Информационная безопасность в корпоративных сетях передачи данных

11.06.2014
Проблема информационной безопасности в корпоративных сетях связи сегодня очень остро стоит перед компаниями любого уровня. Утечка критически важной корпоративной информации, рост объемов паразитного трафика, вымогательство, шантаж и заказные атаки на информационные ресурсы стали в последнее время частым явлением.

По данным исследовательской компании Infonetics Research, на североамериканском рынке, как ведущем в мире, затраты компаний на обеспечение информационной безопасности центров обработки данных в 2012 году резко выросли (см. Рисунок 1) [1].

1.jpg

Рисунок 1 – Затраты североамериканских компаний на обеспечение информационной безопасности центров обработки данных за 2011 и 2012 годы

Рост затрат компаний на обеспечение информационной безопасности связан с ростом информационной преступности и увеличением количества DDOS атак.

Если смотреть на исследования различных групп безопасности (IBM X-Force, Symantec и др.), проблемы обеспечения информационной защиты становятся все более серьезными. Последние известные взломы очень известных организаций (NASA, Sony, RSA, Lockheed Martin, Gazprom), где вопросы безопасности рассматриваются очень серьезно и где на момент взлома стояли очень популярные в США и мире продукты безопасности, убедительно показывают, что необходимо переходить на новые принципы, и, видимо, средства безопасности нового поколения.

На настоящий момент времени существует множество подсистем информационной безопасности, поэтому в данной статье остановимся только на некоторых конкретных видах, относящихся к рынку корпоративных средств сетевой безопасности, исключая средства защиты для домашних сетей. Специалисты применительно к данному рынку отмечают следующие виды технологий и устройств защиты:

  • Межсетевые экраны UTM/Firewall;

  • Системы предотвращения вторжений IPS/IDS;

  • Системы защиты от распределённых атак DDoS;

  • Контроль доступа к сети NAC;

  • Виртуальные частные сети VPN;

  • Аутентификации и авторизации пользователей AAA;

  • Системы управления доступом IDM

Межсетевые экраны

Межсетевое экранирование — блокирование трафика от несанкционированных источников — одна из первых сетевых технологий безопасности, но производители соответствующих устройств и приложений продолжают разрабатывать новые подходы, которые помогают эффективнее противодействовать современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы. Межсетевые экраны нового поколения позволяют создавать политики, используя более широкий спектр контекстных данных, и обеспечивать их соблюдение.

Первые межсетевые экраны (FW) были разработаны еще в конце 80-х годов прошлого века компанией DEC и функционировали в основном на первых четырех уровнях модели OSI, перехватывая трафик и анализируя пакеты на соответствие заданным правилам. Затем Check Point предложила межсетевые экраны со специализированными микросхемами (ASIC) для глубокого анализа заголовков пакетов. Эти усовершенствованные системы могли вести таблицу активных соединений и задействовали ее в правилах (Stateful Packet Inspection, SPI). Технология SPI позволяет проверять IP-адреса отправителя и получателя и контролировать порты.

В 1991 появились системы FW, функционирующие на уровне приложений. Первый такой продукт выпустила компания SEAL, а два года спустя появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems. Эти межсетевые экраны проверяли пакеты на всех семи уровнях, что позволило использовать в наборах правил (политиках) расширенную информацию – не только о соединениях и их состоянии, но и об операциях с использованием протокола конкретного приложения. К середине 90-х годов прошлого века межсетевые экраны обрели способность осуществлять мониторинг популярных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet. Эти усовершенствованные продукты (application-aware) получили название межсетевых экранов нового поколения (Next-Generation Firewall, NGFW).

В настоящее время для обеспечения безопасности Web-трафика специалисты в области защиты информации сталкиваются с тем, что на рынке существует два класса решений:

  • Next-Generation Firewall (NGFW) – межсетевой экран нового поколения. Это продукты компаний-разработчиков Check Point Security Gateway, Stonegate FW, PaloAlto и т.п.
  • Secure Web Gateway (SWG) – шлюз защиты и контроля Web-трафика. Компании-разработчики этих продуктов –  Cisco Web Security, Blue Coat Proxy SG и др.

NGFW – современный шлюз безопасности с функциями межсетевого экрана, защиты каналов связи, обнаружения вторжений, глубокого анализа  и фильтрации Web-трафика, трафика электронной почты и детального разграничения прав пользователей.

SWG – это современный шлюз безопасности с функциями глубокого анализа  и фильтрации Web-трафика, проксирования и детального разграничения прав пользователей.

Компания Gartner подготовила в 2013 году два исследовательских отчета по рынку  решений защиты при помощи межсетевых экранов NGFW и SWG (см. Рисунки 2 и 3) [2].

2.jpg

Рисунок 2 – Квадрат Gartner Magic Quadrant для решений NGFW

 3.jpg

Рисунок 3 – Квадрат Gartner Magic Quadrant для решений SWG

 

В «магическом квадрате NGFW» аналитики Gartner отнесли компании Check Point и Palo Alto Networks к лидерам рынка межсетевых экранов, а Fortinet, Cisco и Juniper Networks названы претендентами. Целых восемь вендоров оказались «нишевыми игроками» и одна компания попала в сектор «провидцы». В «магическом квадрате SWG» к лидерам рынка относятся компании Cisco, Blue Coat Systems, Websense, Zscaler, McAfee, а к претендентам на эту роль – Symantece, Barracuda Networks, Trend Micro. Шесть вендоров заняли сектор «нишевых игроков» и одна компания – «провидцы».

В Таблице 1 показан набор функций, необходимый для нейтрализации угроз Web-трафику, реализованный в продуктах компаний – мировых лидеров.

табл.jpg

Таблица 1 – Реализованный компаниями – мировыми лидерами функционал в продуктах по межсетевому экранированию

Из Таблицы 1 видно, что в лучших продуктах NGFW и в SWG реализованы все функции по защите web-трафика, по этому при выборе системы защиты эксперты дают следующие советы:

  • Если в компании уже есть FW, который полностью ее устраивает, то можно еще внедрить дополнительный SWG и использовать связку FW + SGW. Только нужно убедиться, что эти два решения друг с другом интегрируются, так как эта возможность будет полезной.
  • Если в компании есть Proxy сервер, который ее полностью устраивает, то предлагается внедрить дополнительный NGFW и использовать связку NGFW + Proxy, также убедившись в интеграции этих решений.
  • Если в компании есть много средних и малых удаленных подразделений с собственными каналами в сеть Интернет, то можно внедрить одно устройство на такое подразделение, т.е. NGFW.

Эксперты советуют, что если требуется внедрить функции защиты и фильтрации трафика сети Интернет таким образом, чтобы изменения в существующую инфраструктуру и средства защиты были минимальными, то лучше подходит решение SGW, так как внедрение NGFW, как правило, приводит к существенному изменению внешнего блока корпоративной сети.

В других случаях надо ориентироваться на существующую сетевую инфраструктуру и возможность интеграции решения с ней, опыт работы организации с конкретными производителями, стоимость, наличие русскоязычной  поддержки, наличие доступных учебных курсов, сертификатов и т.п.

NGFW система должна уметь:

  • Не просто пропускать потоки информации, но и сама принимать участие в их обработке, включая контроль исходящих потоков на присутствие данных, классифицированных как конфиденциальные.
  • Иметь гибкие возможности управления политиками для различных групп пользователей в зависимости от точки подключения, времени суток, уровней допуска или назначенных бизнес-задач. Например, доступ к любым сайтам в нерабочее время или выделение максимально широкого канала на период проведения видеоконференции.
  • Обеспечивать фильтрацию трафика по типу приложений, например, с возможностью блокировки любого Skype-трафика.
  • Иметь комплексный арсенал средств сетевой безопасности: от поддержки фильтрации по Layer-7 до встроенных антивирусных движков, системы IDS/IPS и модулей шифрования трафика современными криптоалгоритмами.

Межсетевые экраны NGFW не только фильтруют входящий трафик. Некоторые NGFW могут выявлять аномальную активность и в исходящем трафике, например, взаимодействие через порт 80 с несанкционированным сайтом, или трафик, совпадающий с одной из сигнатур. Это помогает идентифицировать и блокировать исходящие коммуникации, в том числе инициированные вредоносными программами. Все больше и больше возможностей, которые раньше реализовывались на выделенных межсетевых экранах, объединяются в одном программно-аппаратном комплексе.

Аналитики Gartner отмечают, что в последние два-три года растет спрос на платформы NGFW, способные выявлять и блокировать изощренные атаки, задавать (с высокой степенью детализации) политики безопасности на уровне приложений, а не только портов и протоколов. Функционал и производительность межсетевых экранов должны отвечать требованиям более сложного взаимодействия с приложениями, а сами устройства — обладать высокой пропускной способностью и поддерживать виртуализацию. Выбор решения определяется такими факторами, как стоимость, удобство управления, простота и скорость развертывания.

 Новые угрозы и технологии Web 2.0 заставляют вендоров обновлять свои предложения и совершенствовать функциональность межсетевых экранов. Они оснащаются функциями глубокого анализа трафика и предоставляют возможность гибкой настройки политики, а их производительность увеличивается в соответствии с ростом пропускной способности сетей. NGFW способны контролировать сетевой трафик на уровне приложений и пользователей и активно блокировать угрозы. Они могут включать в себя целый ряд дополнительных средств обеспечения безопасности и поддерживать развитые сетевые функции.

 Крупные предприятия и провайдеры нуждаются в высокопроизводительных решениях. Новейшие системы строятся на мощных аппаратных платформах, причем в качестве интегрированных компонентов в них используются ранее разрозненные средства и функции безопасности — IPS, глубокий анализ пакетов, аутентификация пользователей и многое другое. Однако межсетевые экраны корпоративного уровня характеризуются не специфическим набором функций, а масштабируемостью, управляемостью и надежностью, которые отвечают потребностям крупных компаний [6].

 Межсетевые экраны ведущих вендоров, включая Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks и Palo Alto Networks, обеспечивают детальный контекстный анализ трафика на уровне приложений. Но это не единственное свойство NGFW. Например, компания Gartner более трех лет назад предложила собственное определение, подчеркивающее связь между IPS и NGFW. Другие аналитики считают важной особенностью NGFW функции UTM. Palo Alto и Juniper придерживаются своей терминологии. Однако суть не в формулировках, а в функциях NGFW, которые организации могут задействовать для защиты своих сетей. Cisco смотрит на данный вопрос чуть шире, чем принято в других компаниях: в компании не используют понятие NGFW, заменив его на Context-Aware FW, то есть межсетевой экран, учитывающий контекст. Под контекстом понимается не только ответ на вопрос «Что можно?» (то есть анализ трафика на сетевом и уровне приложений), но и ответы на вопрос «Когда можно?» (привязка попытки доступа ко времени), «Куда и откуда можно?» (местоположение ресурсов и оборудования, с которого отправляется запрос), «Кому можно?» (привязка не только к IP-адресу, но и к учетной записи пользователя), «Как можно?» (с какого устройства разрешено осуществлять доступ — с личного или с корпоративного, со стационарного или мобильного). Все это позволяет более гибко выстраивать политику доступа и учитывать постоянно изменяющиеся потребности современного предприятия с точки зрения информационной безопасности.

 Покупка NGFW с намерением использовать лишь его функции фильтрации трафика по портам нецелесообразна, но и функции детального контроля приложений нужны далеко не всем. К тому же стоит подумать, располагает ли организация квалифицированными ресурсами, чтобы конфигурировать и поддерживать сложный набор правил NGFW. Нельзя забывать и о скорости. Лучше всего настроить и протестировать NGFW в рабочей среде. Пропускная способность и удобство управления остаются ключевыми критериями оценки межсетевых экранов.

