[таблицы] мэ, сертифицированные по новым требованиям

Ограниченность анализа межсетевого экрана

Межсетевой экран позволяет осуществлять фильтрацию только того трафика, который он способен «понимать». В противном случае, он теряет свою эффективность, так как не способен осознанно принять решение о том, что делать с нераспознанным трафиком. Существуют протоколы, такие как TLS, SSH, IPsec и SRTP, использующие криптографию для того, чтобы скрыть содержимое, из-за чего их трафик не может быть проинтерпретирован. Также некоторые протоколы, такие как OpenPGP и S/MIME, шифруют данные прикладного уровня, из-за чего фильтровать трафик на основании информации, содержащейся на данном сетевом уровне, становится невозможно. Ещё одним примером ограниченности анализа межсетевых экранов является туннелированный трафик, так как его фильтрация является невозможной, если межсетевой экран «не понимает» используемый механизм туннелированния. Во всех этих случаях правила, сконфигурированные на межсетевом экране, должны явно определять, что делать с трафиком, который они не могут интерпретировать.

Основные положения

Одним из наиболее
распространенных механизмов защиты от
«хакеров» является применение
межсетевых экранов — брэндмауэров
(firewalls). Проблема межсетевого экранирования
формулируется следующим образом. Пусть
имеется две информационные системы или
два множества информационных систем.
Экран (firewall) — это средство разграничения
доступа клиентов из одного множества
систем к информации, хранящейся на
серверах в другом множестве.

Экран выполняет
свои функции, контролируя все информационные
потоки между этими двумя множествами
информационных систем, работая как
некоторая «информационная мембрана».
В этом смысле экран можно представлять
себе как набор фильтров, анализирующих
проходящую через них информацию и, на
основе заложенных в них алгоритмов,
принимающих решение: пропустить ли эту
информацию или отказать в ее пересылке.
Кроме того, такая система может выполнять
регистрацию событий, связанных с
процессами разграничения доступа. в
частности, фиксировать все «незаконные»
попытки доступа к информации и,
дополнительно, сигнализировать о
ситуациях, требующих немедленной
реакции, то есть поднимать тревогу.

Обычно экранирующие
системы делают несимметричными. Для
экранов определяются понятия «внутри»
и «снаружи», и задача экрана состоит
в защите внутренней сети от «потенциально
враждебного» окружения. Важнейшим
примером потенциально враждебной
внешней сети является Internet

Основные требования
к системам межсетевого экранирования:

— обеспечение
безопасности внутренней (защищаемой)
сети и полный контроль над внешними
подключениями и сеансами связи

— экранирующая
система должна обладать мощными и
гибкими средствами управления для
простого и полного воплощения в жизнь
политики безопасности организации и,
кроме того, для обеспечения простой
реконфигурации системы при изменении
структуры сети.

— экранирующая
система должна работать незаметно для
пользователей локальной сети и не
затруднять выполнение ими легальных
действий.

— экранирующая
система должна работать достаточно
эффективно и успевать обрабатывать
весь входящий и исходящий трафик в
«пиковых» режимах. Это необходимо
для того, чтобы firewall нельзя было, образно
говоря, «забросать» большим
количеством вызовов, которые привели
бы к нарушению ее работы.


cистема
обеспечения безопасности должна быть
сама надежно защищена от любых
несанкционированных воздействий,
поскольку она является ключом к
конфиденциальной информации в организации.

— в идеале, если у
организации имеется несколько внешних
подключений, в том числе и в удаленных
филиалах, система управления экранами
должна иметь возможность централизованно
обеспечивать для них проведение единой
политики безопасности.

