Собираем конструктор или архитектура сетевой безопасности. Случай 1 – Небольшой офис
Сетевая безопасность? Да у нас на периметре роутер стоит и все нормально!
Благодаря многолетней работе в интеграторе я периодически сталкиваюсь с таким мнением, поэтому надеюсь, что популяризация данной темы поможет избежать проблем в виде каких-нибудь шифровальщиков хотя бы в паре компаний.
Что такое «сетевая безопасность»? По сути, это способность IT-инфраструктуры адекватно реагировать на сетевые угрозы. Что интересно, способность не только сети, а всей IT-инфраструктуры. Нет смысла рассматривать сеть как «сферического коня в вакууме» – сеть, прежде всего, это транспорт для различных сервисов, поэтому сетевая безопасность затрагивает большой пласт IT-инфраструктуры от сервисов до пользователей и рабочих станций, о чем мы с вами поговорим в дальнейшем.
В плане написать несколько статей, на протяжении которых мы с вами откроем маленькое предприятие и вырастим его до большой распределенной корпорации шаг за шагом, где рассмотрим различные сетевые случаи от классической модели организации периметра до облаков и сетей АСУ ТП.
Мы будем говорить больше о технологиях, а не о конкретных решениях конкретных вендоров, т.к. технологии у всех производителей весьма похожи и отличаются реализацией и нюансами. Названия решений буду приводить только в качестве примеров.
Я надеюсь, у вас уже есть небольшой бэкграунд в области сетей, поэтому не буду вдаваться в детали той или иной технологии, если это не требуется в ходе нашего разговора. Наша цель – разобрать варианты применения этих технологий.
Также отмечу, что представленные мной варианты построения архитектуры не единственно верные. У нас в руках кубики, которые мы можем поставить и так, и так, и еще вот так, вариантов может быть много. Здесь самое главное – чтобы злоумышленник на своем пути неизменно встречал адекватную реакцию на свое неадекватное поведение.
Итак, начнем.
Совершенно неожиданно мы с вами решаем, что идея привозить из дружественной нам Поднебесной ультрамодные шляпы для собак очень перспективна, и открываем небольшую компанию, которая будет заниматься доставкой и продажей этих самых шляп счастливым владельцам четвероногих товарищей.
Несмотря на уроки пандемии мы, по старинке, снимаем небольшой уютный офис и нанимаем четырех сотрудников дабы наш бизнес успешно рос и приносил доход. Но наши сотрудники – люди активные и не хотят весь рабочий день сидеть в офисе, они придерживаются современных взглядов – где открыл ноутбук, там и офис – и убеждают нас также придерживаться этого не лишенного смысла мнения. Для работы нам абсолютно необходим Интернет, как в офисе, так и вне его. Как же нам сделать взаимодействие с продуваемым всеми ветрами Интернетом чуть более безопасным?
И вот здесь стоит подробнее обсудить какие же основные технологии сетевой безопасности нам будут интересны в самом начале:
Межсетевое экранирование (Firewall) – пакетный фильтр уровня L3-L4 (здесь и далее подразумеваем уровни сетевой модели OSI) с инспекцией с сохранением состояния (Stateful Inspection).
Система обнаружения и предотвращения вторжений (IPS) – система предотвращения сетевых атак. Мониторит трафик на наличие сигнатур атак или аномалий в трафике.
Антивирус (Anti-Virus) – мониторинг трафика на наличие вредоносного кода.
Контроль приложений (Application Control) – контроль трафика вплоть до L7: от проверки параметров пакетов на соответствие стандартам для определенных протоколов (например, блокирование ICMP-туннелирования) до контроля интернет-приложений (например, разрешение на чтение сообщений на Facebook, но запрет на просмотр видео).
URL фильтрация (URL Filtering) – контроль доступа пользователей к ресурсам сети Интернет по категориям, отдельным URL или спискам «черных» и «белых» ресурсов.
Анти-бот (Anti-Bot) – блокировка соединений от зараженных вредоносами ресурсов в локальной сети к Command & Control серверам в Интернете.
Эмуляция работы файлов (Sandbox, Threat Emulation) – запуск файлов в изолированной среде («песочнице») для отслеживания вредоносного поведения.
Обезвреживание файлов (Content Disarm and Reconstruction – CDR, Threat Extraction) – удаление из файлов активного содержимого либо преобразование, например, в формат PDF.
Отдельно стоит упомянуть, что сейчас большая часть трафика шифруется в рамках SSL-соединений, поэтому чтобы заглянуть в трафик и, тем более, выполнить глубокую проверку нам требуется SSL-инспекция – по сути, легитимная атака «человек посередине», когда трафик расшифровывается где-то по пути между пользователем и сервером.
По каждой из этих технологий можно написать отдельную статью, которых довольно много, здесь же ограничимся примером:
Наша компания активно развивается, и мы планируем нанять дополнительный персонал, для чего у нас появляется специально обученный человек – HR Маша. Маша девушка занятая, у нее нет времени смотреть всякую ерунду про безопасность, поэтому она, не думая, скачивает и смело открывает все, что попадается ей на глаза.
Итак, утром Маша приходит в офис, включает компьютер и начинает рабочий день с Интернет-серфинга. Трафик от Маши в сеть Интернет, как и обратный трафик в рамках этого соединения, разрешается в соответствии с правилами межсетевого экранирования (Firewall). Обратный трафик также проверяется на соответствие стандартам (IPS).
В начале рабочего дня Маша предвкушает пару часов интересного контента на сайте знакомств, но, к сожалению, вместо интересных новых знакомств Маша получает чуть менее интересное сообщение о том, что доступ к данному ресурсу заблокирован, т.к. категория ресурсов Dating блокируется (URL Filtering).
Маша понимает, что от работы ей не скрыться. Она связывается с потенциальным кандидатом на вакансию и тот высылает Маше на почту свое резюме в формате DOC. Прежде чем Маша сможет его открыть, резюме проверяется на наличие вредоносного кода сигнатурами (Anti-Virus) и, если совпадений найдено не было, отправляется на эмуляцию работы файла в облачную или локальную «песочницу» (Sandbox). Но такая эмуляция занимает обычно несколько минут, а Маше, разумеется, файл требуется срочно. Для этого исходный файл преобразуется в PDF без активного содержимого (CDR) и Маша уже может его безопасно открыть, не дожидаясь окончания эмуляции оригинального файла в «песочнице». Если Маше потребуется оригинал, она сможет его открыть только после окончания эмуляции и вердикта что файл «чистый».
Маша получила резюме и теперь хочет проверить профиль кандидата в ВК. Она заходит на ресурс, смотрит фотографии, может даже что-то написать кандидату в личку, но вот послушать музыку на его странице она уже не сможет, т.к. такая опция блокируется (Application Control).
Но, несмотря на все предосторожности, Маша каким-то образом схватила вредонос и он очень хочет связаться со своим центром управления – С&C-сервером. Запрос соединения с С&C-сервером перехватывается и блокируется (Anti-Bot).
Далее перечисленные технологии в комплексе для удобства будем именовать как Unified Threat Management или UTM. UTM крайне рекомендуется к употреблению практически при любых взаимодействиях с сетью Интернет.
Далее же мы немедленно переходим к архитектуре.
Случай 1 – Небольшой офис
Обычная ситуация, когда на стык с оператором связи устанавливается маршрутизатор, который выполняет динамический NAT из «серой» ip-адресации в «белую». Он одновременно может являться ядром сети и беспроводной точкой доступа. В случае количества проводных устройств больше, чем портов на маршрутизаторе, используются L2 коммутаторы для увеличения портовой емкости.
Пользователи внутри сети подключаются проводными каналами связи к коммутатору, а при помощи Wi-Fi сети – к маршрутизатору. Пользователи вне периметра имеют выход в сеть Интернет посредством сотовой связи. Никаких корпоративных сервисов внутри периметра нет. Вместо них обычно используется локально установленное на рабочих станциях программное обеспечение (ПО), либо / в дополнение какие-либо бесплатные сервисы сети Интернет, например, почта.
Плюсов такой топологии ровно два: просто и дешево. При этом пользователи не имеют практически никакой защиты и легко ловят ботов, шифровальщиков и прочих зловредов по самым разным каналам.
Как мы можем использовать существующие технологии?
Во-первых, надо понимать, что технологии защиты могут быть реализованы где угодно на пути трафика между пользователями и «открытым» Интернетом: различные сервисы Security as a service (SaaS) в облаке производителя средств защиты (вендора), в услуге от оператора связи, на периметральном шлюзе нашей сети и даже на рабочей станции пользователя как последнем рубеже обороны.
Вариант 1 – рабочая станция пользователя: рассмотренные выше технологии реализуются в виде софта для рабочих станций. Ярким примером могут быть Check Point Harmony Endpoint, Fortinet FortiClient + EDR/XDR, Cisco Secure Endpoint, Palo Alto Cortex XDR. Подобные решения начинают разрабатывать и для мобильных ОС Android и iOS, например Check Point Harmony Mobile.
Плюс такой реализации в том, что пользователь защищен при подключении к любой сети в любой точке мира.
Вариант 2 – шлюз на периметре сети организации: вместо граничного маршрутизатора устанавливается специализированный шлюз безопасности для контроля трафика. В нашем случае подойдут младшие модели лучших мировых производителей – Check Point Security Gateway, Fortinet FortiGate, Cisco Firepower, Palo Alto Next-Generation Firewall. Шлюзы подобного класса также могут быть со встроенным функционалом Wi-Fi для подключения корпоративных пользователей. Для защиты Wi-Fi здесь применимы собственные механизмы аутентификации шлюзов (WPA2 – Personal или WPA3 если клиентские устройства поддерживают).
Вариант для пользователей при выходе за периметр сети – на рабочие станции пользователей устанавливается агент удаленного доступа (VPN-агент, обычно у каждого вендора свой). При подключении к сети Интернет пользователь первым делом устанавливает VPN-туннель до шлюза безопасности на периметре сети и выходит в Интернет только через него. Прямой доступ к Интернету без использования шлюза запрещаются. Таким образом, весь трафик даже удаленных пользователей контролируется периметральным шлюзом.
Вариант 3 – облачные решения: представьте, что мы берем шлюз безопасности из нашей сети и перетаскиваем в облако вендора или оператора связи, принципиальной разницы нет. В данном случае:
либо все пользователи устанавливают VPN-туннель до шлюза в облаке и весь трафик к сети Интернет проходит через него;
либо граничный маршрутизатор сам устанавливают VPN-туннель до шлюза в облаке и сам перенаправляет трафик пользователей на шлюз в облаке.
Здесь подходят набирающие популярность SaaS или Secure Access Service Edge (SASE) решения тех же мировых лидеров.
Более подробно о VPN-туннелях при удаленном доступе (Remote Access) и между площадками (Site-to-Site) поговорим в дальнейшем.
Вариант 4 – смешанный: возможно применение различных вариантов одновременно, например, шлюз безопасности на периметре корпоративной сети и агенты на рабочих станциях удаленных пользователей.
Развитие нашего бизнеса рассмотрим в следующей части.