Отдельный сегмент этого рынка — продукты управления политиками (Firewall Policy Management, FPM). Gartner рекомендует применять их, если сложность среды ИТ превосходит возможности консоли управления FW.

 По прогнозу Gartner к 2014 году 38% предприятий будут использовать NGFW, тогда как в 2011 году таковых насчитывалось лишь 10%. В то же время число заказчиков, развертывающих комбинированные решения (FW+IPS), снизится с 60 до 45%, а количество компаний, пользующихся исключительно межсетевым экраном, — с 25 до 10%. В России, видимо, результаты будут иными.

 При решении новых сложных задач разработчикам подчас приходится идти на компромисс. По заключению лаборатории NSS, новые функции NGFW, такие как детальный контроль на уровне приложений, часто снижают производительность и эффективность защиты по сравнению с комбинацией традиционных межсетевых экранов и IPS. Только у половины протестированных систем эффективность защиты превышала 90%.

 Исследование NSS показало также, что средства IPS в системах NGFW настраивают редко: обычно после развертывания применяются политики, заданные вендорами по умолчанию. Это негативно сказывается на проблеме безопасности и пропускная способность не отвечает заявленной: из восьми продуктов у пяти она оказалась ниже. Кроме того, у всех протестированных NGFW максимальное число подключений не соответствовало спецификациям. Тестировщики лаборатории NSS пришли к выводу, что NGFW будут готовы к развертыванию в корпоративных средах лишь после повышения производительности, да и в целом технологии NGFW нуждаются в совершенствовании — системы должны обеспечивать более стабильную работу и высокую степень безопасности.

Некоторые аналитики считают важной особенностью NGFW реализацию функции UTM (Unified Threat Management, объединенного управления угрозами).

Впервые понятие UTM было использовано компанией IDC для обозначения особых устройств, которые являются многоуровневыми системами защиты и способны обезопасить отдельный компьютер или целую корпоративную локальную сеть от подавляющего большинства опасностей. Это небольшие устройства, которые требуют всего лишь подключения сетевых кабелей и настройки некоторого количества параметров и характеристик работы. После этого UTM-устройство берет на себя большую часть забот по защите корпоративной сети от внешних угроз.

На сегодняшний день большинство компаний использует чисто программную или программно-аппаратную (например, аппаратный сетевой экран и антивирусное ПО) защиту своих корпоративных сетей. Однако практика показывает, что системы UTM имеют три серьезных преимущества перед этими вариантами. Речь идет о простоте инсталляции и конфигурации защиты, а также об удобстве ее администрирования. На UTM-устройствах большая часть необходимых параметров уже установлена по умолчанию. Остальная же настройка осуществляется с помощью пошаговых действий. Это позволяет выполнять все необходимые операции с UTM-устройствами не только специалистам по информационной безопасности, но и обычным системным администраторам, которые есть в штате любой более менее крупной компании. Многие UTM-устройства рассчитаны на использование в небольших и средних компаниях. Поэтому предустановленных разработчиком параметров в большинстве случаев вполне достаточно для комфортной и безопасной работы.

 Первым преимуществом является то, что UTM-устройства позволяют избежать проблем с несовместимостью различных подсистем защиты друг с другом. Сегодня собрать корпоративную систему информационной безопасности, состоящую из продуктов только одной компании, практически невозможно. Проблема заключается в том, что ни один разработчик средств защиты данных не охватил своими средствами все аспекты информационной безопасности. Между тем продукты разных компаний далеко не всегда корректно работают друг с другом. Во многих из них встречается дублирование функций, например, и сетевой экран, и антивирусное программное обеспечение могут использовать так называемые проактивные методы для обнаружения «троянских коней», конфликтуя при этом друг с другом. Например, антивирусное ПО может «заметить» попытки межсетевого экрана контролировать деятельность различных приложений в Интернет и посчитать их за зловредные. Помимо этого, администрирование нескольких отдельных продуктов с различным интерфейсом тоже требует немалого труда. Естественно, UTM-устройства, в которых все подсистемы защиты реализованы как одно целое, полностью избавлены от этих проблем.

 Вторым преимуществом использования концепции UTM является то, что остановка вторжений из Интернет осуществляется прямо на самом устройстве, а не на сервере или рабочей станции. Такой подход позволяет сотрудникам не отвлекаться от работы во время атаки, а их компьютеры всегда будут находиться в работоспособном состоянии. К тому же применение UTM-устройств позволяет отказаться от постоянного использования некоторого программного обеспечения на рабочих станциях и, таким образом, освободить часть системных ресурсов. К сожалению, полностью отказаться от антивирусного ПО нельзя. Интернет — наиболее распространенный канал попадания вирусов и прочих вредоносных программ на компьютеры пользователей, и UTM-устройство перекрывает его, но при этом возможны другие варианты распространения вирусов.

 Третьим преимуществом UTM-устройств является стоимость их внедрения и эксплуатации. Цена таких решений ниже суммы цен нескольких отдельных продуктов, набор которых обладает сходными функциональными возможностями. Примерно тоже самое можно сказать и о стоимости эксплуатации. Процесс администрирования одного устройства (обычно это основная составляющая стоимости владения) проще и отнимает у ответственных сотрудников меньше времени, нежели управление несколькими отдельными системами защиты. Таким образом, с организационной точки зрения использование UTM-устройств позволяет решить множество различных проблем и задач. Они никак не влияют на ранее разработанные в компании политики и стандарты безопасности и служат лишь инструментами для их практической реализации, более производительными, нежели специализированное ПО.

В последнее время аббревиатура UTM становится все более популярной. И постепенно все больше производителей используют ее для описания собственных продуктов. Однако далеко не все устройства, которые могут выполнять две-три функции, действительно соответствуют концепции UTM. По мнению большинства экспертов, для того чтобы какой-то продукт имел право называться полноценным UTM-решением, он должен включать определенный набор систем защиты. Правда, никаких стандартов на этот счет пока нет.

Основные требования к UTM-устройствам:

  • UTM-устройство должно обеспечивать надежную защиту от любых атак извне. Для этого в нем должны быть реализованы как минимум надежный межсетевой экран и система обнаружения вторжений. Вместе они способны выявить потенциально опасный сетевой трафик и блокировать его. В последнее время в UTM-устройствах некоторых производителей используется многоуровневая защита. Это значит, что системы безопасности делятся на несколько модулей, а весь внешний трафик проходит через них поочередно. И если один из уровней выявит какую-то угрозу, то на следующие слои он уже не поступает. Например, если извне поступают некорректные сетевые пакеты, то UTM-устройство будет их отсекать сразу, не тратя свои ресурсы на проверку содержимого. Такой подход позволяет добиться высокой скорости обработки входящего трафика.
  • Обязательное наличие антивирусной подсистемы, выявляющей «троянские кони», черви, шпионское ПО и прочие вредоносные коды на основе базы данных сигнатур. В принципе большая часть вирусов выявляется с помощью системы сетевой защиты. Однако некоторые из них не выполняют сразу никаких действий, а поэтому могут быть выявлены только с помощью сигнатур. Так что наличие подобной системы в UTM-устройстве обязательно.
  • Должна быть реализована поддержка технологии VPN, необходимая для передачи конфиденциальных данных через открытые каналы связи в зашифрованном виде. Это защищает информацию от перехвата злоумышленниками. Данная технология очень часто используется для обмена документами между партнерами, удаленными офисами, сотрудниками и т.д.
  • Наличие различных дополнительных систем защиты. Наиболее распространенными являются модуль фильтрации URL и антиспам.

Сегодня на рынке представлено немало UTM-устройств, которые существенно отличаются друг от друга по своим характеристикам. Очень многое зависит от стоимости решения. Сравнивать продукты, предназначенные для защиты небольших сетей и сетей крупных корпоративных объединений, нельзя. Дело в том, что подавляющее большинство небольших компаний обходится минимальными средствами защиты — межсетевым экраном и антивирусным ПО. В некоторых случаях это оправданно, так как любые вложения, в том числе и в информационную безопасность, должны быть целесообразны и приносить, пусть и неявную, прибыль. С крупными компаниями все иначе. Они очень серьезно относятся к вопросам информационной безопасности. Однако ввиду их небольшого количества высокопроизводительных UTM-устройств, рассчитанных именно на корпорации, продается относительно немного. Как показывает практика, на сегодняшний день наиболее популярными являются UTM-устройств, ориентированных на компании среднего уровня.

На российском рынке в последнее время получили популярность устройства среднего уровня (в диапазоне от 70 до 100 тысяч рублей) производителей Cisco ASA 5510, Firebox X Core 750е, Firebox X Core 1250е, Juniper Networks NetScreen и других производителей.

Мощность процессоров растет, благодаря чему функции UTM устройств постоянно расширяются, они становятся более полезными для потребителей, которым требуются самые современные возможности. Не менее значимы преимущества этих устройств с точки зрения поддержки жизненного цикла и общей стоимости владения. Аналитики предсказывают, что в ближайшие годы устройства UTM станут одной из основных технологий обеспечения защиты.

Системы предотвращения вторжений

Intrusion Detection System (IDS) или Intrusion Prevention System (IPS) – это программные и аппаратные средства для обнаружения и предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом, через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

В целом IPS по классификации и своим функциям аналогичны IDS. Главное отличие IPS от IDS состоит в том, что IPS функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS [3].

IDS/IPS используются для обнаружение аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например, попытки использования уязвимостей ПО, попытки повешение привилегий, несанкционированный доступ к конфиденциальным данным, активность вредоносных программ и т.д.

Система IDS/IPS составляет "карту" сети, содержащую информацию о потенциально слабо защищенных местах, состоянии ОС, работе приложений и протоколов, количестве и типах сетевых устройств (рабочая станция, сервер, маршрутизатор) и пр. Так, имея исчерпывающую информацию о состоянии сети в реальном времени, IDS/IPS анализируют только те события, которые могут повлиять на безопасность системы, и не обрабатывают события, которые никак на ней не скажутся. Таким образом, за счет анализа только релевантных событий ресурсы системы расходуются намного экономнее и эффективнее.

 Кроме того, система IDS/IPS облегчает работу администраторов за счет того, что может рекомендовать применять те или иные правила защиты от угроз, характерных для определенного семейства ОС, которые используются в организации. То есть к набору серверов Windows система автоматически рекомендует администратору применить набор только релевантных правил, защищающих от угроз, именно для Windows; к набору серверов Unix также применит только необходимые правила. Если администратор согласен с предложенными изменениями, система автоматически выполнит их настройку. Подобный функционал очень удобен, он позволяет экономить время и решать задачи обеспечения безопасности гораздо быстрее и результативнее.

Возможности наблюдения за трафиком и сбора информации об активности пользователей в сети дает компании массу преимуществ. Организация получает детализированные данные от LDAP-каталогов (полная информация об учетных записях пользователей в системе), и если на сеть была произведена попытка атаки, средства IDS/IPS предоставляют детализированные сведения о том, с компьютера какого пользователя она была предпринята.

Кроме того, становится гораздо легче идентифицировать пользователей, нарушивших политики безопасности. Если сотрудник воспользуется ОС с некорректными параметрами или неразрешенным приложением (например, Skype), администратор сможет узнать не только IP-адрес этого узла, но и контактные данные пользователя, с которым следует связаться. Таким образом, IDS/IPS-система позволяет IT-специалистам быстрее разрешать различные инциденты в области информационной безопасности [8].

