Технологии защиты сети: сегодня и завтра

ВЫБИРАЯ ПУТЬ, ПО КОТОРОМУ БУДЕТ РАЗВИВАТЬСЯ ВАША КОРПОРАТИВНАЯ СЕТЬ С ТОЧКИ ЗРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, НАДО ПРИМЕРНО ПРЕДСТАВЛЯТЬ, КАКИЕ ТЕХНОЛОГИИ И КАК БУДУТ РАЗВИВАТЬСЯ В ОБОЗРИМОМ БУДУЩЕМ, ЧТОБЫ НЕ ИНВЕСТИРОВАТЬ В РЕШЕНИЕ, КОТОРОЕ ПРЕКРАТИТ СВОЕ СУЩЕСТВОВАНИЕ В БЛИЖАЙШИЕ ДВА ГОДА.

Межсетевые экраны

Классические межсетевые экраны — самые распространенные средства защиты и самые развитые с технологической точки зрения. Этот класс решений защиты известен с начала 90-х годов, и концептуально межсетевые экраны с тех пор не особо изменились. Да, они стали поддерживать большее число протоколов, они стали более скоростными, они обладают удобными системами управления... Но решают они все ту же задачу – пропуск разрешенного трафика и блокирование запрещенного. Этот класс систем безопасности – обязательный, но сегодня явно недостаточный даже для решения задачи разграничения доступа. Именно поэтому в ближайшие несколько лет стоит ожидать расцвета межсетевых экранов, поднявшихся с уровня сети на прикладной уровень. Так в существующих продуктах появляется поддержка, например, IP-телефонии, а также такие решения, как XML Gateway, Web Application Firewall и т.д., - то есть межсетевые экраны, ориентированные на защиту широко распространяющихся приложений для электронной коммерции на базе XML и HTTP.

Второе направление в межсетевых экранах, получившее широкое распространение и достигшее своего апогея, — это персональные МСЭ, защищающие отдельные компьютеры. Однако постепенно эти решения сойдут на нет с появлением нового класса многофункциональных защитных средств для ПК.

Антивирусы

Изначально предназначенный для защиты рабочих станций (а только после этого и серверов), антивирус стал известным защитным средством даже для непосвященного пользователя — продажа в супермаркетах, реклама по радио и другие нестандартные ходы сделали свое дело. Однако за прошедшие с момента появления первого антивируса 20 лет, он достиг своего логического финала. В первую очередь речь идет о персональных антивирусах. Если раньше компьютеру могла угрожать только одна зараза – вирусы, то со временем ситуация изменилась: появились черви, DoS-атаки, перехватчики клавиатуры, Wireless-атаки, возрос риск утечки информации и т.д. Поэтому современные антивирусы, несмотря на их эффективность, уже не справляются со всеми поставленными задачами и постепенно вытесняются другими системами, о которых поговорим ниже.

Но если персональные антивирусы постепенно сходят со сцены, то их сетевые «собратья» выходят из тени. Почтовые антивирусы становятся все более популярными, что, конечно же, связано с той ролью, которую играет электронная почта в жизни современных компаний. Такие антивирусы могут быть установлены как на почтовых серверах, так и на входе в сеть – в виде шлюза. В последнем случае они также исполняют роль привратника и для других типов трафика, в частности, FTP и HTTP.

Системы предотвращения атак

Несмотря на то, что технология обнаружения атак появилась за 10 лет до изобретения межсетевого экрана, активно использоваться она стала гораздо позже – в середине 90-х. Однако вскоре эти системы (IDS), так и не достигнув своего апогея, завершили свое существование. Связано это было с двумя факторами: очень большой поток сигналов тревоги и неумение отражать обнаруженные атаки. Последнее ограничение и поставило крест на IDS. Это все равно что видеть пожар, но не иметь возможности его потушить.

Однако производители, добавив в IDS функции отражения, создали системы предотвращения атак (IPS). Сначала они внедрялись в сети (NIPS), а затем и на серверы (HIPS). Именно в таком виде они распространены сейчас и будут развиваться дальше. Активное развитие в области предотвращения атак в ближайшее время получат: снижение времени на разработку сигнатур, автоматизация обновления множества сенсоров, поддержка новых протоколов и приложений и включение в IPS механизмов обнаружения атак не по сигнатурам, а по аномалиям. Произойдет это уже в ближайшие два года.
Несмотря на новомодные течения в области разработки IPS, все они предназначены для корпоративного рынка. К примеру, операторы связи не могут эффективно использовать эти решения на своих магистралях. Связано это, в первую очередь, со скоростями работы современных IPS (мультигигабитные скорости – это редкость) и с их алгоритмом обнаружения атак. Ведь в операторских сетях очень редко когда можно встретить «классические» атаки, обычно там идет просто большой поток бесполезного трафика (шума). Каждый пакет в таком потоке легитимен, и только за счет эффекта лавины такие атаки (отказ в обслуживании) наносят огромный ущерб. Для борьбы с ними предназначены специализированные мультигигабитные решения, отслеживающие в сетевом трафике не сигнатуры, а аномалии. Пока такие решения не очень популярны у операторов, но в течение 3-4 лет они займут достойное место в арсенале провайдеров.

Многофункциональные решения

Выше мы говорили о том, что антивирусы для ПК постепенно сменяются многофункциональными решениями, которые включают в себя механизмы защиты сразу против множества атак на рабочие станции, серверы и лэптопы. Такие решения все чаще и чаще устанавливаются на компьютеры, но пройдет несколько лет, прежде чем они полностью заменят классические антивирусы, персональные МСЭ и HIPS.

Эксперты отмечают и еще одну тенденцию, свидетелем которой, однако, мы станем не скоро. Речь идет о включении в решения для компьютеров механизма DPI (Deep Packet Inspection), который позволит проверять весь входящий трафик на предмет находящихся в нем аномалий, вредоносного кода, атак и т.п. Если программно такую функциональность можно реализовать и сегодня, то аппаратных возможностей явно не хватает. Поэтому придется подождать несколько лет, прежде чем полное исследование трафика можно будет осуществить незаметно для пользователя.

Аналогичная тенденция применима и к сетевому уровню. Межсетевые экраны, IPS, VPN и шлюзовые антивирусы интегрируются в рамках одной платформы. Такие устройства, получившие название UTM (Unified Threat Management), начали свое победное шествие с филиалов, отделений и иных удаленных площадок, для которых требования по безопасности те же, что и для центрального офиса, а денег на несколько отдельных устройств защиты не хватает. Уже сейчас эти решения постепенно вытесняют отдельные межсетевые экраны, IPS и другие. Пройдет совсем немного времени, и даже в центральных офисах будут устанавливаться подобные интегрированные решения. Они, конечно, противоречат важному принципу безопасности «не класть все яйца в одну корзину», но в условиях финансового голода лучше приобрести одно многофункциональное устройство, чем вовсе остаться без них.

Контроль сетевого доступа

Еще одной тенденцией ближайших лет станет повсеместное распространение технологии контроля сетевого доступа (Network Access Control), которая призвана обеспечить соответствие всех узлов, подключающихся к важным ресурсам, требованиям политики безопасности. Более подробно эта технология описывается в отдельной статье данного номера, поэтому не будем рассматривать ее детально.

Интегрированная безопасность

Все, что мы рассмотрели выше - это отдельные защитные решения, внедряемые в защищаемые сети. Однако логичнее сделать так, чтобы безопасность стала не навесной, а неотъемлемой частью сетей. Иными словами, безопасность должна превратиться в одно из свойств инфраструктуры. Сделать это можно, только внедрив защитные технологии в сетевое оборудование, – коммутаторы, маршрутизаторы и точки беспроводного доступа. Пока на такой «подвиг» способны немногие производители и не для всего своего оборудования. Все-таки оно разрабатывалось в первую очередь для маршрутизации и коммутации, а не для защиты, поэтому все ресурсы брошены именно на эти задачи.

Со временем, когда каждый производитель поймет, что защитой пренебрегать нельзя, нам не придется к уже купленному оборудованию приобретать отдельно стоящие межсетевые экраны, системы предотвращения атак, антивирусы и устройства контроля сетевого доступа. Они будут неотъемлемой частью маршрутизатора и коммутатора. И тогда все будет зависеть только от человека, которому останется настроить этот мощный защитный арсенал.

Пока же нам приходится довольствоваться тем, что рынки сетевого оборудования и сетевой защиты начинают постепенно сближаться, но до полного слияния дело еще не дошло. Хотя такие вендоры как Cisco, 3Com, Juniper и другие активно действуют в данном направлении.

Обсуждение статьи

Логин: Пароль: Регистрации на сервере не требуется. Если у вас есть форумный логин, вы можете использовать его. Если нету, то вы можете зарегистрироваться на forum.itspecial.ru Обсуждение этой статьи на forum.itspecial.ru Для отправки сообщения введите код, указанный на картинке Заголовок Сообщение Guest guest@gameland.ru Отправлено: 12.05.2010 5:56:57 RE: Технологии защиты сети: сегодня и завтра http://www.pocwatches.com replica watches http://www.corwatches.com replica watches http://www.watchesfan.com replica watches http://www.sanwatches.com replica watches Страницы: << 1 >>

Теги: IDS, антивирус, безопасность, контроль доступа, сеть, файрвол

Keywords: zPOSTz zMAIN_THEMEz z10045z
Для Авторов: edit delete