Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Тематический план
Отдел рекламы
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

РУКОВОДСТВО ПО ВЫЖИВАНИЮ С ПОМОЩЬЮ ИТ

Кертис Франклин-младший

Вы спрашиваете, как обеспечить безопасность сетей в наступившем году? Наш ответ краток: с помощью централизованно управляемой многоуровневой системы защиты.

Полную версию данной статьи смотрите в 3-ем номере журнала за 2006 год.

Проблема безопасности корпоративных сетей стала настолько важной в последнее время, что связанные с нею разработки теперь ведутся ускоренными темпами в разных областях одновременно. К этому прямо-таки вынуждают объективные обстоятельства, начиная с возросшей активности вирусописателей и кончая появлением обилия законодательных актов, таких, как GLB, HIPAA, Sarbanes-Oxley и прочих. Функции безопасности перестают быть пассивными (выдающими сигнал тревоги, если что-то идет не так) и становятся активными (предотвращающими вторжения). Индивидуальный контроль, при котором каждая функция безопасности осуществляется независимо от других, уступает место централизованному контролю, включающему в себя интегрированное управление доступом и корпоративной политикой безопасности.

Концепция безопасности сетевого периметра теряет свое значение, поэтому в 2005 г. самым эффективным способом обезопасить свою сеть становится применение многоуровневой защиты. Какую отдельную сторону сетевой безопасности вы ни взяли бы, всегда рассматривайте ее в общем контексте, не упуская из виду ни одного уровня защиты. И раз и навсегда распрощайтесь со всякими надеждами найти универсальное решение проблемы сетевой безопасности.

Большинство новейших разработок в рассматриваемой области представляют собой механизмы и средства самозащиты сети, оставляющие за вами, как за администратором, функции централизованного контроля и анализа отчетов, и это — хорошая новость. Плохая же новость состоит в том, что отправными точками всех этих разработок подчас оказываются жестко конкурирующие между собой стандарты и разрабатывающие их альянсы. Если вы ошиблись в выборе стандарта на перспективу один лишь раз, то будете вынуждены “перестраиваться на ходу”, что потребует больших усилий, поскольку производители все настойчивее стремятся внедрить элементы безопасности в самую сердцевину сетевой инфраструктуры.

Главное — активность

Наиглавнейшим компонентом инфраструктуры сетевой защиты, предупреждающем о нападении, является система обнаружения вторжений (Intrusion Detection System — IDS), которая предоставляет исчерпывающую информацию о предпринятой против вас атаке или странном поведении сети. На большинстве предприятий системы обнаружения вторжений занимают центральное место среди прочего оборудования безопасности и именно к ним приковано все внимание отвечающего за нее персонала. Без IDS им пришлось бы вручную извлекать “информационные улики” из регистрационных журналов межсетевых экранов (МЭ), серверов и маршрутизаторов.

Однако сегодня миссия IDS становится другой. Большинство фирм — поставщиков этих систем стараются усовершенствовать свои продукты так, чтобы они не только могли сообщать о совершившемся факте вторжения, но и непосредственно помогали отразить его. Однако и в отношении генерации отчетов IDS-системы становятся все более и более активными, помещая в них данные по сетевым аномалиям, уязвимостям и отмеченным враждебным действиям. В связи с растущим числом атак и разнообразием их типов для эффективного функционирования IDS-систем важна корреляция событий, зарегистрированных в журналах и отчетах других компонентов сетевой защиты. Она позволяет получить более полную картину происходящего и облегчить ее интерпретацию. В состав функционального набора решений Network Admission Control (NAC) фирмы Cisco и Network Access Protection (NAP) фирмы Microsoft, помимо других возможностей, входят обнаружение вторжений и сетевое экранирование с целью их предотвращения. Механизм действия этих решений заключается в следующем: система IDS передает информацию в “центр безопасности”, откуда, в свою очередь, межсетевому экрану посылается инструкция о разрыве соединения и блокировании враждебного адреса.

Много шума из ничего?

Весь прошлый год мы призывали вас не полагаться на громкие заявления поставщиков систем предотвращения вторжений (Intrusion Prevention System — IPS). Мы рекомендуем вам и впредь оставаться скептиками, но вместе с тем не можем не отметить тот факт, что технология IPS в своем развитии достигла довольно высокого уровня и теперь с ее помощью можно решать многие критически важные проблемы в сетях. Ни одна из систем IPS не способна пресечь все возможные атаки без исключения — по крайней мере до тех пор, пока вы позволяете легитимному трафику проникать в вашу сеть и покидать ее. Полагая, что системы IPS могут снизить общий уровень интенсивности атак, вы придерживаетесь правильной точки зрения.