В последнее время появляются системы IDS/IPS нового поколения, обладающие высочайшим уровнем автоматизации процессов и обеспечивающие в сотни раз меньше ложных срабатываний, чем IDS/IPS предыдущих версий. В то же время Next Generation IDS/IPS гораздо тщательнее отслеживают все события, происходящие в сети, и детальнее их анализируют. Для управления подобной системой требуется гораздо меньшее количество человеческих ресурсов, что делает Next Generation IDS/IPS доступной системой и для компаний среднего звена. Автоматизация всех процессов обнаружения и предотвращения вторжений намного повышает производительность системы и оптимизирует работу сети.

IDS всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (Firewall), работа которых происходит на основе политики безопасности, IDS служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атаки злоумышленников, которые обошли Firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки.

Использование IDS помогает достичь нескольких целей:

  • Обнаружить вторжение или сетевую атаку;

  • Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;

  • Выполнить документирование существующих угроз;

  • Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;

  • Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;

  • Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Обычно IDS включает в себя:

  • Сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой сети или системы;

  • Подсистему анализа, предназначенную для выявления сетевых атак и подозрительных действий;

  • Хранилище, в котором накапливаются первичные события и результаты анализа;

  • Консоль управления, позволяющая конфигурировать IDS, наблюдать за состоянием защищаемой системы и IDS, просматривать выявленные подсистемой анализа инциденты;

  • По способам мониторинга IDS системы подразделяются на network-based (NIDS) и host-based (HIDS).

Основными коммерческими IDS являются network-based. Эти IDS определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, NIDS может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты (Рисунок 4).

4.jpg

Рисунок 4 – Система обнаружения вторжений с применением системы мониторинга NIDS

Преимущества NIDS:

  • Большое покрытие для мониторинга и в связи с этим централизованное управление;

  • Несколько оптимально расположенных NIDS могут просматривать большую сеть;

  • Не влияют на производительность и топологию сети.

 NIDS обычно являются пассивными устройствами, которые прослушивают сегменты сети без воздействия на её нормальное функционирование. Таким образом, обычно бывает легко модифицировать топологию сети для размещения таких IDS.

Недостатки NIDS:

  • Обладают высокой ресурсоёмкостью. Для NIDS может быть трудно обрабатывать все пакеты в сильно загруженной сети, и следовательно, они могут пропустить распознавание атаки, которая началась при большом трафике.

  • Требуют дополнительной настройки и функциональности сетевых устройств. Например, многие коммутаторы, на которых построены сети, не предоставляют универсального мониторинга портов, и это ограничивает диапазон мониторинга сенсора NIDS только одним хостом. Даже когда коммутаторы предоставляют такой мониторинг портов, часто единственный порт не может охватить весь трафик, передаваемый коммутатором.

  • Не могут анализировать зашифрованную информацию. Эта проблема возрастает тем сильнее, чем больше организация использует технологию VPN.

  • Не могут распознать результат атаки. NIDS не могут сказать, была ли атака успешной, они могут только определить, что атака была начата. Это означает, что после того как NIDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.

  • Некоторые NIDS имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие фрагментированные пакеты могут привести к тому, что IDS будет функционировать нестабильно.

Host-based системы – HIDS имеют – дело с информацией, собранной внутри единственного компьютера. Такое выгодное расположение позволяет HIDS анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. НIDS обычно используют информационные источники двух типов: результаты аудита ОС и системные логи.

Преимущества HIDS:

  • Имеют возможностью следить за событиями локально относительно хоста, могут определять атаки, которые не могут видеть NIDS;

  • Могут функционировать в окружении, в котором сетевой трафик зашифрован;

  • Это становится возможным, когда host-based источники информации создаются до того, как данные шифруются, и/или после того, как данные расшифровываются на хосте назначения;

  • Не требуют дополнительной функциональности сетевых устройств;

  • Например, на функционирование HIDS не влияет наличие в сети коммутаторов.

Недостатки HIDS:

  • Не имеют централизованного управления. HIDS более трудны в управлении, так как они должны быть сконфигурированы и управляться для каждого целевого хоста;

  • Могут быть блокированы некоторыми DoS-атаками или даже запрещены, так как по крайней мере источники информации (сенсоры) или часть средств анализа для HIDS расположены на том же хосте, который является целью атаки, то, как составная часть атаки, IDS может быть атакована и запрещена;

  • Обладают высокой ресурсоёмкостью. Используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы;

  • Малое покрытие для мониторинга, так как HIDS не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как IDS наблюдает только за сетевыми пакетами, получаемыми конкретным хостом.

По способам определения вредоносного трафика IDS системы подразделяются на: signature-based (сигнатурного метода), anomaly-based (метода аномалий) и policy-based (метода, основанного на политике).

 Детекторы атак анализируют деятельность системы, используя для этого событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой, определение атаки или вторжения иногда называют "сигнатурным определением".

Преимущества сигнатурного метода:

  • Эффективное определение атак и отсутствие большого числа ложных сообщений.

  • Надежная диагностика использования конкретного инструментального средства или технологии атаки.

Это позволяет администраторам, независимо от уровня их квалификации в области безопасности, начать процедуры обработки инцидента, а также скорректировать меры обеспечения безопасности.

Недостатки сигнатурного метода:

  • Обязательное обновление базы данных для получения сигнатур новых атак.

  • Метод аномалий состоит в определении ненормального (необычного) поведения на хосте или в сети. Детекторы аномалий предполагают, что атаки отличаются от "нормальной" (законной) деятельности и могут, следовательно, быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.

Преимущества метода аномалий:

  • Определение атаки без знания конкретных деталей (сигнатуры);

  • Детекторы аномалий могут создавать информацию, которая в дальнейшем будет использоваться для определения сигнатур атак.

Недостатки метода аномалий:

  •  Большое количество ложных сигналов при непредсказуемом поведении пользователей и непредсказуемой сетевой активности;

  • Временные затраты на этапе обучения системы, во время которого определяются характеристики нормального поведения.

Метод, основанный на политике (policy-based) заключается в написании правил сетевой безопасности в терминах распределения доступа, например, какие сети могут взаимодействовать друг с другом и какие протоколы при этом могут использоваться.

Преимущество метода политик заключается в обнаружении новых (неизвестных) атак. Недостаток же метода –  трудоёмкость создания базы политик.

Архитектуру системы обнаружения сетевых атак можно представить на примере продукта IDS Snort.

Snort является открытой Network Intrusion Detection/Prevention System (NIDS/NIPS) системой, позволяющей проводить анализ трафика в реальном времени, а также логинг пакетов в IP сетях. Он позволяет анализировать протоколы верхних уровней на предмет поиска и соответствия нужного содержимого и может использоваться для обнаружения различных атак, таких как переполнение буфера, сканирование портов, доступ к пользовательской информации и пр.

 Snort использует гибкий язык написания правил, который позволяет охарактеризовать «интересный» трафик для сбора или анализа, а также имеет детектор атак, имеющий модульную архитектуру.

Snort можно использовать в трёх различных вариантах:

  • Пакетного сниффера (packet sniffer), наподобие утилиты tcpdump;

  • Логгера пакетов (packet logger), для изучения сетевого трафика;

  • NIDS или NIPS.


Схематично архитектура системы IDS SNORT представлена на Рисунке 5.

5.jpg

Рисунок 5 – Схематичное представление архитектуры системы IDS SNORT

Для работы IDS/IPS Snort необходим мощный сервер с большим объёмом дискового пространства для хранения базы событий.

Для развертывания Snort необходимо установить и настроить ряд программ:

Операционная система FreeBSD или MS Windows;

  • Snort – сам сенсор с детекторами для обнаружения атак;

  • Libpcap – сниффер для захвата пакетов;

  • СУБД MySQL – для хранения базы данных событий;

  • PHP – язык разработки для Web;

  • Apache – web-сервер;

  • Basic Analysis and Security Engine (BASE) – консоль управления и просмотра событий (alerts);

  • Oinkmaster – утилита для обновления сигнатур и некоторые другие.

 Также потребуется настройка коммутатора в локальной сети для сбора «интересного» трафика.

Системы защиты от распределённых атак

Специалисты различают несколько способов и видов группирования DoS-атак по типам. Основными двумя группами DoS-атак являются разрушающие и атаки на ресурсы системы.

Разрушающие – это атаки, которые приводят к тому, что устройство в сети становится полностью неработоспособно: зависает, уничтожается операционная система или конфигурация. Такие атаки основаны на уязвимостях ПО атакуемых систем.

Атаки на ресурсы системы – это атаки, которые значительно снижают производительность устройств или приложений.

Очень распространенной является атака с целью заполнения пропускной способности каналов связи.

В эту категорию попадают атаки, которые своей целью ставят переполнение пропускной способности каналов. Обычно для переполнения канала используются любой вид пакетов TCP, ICMP или UDP с поддельными адресами источника, случайно изменяющимися в диапазоне всевозможных значений, адреса получателя в пакете точно также случайно выбирают из диапазона сети, которая находится на атакованном канале. Однако сейчас такие атаки, стали осуществляться при помощи сетей зараженных компьютеров, где адреса источников атаки настоящие, и таким образом, практически неотличимые от подключающихся компьютеров реальных пользователей.

Еще одной разновидностью DDoS атак такого типа являются DRDoS атаки (Distributed Reflection DoS), которые могут использовать как источник своей атаки любой сервер в Интернете. Идея DRDoS: любой сервер на пакет TCP c SYN флагом обязательно ответит пакетом TCP c флагами SYN+ACK. Если адресом источника в первом пакете поставить адрес жертвы, то сервер пошлет несколько TCP пакетов с флагами SYN+ACK по адресу жертвы, пока не поймет, что жертва соединения не хочет и соединения не будет. Если использовать для атаки много таких мощных серверов, отвечающих на ложные пакеты по ложному адресу, то жертва будет запружена потоком пакетов [4]. На Рисунке 6 приведена схема осуществления DDoS атаки.

 6.jpg

Рисунок 6 – Схема работы DDoS атаки

В последнее время получили распространение DDOS-атаки при помощи создания сети вредоносных ботов (ботнетов). Бот (англ. bot, сокр. от чеш. robot) — специальная программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия через те же интерфейсы, что и обычный пользователь.

Основные вредоносные действия ботов:

  • Спам-боты, собирающие адреса E-mail из контактных форм и гостевых книг;

  • Программы, загружающие интернет-канал потоком ненужной информации (как правило, рекламного характера);

  • Сайты, собирающие информацию о безвредных сайтах, для использования её в автоматически создаваемых дорвеях;

  • Некоторые вирусы и черви;

  • DoS- и DDoS-атаки;

  • Ботнеты и компьютеры-зомби.

В настоящее время получили распространение ботнеты, управляемые через веб-сайт или по принципу P2P-сетей.

В 2013 году компания CheckPoint – один из мировых лидеров среди разработчиков систем информационной безопасности, опубликовала отчет об анализе информационной безопасности проводившемся в течение 2012 года.

Согласно проведенным исследованиям специалисты составили список наиболее распространенных в 2012 году семейств вредоносных ботнетов (см. Таблицу 2).

Таблица 2 – Семейства наиболее распространенных в 2012 году вредоносных ботнетов

Семейства вредоносных ботнетов

Вредоносное воздействие

Zeus

Крадет информацию с кредитных карт при online-банкинге

Zwangi

Показывает пользователю сообщения с нежелательной рекламой

Sality

Не до конца изученный вирус

Kuluoz

Удаленно запускает вредоносные файлы

Juasek

Удаленно осуществляет вредоносные действия по поиску/созданию/удалению файлов

Papras

Крадет финансовую информацию и таким образом получает удаленный доступ к счету

Сеть с применением ботов (ботнет) формируется из нескольких компьютеров, на которых установлено вредоносное ПО, подключенных к серверам управления и контроля. Когда бот устанавливается на компьютер, он берет на себя управление компьютером и нейтрализует антивирусную защиту. Затем бот подключаются к системе управления и контроля для получения инструкций со стороны киберпреступника, при этом задействуются разные телекоммуникационные протоколы, такие как InternetRelayChat (IRC), HTTP, ICMP, DNS, SMTP, SSL и прочие.

