаст сообщение о попытки проникновения в вашу локальную сеть. Помогает такая система, для превентивных мероприятий по борьбе с вторжениями. Такая система безопасности сообщает, если злоумышленник пытается собрать информацию, которая необходима для атаки на вашу сеть. Есть разновидность IDS, называемая IPS. Такая система имеет более широкие возможности, нежели просто обнаружение атак и превентивные меры. Сейчас различается 2 основных типа IDS: узловые (HIDS) и сетевые (NIDS).
Давайте поговорим об еще одном инструменте, который поможет создать безопасную локальную сеть. Этим инструментом является NAT, представляющая технологию трансляции нескольких IP – адресов в другие. Чаще всего NAT реализуется в межсетевых экранах, хотя некоторые маршрутизаторы так же могут выполнять эту роль. Преимуществом этой технологии является то, что из внешней сети невозможно увидеть внутренние адреса сети. Но эта технология никак не сможет защитить, если злоумышленник имеет прямое подключение к сети, например через VPN или находится внутри самой организации.
В конце хотелось бы сказать, что в статье были рассмотрены только самые основные методы защиты локальной сети, которых иногда не хватает. По этому, не стоит надеяться, что если вы сделает все вышеописанное, то ваша сеть будет абсолютно не преступна. Ведь, каждая сеть индивидуальна и следовательно к ней нужен свой подход. Но при этом, хотелось бы заметить, что невозможно создать на 100% безопасную сеть, к этому результату можно только приблизиться и чем ближе, тем лучше.