Информационная безопасность сети

Опубликовано:

Обеспечения безопасности сети — обычно работа по обеспечению безопасности сводится к установке антивируса на все рабочие станции предприятия и все считают что этого достаточно. Некоторые аспекты затрагивает наше законодательство, некоторые просто здравый смысл. В любом случае необходимо понимать, что обеспечение безопасности — это комплекс мер направленный на защиту сети.

Основным контингентом данных статей будут средние и небольшие предприятия, возможно советы будут полезны и домашним пользователям.

Документация

Прежде чем начать строить безопасность сети, необходимо понимание одного важного момента как источник угроз, по статистики 80% угроз в сети внутренние, проще говоря сами пользователи. По своему опыту могу сказать — большинство пользователей просто не понимают что их действия могут принести вред организации.

Для того что бы избежать внутренних угроз необходимо разработать регламент обеспечения безопасности, подписанный у руководителя организации, а самое главное сделать его изучение всех сотрудников организации обязательным и по ознакомлению требовать подпись в специальном журнале.

Не надо считать это лишней работой, конечно если организация не сильно крупная, «безопасник» и системный администратор — это одно и то же лицо и противодействие, которое должно быть, превращается в противодействие администратора и его лени.

Для чего это надо? Если говорить простым языком — Прикрыть свою задницу. Все равно найдутся умники которые не будут следовать регламенту, но в случае разбора полетов проще будет найти «виноватого».

Необходимо разработать политику информационной безопасности в сети организации в которую будут входить следующие регламенты:

  • Использования Internet
  • Использования модемов
  • Использования сменных носителей
  • Использования беспроводных сетей

и др. в зависимости от структуры сети и используемого оборудования и особенностей работы организации.

Самое главное убедить руководство что это действительно нужно, что это в интересах организации и что к данной политике не должно быть исключений, так как это может представлять угрозу для бизнеса.

Пару показательных казней решат множество проблем особенно в не большой организации, главное, как я уже говорил, убедить руководство.

Сменные носители информации

Сейчас флешки есть практически у всех людей использующих компьютер, это удобно, мобильно, но при это представляет угрозу для для корпоративной сети.

Немного предыстории: Есть у нас одна дружественна государственная организация в которой постоянно возникали инциденты безопасности (вирусные эпидемии), постоянный отлов новых зловредов внутри сети, нестабильная работа компьютеров и прочие неприятности. Корпоративный антивирус просто не справлялся потоком новых угроз.
Решение оказалось простым, всем запретили использовать флешки, программно, после введения столь жестких мер эпидемии сразу прекратились, как и утечка документов.

В чем же причина таких бед? Многие пользователи не задумываются о качественно защите своего домашнего компьютера и каждый раз когда они брали работу на дом приносили огромную пачку зловредов.
Сейчас уже прошли те времена когда было достаточно запретить автозапуск с флешки, вирусы не стоят на месте.

Распространены вирусы распространяющиеся следующими методами:

  • Создание ярлыков на вредоносный файл под видом папки
  • Создание исполняемого файла под видом папки
  • Заражение исполняемых файлов (Вирусы паразиты)
  • Трояны под видом генераторов ключей (или встроенные в генераторы колючей)

При этом пользователи даже не задумываются почему каждый раз корпоративный антивирус ругается на их флешку, им просто плевать на организацию в которой они работают, они пришли работать или отдыхать на работе.

Тут я вижу несколько вариантов решения, но они оба сводятся к полному запрету использования флеш носителей.
Вариант первый: Мы запрещаем использовать флешки всем кроме тех кому они действительны нужны для работы, так мы сможем сократить хотя бы часть угроз. Данный метод подойдет для средних организаций.

Вариант второй: Подойдет для малых предприятий, мы запрещаем использовать флешки всем и выделяем один отдельный компьютер через который информация будет передаваться на сетевую папку.
На этот компьютер мы докупаем одну лицензию на антивирусный продукт отличный от корпоративного. К примеру если мы используем Dr.Web берем одну лицензию на Антивирус Касперского и наоборот.

Подойдут следующие решения:

  • Антивирус Dr.Web
  • Антивирус Panda
  • Антивирус Касперского
  • Norton Internet Security

Берем самую минимальную комплектацию согласно лично вашим предпочтениям, я рекомендую брать именно коммерческий антивирус в большинстве случаев они защищают лучше.
Если же данный «Шлюз» все таки пропустить вирус, большая вероятность что его поймает корпоративный анти-зловред.

Ну и последний вариант: если наше антивирусное решение позволяет, просто запрещаем запуск исполняемых файлов с флешек, количество зараженных компьютеров резко сократится. Данная технология точно поддерживается в Trend Micro Enterprise Security.