Как работают вредоносные ботнеты в сети Интернет, показано на Рисунке 7.

7.jpg

Рисунок 7 – Принцип действия  вредоносных ботнетов

Система защиты от DDoS-атак базируется на уже имеющихся в сети маршрутизаторах и добавляет в сеть свои два компонента:

  • Устройство для блокирования DDoS-атаки. В английском языке это устройство называют mitigator – блокиратор;

  • Устройство со встроенным искусственным интеллектом для обнаружения DDoS-атаки и перенаправления атаки на блокиратор – детектор.

При этом в задачу блокиратора входит не только блокирование трафика, но и его замедление. После обнаружения DDoS-атаки на какую-то сеть анализатор трафика вставляет в таблицы динамической маршрутизации (при помощи BGP или OSPF) запись, которая говорит, что маршрут в атакуемую сеть лежит через этот блокиратор.

В результате весь трафик атаки начинает проходить через блокиратор, что дает возможность заблокировать трафик атаки, а легитимный трафик передать в защищаемую сеть. Передача в защищаемую сеть осуществляется любым доступным способом, например, при помощи инкапсуляции трафика внутри GRE.

После завершения атаки, таблица маршрутизации перенастраивается, чтобы трафик проходил через конечный маршрутизатор, связанный с этой сетью.

Лидерами среди производителей оборудования для предотвращения DDOS-атак являются Arbor Networks и Radware. Другие известные производители – Andrisoft, Corero, F5, Fortinet, Genie NRM, Huawei, Juniper, Narus, RioRey и др.

Устройства производителей систем защиты от распределенных атак отличаются в первую очередь максимальными скоростями, на которых они работают, и числом одновременно защищаемых клиентов.

Большие международные компании, такие как IBM, Microsoft, Apple, Sony, AMD, BMW, Toyota, FedEx, NASA, NBA, MTV защищают свои WEB сайты от DDoS-атак при помощи сервиса Akamai (www.akamai.com).

Есть производители, которые непрерывно собирают список адресов с зараженными компьютерами, например:

  • Arbor (arbornetworks.com/en/threat-management-system.html);

  • Cisco (cisco.com/en/US/products/ps5888/index.html);

  • CloudShield (cloudshield.com/Products/cs2000.asp);

  • Narus (narus.com/products/index.html).

Компания Arbor собирает списки адресов ботнетов (atlas.arbor.net/summary/botnets), что используется в продуктах Arbor и ее партнеров. Такие списки адресов постоянно обновляются раз в 15 минут и, например, используются для обнаружения подключения защищаемых рабочих станций к ботнетам в продукте IBM Proventia Anomaly Detection System.

Компания Arbor предлагает для обеспечения защиты от DDOS-атак связку детектора Arbor SP с блокиратором Arbor TMS. Детекторы Arbor SP часто используются совместно с блокираторами других компаний, например, они совместно работают с Cisco Guard и Cloud Shield CS-2000.

Arbor TMS выполняет защиту от DDoS-атак различных типов. Основным достоинством защиты на базе Arbor TMS является блокирование атак со случайных поддельных IP-адресов всего Интернет на все адреса из атакуемой сети, имеющих своей целью переполнение канала. Для обнаружения DoS-атаки используется детектор Arbor SP. Устройства Arbor SP собирают информацию со всех маршрутизаторов и свитчей провайдера о трафике и анализируют его. Сбор информации собирается по любому протоколу сообщения о потоках, например, при помощи CiscoNetFlow. Для перенаправления трафика атакуемой сети через устройство Arbor TMS используется протокол BGP. Управление устройством TMS осуществляется через Arbor SP контроллер, который не только управляет, но и собирает flow-потоки от маршрутизаторов. Контроллер поддерживает до 5 маршрутизаторов. Каждые новые 5 маршрутизаторов обслуживаются дополнительным коллектором, который собирает flow-потоки и передает в контроллер. Для передачи отфильтрованного «хорошего» трафика обратно в канал используется инкапсуляция GRE или MPLS. При обнаружении DoS-атаки коллекторами Arbor SP по протоколу BGP добавляется подходящее устройство TMS как следующий маршрутизатор для атакуемой сети и, таким образом, трафик автоматически перенаправляется на фильтрующее устройство всеми маршрутизаторами.

Существует несколько этапов работы связки Arbor SP+TMS:

  • Обнаружение. Детектор Arbor SP понимает, что началась DDoS-атака.

  • Активация защиты. Детектор дает необходимую информацию TMS для его работы.

  • Перенастройка маршрутизации. TMS дает маршутизаторам информацию по протоколу BGP о том, какие сети он будет фильтровать. Маршрутизаторы начинают посылать ему трафик, предназначенный только для этих сетей. Трафик для других сетей передается так же.

  • Фильтрация. TMS получает трафик и удаляет из него вредоносные пакеты.

  • Перенаправление. TMS перенаправляет полезный трафик клиенту провайдера. Для этого на маршрутизатор, к которому подключен клиент, передаются пакеты, инкапсулированные внутри GRE.

Архитектуру программно-аппаратного комплекса по защите от DDOS-атак также можно рассматреть на примере системы операторского класса "Периметр" от российской компании "МФИ Софт" [6].

Система "Периметр" состоит из двух модулей: "Анализатор" и "Очиститель".

Модуль "Анализатор" предназначен для отображения информации в режиме реального времени, а также для составления соответствующих отчётов. Помимо этого, данный модуль может взаимодействовать с сетевым оборудованием оператора с целью осуществления первичной фильтрации входящего трафика.

Работа с "Анализатором", в основном, сводится к просмотру предоставляемой им информации в режиме реального времени или к просмотру тех или иных отчетов по собранным данным. При этом может решаться целый комплекс задач, начиная с детектирования аномального или вредоносного трафика и заканчивая выявлением проблемных мест в структуре сети, некорректного сетевого взаимодействия и пр.

Модуль "Очиститель" является фильтром, который отсеивает вредоносные пакеты, пропуская трафик от легитимных пользователей. Такой подход позволяет защищаемым сервисам постоянно оставаться доступными даже во время DDoS-атаки.

На Рисунке 8 схематично представлена архитектура системы "Периметр".

 8.jpg

Рисунок 8 – Архитектура системы "Периметр"

Контроль доступа к сети

В последние годы все более заметное место на рынке по системам безопасности занимает эффективная стратегия защиты посредством контроля доступа к сети и ее ресурсам — технология NAC (Network Access Control).

В терминологии Symantec аббревиатура NAC расшифровывается как Network Access Control, Microsoft интерпретирует ее как Network Access Protection, в варианте Juniper это Networks Unified Access Control, а у Cisco Systems — Network Admission Control. Есть и другие названия одного и того же понятия: Trusted Access, Тotal Access Protection и даже Network Node Validation. В любом случае, несмотря на то, что на рынке не существует стандарта NAC, суть этой стратегии защиты сводится к регламенту доступа пользователей к сети и постоянному контролю над состоянием конечных сетевых устройств — как внутренних сотрудников, так и удаленных, и в том числе мобильных пользователей.

Технология NAC реализует широкий перечень функций, которые охватывают идентификацию пользователей, оценку и идентификацию состояния конечных точек, меры по пресечению угроз, проверку устройств на соответствие корпоративным политикам доступа в сеть.

Решая вопросы безопасности подключения пользовательских устройств в комплексе, технология NAC вторглась в сферу ответственности сразу трех подразделений — ИТ, ИБ и сетевого.

На раннем этапе развития NAC методы контроля подключений персональных устройств к сети реализовались на основе протокола 802.1x и при этом были чрезвычайно сложны для внедрения и поддержки в масштабных сетях.

Применение системы контроля доступа на основе протокола 802.1х позволяет:

  • контролировать подключение пользователей или устройств к сети (идентифицировать);

  • назначить в определенный VLAN, присвоить соответствующий IP-адрес;

  • собирать статистику: какой пользователь, когда, на каком коммутаторе, с каким IP-адресом произвел подключение к сети. Опционально — сколько времени проработал, какую нагрузку на сеть произвел;

  • предоставить гостевой вход в Интернет для рабочих станций заказчиков и партнеров, находящихся на территории организации;

  • обеспечить подключение принтеров, терминалов и других устройств, неподдерживающих 802.1x.

Тем самым применение 802.1x гарантирует, что в сети никогда не появится неавторизованное устройство. Однако не следует забывать, что при 802.1х контроль доступа к съемным носителям и проверка программного обеспечения подключаемых устройств не поддерживаются. А ведь именно эти два фактора являются причиной возникновения большинства инцидентов (утечка информации, распространение вирусов в локальной сети и др.). С развитием второго поколения систем контроля доступа к сети пришли и решения, основанные на использовании агента, который контролирует целостность программной среды и процессов, протекающих на рабочих станциях. Уже на этом уровне возникает вопрос профилирования различных пользователей и применения к ним различных политик доступа. 

Рынок NAC растет довольно быстрыми темпами, хотя эксперты и для него предсказывают непростые времена. По мнению Gartner, несмотря на консолидацию вендоров и уход с этого рынка некоторых игроков, неплохие шансы остаются даже у начинающих компаний. Из наиболее известных в мире производителей NAC наиболее известна продукция Cisco, Microsoft, Symantec и Juniper. На мировом рынке в этой нише также широко представлено комплексное решение компании Trusted Network Control (TNC), но в России оно практически неизвестно. С той или иной степенью полноты элементы NAC присутствуют в продуктах таких компаний, как Hewlett Packard, Extreme, McAfee, Check Point, LanDesk.

Производители предлагают различные версии NAC и c различным функционалом –от простых правил «разрешить/запретить» до предоставления автоматических методов по устранению несоответствий политики безопасности. При этом разработчики предлагают собственные (proprietary) реализации NAC, и единственное, что их объединяет, — это три общих подхода к реализации технологии:

  • программный агент, устанавливаемый на конечное оборудование;

  • инфраструктурные решения;

  • программно-аппаратные комплексы (appliance).

Решение любого производителя NAC функционирует на базе трех принципиальных

компонентов. Во-первых, это точка, которая запрашивает доступ. Во-вторых, это сервер принятия решения. И, в-третьих, это среда принуждения, в которой реализуются установленные политики.

При всем многообразии продуктов можно выделить два основных подхода вендоров к построению архитектуры NAC.

Первый подход, представителями которого являются Microsoft и Cisco, состоит в подготовке конструктора, набора инструментов для автоматизации и реализации технологий планирования. В состав конструктора Cisco NAC Framework входит сервер сетевых политик Network Policy Server, называемый Access Control System (ACS), а также оборудование и специализированное ПО Cisco. Для того чтобы выдать сертификат, подтверждающий лояльность подключаемой к сети машины, специализированный агент должен взаимодействовать с множеством продуктов партнеров: например, Cisco NAC работает с TrendMicro, MacAfee, а также продуктами «Лаборатории Касперского».

Второй метод состоит в том, что разработчик NAC самостоятельно предоставляетподдержку сторонних компонентов — антивирусного или антишпионского ПО. Такого подхода придерживается, например, компания Symantec, которая централизованно разрабатывает эту поддержку. Благодаря тому, что за написание соответствующего плагина для NAC отвечает сама компания Symantec, как разработчик антивирусного решения, это позволяет избежать отставания — например, зазора между выходом новой версии антивируса и поддержкой проверки этого антивируса в продукте NAC, не говоря уж об обновлении продукта. В последнее время компания Symantec несколько изменила свой взгляд на проблемы информационной безопасности: если раньше основное внимание уделялось защите внутреннего периметра сети, то теперь фокусом информационной безопасности являются данные, где бы они ни находились — в корпоративной сети или на ноутбуке сотрудника.

Если рассматривать технологию NAC на примере продукта Symantec, то в этом решении используется инструмент обеспечения безопасности конечных точек – Symantec Network Access Control (SNAC), интегрированный с Symantec Endpoint Protection и обеспечивающий периодическое (по умолчанию каждые две минуты) сканирование конечных устройств на соответствие политикам безопасности.

В реализации SNAC применён принцип независимости от производителей сетевого оборудования и разработчиков ПО. Это означает, что продукт SNAC сможет работать в сетях и структурах с любым гетерогенным оборудованием. Это же касается и ПО на конечных точках: в SNAC включены проверки практически всех самых известных на сегодняшний день антивирусов, систем предотвращения вторжений, межсетевых экранов. Если малоизвестных вендоров нет в этом списке — их можно добавить вручную.

Среда принуждения в SNAC состоит из четырех основных компонентов, которые могут работать как автономно, так и в комплексе:

  • Symantec self enforcement (Самопринуждение) — самый простой и дешевый подход, позволяющий применить технологию NAC без использования какого-либо дополнительного оборудования. Все ограничения действий пользователя происходят на конечной точке с помощью межсетевого экрана, который входит в состав Symantec Endpoint Protection. Помимо межсетевого экрана, задействуется и весь остальной функционал Symantec Endpoint Protection: система предотвращения вторжений, контроль приложений и устройств.
  • Шлюзовое решение Symantec Gateway Enforcer может использоваться при доступе по VPN или через Wi-Fi. Устройство ставится в разрыв между шлюзом и внутренней сетью.
  • Symantec DFCP Enforcer — устройство, устанавливаемое в разрыв между конечной точкой и сервером DFCP. Оно может ограничивать выдачу IP-адресов для конечных устройств. Есть вариант использования для Microsoft DFCP — сервера, если у заказчика развернута такая среда. В этом случае оборудование покупать не придется: достаточно установить ПО на сервер DFCP, и оно будет работать точно так же, как стандартный DFCP Enforcer.
  • LAN Enforcer 802.1.x. Это устройство подключается к коммутаторам и позволяет открывать или блокировать порты коммутатора при попытке физического подключения к ним.

Без дополнительного устройства можно воспользоваться функциональностью продукта Symantec Endpoint Protection — определением местоположения конечной точки Location Awareness (IP-адрес, активная сетевая карта, MAC-адрес, доступность сервера DFCP, доступность других ресурсов). Комбинируя критерии, агент на конечной станции может определить, где находится конечная точка (в корпоративной сети, вне ее или подключена по VPN). В зависимости от того, где находится конечное устройство, можно назначать различные политики межсетевого экрана.

Кроме того, в SNAC присутствует функционал автоматического исправления. При определенных условиях автоматически либо с уведомлением пользователя происходит исправление текущей ситуации на машине: скачиваются обновленные антивирусные базы,

запускается сервис антивируса, Firewall, устанавливаются патчи.

Еще одна полезная функция, реализованная в SNAC, — это предоставление гостевого доступа, которое реализуется посредством веб-портала. Если в сети присутствует Symantec Gateway Enforcer или Symantec DFCP Enforcer, то можно организовать гостевой доступ в сеть: при подключении по Wi-Fi и при запуске любого браузера гость попадает на веб-страницу, где ему предлагается скачать on-demand агент. После загрузки на машину он действует как постоянный агент: проводит проверки, соединяется с сервером и сразу же имеет возможность отправить на сервер результат выполнения. Этот агент будет удален с машины автоматически при первой же перезагрузке [15].

 Компания Symantec предлагает для проверки гостевых компьютеров использовать загружаемый Java или ActiveХ компонент, который после загрузки на компьютер может произвести его проверку и предоставить Symantec Endpoint Protection Manager требуемые данные для принятия решения о доступе в сеть. Данный функционал реализован только на Gateway Enforcer — поэтому для реализации гостевого доступа клиент должен подключаться к сети через Gateway Enforcer. Если пользователь, у которого агент SNAC не установлен, попытается получить доступ к внутренним ресурсам сети, то ему будет предложено скачать SNAC-агента, после чего будет произведена проверка компьютера и будет принято решение о предоставлении компьютеру доступа в сеть.

            На Рисунке 9 приведена схема внедрения SNAC.

9.jpg

Рисунок 9 – Схема внедрения SNAC

Присутствующие на рынке NAC решения отличаются гибкими настройками и наличием средств централизованного управления. Требования задаются свободно в форме сценариев, выполнена частичная интеграция с различными инфраструктурными средствами (антивирусы, обновления, домены, PKI). Для присутствующих на рынке решений характерно наличие развитых механизмов отчетности и оповещения, реакции на инциденты.

Непрерывная оценка состояния конечных точек вкупе с идентификацией формирует основу для эффективной реализации NAC. Большое значение имеет легкость развертывания и простота эксплуатации таких продуктов. Идентификация (например, возможность на ее основе отклонить доступ) — одна из основных функций NAC [15].

Эффективное решение NAC не должно добавлять дополнительных точек отказа или узких мест в сетевой инфраструктуре. Оценка конечной точки и разработка политик ведутся на уровне конечной точки, а принуждение, непрекращающийся сетевой анализ и оценка ресурсов — это работа на уровне сетевой инфраструктуры.

Вендоры предпочитают предлагать в рамках своих решений NAC либо хорошо реализованные функции оценки состояния конечных точек, карантин, процесс корректировки и непрекращающийся анализ угроз, либо политику принуждения на основе идентификации. Но обе возможности вместе практически никто не предлагает.

В будущем решение NAC должно обеспечивать полную интеграцию с различными сторонними решениями — например, с системами обновления. В дальнейшем развитие этих решений, скорее всего, будет идти по пути интеграции с такими крупными платформами по управлению инфраструктурой, как IBM Tivoli, HP Open View, Microsoft Configuration Manager или Altiris. Кроме того, неизбежна интеграция этих решений с системами автоматического определения типа клиентов, системами проактивного мониторинга, системами IDS/IPS, а также системами предотвращения утечек, Data Leakage Protection. Наряду с этим, появится поддержка новых клиентских устройств.

В дальнейшем все решения NAC станут поддерживать универсальный динамический гостевой доступ, а решения NAC «из коробки» будут обеспечивать минимальные затраты на обновление и внедрение.

Виртуальные частные сети

VPN (англ.Virtual Private Network - виртуальная частная сеть) – логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Наиболее распространенный метод создания туннелей VPN – инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.

Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

  • Канальный уровень;

  • Сетевой уровень;

  • Транспортный уровень.

На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях – служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.

Также на канальном уровне для организации туннелей может использоваться технология MPLS (От английского Multiprotocol Label Switching - мультипротокольная коммутация по меткам - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов). MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

На сетевом уровне используется протокол IPSec, реализующий шифрование и конфиденциальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ, эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение, реализующее IPSec.

Альтернативой протоколу IPSec в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы, является OpenVPN — свободная реализация технологии VPN с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT/Firewall, без необходимости изменения их настроек.

На транспортном уровне используется протокол SSL/TLS (Secure Socket Layer / Transport Layer Security), реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика. SSL/TLS может применяться для защиты трафика TCP и, соответственно, не может применяться для защиты трафика UDP. Для функционирования VPN на основе SSL/TLS нет необходимости в реализации специального программного обеспечения, так как каждый браузер и почтовый клиент оснащены этими протоколами. В силу того, что SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из-конца-в-конец».

Различают следующие варианты построения VPN:

  • VPN на базе брандмауэров;

  • VPN на базе маршрутизаторов;

  • VPN на базе программного обеспечения;

  • VPN на базе сетевой ОС;

  • VPN на базе аппаратных средств.

Аутентификация и авторизация пользователей

Существуют следующие технологии аутентификации:

  • cетевая аутентификация на основе многоразового пароля;

  • аутентификация с использованием одноразового пароля;

  • аутентификация на основе сертификатов.

Сетевая аутентификация на основе многоразового пароля. В соответствии с базовым принципом «единого входа», когда пользователю достаточно один раз пройти процедуру аутентификации, чтобы получить доступ ко всем сетевым ресурсам, в современных операционных системах предусматриваются централизованные службы аутентификации. Такая служба поддерживается одним из серверов сети и использует для своей работы базу данных, в которой хранятся учетные данные (иногда называемые бюджетами) о пользователях сети. Учетные данные содержат наряду с другой информацией идентификаторы и пароли пользователей. Упрощенно схема аутентификации в сети выглядит следующим образом. Когда пользователь осуществляет логический вход в сеть, он набирает на клавиатуре своего компьютера свои идентификатор и пароль. Эти данные используются службой аутентификации — в централизованной базе данных, хранящейся на сервере, по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем, который ввел пользователь. Если они совпадают, то аутентификация считается успешной, пользователь получает легальный статус и те права, которые определены для него системой авторизации.

Аутентификация с использованием одноразового пароля. Алгоритмы аутентификации, основанные на многоразовых паролях, не очень надежны. Пароли можно подсмотреть или просто украсть. Более надежными оказываются схемы, использующие одноразовые пароли. С другой стороны, одноразовые пароли намного дешевле и проще биометрических систем аутентификации, таких как сканеры сетчатки глаза или отпечатков пальцев. Все это делает системы, основанные на одноразовых паролях, очень перспективными. Следует иметь в виду, что, как правило, системы аутентификации на основе одноразовых паролей рассчитаны на проверку только удаленных, а не локальных пользователей. Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Некоторые реализации аппаратных устройств доступа на основе одноразовых паролей представляют собой миниатюрные устройства со встроенным микропроцессором, похожие на обычные пластиковые карточки, используемые для доступа к банкоматам. Такие карточки, часто называемые аппаратными ключами, могут иметь клавиатуру и маленькое дисплейное окно. Аппаратные ключи могут быть также реализованы в виде присоединяемого к разъему устройства, которое располагается между компьютером и модемом, или в виде карты (гибкого диска), вставляемой в дисковод компьютера.  Существуют и программные реализации средств аутентификации на основе одноразовых паролей (программные ключи). Программные ключи размещаются на сменном магнитном диске в виде обычной программы, важной частью которой является генератор одноразовых паролей. Применение программных ключей и присоединяемых к компьютеру карточек связано с некоторым риском, так как пользователи часто забывают гибкие диски в машине или не отсоединяют карточки от ноутбуков. Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с использованием многоразовых паролей, сообщает системе свой идентификатор, однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность — новый пароль. Аутентификационный сервер проверяет введенную последовательность и разрешает пользователю осуществить логический вход. Аутентификационный сервер может представлять собой отдельное устройство, выделенный компьютер или же программу, выполняемую на обычном сервере.

Аутентификация на основе сертификатов. Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием централизованной базы паролей. Сертификат является средством аутентификации Пользователя при его обращении к сетевым ресурсам, роль аутентифицирующей стороны играют при этом информационные серверы корпоративной сети или Интернета. В то же время и сама процедура получения сертификата включает этап аутентификации, здесь аутентификатором выступает сертифицирующая организация. Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на гибком диске лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного ключа конкретному лицу. После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети.

Аутентификацию при помощи сертификатов обеспечивают несколько распространенных протоколов, в частности, наиболее известный и широко распространенный протокол Secure Socket Layer (SSL), который применяется практически в каждом Web-браузере. Помимо него применяются протоколы Transport Layer Security (TLS), Internet Key Exchange (IKE), S/MIME, PGP и Open PGP. Каждый из них немного по-своему использует сертификаты, но основные принципы - одни и те же.

На Рисунке 10 приведен типичный обмен сообщениями при аутентификации на базе сертификатов, использующий цифровые подписи. Обмен соответствует стандарту аутентификации субъектов на основе криптографии с открытыми ключами. Во многих протоколах предусматривается, что клиент направляет запрос серверу для того, чтобы инициировать аутентификацию. Такой подход, характерный, например, для дополнений аутентификации и шифрования к протоколу Internet File Transfer Protocol, гарантирует, что и пользователь, и сервер поддерживают один и тот же механизм аутентификации.

 10.jpg

Рисунок 10 – Взаимная аутентификация на базе сертификатов

 

Специалистами также различаются два вида аутентификации – однофакторная и двухфакторная.

Механизм, предполагающий регистрацию в системе с использованием сочетания имени пользователя и пароля, называется однофакторной аутентификацией. А если для установления личности пользователя применяются два способа (обычно речь идет о комбинации имя_пользователя/пароль в сочетании с объектом, который либо имеется только у пользователя – например, маркер, карточка с ключом, цифровой сертификат), либо является его уникальной характеристикой – биометрические данные), то это уже двухфакторная аутентификация.

Для работы с обоими компонентами двухфакторной схемы можно использовать аппаратные средства — устройства для считывания маркеров и биометрических данных. Стоимость таких изделий на протяжении последних нескольких лет постоянно снижалась. При оптовых покупках USB-устройства для считывания маркеров можно приобрести по невероятно низкой цене, и многие изготовители поставляют на рынок ноутбуки со встроенными средствами дактилоскопической аутентификации. Эти устройства предоставляют информацию (обычно в форме цифровых сертификатов либо биометрических данных), которая является дополнительным средством авторизации пользователей. Аутентификация на базе двух маркеров является эффективным средством защиты от хакеров из-за трудности взлома таких устройств. Однако реализация этой технологии не сводится к покупке связки USB-брелков для ключей и сертификатов. Чтобы интегрировать в свой сайт такой механизм аутентификации, необходимо провести большую работу по программированию сервера базы данных (например, специалисты Microsoft упростили эту задачу, встроив в Windows XP и более поздние версии средства для осуществления двухфакторной аутентификации).

Один из методов аутентификации состоит в привязке пользователя к географической точке, т. е. в изучении исходного IP-адреса пользователя или других сетевых данных. Этот метод базируется на предпосылке, что каждый пользователь почти всегда входит в сеть из одного и того же места. В зависимости от уровня детализации контроля данный механизм аутентификации принимает регистрацию только из определенного района, от конкретной центральной телефонной станции, от определенного провайдера Интернет (люди нечасто меняют поставщиков услуг) или использует другие критерии на базе IP. Предположим, к примеру, что некий пользователь обычно выходит в Интернет у себя дома через кабельную сеть. Если вместо этого попытка установить соединение будет предпринята из другого места, программа сочтет ее весьма подозрительной и либо заблокирует, либо задаст по этому адресу несколько тестовых вопросов, дабы убедиться, что пользователь именно тот, за кого себя выдает. Найти такую информацию просто – специально для этой цели существуют коммерческие базы данных обновляемых IP-адресов с привязкой к географическим регионам. Важнейшее преимущество данного метода состоит в том, что он может применяться в фоновом режиме, незаметно для пользователя, и обеспечивает двухфакторную аутентификацию с помощью объектов, которые имеются в распоряжении пользователя (сочетание имени пользователя и пароля), и характеристики пользователя (его местоположение, выявляемое через IP-адрес). Но если ограничиться только этим методом, у злоумышленников будет шанс прорвать оборону; помимо прочего, они могут использовать спуфинг IP-адресов или взламывать учетные записи, действуя из того же географического района, что и легитимные пользователи. Кроме того, если первая попытка войти в систему окажется неудачной и начнется процедура аутентификации на базе тестовых вопросов, ей будут присущи все слабости, характерные для метода однофакторной аутентификации.

Еще один подход базируется на анализе поведения пользователей. В центре внимания контролирующей системы — действия пользователя после регистрации на Web-узле. В тех случаях, когда пользователь настаивает на выполнении задач, связанных с определенным риском, начинается следующий этап аутентификации, уже на более высоком уровне. Одно из решений, где используется этот метод, — разработанная компанией Entrust технология IdentityGuard. Она не предусматривает тщательной аутентификации «у парадного входа», но следит за действиями пользователя после того, как он оказался на Web-узле. Определенные действия пользователя могут повлечь за собой запрос на дополнительную аутентификацию, которая может осуществляться в форме опознавательных вопросов, телефонного звонка или прямого отказа в выполнении транзакции. Если пользователь, который обычно заходит на сайт раз в месяц, внезапно начинает регистрироваться по несколько раз в день, программа, вероятно, обратит на него внимание. Разработчик системы может принять решение ограничить доступ пользователя или задать ему тестовые вопросы. Этот механизм напоминает модель, применяемую эмитентами кредитных карт, которая представляет собой систему отслеживания мошеннических действий и применения жестких мер при несоблюдении запрета с помощью специальной базы данных, где фиксируются действия пользователей. Кроме того, компания Entrust предлагает интегрированные решения с маркерами и средствами биометрического контроля, позволяющие с самого начала выполнять процедуру двухфакторной аутентификации.

 Одно из слабых мест рассматриваемого подхода состоит в том, что программа сможет с высокой точностью выявлять мошеннические действия лишь после того, как накопит достаточно статистики регистрации пользователей на сайте и их последующих действий. Кроме того, надо иметь в виду, что те пользователи, которые часто обращаются ко многим функциям системы, будут защищены в меньшей степени, чем менее активные. Кроме того, данный подход имеет тот же недостаток, что и рассмотренная выше система: даже если первоначальная процедура аутентификации закончится неудачей, мошенник имеет возможность получить доступ к ресурсу, если знает ответы на дополнительные вопросы.

Опознавательные изображения. Еще один тип двухфакторной аутентификации в среде Web — это опознавательные изображения. Примером продукта, в котором этот подход реализован, может служить система Passmark компании Passmark Security. В этой системе, которую избрал Bank of America, клиенты выбирают для себя изображение и название. Если регистрация осуществляется с заранее известного компьютера, то на экране компьютера клиента появляется изображение, служащее ключом к сайту (Sitekey). Если изображения нет, значит, клиент попал на Web-узел, который не является официальным сайтом банка. Но если изображение появляется, клиент вводит пароль и система начинает процесс регистрации. Если же клиент заходит на сайт не со своего обычного места, система, перед тем как отобразить Sitekey, задает ему один из трех опознавательных вопросов. Достоинство данного метода состоит в том, что программа, отслеживающая нажатия клавиш на клавиатуре, keystroke logger, не может идентифицировать ключ Sitekey, поскольку он является графическим файлом. И еще одно достоинство: этот метод осуществляет взаимную аутентификацию, т. е. аутентификация Web-узла выполняется в тандеме с аутентификацией клиента.

 В сущности, данный метод не является воплощением двухфакторной аутентификации в подлинном смысле слова; точнее говоря, это гибридный метод, в котором однофакторная аутентификация выполняется дважды. Он не дает надежной защиты от фишинг-атак. К примеру, злоумышленник, представившись техником, может позвонить клиенту по телефону и выведать у него информацию об изображении. Существуют и другие способы обойти систему — например, трюк с неработающей ссылкой. Возлагать обязанность установления подлинности изображения на клиента и заставлять его запоминать еще одно правило — это значит создавать очередное слабое звено, которым могут воспользоваться злоумышленники.

 Компания Green Armor Solutions предлагает несколько иную реализацию рассматриваемого метода. Ее сотрудники разработали технологию IdentityCue, в которой используются визуальные подсказки, созданные из хешей пароля и регистрационного идентификатора. Эти подсказки помогают пользователю подтвердить идентичность системы, не полагаясь на предсказуемые файлы изображений. Кроме того, в подсказках используется сочетание защищенных файлов-маяков и эвристических данных (таких, как версия браузера, часовой пояс) из сеанса работы в Web для дальнейшей аутентификации пользователя. Свободный от недостатков, основанных исключительно на опознавании изображений систем аутентификации, данный метод обеспечивает достаточно прочную связь с самим пользователем, причем связь эта не основывается на опознавательных вопросах, которые могут предоставить опытному хакеру дополнительные сведения о личности пользователя [9].

Для осуществления двухфакторной аутентификации применяется физическое устройство, используемое для упрощения сверки под названием Токен (также аппаратный значок, USB-значок, криптографический значок) — нечто, свидетельствующее о наличии полномочий, подлинности или используется для опознания его владельца. Также этот термин может относиться и к программным токенам, которые выдаются пользователю после успешного вверения и являются ключом для доступа к службам [10].

токин.jpg

Токены предназначены для электронного удостоверения личности (например, клиента, получающего доступ к банковскому счёту), при этом они могут использоваться как вместо, так и вместе с паролем. В некотором смысле токен — это электронный ключ для доступа к чему-либо.

Обычно аппаратные токены обладают небольшими размерами, что позволяет носить их в кармане или кошельке, часто они выглядят в виде брелоков. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (например, детали дактилоскопического узора). В одни встроена защита от взлома, в другие — мини-клавиатура для ввода PIN-кода или же просто кнопка вызова процедуры генерации и дисплей для вывода сгенерированного ключа. Токены обладают разъёмом USB, функциями RFID или беспроводным интерфейсом Bluetooth для передачи сгенерированной последовательности ключей на клиентскую систему.

В мире хорошо известен токен RSA SecurID – семейство программных и аппаратных продуктов, предоставляющее средства для реализации двухфакторной аутентификации. RSA SecurID всецело раскрывает преимущества двухфакторной аутентификации, которые заключаются в том, что кроме знания пароля (или PIN-кода) необходимо еще и наличие физического ключа. Компания RSA предлагает широкий выбор аппаратных ключей-аутентификаторов, выполненных в виде USB-брелоков и смарт-карт. Кроме того, в семейство продуктов RSA SecurID входит все необходимое программное обеспечение для проверки подлинности пользователей [11]. Широкий спектр средств аутентификации позволяет учитывать требования бизнеса и уверенно подтверждать права пользователей при доступе к критически важным данным и приложениям через следующие точки доступа:

  • Настольные компьютеры с ОС Microsoft Windows;

  • Веб-серверы;

  • VPN, WLAN;

  • Электронная почта;

  • Интранет, экстранет;

  • Другие сетевые ресурсы.

Национальный институт стандартов и технологий (подразделение министерства торговли США) пришло к заключению, что ключи длиной менее 2048 бит больше не обеспечивают надлежащего уровня защиты. Об этом говорится в опубликованном на сайте ведомства докладе. Институт постановил, что все сертификационные центры должны прекратить выдачу 1024-битных сертификатов и отозвать любые сертификаты с ключами длиной менее 2048 бит, начиная с 31 декабря 2013 г.

