12.1. Защита сетевой инфраструктуры
12.1. Защита сетевой инфраструктуры
Информационная безопасность в сетях основывается на триаде CIA: Confidentiality (конфиденциальность), Integrity (целостность), Availability (доступность). Защита реализуется комплексом организационных и технических мер.
12.1.1. Основные угрозы
| Угроза | Описание | Пример |
|---|---|---|
| Несанкционированный доступ | Проникновение в сеть или систему | Взлом слабого пароля Wi-Fi |
| DoS/DDoS | Отказ в обслуживании | Flood-атака на веб-сервер |
| Перехват трафика | Sniffing в незащищённой сети | Чтение HTTP без TLS в публичном Wi-Fi |
| Malware | Вредоносное ПО | Ransomware через фишинг |
| MITM | Атака «человек посередине» | Подмена ARP-записей |
12.1.2. Механизмы защиты
| Механизм | Назначение | Пример реализации |
|---|---|---|
| Межсетевой экран (Firewall) | Фильтрация трафика по правилам | iptables, pfSense, FortiGate |
| IDS/IPS | Обнаружение и блокировка атак | Snort, Suricata |
| VPN (IPsec, WireGuard, OpenVPN) | Шифрованный туннель | Удалённый доступ сотрудников |
| TLS/SSL | Шифрование прикладного уровня | HTTPS, SMTPS, IMAPS |
| Сегментация (VLAN, DMZ) | Ограничение зоны поражения | DMZ для веб-сервера |
| 802.1X / NAC | Контроль доступа к порту | Аутентификация перед доступом в LAN |
12.1.3. VPN — типы и применение
- Site-to-Site VPN — соединение филиалов организации через Интернет.
- Remote Access VPN — подключение удалённого сотрудника к корпоративной сети.
- Протоколы: IPsec (L2TP/IPsec), OpenVPN, WireGuard, SSL VPN.
12.1.4. Рекомендации для ЛВС организации
- Разделить сеть на VLAN (серверы, пользователи, гости).
- Использовать WPA3 для Wi-Fi; отдельный гостевой SSID.
- Регулярно обновлять прошивки и ПО сетевого оборудования.
- Применять принцип наименьших привилегий для доступа.
- Вести журналы (логи) и мониторинг аномалий.
Контрольные вопросы
- Расшифруйте триаду CIA.
- Чем IDS отличается от IPS?
- Для чего организация использует DMZ?
- Какие риски несёт незашифрованный HTTP?
12.1.5. Модель безопасности: периметр и Zero Trust
Классическая модель — периметр (МЭ на границе, «доверенная» внутренняя сеть). Современный подход Zero Trust — не доверять ни внутри, ни снаружи; проверка каждого запроса (идентичность, устройство, контекст). Микросегментация VLAN и политики east-west трафика между серверами.
12.1.6. Классификация межсетевых экранов
| Тип | Уровень | Пример правила |
|---|---|---|
| Пакетный (stateless) | L3–L4 | Разрешить TCP 443 из any в DMZ |
| С отслеживанием состояния (stateful) | L3–L4 | Разрешить ответы на исходящие соединения |
| Прикладной (WAF, proxy) | L7 | Блок SQL-injection в HTTP |
| NGFW | L3–L7 + IPS | Политики с учётом приложений и пользователей |
12.1.7. DMZ и размещение сервисов
DMZ (демилитаризованная зона) — сегмент между внешним и внутренним МЭ. Публичные веб-серверы, почтовые реле, VPN-концентраторы — в DMZ; базы данных и доменные контроллеры — только во внутренней сети. Правило: минимум открытых портов с Интернета, журналирование всех отказов.
12.1.8. Сравнение VPN-технологий
| Технология | Особенности |
|---|---|
| IPsec | Стандарт IETF, site-to-site и remote access, NAT-T |
| OpenVPN | TLS поверх UDP/TCP, гибкая настройка |
| WireGuard | Минимальный код, высокая производительность, современная криптография |
| SSL VPN | Доступ через браузер или клиент к внутренним веб-приложениям |
12.1.9. Организационные меры
- Политика паролей и MFA для удалённого доступа.
- Регламент обновления прошивок и патчей.
- Разделение обязанностей (админ сети ≠ админ безопасности).
- Резервное копирование конфигураций оборудования.
- Обучение пользователей (фишинг, USB, гостевой Wi-Fi).
12.1.10. Соответствие законодательству РФ
Обработка персональных данных — 152-ФЗ, уровни защищённости ПДн (Приказ ФСТЭК № 21). КИИ — 187-ФЗ для значимых объектов. Выбор средств защиты и класс МЭ согласуется с моделью угроз организации.
Дополнительные вопросы для самопроверки
- Чем stateful МЭ отличается от stateless?
- Почему доменный контроллер не размещают в DMZ?
- Что означает принцип «наименьших привилегий» для сетевого доступа?