С вирусами разобрались. Вторая угроза которую представляют сменные носители это утечка корпоративной информации (или просто промышленный шпионаж) он может быть как преднамеренный так и случайный (утеря или кража флешки).

Согласитесь будет не приятно если сорвется важная сделка из-за бухгалтера тети Люси? (просто для примера).

Для избежания промышленного шпионажа необходимо разворачивать DLP систему.

Доступ в интернет

Сегодня сложно представить работу практически любой организации без наличия доступа к интернет ресурсам и даже тут при организации необходим грамотный подход.

Как должен быть организован доступ?

Для обеспечения достаточно безопасного доступа к ресурсам сети интернет необходимо использовать прокси сервер, не каких NAT-ов все подключения должны осуществлять только через прокси с авторизацией на уровне домена или с использованием связки логин и пароль.

Как минимум это необходимо для контроля пользователей в один прекрасный момент Ваш руководитель может попросить отчет по каждому из пользователей или конкретному сотруднику, если у Вас будет данная информация не будет необходимости в срочном порядке разворачивать данную инфраструктуру (Особенно это касается небольших организаций использующие для доступа в интернет обычный модем, который не ведет какую либо статистику).

Почему не следует использовать NAT?

Если пользователь все же словит вирус, это может создать нагрузку на канал интернет (особенно если у вас безлимитный тариф, канал интерента просто забьется в ином случае затраты на использование интернета возрастут).
Большинство вирусов просто не умеют использовать прокси серверы (они ориентированы на домашних пользователей) и просто создадут большую нагрузку на зараженный ПК, а это уже упростит возможность обнаружения угрозы.

Какие порты должны быть открыты?

Для обычного пользователя достаточно обеспечить доступ только на два порта 80 и 443 исключения могут быть только некоторые бухгалтерские программы или софт, но нельзя делать глобальных правил, если конкретному пользователю необходимо доступ к примеру на порт 7777, то доступ предоставляется только для него (мы же авторизуем только конкретного пользователя).

Я бы еще рекомендовал устанавливать прокси сервер с встроенным антивирусов, отличным от используемого в организации для обсечения более высокого уровня защищенности предприятия, любой антивирус может пропустить угрозу, но когда их несколько вероятность заражения уменьшается.

Решения

Для выполнения этой задачи можно использовать следующие решения:

Прокси-сервер UserGate Proxy & Firewall - Легкий в настройки и интеграции. полнофункциональное решение, позволяющее администратору с помощью гибкой системы правил организовать работу пользователей локальной сети в Интернет. Имеет встроенный межсетевой экран (firewall), port mapping, биллинговую систему и систему интернет-статистики. Встроенные антвиирусные движки обеспечивают довольно не плохой уровень защиты.

WinGate  - То же удобный в настройке прокси-сервер с функциями почтового сервера и брандмауэра, позволяющий подключить к Интернет несколько компьютеров, объединённых в локальную сеть, используя один модем и сетевую плату или IP адрес. WinGate содержет брэндмауэр, почтовый (SMTP/POP3) сервер, прокси-сервер, DNS сервер и DHCP сервер. Поддерживаются NAT (Network Address Translation), GDP (Gateway Discovery Protocol), WRP (Winsock Redirect Protocol) и RTSP (Real Time Streaming Protocol) протоколы. Программа имеет гибкие настройки, позволяющие администраторам создавать необходимые правила работы и фильтры. WinGate Умеет работать с плагинами, вести логи и мониторинг трафика

Traffic Inspector - комплексное решение для организации доступа в Интернет, не требующее дорогостоящего оборудования, обеспечивающее учет, сетевую защиту, экономию трафика и рабочего времени, детальную статистику, управление загрузкой каналов и удаленный контроль. Поддерживает различные антивирусы в виде плагинов.

Фильтрация доступа к сайтам

Итак в один прекрасный момент может возникнуть ситуация что необходимо заблокировать доступ к некоторым сайтам сотрудникам организации, возможные причины: Сайт стал неугоден руководству, из соображений безопасности и т.д. хотя, если подумать, это не так уж и важно, важно то что доступ необходимо ограничить.

Необходимо помнить, что не стоит самовольно блокировать сайты по тому что они Вам не нравятся, начальство просто этого не одобрит. Данные действия уж точно необходимо согласовывать с руководством и с его благословения (Все зависит от прокачки вашего уровня харизмы), приступать к делу, надеюсь у вас есть регламент по доступу в сеть интернет??

Средствам обычного маршрутизатора Вам будет проблематично это сделать, некоторые маршрутизаторы поддерживают такую функцию, но она у них сильно урезана и количество заблокированных URL обычно не превышает 40.

Тут на сцену и выходит наш прокси сервер о необходимости которого мы рассказывали в предыдущей статье Организация доступа в интернет, можно конечно поступить как наше министерство образования, написать программу которая будет блокировать сайты согласно списку локально на компьютере, но согласитесь, это очень глупо.

Дальнейшее развитие событий может быть по двум вариантам

  1. Блокирование сайта осуществляется в ручную
  2. Сайт блокируется согласно спискам находящемся на сервере.

Возьмем простую ситуацию, прилетела задача блокировать доступ к социальным сетям, если наш прокси умеет работать только в первом режиме:

  1. Мониторим URL куда ходят сотрудники
  2. Добавляем в список блокировки
  3. Спустя некоторое время, мониторим анонимайзеры
  4. Добавляем в список блокировки
  5. В промежутках лечим компьютеры от вирусов, так как сотрудники очень упертые и тратим кучу времени на повторение пунктов 1-5

Во втором случае, ставим две галки, ограничить доступ к социальным сетям и анонимайзерам, разработчики прокси сервера будут делать за нас, а мы сможем заняться более важными делами, ну к примеру прокачивать скил в CS, это же гораздо важнее ;-) и самое главное, что подобные списки будут автоматически обновляться.

Если кому то сайт действительно необходим для работы, пишется записка руководителю, мы же действуем по регламенту, сотрудник подробно объясняет для чего ему нужен конкретный сайт и как только мы получаем это письмо предоставляем доступ к этому сайту данному сотруднику. Спустя какое то время, пока мы посылали к руководителю всех халявщиков и они поняли, что надо все таки работать, можем открыть пару сайтов за пиво =))

Автоматическая фильтрация URL присутствует в следующих продуктах

Kerio Control - обеспечивает надежную защиту от возникающих интернет-угроз. Оснащенный системой предотвращения вторжений IDS/IPS, Kerio Control обеспечивает комплексную защиту от быстро распространяющихся угроз безопасности. Плагин Kerio Web Filter

Прокси-сервер UserGate Proxy & Firewall - Легкий в настройки и интеграции. полнофункциональное решение, позволяющее администратору с помощью гибкой системы правил организовать работу пользователей локальной сети в Интернет. Имеет встроенный межсетевой экран (firewall), port mapping, биллинговую систему и систему интернет-статистики. Встроенные антвиирусные движки обеспечивают довольно не плохой уровень защиты.
Модуль: модуль фильтрации сайтов Entensys URL Filtering

Traffic Inspector - комплексное решение для организации доступа в Интернет, не требующее дорогостоящего оборудования, обеспечивающее учет, сетевую защиту, экономию трафика и рабочего времени, детальную статистику, управление загрузкой каналов и удаленный контроль. Поддерживает различные антивирусы в виде плагинов.
Данный функционал сразу встроен в программу.

Корпоративная почта

Сегодня сложно представить организацию которая не использует электронную почту в своей работе. Это удобно, это быстро, но не всегда безопасно. Сегодня я хочу вам рассказать как должна быть организованна электронная почта в организации.

Давайте представим некую не существующую организацию, назовем ее — ооо «Рога и копыта», сокращенно будем использовать название «рик».

Первый и наиболее важный момент который следует понять многим организациям, ваш e-mail вида [email protected] не вызывает доверия, лично я никогда не буду работать с организацией использующей такую почту, согласитесь гораздо больше вызывает доверия почта, к примеру: [email protected]

Как это относится к безопасности? Спросите вы. На прямую, все эти бесплатные сервисы, они Вам не пренадлежат и вы их не контролируете! В любой момент вашу почту могу взломать, к тому же в большинстве случае, когда ящик один его использует много людей, а это уже проблема, так как они имеют доступ ко всей переписке.

Второй вопрос, вы зарегистрировали домен, но при этом вы для работы с почтой используете службы хостера, у которого вы купили этот домен.
Свободы больше, но сервер все еще не контролируется Вами.
В моей практике был случай, в гос организацию было направлено письмо с документами для участия в тендере, участники должны были прислать все документы до 17:00, от одного из участников письмо пришло в 03:00 следующего дня и соответственно его не допустили.
По словам участника он направлял письмо в 16:00. Разбор логов показал, что первая попытка доставить письмо была в 16:00, но сервер поместил адресата в серый список на 20 минут, повторная попытка доставки была в 03:00.
В данном случае правым оказалась гос. организация, а участнику посоветовали идти разбираться со своим хостером .

Итак делаем следующий вывод, что у нас должен быть свой домен и свой выделенный почтовый сервер, установленный в нашей контролируемой зоне, лишь тогда мы сможем обеспечить достаточный уровень защиты почты.

