Модуль_3. Модуль системы и сети передачи данных

30 свое клиентское ПО для работы с ним. Поэтому протокол работает на всех операционных системах и совместим с сервисами облачных провайдеров.
PPTP
PPTP — протокол туннелирования точка-точка. Он все еще используется, хотя и устарел. Обычно он работает в бесплатных VPN-сервисах. Протокол медленно восстанавливается после обрыва соединения, а уровень его безопасности ниже, чем у прочих.
L2TP/IPSec
Комбинация двух протоколов — L2TP это усовершенствованная версия
PPTP, а IPSec отвечает за аутентификацию и шифрование. У L2TP/IPSec высокий уровень безопасности, но скорость передачи данных ниже, чем у остальных.
IKEv2/IPSec
Это усовершенствованная версия протокола L2TP. IKEv2 хорошо подходит для мобильных устройств — он устойчив к частой смене сетей.
SSTP
Это протокол безопасного туннелирования сокетов. Протокол входит в состав
ОС
Windows.
Шифрование обеспечивает
SSL-протокол, а аутентификацию — сразу три протокола: — SSL, PPP и SSTP.
WireGuard
Новый и пока малораспространенный протокол. У него простой код, поэтому в нем легче обнаружить и исправить уязвимости. Разработчики предлагают его в качестве замены протоколам IPsec и OpenVPN.
Шифрование данных в VPN
Оно обеспечивает конфиденциальность данных, передаваемых через частную виртуальную сеть.
Зашифрованную информацию невозможно прочесть без ключа, который известен только VPN-серверу и компьютеру.
Есть два способа шифрования трафика.
Симметричное шифрование
Все пользователи, или точнее, компьютеры, используют один и тот же ключ, предназначенный для шифрования и для дешифрования сообщения.
Шифрование с открытым ключом
Каждый компьютер имеет пару ключей: закрытый и открытый.
Закрытым ключом он шифрует отправляемые данные, а открытым расшифровывает то, что получает с других ПК.
Вместе с шифрованием в VPN применяется протокол безопасности
IPSec, который обеспечивает дополнительную защиту.
IPSec

31
Широко используемый протокол для защиты трафика в IP-сетях. IPSec может шифровать данные между различными устройствами: роутера с роутером, роутера с межсетевым экраном, компьютера с роутером, компьютера с сервером.
IPSec состоит из двух подпротоколов, которые предоставляют инструкции, необходимые VPN для защиты своих пакетов: ESP и AH.
Описывать их тут не будем.
Сетевые устройства используют IPSec-протокол в туннельном режиме — создают виртуальный туннель между двумя сетями.
Компьютеры на каждом конце туннеля шифруют отправляемые данные и расшифровывают их после получения.
VPN и виртуальное частное облако (VPC)
VPN создает защищенное соединение локальной сети с сервисами облачного провайдера. Как правило, провайдеры предлагают своим клиентам публичное или частное облако — Virtual Private Service (VPC). Если в публичном облаке все клиенты совместно используют выделяемые ресурсы, то в частном каждый получает отдельные изолированные мощности. Проще говоря, Virtual Private Service — это облако в облаке.
8. Firewall
Файрволл, или брандмауэр, — термин для обозначения технических и программных средств, которые обрабатывают входящий и исходящий сетевой трафик. Проходящие данные проверяются на соответствие набору заданных правил и могут быть заблокированы от дальнейшей передачи.
Оба названия были заимствованы из иностранных языков и означают одно и то же: «противопожарный щит/стена» — в переводе с английского
(«firewall») и немецкого («brandmauer»), соответственно.
Как и проистекает из изначальной формулировки, фаервол предназначен для защиты внутренней информационной среды или ее отдельных частей от некоторых внешних потоков, и наоборот, предохраняет от прохождения отдельных пакетов вовне — например, в интернет. Фаерволы позволяют отфильтровывать подозрительный и вредоносный трафик, в том числе пресекать попытки взлома и компрометации данных.
При правильной настройке сетевой щит позволяет пользователям сети иметь доступ ко всем нужным ресурсам и отбрасывает нежелательные

32 соединения от хакеров, вирусов и других вредоносных программ, которые пытаются пробиться в защищенную среду.
Межсетевой экран нового поколения был определен аналитиками
Gartner как технология сетевой безопасности для крупных предприятий, включающая полный набор средств для проверки и предотвращения проникновений, проверки на уровне приложений и точного управления на основе политик.
Если организация изучает возможность использования межсетевого экрана нового поколения, то самое главное — определить, обеспечит ли такой экран возможность безопасного внедрения приложений во благо организации. На первом этапе вам потребуется получить ответы на следующие вопросы:
Позволит ли межсетевой экран нового поколения повысить прозрачность и понимание трафика приложений в сети?
Можно ли сделать политику управления трафиком более гибкой, добавив дополнительные варианты действий, кроме разрешения и запрета?
Будет ли ваша сеть защищена от угроз и кибератак, как известных, так и неизвестных?
Сможете ли вы систематически идентифицировать неизвестный трафик и управлять им?
Можете ли вы внедрять необходимые политики безопасности без ущерба производительности?
Будут ли сокращены трудозатраты вашей команды по управлению межсетевым экраном?
Позволит ли это упросить управление рисками и сделать данный процесс более эффективным?
Позволят ли внедряемые политики повысить рентабельность работы предприятия?
В случае положительного ответа на вышеприведенные вопросы можно сделать следующий шаг и обосновать переход со старых межсетевых экранов на межсетевые экраны нового поколения. После выбора поставщика или узкого круга поставщиков, выполненного с помощью заявки, последует этап оценки физических функций межсетевого экрана, выполняемой с применением трафика различных типов и комбинаций, а также объектов и политик, которые точно передают особенности бизнес-процессов организации.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые

33 экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Защита корпоративных сетей базируется на межсетевых экранах, которые теперь должны не только фильтровать потоки информации по портам, но и контролировать данные, передаваемые по наиболее популярным из них. По оценкам экспертов SophosLabs компании Sophos, до
80% нападений совершаются с использованием веб-браузера по протоколам
HTTP или HTTPS, однако простым фильтрованием этих протоколов проблему не решить. Таким образом, к новому поколению межсетевых экранов, совмещенных с системами обнаружения вторжений, появляются новые требования.
Межсетевые экраны нового поколения рекомендуется внедрять для решения следующих задач:
• контроля отдельных веб-приложений;
• обнаружения вторжений по наиболее популярным протоколам, таким как HTTP, SMTP и POP3;
• создания VPN-соединений для удаленного подключения мобильных пользователей;
• оптимизации сетевого взаимодействия.
Следует отметить, что наличие систем обнаружения вторжений требуется также при обработке персональных данных, защите банковских и платежных систем, а также и других сложных информационных инфраструктур. Совмещение же их с межсетевыми экранами очень удобно и выгодно для пользователей.
Другие названия
Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».
Файрволл, файрво́л, файерво́л, фаерво́л
— образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке [источник не указан 169 дней].

34
История межсетевых экранов
Файрволлом может быть как программное средство, так и комплекс ПО и оборудования. И поначалу они были чисто железными, как и давшие им название противопожарные сооружения.
В контексте компьютерных технологий термин стал применяться в 1980- х годах. Интернет тогда был в самом начале своего применения в глобальных масштабах.
Есть мнение, что, прежде чем название файрволла пришло в реальную жизнь, оно прозвучало в фильме «Военные игры» 1983 г., где главный герой
— хакер, проникший в сеть Пентагона. Возможно, это повлияло на заимствование и использование именно такого именования оборудования.
Первыми файрволлами можно назвать маршрутизаторы, которые защищали сети в конце 1980-х. Все передаваемые данные проходили сквозь них, поэтому логично было добавить им возможность фильтрации пакетов.
Функции сетевых экранов
Современная корпоративная сеть – не замкнутое информационное пространство. Зачастую это распределенная сеть, связанная с внешним
ЦОДом, использующая облака и периферию, состоящая из множества сегментов. Современный корпоративный межсетевой экран должен обладать соответствующими функциями для ее защиты.
Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик: обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями; происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI; отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
• традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

35
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
• сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне
(также известные как stateful)
— отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
• уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам.
Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

36
Хронология событий
2020: 53% ИБ-экспертов считают межсетевые экраны бесполезными
29 октября 2020 года стало известно, что специалисты по информационной безопасности (ИБ) стали отказываться от использования межсетевых экранов. Большинство мотивируют это тем, что в современном мире они больше не могут обеспечить требуемый уровень защиты, сообщили
CNews 29 октября 2020 года.
Потерю ИБ-специалистами доверия к брандмауэрам подтвердило исследование компании Ponemon Institute, с 2002 г. работающей в сфере информационной безопасности, проведенное совместно с компанией
Guardicore из той же отрасли. Ее сотрудники опросили 603 ИБ-специалиста в американских компаниях и выяснили, что подавляющее большинство респондентов негативно отзываются о межсетевых экранах, в настоящее время используемых в их компаниях. 53% из них активно ищут другие варианты защиты сетей и устройств в них, попутно частично или полностью отказываясь от файрволлов из-за их неэффективности, высокой стоимости и высокой сложности.
Согласно результатам опроса, 60% его участников считают, что устаревших межсетевых экранов нет необходимых возможностей для предотвращения атак на критически важные бизнес-приложения. Столько же респондентов посчитали, что устаревшие межсетевые экраны демонстрируют свою неэффективность для создания сетей с нулевым доверием (zero trust).
76% специалистов, участвовавших в опросе Ponemon Institure, пожаловались на то, что при использовании устаревших файрволлов им требуется слишком много времени для защиты новых приложений или изменения конфигурации в существующих программах.
62% опрошенных специалистов считают, что политики контроля доступа в межсетевых экранах недостаточно детализированы, что ограничивает их способность защищать наиболее ценную информацию. 48% респондентов подчеркнули также, что внедрение межсетевых экранов занимает слишком много времени, что увеличивает их итоговую стоимость и время окупаемости.
Согласно отчету, в то время как 49% респондентов в какой-то степени внедрили модель безопасности Zero Trust, 63% считают, что устаревшие межсетевые экраны их организаций не могут обеспечить нулевое доверие в корпоративной сети. 61% респондентов отметили, что межсетевые экраны их организаций не могут предотвратить взлом дата-серверов компании, в то время как 64% считают, что устаревшие межсетевые экраны неэффективны против многих современных видов атак, включая атаки при помощи

37 программ-вымогателей. Большинство опрошенных специалистов заявили, что файрволлы бесполезны, когда вопрос касается и облачной безопасности. 61% уверены в их неэффективности при защите данных в облаке, а 63% считают, что нет смысла пытаться использовать их для обеспечения безопасности критически важных облачных приложений.
9. Высокоуровневые сетевые протоколы
Высокоуровневые протоколы постоянно разрабатываются и совершенствуются. В этом нет ничего плохого, даже наоборот: всегда существует возможность придумать новый, более эффективный способ передачи данных.
Как правило, высокоуровневые протоколы реализуются в виде драйверов к сетевому оборудованию.
Существует множество различных протоколов. Одни из них узконаправленные, другие применяются широко.
Протоколы разрабатываются несколькими фирмами, поэтому не удивительно, что каждая из них продвигает собственный набор. Эти наборы по умолчанию несовместимы, однако существуют протоколы-мосты, благодаря которым в одной операционной системе возможно использование нескольких несовместимых протоколов.
Не все протоколы могут применяться в одинаковых условиях. Иногда использование одного протокола выгодно для небольшой группы компьютеров, но совершенно не рационально для большого количества машин с несколькими маршрутизаторами и подключением к Интернету.
Основные протоколы высших уровней OSI представлены на рис. ниже

38
Сеансовый уровень
Протоколы сеансового уровня OSI преобразуют в сеансы потоки данных, поставляемых четырьмя низшими уровнями, путем реализации различных управляющих механизмов. В число этих механизмов входит ведение учета, управление диалогом (т. е. определение, кто и когда может говорить) и согласование параметров сеанса.
Управление диалогом сеанса реализуется путем использования маркера (token), обладание которым обеспечивает право на связь. Маркер можно запрашивать, и конечным системам ES могут быть присвоены приоритеты, обеспечивающие неравноправное пользование маркером.
Представительный уровень
Представительный уровень OSI, как правило, является просто проходным протоколом для информации из соседних уровней. Хотя многие считают, что Abstract Syntax Notation 1 (ASN.1) (Абстрактное представление синтаксиса) является протоколом представительного уровня OSI, ASN.1 используется для выражения форматов данных в независимом от машины формате. Это позволяет осуществлять связь между прикладными задачами различных компьютерных систем способом, прозрачным для этих прикладных задач.