Почему частные виртуальные сети используются для повышения информационной безопасности в компьютерных сетях

Обновлено: 21.11.2024

Сетевая безопасность — это широкий термин, который охватывает множество технологий, устройств и процессов. Проще говоря, это набор правил и конфигураций, предназначенных для защиты целостности, конфиденциальности и доступности компьютерных сетей и данных с использованием как программных, так и аппаратных технологий. Каждой организации, независимо от размера, отрасли или инфраструктуры, требуются определенные решения сетевой безопасности, чтобы защитить ее от постоянно растущего числа современных киберугроз.

Сегодняшняя сетевая архитектура сложна и сталкивается с постоянно меняющейся средой угроз и злоумышленниками, которые всегда пытаются найти и использовать уязвимости. Эти уязвимости могут существовать в самых разных областях, включая устройства, данные, приложения, пользователей и местоположения. По этой причине сегодня используется множество инструментов и приложений для управления сетевой безопасностью, которые устраняют отдельные угрозы и эксплойты, а также несоблюдение нормативных требований. Когда всего несколько минут простоя могут привести к масштабным сбоям и серьезному ущербу для итоговой прибыли и репутации организации, крайне важно принять эти меры защиты.

Получите лучшую сетевую безопасность от ведущего в отрасли NGFW от Forcepoint

Как работает сетевая безопасность?

При обеспечении сетевой безопасности в организации необходимо учитывать множество уровней. Атаки могут происходить на любом уровне модели уровней сетевой безопасности, поэтому ваше оборудование, программное обеспечение и политики сетевой безопасности должны быть разработаны с учетом каждой области.

Сетевая безопасность обычно состоит из трех различных элементов управления: физического, технического и административного. Ниже приведено краткое описание различных типов сетевой безопасности и принципов работы каждого элемента управления.

Физическая безопасность сети

Управление физической безопасностью предназначено для предотвращения физического доступа несанкционированного персонала к сетевым компонентам, таким как маршрутизаторы, кабельные шкафы и т. д. Контролируемый доступ, такой как замки, биометрическая аутентификация и другие устройства, необходим в любой организации.

Техническая безопасность сети

Технические меры безопасности защищают данные, которые хранятся в сети или передаются по сети, в нее или из нее. Защита двойная; он должен защищать данные и системы от несанкционированного доступа, а также от злонамеренных действий сотрудников.

Административная сетевая безопасность

Административные элементы управления безопасностью состоят из политик и процессов безопасности, которые контролируют поведение пользователей, в том числе то, как пользователи аутентифицируются, их уровень доступа, а также то, как ИТ-персонал внедряет изменения в инфраструктуру.

Типы сетевой безопасности

Мы говорили о различных типах средств управления сетевой безопасностью. Теперь давайте рассмотрим несколько различных способов защиты вашей сети.

Контроль доступа к сети

Чтобы гарантировать, что потенциальные злоумышленники не смогут проникнуть в вашу сеть, необходимо внедрить комплексные политики контроля доступа как для пользователей, так и для устройств. Контроль доступа к сети (NAC) можно настроить на самом детальном уровне. Например, вы можете предоставить администраторам полный доступ к сети, но запретить доступ к определенным конфиденциальным папкам или запретить подключение их личных устройств к сети.

Антивирусное и антивредоносное ПО

Антивирусное и антивредоносное ПО защищает организацию от целого ряда вредоносных программ, включая вирусы, программы-вымогатели, черви и трояны. Лучшее программное обеспечение не только сканирует файлы при входе в сеть, но и непрерывно сканирует и отслеживает файлы.

Брандмауэры, как следует из их названия, действуют как барьер между ненадежными внешними сетями и вашей надежной внутренней сетью. Администраторы обычно настраивают набор определенных правил, которые блокируют или разрешают трафик в сети. Например, брандмауэр нового поколения Forcepoint (NGFW) предлагает удобный и централизованно управляемый контроль над сетевым трафиком, будь то физический, виртуальный или облачный.

Виртуальные частные сети

Виртуальные частные сети (VPN) создают подключение к сети с другой конечной точки или сайта. Например, пользователи, работающие дома, обычно подключаются к сети организации через VPN. Данные между двумя точками зашифрованы, и пользователю необходимо пройти аутентификацию, чтобы разрешить связь между его устройством и сетью. Secure Enterprise SD-WAN от Forcepoint позволяет организациям быстро создавать виртуальные частные сети с помощью перетаскивания и защищать все местоположения с помощью нашего решения брандмауэра следующего поколения.

