обеспечение безопасности сети изнутри: добавление мобильного уровня защиты

Когда дело касается защиты сетей от внутренних угроз, существует много шагов, которые можно предпринять для предотвращения потенциальных опасностей. Во-первых, следует разобраться с общими причинами проблем безопасности, а во-вторых, для определения этих проблем следует использовать подходящие приборы. В настоящем документе изложены некоторые из этих проблем, а также объясняется, почему подходящее средство диагностики может помочь сетевому специалисту быстро обнаружить угрозу и обезопасить сеть и пользователей.

понимание внутренних угроз безопасности

С развитием программ peer-to-peer и мгновенного обмена сообщениями, а также с возникновением необходимости соответствовать нормам безопасности данных, сетевым специалистам приходится справляться с угрозами безопасности, которые возникают внутри сети. Даже самый мощный межсетевой экран не может полностью устранить проблему, которая становится все более серьезной: работники компании используют неавторизованные устройства и приложения, которые непреднамеренно создают бреши в вашей сети. Будь то принесенная из дома беспроводная точка доступа к сети или, казалось бы, безопасный мгновенный обмен сообщениями, работники непреднамеренно создают угрозу безопасности.

Новая задача для сетевых специалистов состоит из двух подзадач: сканирование сети для обнаружения неавторизованных устройств, которые могут нарушать безопасность сети, и сосредоточение внимания на предполагаемых проблемных участках в каждом конкретном случае. Борьба за безопасность никогда не прекращается. И все чаще сетевым специалистам приходится уделять гораздо больше внимания проблемам безопасности, чем в прошлом. Одна из причин, заставивших сетевых специалистов играть эту новую, более важную роль, — это цена ошибки. Отсутствие надлежащего решения внутренних проблем безопасности может повлечь за собой серьезные последствия. Могут быть украдены конфиденциальные корпоративные документы, личные файлы сотрудников и другая секретная информация. Слабое место в корпоративном межсетевом экране может увеличить угрозу со стороны хакеров.

Необходим еще один уровень защиты, который позволит сетевым специалистам устранять опасность, независимо от места и времени ее возникновения. Чтобы диагностировать проблемы безопасности, сетевым специалистам необходим мобильный прибор, который они могли бы взять прямо с собой на место происшествия. Без такого оборудования сетевым специалистам не удастся выяснить причины проблемы именно там, где это особенно важно – на месте ее возникновения. Вместо этого им приходится полагаться на стационарное оборудование или портативный компьютер с множеством приложений, которые могут помочь – а могут и не помочь – точно оценить угрозу.

Используя портативный прибор, сетевые специалисты могут исследовать предполагаемую проблему в месте и во время ее возникновения в реальном времени, немедленно принять меры и закрыть все бреши в системе безопасности сети, когда обнаруживается, что кто-то из работников использует неразрешенное устройство или приложение. Уязвимые места сети также могут быть быстро обнаружены с помощью регулярных проверок.

Поскольку основной задачей сетевого специалиста является поддержание работоспособности сети, безопасность иногда отходит на второй план. Используя прибор, обеспечивающий гибкость как при решении ежедневных задач обслуживания сети, так и при устранении нарушений безопасности, сетевые специалисты могут обнаружить проблемный участок, диагностировать и устранить проблему, в то же время, поддерживая работу сети на высоком уровне.

Устройства и приложения, подвергающие сеть опасности:

- беспроводные точки доступа;
- портативные компьютеры;
- маршрутизаторы потребительского уровня;
- приложения peer-to-peer, такие, как Skype, BitTorrent, KaZaA, Freenet, eDonkey, Gnutella и т.п.;
- приложения для мгновенного обмена сообщениями, такие, как Windows Messenger, AOL Instant Messenger и Yahoo! Messenger.

как портативный анализатор помогает решать проблемы безопасности

Большинство компаний полагаются на Интернет-фильтры, средства обнаружения сетевых атак и межсетевые экраны, которые работают непрерывно. Эти решения дают хорошие результаты в устранении внешних угроз безопасности. И, тем не менее, некоторые участки сети остаются незащищенными, когда кто-то из работников посылает мгновенное сообщение за пределы сети или решает деловые вопросы, используя беспроводные устройства, принесенные из дома. Эти уязвимые места часто остаются неизвестными, но их можно выявить путем непосредственного тестирования.

Лучший способ решить проблему непреднамеренного нарушения безопасности — регулярный анализ всей сети. Подключив к сети портативный компьютер и запустив на нем множество приложений, можно выявить некоторые из этих проблем. Но значительная их часть останется незамеченной до тех пор, пока не приблизишься к источнику проблемы.

Использование диагностических приборов на проблемном участке также помогает выяснить, создает ли сотрудник непреднамеренную угрозу безопасности, используя неавторизованные приложения или устройства. Чтобы отследить проблему и добраться до ее причины в реальном времени, необходимо портативное устройство, которое можно переместить в любое место в пределах сети. Следующие сценарии показывают, как портативный сетевой анализатор может помочь сохранить конфиденциальность информации, обезопасить себя от возможных атак хакеров и отслеживать приложение PP и неавторизованные устройства, принесенные извне.

устранение угрозы от неавторизованных беспроводных точек доступа

Торговый представитель ежемесячно посещает штаб-квартиру компании и, находясь там, подключается к корпоративной сети, используя свой ноутбук. Чтобы подключиться к сети, он также приносит с собой беспроводную точку доступа. Он выполняет свою работу и даже не подозревает, что пробил брешь в системе безопасности сети. Хакер замечает эту брешь, входит в корпоративную сеть и похищает конфиденциальную информацию.

Позднее ИТ-департамент использует портативный сетевой анализатор для поиска неавторизованных устройств в беспроводной сети. Они с удивлением обнаруживают не одно, а целых четыре неавторизованных устройства. В течение нескольких минут портативный анализатор локализует неавторизованные точки доступа, и сетевой специалист выключает их, предотвращая дальнейшее хищение информации и другие опасные нарушения.

Теперь компания проводит обязательные ежемесячные проверки, чтобы убедиться, что в сети работают только разрешенные устройства. Имея портативный анализатор, сетевой специалист может обнаружить и вручную локализовать все точки доступа, включая идентификацию неавторизованных точек доступа, подключенных к проводной части сети в удаленных офисах. Порт коммутатора, к которому подключено неавторизованная точка доступа, можно отключить непосредственно с портативного анализатора сразу после обнаружения. Или же сетевые специалисты могут физически удалить точку доступа, используя портативный анализатор для ее точного обнаружения с помощью анализа беспроводных сетей и направленной антенны.

устранение неавторизованных приложений

Маркетологам и инженерам компании с офисами по всему миру необходимо более удобное средство регулярного общения. Несколько работников, разбирающихся в технологиях, устанавливают Skype на своих компьютерах. Но технология, которая позволяет пользователям установить прямую связь друг с другом, также делает корпоративную сеть уязвимой для троянов, червей и вирусов. А поскольку данное приложение относится к типу P2P, оно позволяет пользователям обмениваться корпоративной информацией без предосторожностей. Используя на портативном анализаторе фильтр соответствия по произвольной строке, сетевые специалисты могут вводить ключевые слова или фразы для поиска таких приложений. В данном случае на анализаторе для регулярных проверок использовался фильтр «skype.com». Специалист использовал портативный интегрированный анализатор в режиме мониторинга с 7 до 9 часов утра, когда работники обычно входят в систему. Skype был обнаружен, а работники поставлены в известность об угрозе безопасности. С тех пор сетевой специалист регулярно использует портативный анализатор для поиска любых приложений, которые ставят под угрозу безопасность корпоративной сети.

незаконный доступ студентов в университетскую сеть с помощью стандартных настроек коммутатора

Исследователи медицинского университета жалуются, что время от времени теряют подключение к сети. Расследование показывает, что пострадавшие пользователи находятся на пятом этаже здания, где недавно был установлен новый коммутатор. Сетевой специалист использует портативный интегрированный анализатор, чтобы получить подробные данные о коммутаторе и об активности каждого из его портов. Оказывается, что большую часть времени порты перенаправляют трафик. Но при этом периодически закрываются некоторые порты. Сетевой специалист проверяет конфигурацию коммутатора, используя анализатор, и выясняет, что некоторые из портов были закрыты. Также он выясняет, что трафик SNMP в сети превышает норму. При зондировании сеансов обмена данными по SNMP становится ясно, что трафик идет от студента, который незаконно подключился к коммутатору и использует SNMP для изменения статуса портов коммутатора с «включен» на «выключен».

Однако неясно, как этому студенту удалось ввести имя и пароль. Сетевой специалист проводит небольшое расследование и использует анализатор для подключения к коммутатору с помощью веб-браузера. Для этого необходимо авторизоваться, введя верное имя пользователя и пароль. Выясняется, что до сих пор используются стандартные имена и пароли SNMP. После их замены проблема устранена. На территории университета были установлены еще несколько новых коммутаторов, и поэтому сетевой специалист решает с помощью функции обнаружения портативного анализатора проверить, используются ли стандартные настройки на других устройствах. Как и ожидалось, он находит и другие коммутаторы с такими же небезопасными конфигурациями. Как показывают вышеописанные сценарии, портативный анализатор добавляет еще один уровень безопасности, который помогает сохранить неприкосновенность корпоративных документов и конфиденциальной личной информации. А поскольку этот анализатор можно применять непосредственно на предполагаемых проблемных участках, он не даст студентам и работникам непреднамеренно создать угрозу безопасности сети, используя
неавторизованные устройства, приложения для обмена мгновенными сообщениями или приложения P2P.

определение копирования документов с ограниченным доступом

Вскоре после прихода нового секретаря в компании стали ходить слухи о том, что внутренняя почта с вложениями перенаправляется за пределы сети. Некоторые из этих писем были маловажными, в то время как другие содержали конфиденциальную информацию о стратегии компании и планах ее расширения. Чтобы подтвердить эти подозрения, сетевые специалисты использовали расширенный захват пакетов и фильтры по определенным словам и фразам. Секретарь был уличен в нарушении и позже уволен. В данном случае внутренняя почта рассылалась по многим адресам внутри компании и не содержала никакой личной информации, защищенной федеральным законом.

Из-за этого инцидента во всей компании была введена новая политика безопасности, в том числе новые требования по безопасности к сотрудникам ИТ- отдела. Чтобы обеспечить соответствие ИТ-сотрудников стандартам HIPPA и Sox, ИТ-директору был необходим способ контролировать, кто из ИТ- специалистов использовал анализатор для захвата и чтения конфиденциальной информации, передаваемой по сети. ИТ-директору удалось решить эту проблему, создав личные учетные записи в анализаторе, который использовался для захвата внутри сетевого трафика. Он ограничил доступ пользователей к некоторым функциям, предотвратив тем самым неавторизованное использование отдельных функций анализатора и обеспечив соответствие нормам.

Обеспечить соответствие компаний стандартам HIPAA и SOX очень важно, поскольку в противном случае последствия могут быть очень дорогостоящими. Любая потеря или хищение клиентской информации, связанной со здоровьем, финансами или другой личной информацией, очень рискованны для компаний. При такой потере информации о клиентах обычно требуется оповестить общественность, и в результате огласки может быть снижен спрос на товары и услуги компании, запятнана ее репутация и потеряна часть клиентов.

решение: портативный интегрированный анализатор

С помощью интегрированного сетевого анализатора OptiView серии III от Fluke Networks сетевые специалисты могут решать проблемы внутренней безопасности. Используя этот прибор, сетевые специалисты могут сканировать сеть на предмет неавторизованных устройств, которые представляют угрозу безопасности. Они также могут сосредоточить свое внимание на предполагаемых проблемных участках в зависимости от возникающей ситуации или проблемы.

Портативность отличает данный прибор от других похожих устройств. В некоторых случаях сетевые специалисты пользуются портативным компьютером, на котором запускают множество приложений, чтобы диагностировать проблемы, или же им приходится полагаться на стационарное оборудование. Анализатор OptiView позволяет сетевым специалистам совершать «визиты на дом», независимо от того, где и когда возникает проблема. В сочетании с существующей системой безопасности OptiView добавляет еще один уровень защиты, который может искоренить имеющиеся проблемы безопасности. Анализатор OptiView оснащен несколькими ключевыми функциями, которые позволяют сетевым специалистам решать проблемы безопасности изнутри. Соответствие произвольной строке (Free String Match). Анализатор OptiView позволяет сетевым специалистам использовать функцию соответствия произвольной строке, чтобы находить соответствия любому набору слов или фраз – независимо от местонахождения в пакете, рабочей деленные слова или фразы в незакодированных электронных сообщениях, Интернет страницах, переданных файлах или документах. Это позволяет установить несанкционированное использование сети, а также копирование документов с ограниченным доступом на основе содержания или нагрузки или заголовка – в режиме реального времени. Функция соответствия произвольной строке и функция глубокого распознавания протоколов также помогают в поиске и отслеживании приложений, которые запрещено использовать в данной сети, как, например, потоковое мультимедиа, связанное с чрезмерным потреблением пропускной способности, или трафик приложений P2P, представляющий угрозу безопасности сети. Одновременно может быть установлено до восьми триггеров или фильтров, что позволяет специалистам анализировать захваченную информацию, когда позволяет время.

Обнаружение и локализация неавторизованных беспроводных устройств. Анализатор OptiView быстро отслеживает неавторизованные и незащищенные устройства, включая сети ad-hoc. Звуковые и визуальные индикаторы приведут сетевых специалистов к местонахождению устройства, создающего проблемы.

Ограничения доступа пользователей и съемный жесткий диск. Раздел учетных записей анализатора OptiView позволяет специалистам добавлять и изменять информацию для доступа к анализатору для каждого отдельного пользователя. Это предотвращает несанкционированное использование определенных функций анализатора и обеспечивает соответствие нормам законодательства, включая стандарты HIPAA и SOX. К потенциально отключаемым функциям относятся: захват и декодирование пакетов, генерация трафика, удаленный интерфейс пользователя и настройка конфигурации анализатора. Информацию о сети, полученную с помощью интегрированного сетевого анализатора OptiView серии III, можно хранить на опциональном съемном жестком диске, что исключает возможность утечки конфиденциальной информации, хранящейся на жестком диске анализатора. К переходу из секретных участков сети или между закрытыми и открытыми системами, а также между частными и общественными сетями анализатор можно подготовить, просто заменив жесткий диск.



Официальный дистрибьютор оборудования Fluke Networks в Республике Беларусь ЗАО «Профессиональные сетевые системы» Адрес ул. Тимирязева, 65Б-308 Тел. 290-83-73


Сетевые решения. Статья была опубликована в номере 11 за 2007 год в рубрике save ass…

©1999-2024 Сетевые решения