Крупнейшие игроки Интернет-рынка уже начали готовиться к переменам. Так, еще летом этого года компания Google объявила, что начинает апгрейд своей инфраструктуры с переходом на 2048-битные ключи для SSL-сертификатов безопасности, в том числе корневого сертификата, который компания использует для подписи всех своих SSL-сертификатов. По заверениям Google, задача стоит в усилении криптографической защиты HTTPS-соединений между серверами Google и компьютерами пользователей. Google считает, что после апгрейда сертификатов могут возникнуть проблемы на некоторых устройствах со старыми сертификатами SSL, в том числе на встроенных программах в телефонах, принтерах, телевизионных и игровых приставках и камерах. Таким образом Интернет-компаниям необходимо провести обновления своих сертификатов [16].

В сетевой терминологии широко применяется термин AAA (от англ. Authentication, Authorization, Accounting), который используется для описания процесса предоставления доступа и контроля за ним [7].

В качестве сервера аутентификации AAA позволяет использовать RADIUS либо TACAS+ сервер. На первый взгляд, по описанию возможностей предпочтительней TACAS+, но основной его недостаток в том, что это закрытое решение от компании Cisco и его реализация существует только для *nix систем. Протокол же RADIUS является открытым промышленным стандартом, для которого существует множество реализаций, в том числе и встроенная в Windows Server 2000/2003 служба IAS (Internet Authentication Service). В Windows Server 2008 вместо службы IAS поставляется служба Network Policy Server.

RADIUS (англ. Remote Authenticationin Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом.

RADIUS используется как протокол AAA:

  • Authentication — процесс, позволяющий аутентифицировать (проверить подлинность) субъекта по его идентификационным данным, например, по логину (имя пользователя, номер телефона и т. д.) и паролю.

  • Authorization — процесс, определяющий полномочия идентифицированного субъекта на доступ к определённым объектам или сервисам.

  • Accounting — процесс, позволяющий вести сбор сведений (учётных данных) об использованных ресурсах. Первичными данными (то есть, традиционно передаваемых по протоколу RADIUS) являются величины входящего и исходящего трафиков: в байтах/октетах (с недавних пор в гигабайтах). Однако протокол предусматривает передачу данных любого типа, что реализуется посредством VSA (Vendor Specific Attributes).

TACACS+ (англ. Terminal Access Controller Access Control System plus) — сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco. Улучшена безопасность протокола (шифрование), а также введено разделение функций аутентификации, авторизации и учёта, которые теперь можно использовать по отдельности.

TACACS+ использует понятия сеансов. В рамках TACACS+ возможно установление трёх различных типов сеансов AAA. Установление одного типа сеанса в общем случае не требует предварительного успешного установления какого-либо другого. Спецификация протокола не требует для открытия сеанса authorization открыть сначала сеанс authentication. Сервер TACACS+ может потребовать authentication, но сам протокол этого не оговаривает.

Также может использоваться для осуществления процедуры аутентификации относительно простой протокол LDAP, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

В качестве примера можно привести настройку оборудования Cisco при осуществлении функции ААА [8]. Система аутентификации сетевых устройств Cisco средствами LDAP домена Active Directory в простейшем случае происходит следующим образом. Администратор со своего рабочего места подключается к виртуальному терминалу сетевого устройства. Согласно настроенным политикам ААА, устройство запрашивает логин и пароль, после чего передает логин и хеш пароля RADIUS серверу. RADIUS сервер средствами Active Directory аутентифицирует пользователя и проверяет, является ли он членом административной группы. Если пользователь успешно прошел аутентификацию, сетевое устройство Cisco получает от RADIUS сервера подтверждение об успешном прохождении аутентификации и авторизации, и разрешает пользователю подключение, в противном случае сообщает о неуспешной аутентификации и закрывает соединение.

Аутентификация пользователей на сетевом оборудовании будет происходить средствами Active Directory посредством RADIUS, авторизация доступа — на основе принадлежности к одной из двух групп, соответственно разрешающих непривилегированный (User exec mode) и привилегированный (Privilege exec mode) доступ к устройству. В дальнейшем, можно разделить доступ по ролям, сконфигурировав на устройствах профили с разрешением запускать необходимые команды и связав каждый профиль с соответствующей группой AD.

Далее должны быть внедрены политики безопасности для длины, сложности паролей, времени их жизни и пр., созданы группы безопасности, учетные записи, а также политики удаленного доступа.

Системы управлением доступом IDM

Системы управления правами доступа и учетными записями пользователей класса IDM (Identity Management) или как их еще называют IAM (Identity and Access Management) предназначены  для централизованного управления правами на доступ к информации, учетными записями, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить риски информационной безопасности и оптимизировать затраты на администрирование ИТ инфраструктуры [12].

 IDM система существенно упрощает доступ к сетевым информационным ресурсам для сотрудников организации, при этом повышается уровень защиты корпоративных информационных систем. Централизованная система управления аккаунтами пользователей позволяет отслеживать все учетные записи в подключенных информационных системах.

 IDM предоставляет консолидированную отчетность обо всех учетных записях и правах доступа пользователей компании в интегрированных с IDM информационных системах.

Основные задачи, которые решает IDM:

  • Автоматизация процесса управления идентификационными данными;

  • Унификация учетных данных пользователей;

  • Централизованное управление правами доступа;

  • Сокращение расходов на администрирование информационных систем и обслуживание пользователей;

  • Снижение рисков несанкционированного доступа к корпоративным информационным системам;

  • Сокращение временных затрат на предоставление, изменение и отзыв прав доступа пользователей;

  • Соответствие некоторым требованиям законодательных актов, в частности 152-ФЗ «О персональных данных», руководящих документов ФСТЭК и ФСБ, в частности Приказ ФСТЭК от 5 февраля 2010 г. № 58, отраслевых стандартов, в частности СТО БР ИББС-1.0-2010 и PCI DSS.

На Западе (в Европе и США) бурное развитие класса решений IDM началось ориентировочно в 2002–2003 годах. К этому времени там уже существовал более-менее очерченный рынок со своими игроками. В 2006–2007 годах западный рынок IDM-решений начал процесс консолидации, результатом которой стали крупные сделки-поглощения небольших разработчиков решений IDM крупными игроками, такими как Oracle, Sun и SAP. К 2007–2008 годам рынок практически приобрел те привычные очертания, которые можно наблюдать и сегодня, в том числе в «магическом квадрате» Gartner (см. Рисунок 11) [13].

11.jpg

Рисунок 11 – Квадрат Gartner Magic Quadrant для решений IDM

 

Объем мирового рынка IDM-решений в 2012 году оценивался аналитиками ведущих мировых агентств ориентировочно близ отметок в 10–11 млрд. долл. По данным Gartner объём мирового рынка IDM по итогам 2013 года вырастет до 12 млрд. долл.

Большую часть этого рынка занимают США (чуть более 40%), следом идут Западная и Центральная Европа (около 30%). Специальных оценок конкретно по России в отчетах нет. Но, по мнению экспертов, участвовавших в исследовании, можно говорить о цифрах близ отметок в 0,5% от мирового объема, следовательно, в пределах 60 млн. долл. за 2013 год.

Что касается динамики роста мирового рынка, в целом она оправдывала прогнозы последних лет. Так, в период с 2003 по 2007 год мировой рынок IDM-решений рос поступательно с ежегодным увеличением примерно на 8–9%. Мировой экономический кризис 2008 года внес в этот тренд сильные корректировки, но после того, как все оправились, стало наблюдаться возвращение тренда и стабилизация его на тех же уровнях (ежегодный прирост примерно на 10%).

Объем российского рынка на фоне мирового, конечно, крайне мал, и этому есть объяснение, ведь российская специфика наблюдается и тут. Так, если в США и Европе IDM-решения применяются минимум в 80% бизнеса уровня Enterprise (т.е. 4 из 5 Enterprise-компаний применяют подобные решения), что частично продиктовано требованиями различных нормативных актов, то в России этот показатель не достигает и 20%. Более того, средний и малый бизнес в России вовсе не использует подобные решения в силу их стоимости. Ну а главной причиной таких результатов является отсутствие в России явных и жестких указаний на наличие подобных решений в рамках нормативной базы по информационной безопасности.

Российский рынок IDM-решений отчасти повторяет западные очертания, за несколькими исключениями. Во-первых, развитие российского рынка IDM по объективным причинам отстает от западного ориентировочно на 3–4 года. Во-вторых, на российском рынке широко представлены далеко не все игроки, а только крупнейшие западные бренды: Oracle, IBM, Microsoft. Решения от таких компаний, как Quest Software и Courion, встречаются только в единичных случаях, и говорить об их широком распространении не приходится. В качестве еще одной специфической черты российского рынка необходимо отметить появление в 2012 году нового отечественного игрока – Avanpost. В 2013 году в сегменте IDM стал позиционироваться продукт под брендом «КУБ» от другой российской компании Trustverse.

В 2012 году было проведено краткое исследование сравнения системы Avanpost с продуктами ведущих разработчиков, таких как Oracle, IBM и Microsoft. Исследование проводилось путем опроса нескольких экспертов российского рынка IDM, а также на информации из открытых источников. Кроме того, было произведено небольшое функциональное и ценовое сравнение решений. Краткие результаты исследования показаны на Рисунке 12.

 12.jpg

Рисунок 12 – Результаты сравнительного исследования продуктов Oracle, IBM, Microsoft и Avanpost

 

Как видно из полученных оценок, есть два технологических лидера в данном сегменте – это Oracle (усиливший свое влияние после поглощения Sun) и IBM. Тем не менее, эксперты сошлись во мнении, что и остальные решения хоть и находятся в статусе догоняющих, но показывают неплохие результаты. В целом те или иные функциональные особенности, которые реализованы в продуктах, могут приниматься как действительно существенные только в очень специфичных проектах. Базовый же функционал довольно схож. Основные отклонения появляются лишь в графах стоимости и известности, что в общем тоже вполне поддается логическому объяснению – ценовые политики у всех компаний разные, а что касается известности, то налицо фактор времени. Кто появился на рынке раньше, тот и обладает большим количеством бизнес-кейсов в России.

Тенденции на рынке продуктов IDM отражают ситуацию в отрасли – крупные игроки поглощают меньших. Так, помимо Oracle, поглотившей Sun, компания Dell приобрела компанию Quest, активы компании Novell и NetIQ были объединены в рамках одной инвестиционной группы, компания же Microsoft обогатила  свою линейку по ИТ-безопасности решением Forefront Identity Manager (FIM).

В последние годы наблюдается новый тренд – расширение самого понятия рынка IDM. Многие компании-разработчики наряду с потребителями подобных решений начинают рассматривать такие системы как неотъемлемую составляющую более широкого понятия – IAG (Identity and Access Governance). А это в свою очередь приводит к некоторой трансформации направления, обобщению ее с другими смежными темами из области управления доступом, такими как SSO и PKI, слиянию с тематикой риск-менеджмента и т.п.

Еще одна интересная тенденция, начинающий набирать обороты, – IDM-решения для широкого рынка, включая сегмент малого и среднего бизнеса. В целом такое движение понятно и оправдано, ведь автоматизация процессов в современных реалиях является необходимой и неотъемлемой составляющей любого бизнеса в погоне за увеличением прибыльности и сокращением издержек. Да и на рынке, ограниченном только Enterprise-сегментом, бесконечный рост просто невозможен. Осознавая данный постулат, многие компании-производители заговорили о реальном расширении рынка IDM и переходе его в том числе в сектор малого и среднего бизнеса.

Начали появляться и осторожные заявления о возможности работы IDM в облачной среде. Сначала западные лидеры рынка начали говорить о потенциальной возможности перехода «в облака». Теперь уже звучат более прямые заявления: IDMaaS (IDM as a Service) – это не просто возможность, а скорее будущая необходимость. Впрочем, отечественные разработчики также подхватили данный тренд и активно заявляют о начале разработок в данной области. Время покажет, что из этого получится, ведь потенциально данный вид сервиса действительно может быть востребован, а вкупе с тенденцией расширения рынка на малый и средний бизнес это может стать действительно переломной вехой в развитии тематики IDM.