Итак вы используете для работы свой выделенный почтовый сервер для работы, все замечательно, но в последнее время все больше новых угроз (еще не детектируемых антивирусами) попадает к пользователям через электронную почту, самым эффективным методом бороться с подобными угрозами являются простые фильтры.


Если ваш почтовый сервер умеет обрабатывать вложения, можно сказать что вы защищены, если он умеет просматривать архивы, вы точно защищены.

Но прежде всего эти самые фильтры необходимо настроить, я рекомендую запретить передачу следующих, потенциально опасных вложений:

  • *.*.{*
  • *.ade
  • *.adp
  • *.app
  • *.asx
  • *.bak
  • *.bas
  • *.BAT
  • *.chm
  • *.CMD
  • *.COM
  • *.cpl
  • *.csh
  • *.EXE
  • *.flw
  • *.fxp
  • *.hlp
  • *.HTA
  • *.inf
  • *.ins
  • *.isp
  • *.js
  • *.jse
  • *.ksh
  • *.lnk
  • *.mda
  • *.mdb
  • *.mde
  • *.mdt
  • *.mdw
  • *.mdz
  • *.msc
  • *.msi
  • *.msp
  • *.mst
  • *.ops
  • *.pcd
  • *.PIF
  • *.prf
  • *.prg
  • *.ps*
  • *.reg
  • *.scf
  • *.SCR
  • *.sct
  • *.shb
  • *.shs
  • *.url
  • *.vb
  • *.vbe
  • *.VBS
  • *.wsc
  • *.wsf
  • *.wsh
  • *.xnk
  • MINE.*
  • THE_FLY.*

Причем сервер должен быть настроен так, что бы вложения не удалялись, а попадали в карантин и информация об этом передавалась пользователю (ну и копию администратору).

Это необходимо:

  1. передать файлы на анализ в антивирусную лабораторию
  2. если файл все таки безвреден, вернуть его пользователю

Ну и конечно сам почтовый сервер должен защищаться антивирусом, как я и говорил ранее, отличным от корпоративного.

Структура сети

Насколько хорошо будет продумана структура сети, настолько легко ее будет защищать. Проще говоря, чем лучше вы изначально продумаете как у вас будет построена сеть, тем меньше вам придется делать в дальнейшем.

Сегодня столкнулся с ну очень плохо продуманной инфраструктурой сети, но надо все по прядку. Есть маленькая сеть,на 20 компьютеров и один сервер, админит приходящий эникейщик, на пол ставки.

Что мы можем сказать имея только данную информацию? А сказать мы можем следующее: Организация не желает планировать и выделять деньги на развитие компьютерной сети.

Файловое хранилище объедено с интернет шлюзом, везде стоят антивирусы для рабочих станций, домена нет, интернет раздается по NAT, доступ не ограничивается.
Имея данную информацию можно сказать еще больше, но я наверно просто послушаю ваше мнения на форуме, кто будет прав скажу позже, заодно и проверим насколько внимательно вы читаете мои статьи.

И их единственный сервер на днях взломали ну и соответственно удалили все файлы, как это произошло разбираться не было времени, дали просто общие рекомендации что необходимо поменять в сети.

Если бы инфраструктура была спланирована изначально правильно, таких проблем бы не было. Данной ситуации можно было бы избежать добавив (ориентируемся на скудность бюджета) всего один сервер (или даже отдельно стоящую рабочую станцию), который являлся бы только интернет шлюзом и был ограничен сетевой трафик.

Общие рекомендации по по изменению структуры сети так же жду от вас на форуме, что надо сделать я знаю, жду ваши варианты =)

Самое главное необходимо понять, что если машина подключена с интернету она автоматически является источником угрозы, самый идеальный вариант, компьютер должен выполнять всего одну функцию, в данном случае шлюз, все остальное должно быть отключено\заблокировано\ограничено.

Внутри же сети, у вас больше свободы действий, но главное правило: 80% угроз внутренние и защищать внутренний периметр, надо защищать даже больше внешнего.

Смотрите также:
  1. Что такое Ransomware? Как оно работает и как его избежать
  2. Что такое Log Injection?
  3. Недовольный участник «партнерской программы» вымогателя Conti слил в сеть руководства хак-группы
  4. Типы кибератак
  5. Что такое APT-атака (Advanced Persistent Threat) и как ее остановить?
  6. 4 наиболее распространенных угрозы безопасности веб-сайтов (2023)
  7. Лучшие практики кибербезопасности для защиты бизнеса
Понравилась статья? Поделиться с друзьями:
Добавить комментарий