Сетевая безопасность для бизнеса и частных лиц

Сетевая безопасность должна быть приоритетом для любой организации, работающей с сетевыми данными и системами.Помимо защиты активов и целостности данных от внешних уязвимостей, сетевая безопасность также позволяет более эффективно управлять сетевым трафиком, повышать производительность сети и обеспечивать безопасный обмен данными между сотрудниками и источниками данных.

Существует множество инструментов, приложений и утилит, которые могут помочь защитить ваши сети от атак и ненужных простоев. Forcepoint предлагает набор решений для сетевой безопасности, которые централизуют и упрощают зачастую сложные процессы и обеспечивают надежную сетевую безопасность на вашем предприятии.

Что такое сетевая безопасность? Сетевая безопасность — это термин, описывающий инструменты, тактики и политики безопасности, предназначенные для мониторинга, предотвращения и реагирования на несанкционированное вторжение в сеть, а также для защиты цифровых активов, включая сетевой трафик. Сетевая безопасность включает в себя аппаратные и программные технологии (включая такие ресурсы, как опытные аналитики безопасности, охотники и специалисты по реагированию на инциденты) и предназначена для реагирования на весь спектр потенциальных угроз, нацеленных на вашу сеть.

Итак, проще говоря, ответ на вопрос «Что такое сетевая безопасность?» заключается в следующем: сетевая безопасность — это средства защиты, которые вы используете, чтобы защитить себя от постоянно растущей киберпреступности.

Предполагается, что к 2021 году ущерб от киберпреступлений составит 6 триллионов долларов в год, что даже превышает ежегодный ущерб от стихийных бедствий. И на уровне отдельной компании эти убытки могут быть столь же катастрофическими. Средняя стоимость кибератаки в настоящее время составляет 1,67 млн долларов США2. Основными последствиями атаки являются потери в работе и производительности, а также негативный опыт клиентов.

Оптимизируйте свои инструменты безопасности в соответствии с современными угрозами

Оцените истинную окупаемость ваших инструментов и получите критическое представление. ПРОЧИТАТЬ ЭЛЕКТРОННУЮ КНИГУ

Ваши данные — источник жизненной силы вашего бизнеса. Они поддерживают ваш рост, содержат жизненно важные ресурсы и помогают вашей организации оставаться здоровой. А если данные — это кровь, то ваша сеть — это бьющееся сердце, которое прокачивает их через вашу систему. Но современные киберугрозы подобны вампирам, которые делают все возможное, чтобы добраться до крови, на которой держится ваш бизнес.

Чтобы защититься от этих вампирских угроз и спасти свой бизнес от возможной потери данных на миллионы долларов, вам нужно нечто большее, чем просто кол и несколько зубчиков чеснока. вам нужна эффективная, надежная сетевая безопасность и прозрачность сети.

В этом посте мы рассмотрим следующие 14 инструментов сетевой безопасности:

  • Контроль доступа
  • Программное обеспечение для защиты от вредоносных программ
  • Обнаружение аномалий
  • Безопасность приложения
  • Предотвращение потери данных (DLP)
  • Безопасность электронной почты
  • Безопасность конечных точек
  • Брандмауэр
  • Системы предотвращения вторжений
  • Сегментация сети
  • Информация о безопасности и управление событиями (SIEM)
  • Виртуальная частная сеть (VPN)
  • Веб-безопасность
  • Безопасность беспроводной сети

Три основных направления сетевой безопасности

В рамках сетевой безопасности есть три ключевых направления, которые должны служить основой любой стратегии сетевой безопасности: защита, обнаружение и реагирование.

Защита включает в себя любые инструменты или политики безопасности, предназначенные для предотвращения вторжения в систему безопасности сети. Обнаружение относится к ресурсам, которые позволяют анализировать сетевой трафик и быстро выявлять проблемы до того, как они смогут причинить вред. И, наконец, реагирование — это способность реагировать на обнаруженные угрозы сетевой безопасности и устранять их как можно быстрее.

К сожалению, большинство предприятий просто не знают, как следовать политике и делать это правильно. На самом деле, опрос 4100 руководителей, руководителей отделов, ИТ-менеджеров и других ключевых специалистов в США и Европе показал, что почти три из четырех организаций (73 процента) 3 применяют стратегию кибербезопасности для новичков. Это растущая угроза, потому что когда происходят нарушения в сети и проникают вредоносные угрозы, на карту поставлено нечто большее, чем просто сами данные.

Преимущества сетевой безопасности

Существуют инструменты и устройства сетевой безопасности, которые помогают вашей организации защитить не только конфиденциальную информацию, но и общую производительность, репутацию и даже способность продолжать свою деятельность. Постоянная работоспособность и неповрежденная репутация — два ключевых преимущества эффективной сетевой безопасности.