— система Firewall
должна иметь средства авторизации
доступа пользователей через внешние
подключения. Типичной является ситуация,
когда часть персонала организации
должна выезжать, например, в командировки,
и в процессе работы им, тем немение,
требуется доступ, по крайней мере, к
некоторым ресурсам внутренней компьютерной
сети организации. Система должна уметь
надежно распознавать таких пользователей
и предоставлять им необходимый доступ
к информации.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Руководство по быстрому выбору программ — базовые брандмауэры и файрволы (скачать)

Windows 10 Firewall Control

  Простой и эффективный; использует встроенный в Windows брандмауэр, так что никаких драйверов и прочего не потребуется. Мало весит. Три режима для быстрой настройки «Обычный», «Включить все» и «Отключить все». Отлично подходит для дополнения стандартного брандмауэра Windows
  Может немного раздражать вначале использования, так как для всех программ придется задавать доступ; нет режима обучения. Диалоговое окно, с сообщением о выборе разрешить/запретить включает много информации, часть из которой может быть непонятной начинающим пользователям. 

TinyWall

  Легкий базовый брандмауэр; простой, но эффективный. Ненавязчивая программа без каких-либо всплывающих окон. Может распознать связанные процессы из белого списка программ. Этот файрвол может быть хорошим выбором для тех, кто слабо знаком с компьютерами, так как он не требует особых знаний.
  Нет пользовательских диалогов, все настраивается во всплывающих меню (не обязательно, что это плохо для всех пользователей, дело привычки). Нельзя выбрать, куда устанавливать программу. Требуется Framework .NET

ZoneAlarm Free Firewall

  Хороший файрвол для фильтрации исходящих/входящих соединений. Стелс-режим. Удобно использовать и настраивать. Анти-фишинг защита. 
  Нет мониторинга соединений между программами. Недостает систем обнаружения вторжений и эвристики. Ограниченная бесплатная версия (например, нельзя выставить высокий уровень защиты). Последнее время есть тенденция к «облегчению» функциональности от версии к версии.

Реализация межсетевых экранов

Межсетевые экраны бывают программными либо программно-аппаратными. Программные выполняются в двух основных вариантах:

  • специальное устройство;
  • отдельный модуль в маршрутизаторе или коммутаторе.

Программным межсетевым экранам предпочтение отдают чаще всего. Для их эксплуатации достаточно установить специальное программное обеспечение, что редко вызывает трудности у тех, кому интересен телекоммуникационный обмен данными.

Программно-аппаратные комплексы специального назначения — выбор крупных предприятий. Они получили название и обозначение Security Appliance.

Обратите внимание! Работа чаще всего ведётся на основе FreeBSD или Linux. Эти системы решают определённые задачи, с чем связаны некоторые ограничения

У подобных систем имеются следующие преимущества:

  • отказоустойчивость. Вероятность сбоя практически исключается, система продолжает работать эффективно, что является важным критерием для многих в бизнесе;
  • высокие показатели производительности. Операционная система во время работы выполняет одну-единственную функцию. Любые посторонние сервисы исключаются. Сертифицировать подобные решения удалось уже давно;
  • простое управление. Настроить без труда можно любой параметр. Для контроля разрешается использовать любой протокол, соответствующий действующим стандартам. Допускаются и защищённые варианты. Маршрутизатор такого разнообразия не предполагает.

Функции экрана

Межсетевой экран устанавливается для того, чтобы решать несколько очень важных задач. Какую функцию выполняют сетевые экраны после своей установки?

  • Первой такой задачей является защита внутренней малой сети, допустим, компании от любых внешних проникновений. Стоит отметить, что обеспечение не делает разницы между внешними пользователями или внутренними. Проверять он будет одинаково как сотрудников компании, ее партнеров, так и хакеров, пытающихся проникнуть в Сеть.
  • Вторая функция — это регулирование доступа внутренних пользователей к внешним ресурсам. Другими словами, можно настроить межсетевой экран так, чтобы он блокировал доступ из подконтрольных ему ПК к ресурсам, которые не требуются для выполнения работы.

Стоит также отметить, что в настоящее время отсутствует общая классификация таких программ и устройств.

Хронология событий

2020: 53% ИБ-экспертов считают межсетевые экраны бесполезными

29 октября 2020 года стало известно, что специалисты по информационной безопасности (ИБ) стали отказываться от использования межсетевых экранов. Большинство мотивируют это тем, что в современном мире они больше не могут обеспечить требуемый уровень защиты, сообщили CNews 29 октября 2020 года.

Потерю ИБ-специалистами доверия к брандмауэрам подтвердило исследование компании Ponemon Institute, с 2002 г. работающей в сфере информационной безопасности, проведенное совместно с компанией Guardicore из той же отрасли. Ее сотрудники опросили 603 ИБ-специалиста в американских компаниях и выяснили, что подавляющее большинство респондентов негативно отзываются о межсетевых экранах, в настоящее время используемых в их компаниях. 53% из них активно ищут другие варианты защиты сетей и устройств в них, попутно частично или полностью отказываясь от фаерволлов из-за их неэффективности, высокой стоимости и высокой сложности.

Согласно результатам опроса, 60% его участников считают, что устаревших межсетевых экранов нет необходимых возможностей для предотвращения атак на критически важные бизнес-приложения. Столько же респондентов посчитали, что устаревшие межсетевые экраны демонстрируют свою неэффективность для создания сетей с нулевым доверием (zero trust).

76% специалистов, участвовавших в опросе Ponemon Institure, пожаловались на то, что при использовании устаревших фаерволлов им требуется слишком много времени для защиты новых приложений или изменения конфигурации в существующих программах.

62% опрошенных специалистов считают, что политики контроля доступа в межсетевых экранах недостаточно детализированы, что ограничивает их способность защищать наиболее ценную информацию. 48% респондентов подчеркнули также, что внедрение межсетевых экранов занимает слишком много времени, что увеличивает их итоговую стоимость и время окупаемости.

Согласно отчету, в то время как 49% респондентов в какой-то степени внедрили модель безопасности Zero Trust, 63% считают, что устаревшие межсетевые экраны их организаций не могут обеспечить нулевое доверие в корпоративной сети. 61% респондентов отметили, что межсетевые экраны их организаций не могут предотвратить взлом дата-серверов компании, в то время как 64% считают, что устаревшие межсетевые экраны неэффективны против многих современных видов атак, включая атаки при помощи программ-вымогателей.
Большинство опрошенных специалистов заявили, что фаерволлы бесполезны, когда вопрос касается и облачной безопасности. 61% уверены в их неэффективности при защите данных в облаке, а 63% считают, что нет смысла пытаться использовать их для обеспечения безопасности критически важных облачных приложений.

Результаты опроса показывают, что пользователей брандмауэров беспокоят номер один: смогут ли они на самом деле заставить технологии защиты нового поколения работать в своих средах. Устаревшие межсетевые экраны не обладают масштабируемостью, гибкостью или надежностью для обеспечения безопасности,
– сказал Ларри Понемон (Larry Ponemon), основатель Ponemon Institute
Итоги исследования отражают то, что уже известно многим ИТ-директорам ИБ-специалистам – цифровая трансформация сделала межсетевые экраны устаревшими. По мере того, как организации внедряют облако, интернет вещей и DevOps, чтобы стать более гибкими, устаревшие решения сетевой безопасности не только неэффективны для предотвращения атак на их сети – они даже препятствуют желаемой гибкости и скорости работы, которых компании надеются достичь,
– отметил Павел Гурвич (Pavel Gurvich), соучредитель и генеральный директор Guardicore

Назначение межсетевых экранов и их отличие от других сетевых устройств

Одна из главных функций сетевых экранов — защита от несанкционированного доступа посторонних лиц. Ее организуют для отдельных сегментов либо хостов в сети. Чаще всего проникновения третьих лиц связаны с уязвимостями в двух компонентах:

  • программное обеспечение, установленное на ПК;
  • сетевые протоколы, по которым легко узнавать отправителя.

Пока работает межсетевой экран, он сравнивает характеристики трафика, который проходит через то или иное устройство. Шаблоны уже известного вредоносного кода используются для получения максимального результата. Если что-то не так, появляется сообщение «Заблокирован входящий трафик, проверьте настройки сетевого экрана».

По сути, межсетевой экран — это программный либо программно-аппаратный тип системы, отвечающий за контроль информационных потоков. Но и аппаратный вариант тоже пользуется большим спросом.

Обратите внимание! Отличие от обычных сетевых устройств в том, что функции по безопасности у межсетевых экранов реализованы лучше, если рассматривать их с технической точки зрения. По умолчанию автоматически включаются многие возможности, которые в случае с другими приспособлениями требуют ручной настройки

Но есть некоторые функции, изначально доступные только при работе с традиционными маршрутизаторами, которые тоже организуют Firewall. Они обходятся дешевле, поэтому подходят не для крупных организаций, а для небольших компаний и филиалов. Настройки сетевого экрана легко меняются в зависимости от потребностей владельцев оборудования.

Описание и назначение

Межсетевой экран или корпоративный фаервол (Enterprise Network Firewall) — это элемент корпоративной сетевой инфраструктуры, выполняющий блокировку поступающего на него трафика, пропуская только разрешенные данные.

Первые аппаратные фаерволы появились в конце 1980 года, когда возникла необходимость в запрете прохождения информации по определенным портам, чтобы защитить информационные системы от внешних угроз. Межсетевые экраны без аппаратной составляющей появились позднее.

Сетевой экран предотвращает несанкционированный доступ, который осуществляется с использованием уязвимостей в программном обеспечении или сетевых протоколах. Он выполняет пропуск или запрет трафика исходя из его сравнения с настроенными правилами. Так как современные атаки могут быть выполнены и с внутренних узлов сети, популярным местом для установки фаервола становится не только граница периметра, как было ранее, но и между сегментами корпоративной сети.

В зависимости от того, на каком уровне сетевой модели OSI работает межсетевой экран, можно выделить следующую классификацию:

  • Управляемые коммутаторы. Они могут быть причислены к сетевым экранам за счет осуществления фильтрации трафика. Но в то же время из-за ограничений работы на канальном уровне коммутаторы не могут обрабатывать внешний трафик.
  • Пакетные фильтры. Этот тип межсетевых экранов работает на сетевом уровне OSI и способен контролировать трафик на основе информации из заголовков пакетов.
  • Шлюзы сеансового уровня. Ограничивает прямое общение внешнего хоста с узлом, находящимся внутри локальной сети, являясь посредником.
  • Посредники прикладного уровня. Фаерволы, реализующие данную технологию, способны заблокировать последовательности команд или запретить использование некоторых команд.
  • Инспекторы состояния. Этот тип способен контролировать как пакет, так и сессию или приложение.

При выборе межсетевого экрана нужно помнить, что на данный момент они существуют в двух видах реализации — программный и программно-аппаратный комплексы, которые также делятся на два варианта в виде отдельного модуля или специализированного устройства. Как правило, программные решения требуют оборудования с большими системными ресурсами. В то время как специализированные программно-аппаратные решения имеют достоинства в виде простоты внедрения и управления, а также хорошей отказоустойчивости.

На сегодняшний день межсетевые экраны проходят следующий этап своего развития, и на рынке информационной безопасности появились фаерволы нового поколения (NGFW). Они включают в себя функции традиционных межсетевых экранов,  системы предотвращения вторжений и DPI. Такие решения позволяют выполнять не только фильтрацию пакетов на уровне портов и протоколов, а также на основе возможностей приложений.

Согласно определению ведущих аналитических агентств, фаерволы нового поколения должны гарантировать компаниям:

  • Традиционные возможности межсетевых экранов
  • Защиту от непрерывных атак
  • Сигнатуры приложений за счет системы предотвращения вторжений
  • Регулярно обновляемую базу сигнатур с возможными угрозами и различными приложениями (NGIPS)
  • Инспектирование трафика, в том числе SSL

Sophos XG Firewall

С самого начала Sophos XG Firewall был разработан для решения сегодняшних и вновь возникающих проблем, а также для обеспечения платформы, адаптирующейся под изменение сетевой архитектуры. XG Firewall предлагает новый подход к выявлению скрытых рисков, защите сети, выявлению угроз и реагированию на них.

XG Firewall обеспечивает непревзойденную видимость пользователей из группы риска, нежелательных приложений, подозрительных данных и постоянных угроз. Он имеет полный набор современных технологий защиты от угроз, и при этом прост в настройке и обслуживании. В отличие от любого другого межсетевого экрана до него, XG Firewall взаимодействует с другими системами безопасности в сети, что позволяет ему эффективно стать надежной точкой защиты, сдерживать угрозы, блокировать вредоносное ПО от распространения или эксфильтрации данных из сети — автоматически, в режиме реального времени.

Sophos XG Firewall имеет три основных преимущества по сравнению с другими межсетевыми экранами:

  1. Выявление скрытых рисков: XG Firewall прекрасно делает работу по выявлению скрытых рисков с помощью визуальной панели мониторинга, широким выбором отчетов «из коробки» и уникальной информацией о рисках.
  2. Блокировка неизвестных угроз: XG Firewall блокирует неизвестные угрозы проще и эффективнее, с помощью полного набора методов защиты от продвинутых атак, которые очень просты в настройке и управлении.
  3. Автоматическое реагирование на инциденты: XG Firewall с Synchronized Security автоматически реагирует на инциденты в cети благодаря технологии Security Heartbeat.

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Автоматическое реагирование на инциденты за 8 секунд

Одной из наиболее востребованных функций у сетевых администраторов является возможность автоматического реагирования на инциденты безопасности в сети.

Sophos XG Firewall — это решение сетевой безопасности, способное полностью идентифицировать источник инфекции в Вашей сети и автоматически ограничить доступ к другим сетевым ресурсам в ответ. Это стало возможным благодаря уникальной технологии Sophos Security Heartbeat, который передает телеметрию и состояние между конечными точками и межсетевым экраном.

XG Firewall уникальным образом интегрирует сведения о работоспособности подключенных хостов в свои правила, позволяя автоматически ограничивать доступ к конфиденциальным сетевым ресурсам из любой скомпрометированной системы до тех пор, пока она не будет очищена. Время реакции сокращается с нескольких часов, до нескольких секунд.

Security Heartbeat

Sophos Security Heartbeat (статья на хабре про Synchronized Security) обменивается сведениями в режиме реального времени, используя безопасную https связь, между конечными точками и межсетевым экраном. Этот простой шаг синхронизации продуктов безопасности, которые ранее работали независимо, создает более эффективную защиту от вредоносных программ и целевых атак.

Security Heartbeat может не только мгновенно определять наличие продвинутых угроз, но также использоваться для передачи важной информации о природе угрозы, хост-системе и пользователе. И, возможно самое главное, Security Heartbeat также можно использовать для автоматического принятия мер по изоляции или ограничению доступа скомпрометированной системы, пока она не будет очищена

Это захватывающая технология, которая меняет способ работы решений в области информационной безопасности  и реагирования на сложные угрозы.
Security Heartbeat работает на рабочих местах или серверах. Heartbeat может находиться в одном из трех состояний:
    Green Heartbeat статус указывает, что рабочее место исправно и будет разрешен доступ ко всем соответствующим сетевым ресурсам.
    Yellow Heartbeat статус указывает на предупреждение о том, что система может иметь потенциально нежелательное приложение (PUA), не соответствует требованиям или имеет какую-либо другую проблему. Вы можете выбрать, к каким сетевым ресурсам разрешено обращаться системам с желтым статусом, пока проблема не будет решена.
    Red Heartbeat статус указывает на систему, которая подвержена риску заражения продвинутыми угрозами и может пытаться связаться с ботнетом или сервером C&C. Используя политики безопасности Heartbeat, можно легко изолировать системы с данным статусом, пока они не будут очищены, чтобы уменьшить риск потери данных или дальнейшего заражения.

Только Sophos может предоставить такое решение, как Security Heartbeat, потому что только Sophos является лидером в производстве ПО, как для конечных точек, так и для сетевых решений безопасности. Например, можно посмотреть тестирование NSS Labs Advanced Endpoint Protection, 2019:

  • Оценка № 1 по эффективности безопасности и 
  • Оценка № 1 по лучшему ценовому предложению

Как создать пакетное правило в Сетевом экране Kaspersky Internet Security 2018

  1. В главном окне Kaspersky Internet Security 2018 нажмите на кнопку с изображением шестеренки .

  1. Если вы не знаете, как открыть программу, смотрите инструкцию в статье.
  1. В окне Настройка выберите Защита → Сетевой экран.

  1. В окне Параметры Сетевого экрана нажмите Настроить пакетные правила.

  1. В окне Пакетные правила:
    • Cоздайте новое правило, для этого нажмите Добавить. 
    • Или используйте уже готовый шаблон пакетного правила, для этого выберите его из списка.

Сетевой экран проверяет правила по списку сверху вниз и использует первое правило, которому соответствуют параметры сетевого пакета. Последующие правила не применяются. Чтобы изменить положение правила в списке, используйте кнопку .

  1. Выберите действие:
    • Разрешить. 
    • Запретить.
    • По правилам программ. В этом случае пакетное правило перестает действовать, если для этой программы уже создано другое правило.

  1. Укажите название пакетного правила.
  2. Выберите направление:
    • Входящее (пакет) — правило применяется для сетевых пакетов, принимаемых вашим компьютером.
    • Входящее — правило применяется для сетевого соединения, открытого удаленным компьютером.
    • Входящее/Исходящее — правило применяется как к входящему, так и к исходящему сетевому пакету или потоку данных, независимо от того, каким компьютером инициировано сетевое соединение.
    • Исходящее (пакет) — правило применяется для сетевых пакетов, передаваемых с вашего компьютера.
    • Исходящее — правило применяется только для сетевого соединения, открытого вашим компьютером.
  1. Выберите протокол. Для протоколов ICMP или ICMPv6 задайте тип и код ICMP-пакета.
  1. Укажите адрес:
    • Любой адрес — правило применяется к любому IP-адресу.
    • Адреса подсети. Выберите нужную подсеть: Доверенная, Локальная или Публичная сеть. Правило применяется к IP-адресам указанных сетей, которые подключены в данный момент.
    • Адреса из списка — правило применяется к указанному диапазону IP-адресов. Как задать диапазон адресов в Kaspersky Internet Security 2018, читайте .
  1. Установите статус пакетного правила:
    • Активно.
    • Неактивно.
  1. Чтобы результат работы пакетного правила отражался в отчете, установите флажок Записывать события.
  1. Нажмите Сохранить.

Как выбрать межсетевой экран

На рынке большое количество решений иностранного и отечественного производства. Все они схожи по функционалу, но имеют отличия. Каждый производитель старается придумать для своих продуктов уникальные преимущества.

Выбор в первую очередь зависит от целей и факторов:

  • какую информацию нужно защищать и где она находится,
  • от каких угроз защищать,
  • какие законодательные требования необходимо соблюдать,
  • какой имеется бюджет на приобретение и внедрение,
  • есть ли свои компетенции на внедрение и обслуживание или необходимо привлекать интегратора и т. д.

Факт приобретения межсетевого экрана не решит все проблемы с защитой информации

Важно правильно провести проект внедрения, настройку, регулярно проводить обновления, мониторить события и оперативно реагировать на изменения. В этом помогут специалисты, обладающие необходимыми навыками, опытом и компетенциями

Межсетевые экраны необходимо сочетать с другими средствами защиты и решениями по информационной безопасности.

Для обеспечения защиты персональных данных необходимо применять средства защиты, сертифицированные ФСТЭК.

Для защиты данных, составляющих государственную тайну, нужно проводить специальные проверки и специальные исследования оборудования в лаборатории.

Новый принцип межсетевого экранирования

  • 28.11.16 07:13


imbasoft

#316218

Хабрахабр


В черновиках

3900

Информационная безопасность, Алгоритмы, IT-стандарты, Проектирование и рефакторинг, Анализ и проектирование систем

Современные средства защиты информации довольно сложны и требуют от потребителя определенного набора специальных знаний. Данное обстоятельство с учетом бешеного ритма современной жизни заставляет людей постоянно откладывать «на потом» вопросы, связанные с безопасностью их данных, которые практически все время остаются без защиты.
В данной статье мы рассмотрим новый принцип построения межсетевых экранов, ориентированный на обычных людей, не имеющих специальных знаний в области информационной безопасности.
Устройства, реализующие рассмотренный ниже принцип, не требуют настройки, не мешают работе типовых клиентских приложений, устойчивы к деактивации по сети и обеспечивают гарантированный базовый уровень информационной безопасности. Демонстрацию их работы можно увидеть на видео в конце данной статьи.

Чего хочет пользователь от межсетевого экрана?

  1. Защищать компьютер от несанкционированного доступа и атак по сети (блокирование вредоносного трафика).
  2. Позволять работать «как обычно» (пропуск легитимного трафика).
  3. Не требовать конфигурирования и обслуживания.

Анализ задачи

разрешать прохождение трафика только по соединениям, инициированным защищаемым компьютером, и блокировать весь остальной трафик.

  1. Подключаться в разрыв между защищаемым компьютером и остальной сетью.
  2. Обеспечивать транзит сетевого трафика только по соединениям, инициированным защищаемым компьютером. Весь остальной трафик должен быть отброшен.

Техническое решение

  • «Внешний порт» – сетевой интерфейс, к которому подключается потенциально враждебная вычислительная сеть.
  • «Внутренний порт» – сетевой интерфейс, к которому подключается защищаемый компьютер.

В модуле фильтрации канального уровня (L2) производятся следующие действия:

  1. Для поступившего в устройство сетевого пакета по алгоритму IEEE 802.1D определяются порты источника и назначения.
  2. Сетевой пакет, пришедший с порта, который мы ранее обозначили как «Внутренний порт», помечается как «ВНУТРЕННИЙ».
  3. Сетевой пакет, пришедший с любого из интерфейсов и не содержащий в себе инкапсулированный IP- или ARP- пакет, отбрасывается.Примечание. Модуль фильтрации L3 работает только с пакетами, принадлежащими стеку TCP/IP. Для устранения возможных утечек сетевые пакеты других стеков отбрасываются.
  4. Сетевой пакет передается на модуль фильтрации сетевого уровня (L3).
  5. Если сетевой пакет вернулся с модуля фильтрации сетевого уровня (L3), то он передается в порт назначения и покидает межсетевой экран.

Модуль фильтрации сетевого уровня (L3) выполняет следующие действия:

На постоянной основе ведет таблицу активных сетевых соединений, где для каждого соединения фиксируется информация о конечных точках (адреса, порты и т.д.), а также состояния, описывающие различные этапы жизненного цикла соединений «новое соединение», «установленное соединение» и др. (более подробно про отслеживание состояния соединений в Linux можно посмотреть тут)

Для осознания дальнейшего алгоритма важно понять, что как только какая-либо сторона послала запрос на соединение, то состояние записывается как «новое соединение». После того как сторона, получившая запрос, шлет пакет в ответ, состояние соединения принимает значение «установленное соединение».
Возвращает на модуль фильтрации канального уровня (L2) сетевые пакеты, удовлетворяющие следующим требованиям: сетевой пакет принадлежит установленному соединению;
сетевой пакет имеет маркировку «ВНУТРЕННИЙ».

Все остальные пакеты отбрасываются.

Первые опыты и трудности

  • добавить в исключения модулей фильтрации типовые протоколы, использующие широковещательные посылки;
  • вообще не блокировать широковещательный трафик.
Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий