Всего несколько десятков лет назад сети соединяли только несколько университетов на территории США, сегодня — это сложные экосистемы, объединяющие локальные ресурсы, облачные сервисы, мобильных пользователей и IoT-устройства.
Было бы удивительно, если бы такой масштаб не привлек внимание злоумышленников. История защиты сети с ее множеством проб и ошибок давно перестала быть просто набором «брандмауэр+антивирус». Современные специалисты создают многослойную архитектуру средств безопасности, работающих на разных уровнях модели OSI.
В статье мы рассмотрим ключевые средства защиты сетей, их роль в противодействии современным угрозам и то, как они интегрируются в единую систему кибербезопасности.
Что такое защита сети
Защита сети — это совокупность мер, направленных на обеспечение:
- конфиденциальности — недопущения несанкционированного доступа к данным;
- целостности — предотвращение искажений информации при передаче;
- доступности — поддержанию непрерывной работы сервисов.
Средства защиты сети — это технологии, решения и инструменты, которые обеспечивают выполнение этих трех принципов. Сюда входят как аппаратные (шлюзы, межсетевые экраны), так и программные решения (VPN, IDS/IPS, SIEM и другие).
Защита сети DDoS-Guard включает в себя машинное обучение, так и автоматизированные сервисы по фильтрации и контролю трафика. Например, технологию авторезервирования туннелей «Twin Tunnel», которая позволяет создать сразу несколько туннелей из разных локаций до инфраструктуры клиента, что влияет на возможный размер полосы пропускания.
Основные угрозы для сетей
Несмотря на разнообразие атак, большинство из них сводятся к нескольким базовым категориям, в каждой из которых могут быть свои тенденции и новые векторы:
- Сканирование портов — злоумышленник устраивает разведку, чтобы выявить слабые места — для этого он использует различные сканеры UDP- и TCP-портов.
- DoS/DDoS-атаки — перегрузка сетевых ресурсов с помощью ботнетов большим количеством запросов, чтобы вызвать отказ в обслуживании. Один из новых типов DDoS — ковровая атака — пользуется наибольшей популярностью у мошенников на данной момент.
- Сетевые вторжения — эксплуатация уязвимостей протоколов и приложений для получения доступа.
- Перехват и подмена данных — выполнение атак типа «человек посередине» (MITM), подмена ARP-записей, спуфинг DNS.
- Несанкционированный доступ — попытки обхода аутентификации и эксплуатации слабых паролей.
Каждый из этих классов угроз может воздействовать на разные уровни модели OSI, что будет влиять на выбор средств защиты. Например, защита от DDoS-атак сервиса DDoS-Guard строится на многоуровневой фильтрации и поведенческом анализе трафика, что позволяет обеспечить надежную безопасность без вреда легитимным пользователям.
Основные средства защиты сетей
Подробнее разберем средства защиты сети, которые упоминали выше, когда рассматривали их по внедрению на уровнях модели OSI.
Фаерволы или межсетевые экраны
Межсетевые экраны контролируют входящий и исходящий трафик по заданным правилам безопасности. Их основные функции заключаются в фильтрации IP-адресов и портов, а также управлении соединениями и предотвращении несанкционированного доступа. Условно можно классифицировать:
- по уровню OSI: сетевые (L3), транспортные (L4);
- по состоянию: stateless (анализ пакета) и stateful (анализ сессий).
Современные фаерволы для глубокой фильтрации трафика могут дополнительно анализировать приложения, поддерживают технологию DPI и встроенные IPS-модули.
Прокси-серверы
Работают как посредники между пользователем и ресурсом. Они кэшируют и фильтруют контент, а также разграничивают доступ. В отличие от фаерволов прокси работает на прикладном уровне, что позволяет анализировать HTTP/HTTPS-запросы и управлять веб-доступом.
Шлюзы
Сетевые шлюзы обеспечивают стык между разными сетями и протоколами. Если фаервол фильтрует трафик, то шлюз чаще выполняет функции трансляции нескольких устройств в одной локальной сети для совместного использования одного IP-адреса для доступа в интернет и маршрутизации.