Компании, ставшие жертвами кибератак, часто оказываются изуродованными изнутри, неспособными предоставлять услуги или эффективно удовлетворять потребности клиентов.Точно так же сети играют важную роль во внутренних процессах компании, и когда они подвергаются атаке, эти процессы могут остановиться, что еще больше затруднит способность организации вести бизнес или даже возобновлять стандартные операции.

Но, возможно, еще более разрушительным является пагубное влияние взлома сети на репутацию вашего бизнеса.

Учитывая растущую волну кражи личных данных и другие опасности, связанные с кражей личной информации, многие клиенты уже не решаются делиться данными с компаниями. И если произойдет кибератака, многие из этих клиентов, скорее всего, откажутся от своих услуг в пользу более безопасных альтернатив. В конце концов, зачем рисковать?

Потеря или повреждение ценных данных, а также значительный сбой в обслуживании клиентов и внутренних процессах, усугубляющийся ущербом для репутации, который может сохраняться еще долгое время после устранения других повреждений — нетрудно понять, что поставлено на карту, когда это происходит. к сетевой безопасности. На самом деле было высказано предположение, что 66% предприятий малого и среднего бизнеса 4 должны будут закрыться (временно или навсегда) после утечки данных. И даже более крупные и устоявшиеся предприятия могут оказаться не в состоянии восстановить свое прежнее положение.

С другой стороны, надежные инструменты программного и аппаратного обеспечения сетевой безопасности в сочетании с правильными политиками и стратегиями могут помочь гарантировать, что в случае кибератак их влияние будет минимальным.

Инструменты и методы сетевой безопасности

Ваша сеть сталкивается с угрозами всех форм и размеров, поэтому должна быть готова к защите, выявлению и реагированию на весь спектр атак. Но реальность такова, что наибольшую опасность для большинства компаний представляют не злоумышленники-однодневки, а злоумышленники, которые хорошо финансируются и нацелены на конкретные организации по определенным причинам. По этой причине ваша стратегия сетевой безопасности должна учитывать различные методы, которые могут использовать эти субъекты.

Вот 14 различных инструментов и методов сетевой безопасности, призванных помочь вам в этом:

  1. Контроль доступа
    Если злоумышленники не смогут получить доступ к вашей сети, размер ущерба, который они смогут нанести, будет крайне ограничен. Но помимо предотвращения несанкционированного доступа помните, что даже авторизованные пользователи также могут представлять потенциальную угрозу. Контроль доступа позволяет повысить безопасность вашей сети, ограничивая доступ пользователей и ресурсы только теми частями сети, которые непосредственно относятся к обязанностям отдельных пользователей.
  2. Программное обеспечение для защиты от вредоносных программ
    Вредоносные программы в виде вирусов, троянов, червей, клавиатурных шпионов, шпионских программ и т. д. предназначены для распространения через компьютерные системы и заражения сетей. Инструменты для защиты от вредоносных программ — это своего рода программное обеспечение для сетевой безопасности, предназначенное для выявления опасных программ и предотвращения их распространения. Антивредоносное и антивирусное программное обеспечение также может помочь устранить заражение вредоносным ПО, сводя к минимуму ущерб для сети.
  3. Обнаружение аномалий
    Бывает сложно выявить аномалии в вашей сети без базового понимания того, как эта сеть должна работать. Механизмы обнаружения сетевых аномалий (ADE) позволяют анализировать вашу сеть, чтобы при возникновении нарушений вы были предупреждены о них достаточно быстро, чтобы иметь возможность отреагировать.
  4. Безопасность приложений
    Для многих злоумышленников приложения представляют собой защитную уязвимость, которой можно воспользоваться. Безопасность приложений помогает установить параметры безопасности для любых приложений, которые могут иметь отношение к безопасности вашей сети.
  5. Предотвращение потери данных (DLP)
    Часто самым слабым звеном в сетевой безопасности является человеческий фактор. Технологии и политики защиты от потери данных помогают защитить персонал и других пользователей от неправомерного использования и возможной компрометации конфиденциальных данных, а также от вывода этих данных из сети.
  6. Безопасность электронной почты.
    Как и в случае с DLP, безопасность электронной почты направлена ​​на устранение уязвимостей, связанных с безопасностью человека. С помощью стратегий фишинга (часто очень сложных и убедительных) злоумышленники убеждают получателей электронной почты делиться конфиденциальной информацией через настольные или мобильные устройства или непреднамеренно загружать вредоносное ПО в целевую сеть. Безопасность электронной почты помогает выявлять опасные электронные письма, а также может использоваться для блокировки атак и предотвращения передачи важных данных.
  7. Безопасность конечных точек
    Деловой мир все чаще приносит свои собственные устройства (BYOD) до такой степени, что различия между личными и рабочими компьютерными устройствами практически не существуют. К сожалению, иногда личные устройства становятся мишенью, когда пользователи полагаются на них для доступа к бизнес-сетям. Endpoint Security добавляет уровень защиты между удаленными устройствами и бизнес-сетями.
  8. Брандмауэры
    Брандмауэры функционируют во многом как шлюзы, которые можно использовать для защиты границ между вашей сетью и Интернетом.Брандмауэры используются для управления сетевым трафиком, пропуская авторизованный трафик и блокируя доступ к неавторизованному трафику.
  9. Системы предотвращения вторжений
    Системы предотвращения вторжений (также называемые обнаружением вторжений) постоянно сканируют и анализируют сетевой трафик/пакеты, чтобы можно было быстро выявлять различные типы атак и реагировать на них. Эти системы часто содержат базу данных известных методов атак, чтобы иметь возможность немедленно распознавать угрозы.
  10. Сегментация сети
    Существует множество видов сетевого трафика, каждый из которых связан с различными угрозами безопасности. Сегментация сети позволяет предоставлять правильный доступ к нужному трафику, ограничивая при этом трафик из подозрительных источников.
  11. Информация о безопасности и управление событиями (SIEM)
    Иногда просто собрать воедино правильную информацию из стольких различных инструментов и ресурсов может быть непомерно сложно, особенно когда время ограничено. Инструменты и программное обеспечение SIEM предоставляют респондентам данные, необходимые им для оперативных действий.
  12. Виртуальная частная сеть (VPN)
    Инструменты безопасности VPN используются для проверки подлинности связи между защищенными сетями и конечным устройством. VPN с удаленным доступом обычно используют протокол IPsec или протокол защищенных сокетов (SSL) для аутентификации, создавая зашифрованную линию для блокировки перехвата данных другими сторонами.
  13. Веб-безопасность
    Включая инструменты безопасности, аппаратное обеспечение, политики и многое другое, веб-безопасность — это общий термин, описывающий меры сетевой безопасности, предпринимаемые предприятиями для обеспечения безопасного использования Интернета при подключении к внутренней сети. Это помогает предотвратить использование веб-угрозами браузеров в качестве точек доступа для проникновения в сеть.
  14. Безопасность беспроводной сети
    В целом беспроводные сети менее безопасны, чем традиционные сети. Таким образом, необходимы строгие меры безопасности беспроводной сети, чтобы гарантировать, что злоумышленники не получат доступ.

Сетевая безопасность: впустите солнце

Что такое сетевая безопасность? Ну, помимо определения, инструментов безопасности и стратегий, сетевая безопасность — это, по сути, сила для защиты вашего бизнеса и ваших клиентов. Это означает понимание угроз и решений, а также знание того, как использовать эту информацию для создания надежной и комплексной стратегии сетевой безопасности.

Gigamon GigaSMART ® SSL/TLS Decryption — это решение для сетевой безопасности, разработанное для оптимизации этой стратегии. GigaSMART повышает эффективность ваших существующих инструментов кибербезопасности, обеспечивая превосходную видимость сетевого трафика и позволяя службам реагирования на угрозы выявлять и обнаруживать зашифрованные атаки, вредоносные программы, скрытые каналы управления и контроля, а также несанкционированные эксплойты для кражи данных. С Gigamon угрозам сетевой безопасности негде спрятаться.

В конце концов, данные — это источник жизненной силы вашего бизнеса, и вампирам не нужно ждать приглашения. Так почему бы не впустить солнечный свет? Благодаря эффективной сетевой безопасности вы можете пролить свет на весь спектр сетевых угроз и, таким образом, защитить свои данные, свой бизнес и своих клиентов.

Узнайте больше из нашей электронной книги «Защита цифрового предприятия: семь вещей, необходимых для повышения безопасности в мире, где доминирует шифрование» или посетите нашу страницу GigaSMART и свяжитесь с отделом продаж, чтобы начать оптимизировать трафик уже сегодня.

С невероятным развитием Интернета становится все более популярным создавать виртуальные частные сети (VPN) внутри организаций. VPN существуют уже много лет и разветвляются на все новые и новые разновидности. VPN — это набор инструментов, которые позволяют безопасно соединять сети в разных местах, используя общедоступную сеть в качестве транспортного уровня. Ключом к этой технологии является возможность маршрутизировать сообщения через общедоступную сеть, чтобы обеспечить доступ к офисным серверам, принтерам, или хранилища данных недорого. По мере роста и распространения высокоскоростного Интернета во всем мире широкое распространение получили виртуальные частные сети в общедоступном Интернете. Не все VPN были безопасными в первые дни. Пакеты информации передаются в виде открытого текста и могут быть легко просмотрены. Для обеспечения безопасности сетевых систем информация должна быть зашифрована. На протяжении последних 20 лет различные схемы шифрования приобретали и теряли популярность. Некоторые из них слишком легко сломать при высокой скорости современных компьютеров; другие требуют слишком большой вычислительной мощности на уровне маршрутизатора, что делает их реализацию дорогостоящей.

Безопасность сети

VPN с клиентским доступом (виртуальная частная сеть)

Виртуальная частная сеть (VPN) устанавливает частное сетевое соединение через общедоступную сеть, например Интернет. Некоторые считают это формой туннелирования. Существует много типов VPN. VPN часто используются для объединения двух сетей. Но мы хотим рассмотреть VPN с клиентским доступом. VPN с клиентским доступом — чрезвычайно популярный инструмент для предоставления внешним пользователям доступа к корпоративной сети.Двумя наиболее часто используемыми технологиями для этого являются IPSec VPN и SSL VPN.

Виртуальные частные сети IPSec используют протокол IPSec для создания туннеля VPN. IPSec VPN работают на сетевом уровне модели OSI. Когда клиент подключается через IPSec VPN, он или она имеет практически полный доступ к сети. Клиенты выглядят как еще один узел в сети. IPSec VPN существуют уже давно. В течение многих лет VPN IPSec были стандартом для VPN с клиентским доступом.

Виртуальные частные сети SSL стали набирать популярность относительно недавно. SSL VPN используют общий SSL-трафик через порт 443 для установления VPN-подключения. Это очень полезно, когда пользователь должен инициировать соединение из защищенной сети. Многие сети, особенно корпоративные, фильтруют трафик, который разрешено пропускать через брандмауэр. Однако в большинстве случаев допускается использование SSL через порт 443. SSL VPN считаются более безопасными, чем IPSec VPN, потому что у вас больше контроля над доступом пользователей. Еще одно преимущество SSL VPN по сравнению с IPSec VPN заключается в том, что большинство SSL VPN могут обеспечивать бесклиентский доступ. Для большинства VPN IPSec требуется, чтобы на клиентских системах было установлено какое-либо клиентское программное обеспечение VPN, чтобы они могли получить доступ к VPN.

Виртуальные частные сети

Аннотация

VPN – это виртуальная сеть, созданная поверх существующих физических сетей и обеспечивающая безопасный механизм передачи данных и другой информации между двумя конечными точками. Виртуальные частные сети (VPN) Secure Sockets Layer (SSL) обеспечивают безопасный удаленный доступ к ресурсам организации. В этой главе обсуждаются основные технологии и функции VPN. В нем описывается SSL и его место в контексте многоуровневой сетевой безопасности. В нем представлен поэтапный подход к планированию и внедрению VPN, который может помочь в успешном развертывании VPN. Кроме того, технология VPN сравнивается с технологиями безопасности интернет-протокола (IPsec) и другими решениями VPN. Эта информация особенно ценна для помощи организациям в определении того, как лучше всего развернуть VPN в их конкретных сетевых средах. Поскольку VPN можно использовать в существующих сетях, таких как Интернет, она может облегчить безопасную передачу конфиденциальных данных по общедоступным сетям. SSL VPN состоит из одного или нескольких устройств VPN, к которым пользователи подключаются с помощью своих веб-браузеров. Трафик между веб-браузером и VPN-устройством шифруется с помощью протокола SSL или его преемника, протокола Transport Layer Security (TLS). Этот тип VPN может называться SSL VPN или TLS VPN. В этой главе используется термин SSL VPN. SSL VPN предоставляют удаленным пользователям доступ к веб-приложениям и клиент-серверным приложениям, а также возможность подключения к внутренним сетям. Несмотря на популярность SSL VPN, они не предназначены для замены IPsec VPN. Две технологии VPN дополняют друг друга и предназначены для разных сетевых архитектур и бизнес-потребностей. Виртуальные частные сети предлагают универсальность и простоту использования, поскольку они используют протокол SSL, который включен во все стандартные веб-браузеры, поэтому клиент обычно не требует настройки пользователем. Виртуальные частные сети также обеспечивают детальный контроль для ряда пользователей на разных компьютерах, получая доступ к ресурсам из разных мест.

Сеть в системе видеонаблюдения

Владо Дамьяновски, CCTV (третье издание), 2014 г.

Виртуальная частная сеть (VPN)

Виртуальная частная сеть (VPN) — это технология, позволяющая установить зашифрованное удаленное соединение между двумя компьютерами или сетями. VPN использует общедоступные сети для передачи частных данных. Большинство реализаций VPN используют Интернет в качестве общедоступной инфраструктуры и множество специализированных протоколов для поддержки частных коммуникаций через Интернет. VPN использует клиент-серверный подход. VPN-клиенты аутентифицируют пользователей, шифруют данные и иным образом управляют сеансами, а VPN-серверы используют технику, называемую туннелированием. Для этого офисные сети IP-видеонаблюдения подключаются к сети Интернет через VPN-шлюз, роль которого может выполнять как маршрутизатор, так и компьютер. С помощью VPN устанавливается защищенное соединение между офисными сетями, через Интернет с использованием так называемого VPN-туннеля. Перед выходом из одной офисной сети данные шифруются. На другом конце туннеля, в другом офисе, данные расшифровываются.

Создание удаленного доступа и Site-to-Site VPN с помощью ISA Firewall

Доктор. Томас В. Шиндер , Дебра Литтлджон Шиндер , в книге доктора Тома Шиндера «Настройка ISA Server 2004», 2005 г.

Примечание о карантине VPN

VPN-карантин позволяет предварительно проверять VPN-клиентов, прежде чем разрешить им доступ к корпоративной сети.Процесс предварительной проверки может включать проверку наличия у VPN-клиента последних обновлений безопасности, исправлений, антивирусных сигнатур, антишпионских сигнатур и т. д.

Реализация VPN-Q в брандмауэре ISA — это скорее платформа для разработки, чем функция, которую средний администратор брандмауэра ISA может использовать «из коробки».

Комплекс Quarantine Security Suite от Frederic Esnouf — эффективное решение проблемы VPN-Q.

Avanade также предоставляет платформу, которую вы можете использовать для создания функционального решения VPN-Q с использованием брандмауэра ISA.

Введение в сетевое взаимодействие

Виртуальные частные сети

Определение VPN

Обзор

Виртуальные частные сети быстро вытеснили традиционные технологии глобальных сетей, такие как ретрансляция кадров, выделенные линии и коммутируемые сети. Они снижают общую стоимость владения глобальной сетью за счет устранения периодических затрат, связанных с этими технологиями, и использования базовой и зарождающейся IP-технологии, развернутой компанией. IPSec — одна из наиболее часто используемых сетей VPN. Другие методы защиты связи включают SSL VPN, SSH Tunnel и решения уровня 2.

SSL VPN, будучи VPN без клиента, является наиболее универсальным VPN, тогда как SSH Tunnel помогает защитить незащищенные протоколы. Каждый из этих методов защиты связи имеет свои преимущества и недостатки; наилучшая схема защиты канала зависит от пользователя или организации.

Тестирование беспроводных сетей на проникновение

Виртуальная частная сеть (VPN)

VPN – это частная сеть, использующая общедоступную инфраструктуру и обеспечивающая конфиденциальность за счет использования зашифрованного туннеля. Многие организации теперь используют VPN в сочетании со своей беспроводной сетью. Они часто делают это, не разрешая доступ к внутренним или внешним ресурсам из WLAN, пока не будет установлен VPN-туннель. При правильной настройке и развертывании VPN может быть очень эффективным средством безопасности WLAN. К сожалению, в определенных обстоятельствах VPN в сочетании с беспроводными сетями развертываются таким образом, что тестер проникновения (или злоумышленник) может обойти механизмы безопасности VPN.

MCSA/MCSE 70-291: Настройка VPN-служб службы маршрутизации и удаленного доступа Windows Server 2003

Дебора Литтлджон Шиндер, . Лаура Хантер , учебное пособие MCSA/MCSE (экзамен 70–291), 2003 г.

Поддержка IP-адресации для VPN-шлюзов

В отличие от добровольных туннелей VPN принудительные туннели настраиваются только между компьютерами-посредниками (шлюзами VPN). Следовательно, нам нужно, чтобы каждый VPN-шлюз знал, какие адреса локальной сети доступны и как к ним добраться. Этого можно добиться путем установки статических маршрутов или использования протокола маршрутизации для объявления доступных маршрутов. Например, на рис. 7.21 мы видели адрес LAN в подсети 10.0.1.0/24 для первого VPN-шлюза.

Второй VPN-шлюз находится в подсети 10.0.2.0/24. Чтобы наши клиенты в обеих локальных сетях могли связаться друг с другом, каждому VPN-серверу потребуются маршруты к локальным сетям своего партнера. Это означает, что шлюз VPN One должен знать, что запросы от его клиентов в локальной сети для любого адреса в подсети 10.0.2.0/24 должны направляться на второй шлюз VPN через интерфейс туннеля VPN. Аналогичным образом, чтобы трафик возвращался из локальной сети второго шлюза VPN, на втором шлюзе VPN должен быть доступен маршрут для подсети 10.0.1.0/24 через интерфейс туннеля VPN.

Хотя основное внимание в этой главе уделяется не IP-адресации, вы должны хорошо разбираться в основах TCP/IP, чтобы понять, как работают VPN. Все наши современные сети, подключенные к Интернету, используют TCP/IP в качестве транспортного механизма. Если вы подключаете удаленные локальные сети через Интернет, IP-адресация является основой базовой инфраструктуры. Экзамен 70-291 проверит ваши фундаментальные знания TCP/IP. Поймите разницу между общедоступными и частными IP-адресами и значение частной адресации для подключения к Интернету (NAT).

Еще один доступный вариант — использовать динамическую маршрутизацию вместо статических. Мы подробно рассмотрим динамическую маршрутизацию и различные протоколы маршрутизации, доступные в Windows Server 2003, в следующей главе, где мы обсудим поддерживаемые протоколы маршрутизации, параметры конфигурации для этих протоколов и факторы, которые следует учитывать при выборе используемого протокола. Мы рассмотрим некоторые основы динамической маршрутизации позже в этой главе.

Вызывающие маршрутизаторы получают IP-адреса так же, как и стандартные клиенты удаленного доступа. Отвечающий маршрутизатор либо может выделить адрес с DHCP-сервера, адрес может быть выделен из статического пула адресов, либо учетная запись пользователя вызывающего маршрутизатора может иметь специально назначенный адрес.Если адрес для вызывающего маршрутизатора недоступен, соединение все равно будет установлено, и маршрутизатор будет работать без адреса. Этот процесс известен как ненумерованное соединение. Однако имейте в виду, что протоколы маршрутизации, предоставляемые Windows Server 2003 RRAS, не поддерживают объявления маршрутов по ненумерованным соединениям. Это означает, что для правильной работы ненумерованного соединения потребуется настроить статическую маршрутизацию. При назначении адресов для каждого порта L2TP и PPTP должен быть доступен IP-адрес, а также адрес вызывающего маршрутизатора.

В следующем разделе мы более подробно рассмотрим параметры конфигурации наших VPN-шлюзов.

Виртуальные частные сети и удаленный доступ

Эрик Книпп, . Эдгар Даниелян, технический редактор, Управление сетевой безопасностью Cisco (второе издание), 2002 г.

Обзор

VPN поможет масштабировать сетевую безопасность таким образом, чтобы она была более управляемой и надежной. Используя IPSec в VPN, вы полностью решаете проблемы сетевой безопасности. Это обеспечивает безопасные средства для передачи данных в предполагаемый источник и из него.

Поскольку виртуальные частные сети сейчас так широко используются компаниями для глобальных сетей для удаленного доступа, вскоре мы должны увидеть их во всех беспроводных устройствах. Беспроводная связь быстро становится такой же безопасной, как удаленный пользователь, использующий VPN для подключения к корпоративной локальной сети.

Поскольку компания Cisco лидирует в использовании IPSec со своей линейкой маршрутизаторов IOS, брандмауэров PIX и концентраторов VPN, число нарушений безопасности сети должно уменьшиться. Благодаря возможностям взаимодействия с различными поставщиками, над которыми в настоящее время работает Cisco, вы увидите, что VPN широко используются всеми сетевыми администраторами.

Эндрю Харт (CC BY-SA 2.0)

Виртуальная частная сеть – это безопасный туннель между двумя или более компьютерами в Интернете, позволяющий им получать доступ друг к другу, как если бы они находились в локальной сети. В прошлом виртуальные частные сети в основном использовались компаниями для безопасного соединения удаленных филиалов или подключения сотрудников в роуминге к офисной сети, но сегодня они также являются важной услугой для потребителей, защищая их от атак при подключении к общедоступным беспроводным сетям.< /p>

Учитывая их важность, вот что вам нужно знать о VPN:

VPN обеспечивают вашу конфиденциальность и безопасность

В некоторых регионах мира правительства отслеживают пользователей, которые посещают определенные веб-сайты, чтобы выяснить их политическую принадлежность и выявить диссидентов, что угрожает свободе слова и правам человека.

Используя VPN-подключение, весь ваш трафик можно безопасно направить через сервер, расположенный где-то еще в мире. Это защитит ваш компьютер от локального отслеживания и попыток взлома и даже скроет ваш реальный адрес интернет-протокола от веб-сайтов и служб, к которым вы обращаетесь.

Не все VPN одинаковы

Существуют разные технологии VPN с разным уровнем шифрования. Например, протокол туннелирования точка-точка (PPTP) является быстрым, но гораздо менее безопасным, чем другие протоколы, такие как IPSec или OpenVPN, которые используют SSL/TLS (Secure Sockets Layer/Transport Layer Security). Кроме того, в сетях VPN на основе TLS также важны тип используемого алгоритма шифрования и длина ключа.

Хотя OpenVPN поддерживает множество комбинаций шифров, протоколов обмена ключами и алгоритмов хэширования, наиболее распространенной реализацией, предлагаемой поставщиками услуг VPN для подключений OpenVPN, является шифрование AES с обменом ключами RSA и подписями SHA. Рекомендуемые настройки: шифрование AES-256 с ключом RSA длиной не менее 2048 бит и криптографическая хэш-функция SHA-2 (SHA-256) вместо SHA-1.

Стоит отметить, что VPN создают дополнительную нагрузку, поэтому чем надежнее шифрование, тем больше влияние на скорость соединения. Выбор технологии VPN и стойкости шифрования следует делать в каждом конкретном случае в зависимости от того, какие данные будут передаваться через него.

Потребности в безопасности корпораций отличаются от потребностей большинства потребителей, которым обычно нужно защитить себя только от случайных атак с отслеживанием трафика, если только они не обеспокоены массовой слежкой со стороны Агентства национальной безопасности США и аналогичных разведывательных служб в в этом случае требуется очень надежное шифрование.

VPN могут обходить геоблокировку и брандмауэры

Потребители также используют VPN для доступа к онлайн-контенту, который недоступен в их регионе, хотя это зависит от того, насколько хорошо владельцы контента применяют ограничения. Поставщики услуг VPN обычно имеют серверы во многих странах мира и позволяют пользователям легко переключаться между ними. Например, пользователи могут подключаться через U.K.на сервере для доступа к контенту BBC с ограниченным доступом или через сервер в США для доступа к контенту Netflix, который недоступен в их регионе.

Пользователи в таких странах, как Китай или Турция, где правительства регулярно блокируют доступ к определенным веб-сайтам по политическим мотивам, обычно используют VPN для обхода этих ограничений.

Бесплатные и платные

Несмотря на то, что компании устанавливают свои собственные VPN с помощью специальных сетевых устройств, потребителям доступен широкий выбор коммерческих и бесплатных VPN-сервисов. Бесплатные предложения VPN обычно отображают рекламу, имеют более ограниченный выбор серверов, а скорость соединения ниже, потому что эти серверы переполнены. Однако для случайного пользователя этого может быть достаточно.

Еще один недостаток бесплатных VPN-серверов заключается в том, что с большей вероятностью используемые ими IP-адреса будут заблокированы или отфильтрованы на различных веб-сайтах: бесплатные VPN-сервисы часто используются хакерами, спамерами и другими злонамеренными пользователями.

Коммерческие VPN-сервисы работают по модели, основанной на подписке, и отличаются отсутствием ограничения скорости загрузки или ограничений на передачу данных. Некоторые из них также гордятся тем, что не ведут никаких журналов, которые можно было бы использовать для идентификации пользователей.

Несколько антивирусных поставщиков также предлагают услуги VPN, и они могут служить промежуточным звеном между бесплатными и более дорогими коммерческими решениями, поскольку пользователи могут получить более выгодные условия, если у них также есть антивирусные лицензии от этих поставщиков. Кроме того, эти VPN-решения уже имеют достаточно безопасные настройки, поэтому пользователям не нужно беспокоиться об их самостоятельной настройке.

Создайте свой собственный

Наконец, вы можете запустить собственный VPN-сервер дома, чтобы иметь возможность использовать обратный туннель и получать доступ к службам и устройствам в домашней сети из любого места. Это гораздо лучший вариант, чем предоставление доступа к этим службам напрямую из Интернета, как недавно сотни тысяч устройств Интернета вещей были скомпрометированы и использованы для запуска распределенных атак типа «отказ в обслуживании».

Общее правило заключается в том, что чем меньше портов открыто на вашем маршрутизаторе, тем лучше. Вы должны отключить UPnP (Universal Plug and Play), чтобы ваша плохо спроектированная IP-камера, например, не пробила брешь в вашем брандмауэре и не стала доступной для всего мира.

В наши дни некоторые потребительские маршрутизаторы имеют встроенные функции VPN-сервера, поэтому вам даже не нужно настраивать отдельный выделенный VPN-сервер внутри вашей сети. Хотя, если ваш маршрутизатор не имеет такой функции, дешевый мини-компьютер, такой как Raspberry Pi, отлично справится с этой задачей.

Люсьан Константин – старший писатель в CSO, занимающийся вопросами информационной безопасности, конфиденциальности и защиты данных.

Читайте также: