12.1. Защита сетевой инфраструктуры

Информационная безопасность в сетях основывается на триаде CIA: Confidentiality (конфиденциальность), Integrity (целостность), Availability (доступность). Защита реализуется комплексом организационных и технических мер.

12.1.1. Основные угрозы

УгрозаОписаниеПример
Несанкционированный доступПроникновение в сеть или системуВзлом слабого пароля Wi-Fi
DoS/DDoSОтказ в обслуживанииFlood-атака на веб-сервер
Перехват трафикаSniffing в незащищённой сетиЧтение HTTP без TLS в публичном Wi-Fi
MalwareВредоносное ПОRansomware через фишинг
MITMАтака «человек посередине»Подмена ARP-записей

12.1.2. Механизмы защиты

МеханизмНазначениеПример реализации
Межсетевой экран (Firewall)Фильтрация трафика по правиламiptables, pfSense, FortiGate
IDS/IPSОбнаружение и блокировка атакSnort, