Безопасность сети

В широком смысле понятие безопасности сети применяется также к другим видам сетей, таким как транспортная сеть, где речь идёт о дорожной безопасности, или энергетическая сеть, в контексте энергетической безопасности. В энергетических сетях предполагается, что отказ любого отдельного сетевого элемента не должен приводить к перерыву в снабжении^[1]. Если же выходит из строя по меньшей мере два элемента, возможен перебой в электроснабжении. Для повышения резервирования часто задействуются резервные генераторы.

Безопасность — понятие относительное и не является постоянным состоянием. С одной стороны, необходимо оценивать значимость данных, циркулирующих в сети, с другой — сеть находится в постоянном развитии, что требует регулярной адаптации архитектуры безопасности. Усиление мер безопасности, как правило, сопряжено с усложнением работы пользователей.

В компьютерных сетях безопасность сети направлена на противодействие угрозам, поступающим через Интернет, путём комбинации защиты конечных устройств, периферийных устройств, устройств вывода, сегментов сети и данных^[2]. Безопасность сети означает для оператора инфраструктуры гарантию избежания сбоев в сети и сохранения её доступности^[3]. Основная задача — защита от различных проявлений компьютерной и киберпреступности.

Сети различаются по:

• типу технологии передачи — прямое соединение или broadcast;
• типу среды передачи: проводная или беспроводная;
• размеру:
  • LAN (Local Area Network);
  • MAN (Metropolitan Area Network);
  • PAN (Personal Area Network);
  • WAN (Wide Area Network).

Все эти типы сетей имеют отношение к вопросам безопасности. Так, например, широковещательная беспроводная LAN подвержена большему числу атак по сравнению с проводным прямым соединением^[4].

Основные меры: системное ПО с повышенной защитой от уязвимостей, защита паролем, шифрование, применение firewall и DMZ, виртуальных частных сетей, беспроводных сетей или IDS^[5].

Сетевые элементы, такие как прокси-серверы или firewall, могут использоваться для обеспечения сетевой безопасности. Защита от спама и вредоносных программ реализуется с помощью антивирусов, которые сканируют и внешние устройства хранения. Для безопасности данных выполняется резервное копирование. Резервированные и высокодоступные системы повышают отказоустойчивость. Пользователи получают доступ только после идентификации, аутентификации и авторизации. Для своевременного выявления компрометаций устройств производится их мониторинг (как на предмет внутренних изменений в данных, так и внешней работоспособности сервисов).

Организации и государственные органы

Промышленный шпионаж ориентирован в основном на компании и ведомства — предметом кражи становятся ноу-хау, патенты, технология производства, методы производства или другие корпоративные данные и знания, которыми могут интересоваться конкуренты или спецслужбы (информационная война)^[6].

В компаниях и ведомствах используются интернет-фильтры для контроля посещения сотрудниками веб-сайтов, несвязанных с выполнением трудовых обязанностей, что также относится к аспектам сетевой безопасности. Прокси-серверы располагаются между корпоративными ПК и внешней сетью для кэширования и повышения безопасности^[7].

В контексте охраны труда необходимо предусматривать предотвращение заражения вирусами в результате атак и шпионажа.

Потеря данных по причине ошибочного ПО, неправильных действий, халатности или износа аппаратуры предотвращается резервным копированием с хранением копий в другом месте. Уязвимости устраняют своевременным обновлением программ. Безопасность повышает и использование определённого ПО, признанного надёжным, например, распространяющегося по открытой лицензии. ПО, признанное небезопасным, может быть запрещено. Повышению безопасности способствует обучение сотрудников, повышение их осведомлённости о ценности корпоративных данных и необходимости надёжных мер, чтобы не было, например, записей сложных паролей на заметках, наклеенных к монитору. Также возможны ограничения физического доступа к самой сети с помощью соответствующих методов.

Частные лица

Частные пользователи могут защищать свои ПК, ноутбуки или смартфоны с помощью антивирусных программ, защитного ПО, родительский контроль и блокировщиков рекламы. После работы в Интернете рекомендуется очищать историю, чтобы снизить риск шпионских программ. Временные файлы и куки, полученные с веб-сайтов, сохраняются браузером во внутреннем кэше, что также связано с возможностью шпионажа и анализа со стороны третьих лиц. В списке истории фиксируются адреса посещённых ранее сайтов^[8].

Сетевая архитектура включает задачи обеспечения безопасности сети от сбоев сетевых элементов, кризисных ситуаций и кибератак^[9]. К уязвимостям относятся операционные системы (ошибки в ОС и прикладных программах). ISO/IEC 27033 предоставляет организациям рекомендации по планированию, проектированию, внедрению и документированию безопасности, с учётом элементов сети^[10].

Сетевые атаки столь же разнообразны, как и сами сети. Часто комбинируют сразу несколько типов атак.

Поскольку коммуникационные сети состоят из множества систем, основные атаки направлены именно на них. Наиболее частые атаки:

• переполнение буфера — часто встречается в программах на языке программирования C, когда запись выходит за пределы буфера, и затрагивает другие данные или управляющую информацию;
• stack smashing — например, переполнение буфера приводит к перезаписи стека программы, что позволяет внедрить и исполнить вредоносный код (эксплойт);
• атаки через формат-строки — функции вывода используют строку формата, с помощью которой возможна подмена памяти из-за некорректных параметров форматирования.

• Man-in-the-middle атака: если отсутствует взаимная аутентификация, злоумышленник может выдавать себя за одного из участников обмена (напр., telnet, rlogin, SSH, GSM, XAUTH от Cisco).
• Несанкционированное использование ресурсов: при отсутствии надёжной аутентификации или авторизации (напр., rlogin).
• Перехват данных и управляющей информации: уязвимы все нешифрованные протоколы, такие как POP3, IMAP, SMTP, Telnet, rlogin, HTTP.
• Внедрение данных или информации: все протоколы без проверки подлинности сообщений — POP3, SMTP, Telnet, rlogin, HTTP.
• Туннелирование — применение туннелей для встраивания трафика в разрешённые протоколы (например, HTTP), что позволяет обходить правила firewall^[11].

• Пример: SSH-клиент устанавливает соединение с сервером вне внутренней сети через HTTPS и прокси, обходя правила контроля SSH-трафика наружу. Аналогично возможно подключение с внешней стороны во внутреннюю сеть.
• Противодействие: жёсткие правила в прокси, ограничивающие методы CONNECT или POST; Url-фильтр, например, UfdbGuard, способен выявлять и блокировать HTTPS-туннели.

• Перегрузка сервисов — атака типа Denial of Service (DoS). Особенно опасны распределённые DDoS-атаки. Эффективны атаки одним пакетом, например, TCP-SYN-атака с поддельным адресом отправителя.

• Фрагментирование пакетов, особенно с наложением фрагментов, для сокрытия атак;
• спуфинг — подделка адреса отправителя с целью сокрытия источника данных (см. firewall).

• Социальная инженерия — использование психологических методов для получения желаемого результата (например, обход запроса пароля).
• Получение паролей, в том числе подбором (атаки brute-force).
• Использование стандартных паролей в результате некорректной настройки.
• Отсутствие проверки поступающих снаружи данных (tainted data, Cross-Site Scripting, SQL-инъекция).
• Массовая рассылка (UBE — нежелательные письма; UCE — нежелательная коммерческая почта (спам)).
• Черви, трояны, дайлеры, вирусы.
• Фишинг — обман пользователей с целью получения данных на поддельных сайтах.
• Запуск неизвестных программ, полученных по электронной почте.

Меры профилактики столь же разнообразны и изменчивы, как и угрозы. Аутентификация пользователя позволяет его распознать и предоставить права доступа (авторизация). Единый вход (Single Sign-On) — одна процедура входа для доступа ко всем разрешённым ресурсам; широко применяется Kerberos (разработан англ. Massachusetts Institute of Technology).

Требования по обеспечению сетевой безопасности отражены в международных стандартах обеспечения качества. Ключевые: американский TCSEC, европейский ITSEC и более современный Common Criteria. В Германии оценкой безопасности занимается Федеральное ведомство по информационной безопасности.

В Германии значительная часть госсектора, больниц, объектов критической инфраструктуры и малых и средних предприятий недостаточно защищена от кибератак и шпионажа.

Федеральное ведомство по информационной безопасности несёт ответственность за информационную безопасность на основании BSI-Gesetz. По §2 BSI-Gesetz (BSIG) информация и её носители считаются особо защищёнными, доступ к ним должен осуществляться только авторизованными лицами или программами. Информационная безопасность и связанная с ней защита от атак требуют определённых стандартов для обеспечения базовых ценностей и целей защиты информации.

• Kerberos — для аутентификации, авторизации и учёта
• X.509 — стандарт для сертификатов и инфраструктуры
• IPsec — мощнейший (и сложный) протокол защиты соединений
• SSL/TLS — самое распространённое протокол безопасности (например, защита HTTP, образуя HTTPS)
• S/MIME, PGP — стандарты для защиты электронной почты
• EAP — модульный протокол аутентификации (например, в WPA, TLS, IPsec)
• Firewall — фильтрация пакетов, возможность отброса поддельных пакетов
• IDS — обнаружение атак
• Поточные ловушки — для быстрого выявления известных уязвимостей и векторов атак

На примере сетей платёжных систем (в частности, система валовых расчётов в режиме реального времени, GiroNet, SWIFT, TARGET2) можно рассмотреть их уязвимость^[12]. Если участник сети (например, плательщик) становится неплатёжеспособным из-за финансового кризиса, получатель платежа терпит убыток по дебиторской задолженности и, возможно, также становится неплатёжеспособным. Через эффект домино проблема может распространиться на всю сеть платежей.

Для минимизации подобных сбоев в межбанковских платёжных расчётах применяется принцип «запрос — встречная оплата» (англ. matching): клиринговая палата переводит платеж только если получатель уже выполнил встречное обязательство. Межбанковская сеть таким образом защищается; сделки вне банков этой поддержки не имеют, и поставщик сам несёт риски невыполнения обязательств по оплате товаров и услуг, стараясь их снизить.

Сетевая безопасность входит в более широкую информационную безопасность, которая обеспечивает конфиденциальность, доступность и целостность данных при технической и нетехнической обработке, хранении и передаче данных.