IDS/IPS-системы предотвращения вторжений
- IDS — анализирует сетевой трафик и фиксирует аномалии, но не блокирует.
- IPS — активное средство защиты, способное блокировать трафик в реальном времени.
- Методы обнаружения: сигнатурный анализ, эвристика, поведенческий анализ.
VPN
Технология создает защищенный канал поверх небезопасной сети, используя различные протоколы: Isec, SSL VPN, WireGuard
SSL/TLS протоколы
Обеспечивают шифрование между клиентом и сервером, используя сертификаты и симметричное/асимметричное шифрование.
SSH-протокол
Безопасный протокол для удаленного администрирования, который используется для безопасной передачи файлов и, так же как SSL/TLS, использует шифрование. Набор протоколов IPsec выступает основным инструментом для корпоративных VPN и имеет два режима: AH (аутентификация) и ESP (шифрование и аутентификация).
DLP- и DRM-системы
DLP контролирует каналы передачи данных (почта, мессенджеры, съемные носители). DRM защищает авторские права.
Мониторинг, журналы событий и SIEM-системы
Комплексные средства защиты с различным набором инструментов, которые внедряются в инфраструктуру организации для предотвращения киберинцидентов. Они фиксируют активность из разных источников событий (баз данных, сетевых устройств, рабочих станций) и оперативно выявляют аномалии. В ряд современных SIEM встроены и механизмы автоматического принятия решений, а также инструменты для расследования инцидентов.
Защита сетей по модели OSI
Модель OSI — простая теоретическая основа для классификации средств защиты, предлагаем использовать ее для удобства распределения примеров средств защиты по уровням.
- Физический уровень — контроль доступа к оборудованию, защита от прослушивания.
Средства защиты: биометрия, защита от атак через физический доступ (например, замена кабелей). - Канальный уровень — шифрование, фильтрация трафика, защита Wi-Fi.
Средства защиты: функции коммутаторов через ограничение доступа (Port Security), защита беспроводных каналов. - Сетевой уровень — управление маршрутизацией, фильтрация IP-пакетов.
Средства защиты: межсетевые экраны, набор протоколов IPsec для безопасной передачи данных. - Транспортный уровень — контроль сессий, защита от SYN-flood, отслеживание состояния соединений.
Средства защиты: фаерволы stateful, системы предотвращения вторжений — IPS. - Сеансовый уровень — установление защищенных соединений.
Средства защиты: VPN, SSL/TLS-туннели. - Уровень представления данных — шифрование, управление сертификатами.
Средства защиты: меры с использованием шифрования и хранения ключей, протокол TLS. - Прикладной уровень — контроль работы сервисов, фильтрация контента.
Средства защиты: прокси-серверы, IDS/IPS, DLP-системы, SIEM-системы.
Фаерволы можно разделить на два типа по состоянию: Stateful и Stateless. Stateful анализирует потоки трафика и видит оба направления трафика (стадии подключений TCP-соединений, были ли фрагментированы пакеты, изменилось ли объемы передачи данных (MTU).
Stateless используют простые наборы правил и анализируют трафик на основе статических значений — например, адресов источника данных. Они не видят потоки данных и сам трафик.
DLP-системы — это аппаратно-программные или программные комплексы для защиты от несанкционированного доступа. Они имеют инструменты анализа входящего и исходящего трафика и данных, на основе чего блокируют вредоносные попытки передачи чувствительной информации.
Эффективная система защиты сети не может строиться только на одном из вышеперечисленных способов — это многоуровневая оборона. Начиная с защиты кабеля и физических серверов до SIEM и DDoS-фильтрации — каждый слой играет роль в обеспечении целостности и стабильности инфраструктуры.
Межсетевые экраны, IDS/IPS, VPN, SSL/TLS, DLP и SIEM образуют каркас, но только их комплексное применение и грамотная настройка способны реально противостоять современным угрозам.