Если ваш Web-сайт является неотъемлемой частью ваших бизнес-процессов и атака DoS или вторжение с помощью “червя” способны привести к разрушительным последствиям, рассмотрите возможность внедрения системы IPS. С точки зрения многоуровневой архитектуры защиты ее можно интегриро-вать с IDS, персональными МЭ и МЭ предприятия с целью защитить наиболее ценные ресурсы вашей сети.

Для некоторых предприятий неприемлемо блокирование даже небольшого количества легитимного трафика. Тем не менее рано или поздно системы IPS станут основным инструментом сетевой безопасности. Возможность внедрения продуктов таких компаний, как Check Point Software, Internet Security Systems, Lucid Security, Radware и Tipping Point, позволяющих снизить общий уровень враждебного трафика, следует всерьез рассмотреть уже в этом году.

Эшелонированная оборона

Многоуровневый подход к обнаружению и предотвращению вторжений нашел свое отражение и в межсетевом экранировании. Такие правительственные директивы, как HIPAA и GLB, заставляют компании и организации делать все возможное, чтобы защитить от несанкционированного доступа персональные данные клиентов и пациентов, а заодно — и свои собственные ресурсы.

В то же время МЭ сетевого периметра объединяются с МЭ уровня приложений (в частности, Web-приложений), с целью защиты корпоративной инфраструктуры и баз данных, обеспечивающих функционирование приложений. Требования законодательства плюс необходимость наличия механизма быстрого и эффективного анализа сетевых пакетов приложений делают МЭ прикладного уровня неотъемлемой частью системы безопасности, гарантирующей защиту приложения от враждебных действий и предотвращающей утечку данных за границы предприятия.

В прошлом году при защите корпоративных сетей упор делался на персональные МЭ. В наступившем году они станут обязательным компонентом инфраструктуры безопасности предприятия. За пределами сетевого периметра в его традиционном понимании персональные МЭ, установленные на мобильных клиентских системах, обеспечат защиту корпоративной сети от враждебного кода.

Управление доступом

По мере внедрения поставщиками аппаратных МЭ в магистральные коммутаторы, базовым инфраструктурным компонентам отводится все более значимая роль в защите сети. Главной тенденцией наступившего года станет интеллектуальная интеграция функций безопасности, управляемых на основе правил.

В ПО управления политикой безопасности нет ничего нового, но его более тесная интеграция с сетевой инфраструктурой являет собою элемент новизны. Спросите любого претендента на звание поставщика платформы управления корпоративной политикой безопасности о том, сколько компаний заключили с ним партнерские соглашения с целью обеспечить совместимость их продуктов с поставляемой им центральной управляющей консолью. Такие партнерства, как правило, склонны образовывать гиганты индустрии, производящие свои собственные системы управления доступом и политикой безопасности. И компания Cisco Systems со своим решением NAC, и Microsoft со своим решением NAP создают платформы управления на базе уже имеющихся технологий и продуктов. Но ни та, ни другая пока не рассчитывают выпустить готовое решение ранее середины этого года. Хотя обе компании и собираются конкурировать на новом поприще, в глазах друг друга они скорее являются союзниками, чем противниками, и каждая, со своей стороны, ищет партнеров среди поставщиков средств сетевой защиты, чтобы обеспечить их совместимость с поставляемыми ими приложениями централизованного управления безопасностью. Но пока это всего лишь планы на перспективу, и если в 2005 г. что-то и случится, то это будет более чем первый шаг.

Одновременно с этим ведется активная разработка стандартов. Год назад организация NIST (National Institute for Standards and Testing) опубликовала стандарт ANSI INCITS 359-2004 на ролевое управление доступом, многие другие организации также создали комитеты по разработке проектов стандартов безопасности.

Если сеть вашей компании построена на продуктах Cisco или Microsoft, то наступивший год — самое подходящее время для экспериментального внедрения технологий NAC или NAP. Если же она базируется на продуктах других поставщиков, мы рекомендуем вам немного подождать, пока та или иная платформа не станет доминирующей или они не начнут сближаться.

С одной стороны, комитеты по стандартизации должны требовать совместимости ПО и аппаратной инфраструктуры с целью обеспечения единства управления безопасностью. С другой стороны, и Microsoft и Cisco утверждают, что их клиенты не могут ждать, когда появятся стандарты, поэтому выпуск их продуктов будет опережать выпуск стандартов.

Распишитесь здесь!

Все эти разработки начинаются с аутентификации. Хотя данный процесс представляется достаточно занудным, есть возможность испытать острые ощущения от того, как мир движется к давно обещанной “нирване” единой регистрации. Единая регистрация (Single Sign-On — SSO) в глобальной сети предприятия и во всех его приложениях едва ли будет реализована в 2005 г. и даже в 2006 г. Пока все еще отсутствуют некоторые важные компоненты, необходимые для настоящей единой универсальной регистрации, однако поставщики средств аутентификации, подстегиваемые своими заказчиками, продолжают двигаться в этом направлении.

Непреходящие ценности

Дискуссии о важности защиты сетевой инфраструктуры и ее компонентов зачастую обходят стороной самое важное обстоятельство, а именно: наиболее ценным ресурсом предприятия являются данные, а не инфраструктура. Справедливость этого утверждения лишний раз подчеркивается множащимися день ото дня законами и требованиями, которые касаются конфиденциальности персональных данных.

В директивах HIPAA, GLB и других документах на государственном уровне сформулирована общепринятая точка зрения, заключающаяся в том, что предоставляемые компаниям персональные данные их клиентов должны быть защищены от несанкционированного доступа и использования. Сама по себе защита этих данных является важной, но не менее важными остаются также хранение и аудит данных в процессе предоставления доступа к ним контролирующих органов в соответствии с законом. Одним словом, правильное ведение электронной документации поможет вам избежать суда.

По закону, данные должны быть защищены от угроз извне, и даже удавшееся вторжение не должно приводить к утечке данных. Поэтому системы IDS и IPS призваны “наблюдать” за трафиком в обоих направлениях, чтобы уберечь СУБД и сопровождающие приложения от раскрытия конфиденциальных данных.

Портативные хранилища

Утечка данных через сеть является не единственной проблемой, с которой могут столкнуться администраторы СУБД и службы безопасности. Кража накопителей данных тоже представляет собой проблему. Мини-накопители с USB-интерфейсом, пришедшие на смену флоппи-дискам, широко используются мобильным персоналом для хранения и переноса презентаций, обновлений ПО и небольших приложений из офиса в офис. Некоторые администраторы запрещают применение мини-накопителей, но аналогичные возможности, имеющиеся у MP3-плейеров, КПК и мобильных телефонов, делают эту борьбу заведомо проигрышной.

Более удачным представляется подход с использованием операционной системы — отключите поддержку USB и других внешних интерфейсов еще до того, как к ним подсоединят накопители. Концентрация внимания на защите хост-систем в сочетании с малой толикой дальновидности ваших действий позволит уберечь ваши критически важные данные.

Извлекая урок

Все разнообразие вышеупомянутых тенденций имеет общую основу — обеспечение безопасности сети и данных по мере возникновения угроз. Изобилию и разнообразию методов нападения противопоставляется активно защищающаяся сеть, персонал безопасности которой отныне может сконцентрироваться на наиболее сложных случаях вторжения.

Результат всех этих тенденций — усиление роли базовых компонентов сетевой инфраструктуры, обеспечивающих управление доступом пользователей и приложений к сетевым ресурсам. Компании Cisco, Enterasys и другие поставщики интегрировали функции межсетевого экранирования и обнаружения вторжений со своим магистральным оборудованием до такой степени, что порой от них можно услышать заявление о том, что близок день, когда безопасность станет всего лишь еще одной функцией базовых компонентов сетевой инфраструктуры. Помимо предотвращения вторжений базовой инфраструктуре передаются и функции управления пропускной способностью, доступом и сигнализацией, и в 2005 г. эта тенденция усилится еще больше.

Наступивший год не станет “годом такого-то продукта” или “годом такой-то технологии”, он станет “годом всего вышеперечисленного”. Изменится название того, чем вы занимались до сих пор, управляя политикой безопасности и используя системы IDS, IPS или МЭ уровня приложений. Все больше профессионалов будут вовлечены в обеспечение целостности данных, сети и непрерывности бизнеса в целом, и это поможет лучше защитить информацию от сетевых вторжений, катастроф и краж. Движение в сторону страхования рисков означает, что в дополнение к привычке полагаться на IDS и МЭ профессионалы будут озабочены проблемами производительности сети, физического доступа и аварийного восстановления. Некоторым образом это подводит черту под процессом эволюции профессионалов в области безопасности, которые становятся администраторами сетей, где функции защиты изначально встроены в компоненты инфраструктуры. Только так мы сможем обеспечить защиту наших сетей и их работоспособность хотя бы в течение года.





  
3 '2006
СОДЕРЖАНИЕ

бизнес

• ProCurve Networking модернизирует границы сетей

инфраструктура

• ИБП: тенденции и новинки

информационные системы

• Эффективность работы call-центров в разной трактовке

• Руководство по выживанию с помощью ИТ

сети связи

• Союз сообщений, или Системы UM

кабельные системы

• Эволюция кроссовых блоков

• Полировка наконечников, или Самый ответственный момент оконцевания волокна

защита данных

• Антивирусы для российских предприятий

новые продукты

• Модульный мультиплексор компании IERU; Проволочные лотки и двустенные гофрированные трубы


• Калейдоскоп



 Copyright © 1997-2005 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх