Решения и услуги
 
Борлас-Елтал  > Решения и услуги > ИТ-инфраструктура > Информационная безопасность ERP-систем > Защита от внешних угроз

Защита от внешних угроз

     

Фильтрация трафика на пограничных маршрутизаторах

Периметр сети как правило представляет из себя установленные по границе сети маршрутизаторы, принимающие внешние каналы связи и контролирующие потоки информации «из» и «в» внутреннюю сеть. Пограничные устройства (Маршрутизаторы) настраиваются таким образом, чтобы останавливать трафик, идущий с «неправильных» адресов. Если это подключение к сети Интернет, то блокироваться должен трафик с частных адресов, использование которых предусмотрено только внутри сетей, и трафик, содержащий в качестве адреса источника ваши собственные адреса, так как никто кроме вас пользоваться ими не должен. Необходимо отсечь часть атак, когда злоумышленник пытается замаскироваться под неверный IP-адрес.

Использование Межсетевых Экранов

Для усиления безопасности периметра используются МежСетевые Экраны (МСЭ) При этом на МСЭ используется т. н. механизм адаптивной безопасности, который позволяет из внутренней сети инициализировать соединение во внешнюю сеть и не позволяет обратного. При этом на МСЭ динамически открывается путь для трафика при инициализации соединения и закрывается при его завершении. МСЭ сам открывает необходимые для данного типа приложения порты и следит за соединением.

Кроме того, МСЭ можно использовать для выполнения дополнительных функций: трансляции адресов, отслеживания трафика приложений и организации VNP-туннелей.

Однако для полноценного взаимодействия компании с внешней средой необходимо, чтобы некоторые сервисы из внешнего мира могли сами инициировать соединения внутрь сети. Например, это необходимо для работы почтовых, WWW и DNS серверов, некоторых приложений ERP-системы. Для этого на МСЭ организуется т. н. «демилитаризованная зона». Это дополнительный сегмент сети, подключаемый к отдельному интерфейсу МСЭ, уровень доверия у которого выше, чем у внешнего интерфейса и ниже, чем у внутреннего интерфейса, подключенного к основной сети. В демилитаризованной зоне возможна установка необходимых серверов, а также терминальных серверов для взаимодействия с ERP-системой. На МСЭ в явном виде разрешается инициировать соединение из Интернет к серверам для отдельных видов приложений. А сервера в свою очередь могут обращаться во внутреннюю сеть. Таким образом, внутренняя сеть оказывается защищенной от прямых внешних угроз.

Использование систем анализа трафика на предмет наличия атаки на периметре сети

Так как для взаимодействия с внешним миром часть ресурсов сети (пусть даже расположенных отдельно от основной сети) все-таки приходится открывать, необходимо предусмотреть меры по их защите от попыток взлома или атак. Например, от «отказа в обслуживании», когда злоумышленник, пытаясь вывести из строя открытый ресурс, чрезмерно нагружает его работой. Для этого необходимо отслеживать трафик, идущий к открытым ресурсам. В случае возникновения подозрения, что трафик содержит ту или иную атаку, необходимо предпринять меры для ее обезвреживания. Для реализации этой задачи используются т. н. Системы Обнаружения Вторжений (Intrusion Detection System — IDS или Intrusion Protection System — IPS), которые содержат сигнатуры атак, на основании которых они делают выводы об опасности того или иного трафика. Данные системы применяются также внутри сети для защиты внутренних ресурсов от внутренних атак.