Как следствие, специалисты называют еще одну тенденцию – в погоне за расширением рынка компании-разработчики начали сталкиваться с необходимостью серьезного изменения своих схем лицензирования и собственно стоимости. Говорить о каких-то существенных изменениях в рамках 2012-2013 годов еще рано. Мировые лидеры из числа Oracle и IBM пока не сделали каких-то видимых шагов в данном направлении. Но вот компании поменьше уже серьезно нацелились на сегмент малого и среднего бизнеса как на потенциальных покупателей, что явно отражается в их лицензионной политике. Так, например, компания Avanpost уже заявила о планах расширения российского рынка IDM в 10 раз за ближайшие 5 лет [14].

Рассмотрим решение IDM на примере продукта «Avanpost IDM», который предназначен для централизованного управления учетными записями и правами доступа пользователей в различных информационных системах, подключаемых к ПК «Avanpost» посредством коннекторов, построен по принципу обеспечения централизованного управления информационными ресурсами с возможностью передачи административных полномочий по управлению теми или иными элементами. «Avanpost IDM» предоставляет Web-интерфейс пользователю для создания заявок на доступ, согласования доступа, а так же иных пользовательских действий. Предусматривается возможность расширения без потери качества обслуживания и устойчивости, а также тиражирование на новые информационные системы для централизованного управления доступом к ним.

«Avanpost IDM» содержит в своем составе (см. Рисунок 13):

  • Серверный компонент;

  • Консоль администратора (Web-интерфейс);

  • Коннекторы к кадровым системам (Босс Кадровик, 1С, Диасофт, SAP HR и т.д.):

  • Коннекторы к информационным системам (SAP, Lotus, 1C, AD, Oracle и т.д.).

 Для оптимизации работ по созданию ролевой модели компания Avanpost предлагает специализированный инструментарий Avanpost Role Management & Analytics в виде надстройки над основным модулем «Avanpost IDM». В основу этой разработки заложен математический аппарат на базе статистического анализа. По результатам работы Avanpost Role Management & Analytics в автоматическом режиме, без необходимости какого-либо консалтинга, компания сможет за считанные минуты получить актуальную матрицу доступа.

 13.jpg

Рисунок 13 – Схема внедрения решения «Avanpost IDM»

Подводя итоги, можно отметить, что системы безопасности  поступательно делают значимые шаги вперед, становясь необходимым ИТ-инструментом современных предприятий. Связано это со многими факторами. Во-первых, репутационные риски и риски отказа в обслуживании клиентов многократно возросли. Все большая часть населения начинает использовать Интернет и информационные технологии в повседневной жизни. Люди все чаще делают покупки через Интернет, получают услуги/госуслуги и пр. Компании больше не могут позволить себе децентрализованные системы, когда над одной и той же задачей в разных регионах, в разных филиалах компании трудится большое количество сотрудников. Происходит централизация ресурсов, все больше компаний начинают использовать облачные сервисы и услуги, что сильно изменяет бизнес-процессы, а соответственно, и ИТ-инфраструктуру компаний. Меняются подходы к системе информационной безопасности, а также ее инфраструктура.

Применительно к системам обеспечения информационной безопасности сохраняется тенденция к использованию программно аппаратных комплексов, а не программных решений. Если посмотреть на рынок сетевой безопасности в мире по состоянию 7–10 лет назад, то можно сказать, что была определенная эпоха застоя. Шло сращивание функционала (появлялись UTM-решения) в межсетевых экранах, но не с точки зрения потребностей – это были маркетинговые ходы. Совершенствовались средства безопасности (добавлялись по 2–3 новые функции в новой версии). Сейчас ситуация совсем иная. Атаки стал  целевыми на конкретные организации, вредоносная активность трансформируется из просто засорения компьютеров в инструмент зарабатывания денег, саботажа, политической и конкурентной войны.

Соответственно, в последние годы фиксируется поступательное увеличения рынка сетевой безопасности, появление новых вендоров, адаптированных уже под новые реалии. Производители, присутствующие на рынке уже долгое время, вынуждены изменять и дополнять новым функционалом свои продукты, крупнейшие вендоры поглощают небольшие компании-разработчики, которые предлагают узконаправленные интересные решения и включают их в свои более глобальные продукты.

Для обеспечения информационной безопасности для корпоративного сектора перспективной технологией является NGFW, при помощи которой обеспечивается детальный и настраиваемый контроль на уровне приложений. Технология межсетевых экранов была значительно усовершенствована — она эволюционировала до специализированных решений, выполняющих глубокий анализ трафика и идентификацию приложений. Соответствующие продукты стали работать быстрее и поддерживают более сложные наборы правил, чем их предшественники.

Хотя мировой рынок межсетевых экранов насыщен, он далек от стагнации. Практически все крупные вендоры представили продукты нового поколения с дополнительными функциями. Драйверы роста рынка межсетевых экранов — мобильность, виртуализация и облачные вычисления — стимулируют потребности в новых средствах, предлагаемых NGFW. Аналитики Gartner констатируют растущий спрос на программные версии межсетевых экранов, используемые в виртуализированных ЦОД. В 2012 году доля виртуальных вариантов NGFW не превышала 2% но, по прогнозам Gartner, к 2016-му она вырастет до 20%. Виртуальные версии межсетевых экранов и решений для защиты контента хорошо подходят для развертывания в облачных средах.

Как показывает практика, традиционные межсетевые экраны до сих пор востребованы. В основном это связано с ограниченным контролем за реализацией сервисов безопасности со стороны регулирующих органов и с обеспечением защиты ИТ по остаточному принципу — подешевле и по минимуму. Поэтому место для традиционных экранов, безусловно, есть, однако их будут оснащать новыми функциями. Например, более востребованными становятся устройства, в которых помимо традиционного FW есть еще и средства углубленного анализа межсетевых потоков.

Еще два-три года назад заказчики скептически относились к NGFW, но теперь, когда конкуренция на этом рынке достаточно высока, они могут выбирать из широкого спектра высококачественных продуктов NGFW. По прогнозам аналитиков Cyber Security, вплоть до 2018 года мировой рынок межсетевых экранов корпоративного класса будет ежегодно расти более чем на 11%. Однако межсетевые экраны — не панацея. При выборе решения нужно четко определить, какие именно функции необходимы, убедиться в том, что заявленные вендором защитные свойства могут быть реализованы в конкретной рабочей среде, что в компании (или у аутсорсера) достаточно ресурсов для управления политиками безопасности.

Несмотря на основную проблему сетей VPN, связанную с отсутствием устоявшихся стандартов аутентификации и обмена шифрованной информацией, данная технология до сих пор востребована и оборудование VPN пользуется активным спросом на рынке средств информационной защиты.

Еще более востребованным является оборудование по предотвращению DDOS-атак – это связано со значительным увеличением вредоносных ботнетов по всему миру за последние 2 года. Специалистами прогнозируется, что наступающий 2014 год станет лидером по количеству зафиксированных DDOS-атак.

По статистике, не менее 75% всех компьютерных преступлений происходит внутри корпоративной сети – по вине сотрудников предприятия. Традиционные средства защиты (например, межсетевые экраны FW) не позволяют защитить корпоративную сеть от умысла злоумышленника, имеющего в нее доступ в рамках рабочих полномочий. Для построения эффективной системы защиты информации нужны дополнительные средства предотвращения атак.

Такими средствами уже стали программно-аппаратные комплексы с применением технологий: IPS (IDS), NAC, IDM, VPN. Необходимо также использовать современные средства аутентификации и авторизации.

Хотя и IPS/IDS, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. IPS/IDS, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

Использование IDM-решений подразумевает наличие полномасштабной корпоративной ролевой модели пользователей. В ней учитываются все информационные активы предприятия, а также описываются бизнес-роли персонала и порядок доступа для каждой из них к каждому активу. При этом согласование модели, как правило, сопряжено с большими трудностями из-за противоречивых требований к ней со стороны разных структур и подразделений компании.

Последние два года аналитическое агентство Gartner стало предоставлять отчеты по еще более широкому классу решений – IAG (Identity and Access Governance). Суть такого расширения в том, что многие решения уже технологически развились далеко за рамки одного только процесса управления учетными записями. И возможно, еще через несколько лет перестанут использовать аббревиатуру IDM и будем говорить IAG.

По мнению аналитиков, дни обычных паролей и пин-кодов сочтены. В обозримом будущем безопасная аутентификация пользователя будет невозможна без использования дополнительных аппаратных средств типа USB-токенов и сканеров отпечатков пальцев. Используемые в масштабах всего Интернет, классические пароли уже перестают отвечать современным требованиям по защите информации.

Возможно, в будущем получат распространение и методы авторизации, использующие технологию NFC. Кроме того, Intel, AMD и Microsoft активно продвигают технологии распознавания лиц и голоса с целью их использования для авторизации клиента.

В последнее время все более заметное место на рынке занимают решения  на основе технологии NAC, используемой для защиты посредством контроля доступа к сети и ее ресурсам. В будущем решение NAC должно обеспечивать полную интеграцию с различными сторонними решениями — например, с системами обновления. В дальнейшем развитие этих решений, скорее всего, будет идти по пути интеграции с такими крупными платформами по управлению инфраструктурой, как IBM Tivoli, HP OpenVew, Microsoft Configuration Manager или Altiris. Кроме того, неизбежна интеграция этих решений с системами автоматического определения типа клиентов, системами проактивного мониторинга, системами IDS/IPS, а также системами предотвращения утечек Data Leakage Protection. Наряду с этим, появится поддержка новых клиентских устройств.

В дальнейшем все решения NAC станут поддерживать универсальный динамический гостевой доступ, а решения NAC «из коробки» будут обеспечивать минимальные затраты на обновление и внедрение.

Специалистами прогнозируется, что решения NAC будут интегрироваться с системами однократной аутентификации и авторизации Single Sign-On на основе цифрового сертификата и его носителя (USB-токена с интегрированной RFID-меткой). Будущее этих систем связано с тенденцией виртуализации как серверных ресурсов, так и настольных систем.

Развитие средств информационной защиты в сетях передачи данных компаний зависит от их массового внедрения в виде «коробочных» продуктов, которые позволят обеспечить наиболее комплексную безопасность, а также от возможности использования технологии облачных вычислений, что сделает эти продукты более доступными для потребителей.

 Список использованной литературы:

  1. Отчеты компании Infonetics Research, 2013

  2. Отчеты компании IBM X-Force, 2012

  3. Отчет об анализе информационной безопасности компании Check Point, 2013

  4. «СОИБ. Проектирование. Защита Web трафика - NGFW или SWG». По материалам блога www.sborisov.blogspot.ru

  5. «Межсетевые экраны: новое поколение», С. Орлов, «Журнал сетевых решений/LAN», № 02, 2013

  6. Материалы информационно-методического портала «Информационная безопасность»

  7. Материалы компании Инсотел

  8. Журнал «Information Security/ Информационная безопасность» №4, 2011

  9. Журнал «Windows IT Pro», № 07, 2007

  10. Материалы с сайта www.ru.wikipedia.org

  11. Материалы с сайта www.itprotect.ru

  12. Материалы компании Аванпост

  13. Отчеты аналитической компании Gartner, 2012-2013

  14. Рынок информационной безопасности Российской Федерации, Е. Царев, «Академия информационных систем», www.infosystems.ru

  15. Журнал «CIO», №5, 2009

  16. Материалы с сайта www.comnews.ru



Читайте также:




Возврат к списку