Насмотревшись на то, как в различных странах и организациях подходят к обеспечению информационной безопасности, послушав лекции по психиатрии для студентов 5 курса мед.университета, я решил написать эту статью. Что называется наболело.
Начать хотелось бы с того, что одним из основных принципов информационной безопасности является то, что угрозу можно ожидать не только из интернета, но и из внутренней сети, разница лишь в степени опасности угроз. Понятное дело, что угрозы извне более опасные, чем угрозы из внутренних сетей. Еще стоит отметить, что это не ловля и защита от шпионов и диверсантов – угрозу информационной безопасности может представлять любое устройство, которое при неправильной работе (настройке, подключении) способно повлечь за собой нарушение работоспособности сети. Например обычный бытовой роутер, на котором работает DHCP, включенный в локальную сеть не WAN портом, а LAN портом (не обязательно, что специально, такое может произойти и по ошибке). Результатом этого станет то, что компьютеры в сети будут получать сетевые настройки (IP-адрес и др. параметры) не от легитимного DHCP, а от этого самого роутера. В итоге ничего работать не будет: ни интернет, ни внутренние ресурсы сети.
Норма
Самой правильной стратегией организации информационной безопасности является разделение сети на сегменты (VLANы), например для каждого структурного подразделения либо корпуса следует выделить отдельный сегмент. При этом между сегментами должен быть установлен межсетевой экран, который бы не допускал передачу трафика из одного сегмента в другой, за исключением трафика между серверными сегментами и сегментами для IP-телефонов, камер видеонаблюдения, компьютеров и т.п..
Само собой разумеется, что мобильные устройства, подключающиеся по Wi-Fi, компьютеры и сервера ни в коем случае не должны находиться в одном сегменте.
Если необходимо организовать связь с филиалами, расположенными далеко друг от друга, следует использовать либо Site-to-Site VPN, либо собственную оптическую линию. Не стоит полагаться на то, что Ваш интернет-провайдер вам предан и не представляет для вас никакой угрозы: при организации т.н. L2 VPN, который не имеет никакого шифрования, есть риск того, что провайдер сможет при помощи все того же зеркалирования портов на своих коммутаторах прочитать весь ваш трафик, выудить оттуда все логины и пароли ваших пользователей и другую конфиденциальную информацию. Это по своей сути атака типа “человек посередине”. Поэтому полагаться стоит только на себя.
Зачем делить внутреннюю сеть на сегменты?
Здесь все довольно банально: большинство компьютерных вирусов, распространяющихся по сети, чаще всего используют всем известный протокол SMB, используемый для организации общего доступа к файлам и принтерам. Разделяя сеть на сегменты вы тем самым ограничиваете площадь, на которой может распространиться вирус.
Однако вирусы могут использовать не только протокол SMB, но и любые другие протоколы, особенно поддерживающие передачу файлов, например HTTP, HTTPS, FTP, SMTP. Все дело в том, что вирусы как правило представляют собой файлы. Один из ярких примеров таких вирусов, это вирус-шифровальщик “Мануэль”, который маскируется под “вордовский” документ с именем manuel.doc. Попадая на компьютер жертвы он превращает все файлы на нем в ярлыки. Да, это довольно легко лечится, но лучше этого избежать.
А еще бывает, что при установке сетевого принтера забыли добавить его МАС-адрес в резервирование на DHCP сервере, в результате чего через некоторое время принтер получит совершенно иной адрес. А если на компьютере его еще настроили именно на подключение по IP-адресу, то может произойти ситуация, когда документ отправленный на печать будет распечатан на другом идентичном принтере в другом подразделении или корпусе. Если сеть разделена сегменты, то возможность такой ситуации полностью исключается. Согласитесь, что лучше, если ваш документ распечатается на принтере вашего коллеги по отделу из соседнего кабинета, чем на принтере в другом здании и другом подразделении?
Избавляемся от “левого” железа
Угрозу работоспособности сети могут представлять не только домашние роутеры, принесенные сотрудниками ради вайфая, но и неуправляемые коммутаторы бытового назначения. Опасность таких неуправляемых коммутаторов в том, что при их неправильном подключении может возникнуть т.н. петля топологии, что влечет полную неисправность сети: дело в том, что в любой сети всегда имеются широковещательные пакеты, которые ни в коем случае не должны возвращаться обратно. При петле эти пакеты возвращаются обратно, а их число начинает расти по экспоненциальному закону. В конечном итоге их число становится настолько большим, что сеть буквально “захлебывается” и полезный трафик уже не может через нее проходить. Представьте, что ваш полезный трафик, это воздух в легких, а вот этот широковещательный шум – воздух или жидкость, и находится в серозной оболочке, плевре. Его большое количество не дает легкому расправиться при вдохе и человек начинает задыхаться. Жизнеугрожающая ситуация, не правда ли?
Но это лишь начало беды: петлю топологи на практике довольно сложно выявить.
Для борьбы с этим можно настроить access-порты (т.е. порты доступа) ваших управляемых коммутаторов на запрет подключения к ним других коммутаторов. Тогда при подключении такого неуправляемого коммутатора порт будет моментально блокироваться, а зная в какой кабинет уходит кабель, подключенный к данному порту коммутатора вы всегда сможет найти источник проблемы.
Защищаемся от внешних угроз
Для этого в первую очередь следует не предоставлять доступ в интернет с тех компьютеров, на которых он не нужен. Если используемое программное обеспечение поддерживает работу через прокси-сервер, то необходимо использовать именно его для выхода в интернет, при этом обязательно с авторизацией по доменным учетным записям – так будет удобно и для пользователей и для администраторов, и в тоже время позволит пользователю, которому требуется выходить в интернет, работать на любом компьютере, а администратора избавит от необходимости резервирования в DHCP IP-адресов для некоторых компьютеров. Одновременно с этим прокси-сервер позволяет блокировать атаки на пользовательский компьютер, принимая удар на себя, ведь он является посредником между пользователем и интернетом.
Патология
А вот сюда бы я отнес случаи, когда информационная безопасность превращается в сплошную бюрократию, а технически мало чего делается – сеть не разделена сегменты, связь между филиалами обеспечивается при помощи т.н. L2 VPN, потому что это дешевле, а все корпоративные веб-приложения используют HTTP вместо HTTPS. При этом вводится чертова куча паролей и логинов, которые в таких условиях лишены всякого смысла.
Видите ли, наличие в вашей сети хоть одного, хоть бесконечности не настроенных, но сертифицированных гос.регулятором межсетевых экранов равноценно тому, что у вас их нет вообще. Потому что правила по умолчанию любого межсетевого экрана разрешают любой трафик, это нужно для того, чтобы его можно было настроить и отладить в режиме реального времени.
От тонны макулатуры сеть не станет защищенной, а вирусы бьют не по паспорту, а вирусы не разбирают, правильно ли вы оформили бумажки или нет.
В итоге все происходящее уже больше похоже на обссесивно-компульсивное расстройство…