Использование межсетевых экранов позволило организовать внутреннюю политику безопасности нашей сети, разделив ее на сегменты. Если сформулировать основные принципы архитектуры безопасности нашей корпоративной сети, то получается вот что:
1. Были введены номера категорий секретности. Все локальные сети, а их у нас уже пять, были разделены на сегменты, каждому из которых был присвоен соответствующий номер. При этом каждый пользователь внутри сетевого сегмента имеет одинаковый уровень секретности (допущен к информации одного уровня секретности). Этот конкретный случай можно сравнить с секретным заводом, где все сотрудники в соответствии со своим уровнем доступа имеют доступ только к определенным этажам. Такая структура объясняется тем, что ни в коем случае нельзя смешивать потоки информации разных уровней секретности. Таким образом, намного легче обнаружить место чужой атаки, попадания вредоносного вируса или что-то другое, локализовать этот сегмент сети и устранить последствия атаки.
2. Все внутренние сервера каждой локальной сети были выделены в отдельный сегмент. Эта мера также позволила изолировать потоки информации между пользователями, имеющими различные уровни доступа.
3. Все сервера каждой локальной сети, которые имели выход на внешние сетевые ресурсы, также выделялись в отдельный сегмент (создание демилитаризованной зоны для внешних ресурсов).
4. Отдельно был выделен сегмент административного управления во всех локальных сетях.
5. Также был создан выделенный сегмент управления безопасностью в каждой локальной сети.
И уже все это контролировалось кластером искинов с фрегата “Оборотень”, являющегося по сути администратором всей корпоративной сети, внутренняя сеть которого сама имела схожую сегментную структуру.
Защита нашей корпоративной сети на основе межсетевого экрана позволило получить высокую степень безопасности и реализовать следующие возможности:
• семантическую фильтрацию циркулирующих потоков данных;
• фильтрацию на основе сетевых адресов отправителя и получателя;
• фильтрацию запросов на транспортном уровне на установление виртуальных соединений;
• фильтрацию запросов на прикладном уровне к прикладным сервисам;
• локальную сигнализацию попыток нарушения правил фильтрации;
• запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась;
• обеспечение безопасности от точки до точки: межсетевой экран, авторизация маршрута и маршрутизатора, туннель для маршрута и криптозащита данных и другое.
Межсетевые экраны пропускают через себя весь трафик, принимая относительно каждого проходящего пакета информации решение: дать ему возможность пройти или нет.
Таким образом, несколько локальных сетей, объединяются в одну защищенную виртуальную частную сеть. Передача данных между этими локальными сетями является невидимой для пользователей, а конфиденциальность и целостность передаваемой информации обеспечивается при помощи средств шифрования, использования цифровых подписей и тому подобное.
-Арт, чем глубже погружаешься в эти вопросы, тем больше понимаешь, в настоящее время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в любой конфигурации не может обеспечить полнофункциональной защиты корпоративной сети.
-Ага, получив узкоспециализированные знания в этой области, понимаешь: даже то, что мы сделали, провели сегментацию локальных сетей с разделением их по уровню секретности, межсетевое экранирование и другие процедуры не дают гарантии почивать на лаврах.
-Что ж, создание резервных копий программного обеспечения и документов, тоже является защитой, которая сможет сохранить ценную информацию в случае проникновения вируса.
Придется докупить дополнительные носители информации для хранения скопированного.
-Согласен. Но давай перейдем ближе к теме вопроса, который нужно решить в ближайшее время.
-Это ты о съеме информации с искинов соседних казино с такими же базами данных на клиентов?
-Да, давай подумаем вместе, что нужно сделать.
-Если считать, что у них установлена защита аналогичная нашей, то получить необходимое нам будет сложно.
-А кто говорит, что легко. Давай, эту сложную задачу разложим на более простые элементы. Ты сам только-только высказался, что полностью защищенной никакая корпоративная сеть быть не может.
-Да, дыры в любой системе остаются.
-Вот! Берем, как пример соседнее казино “Галант”. Есть несколько способов внедрения наших вирусных программ им в сеть. Первый: кто-нибудь из нас или любой гость может, зайдя на территорию, со своего нейроустройства или внешнего носителя типа флэшки, запустить вирус в их систему.
-Маловероятно, что это принесет пользу. Скорее наоборот насторожит их службу безопасности. Обнаружить вредоносную программу, попавшую от сторонних пользователей внутренней сети казино, им будет не трудно. Соответственно ни о каком съеме информации и, тем более перехвате управления, не может быть и речи.
-Ты все-таки настроен на перехват контроля над искином?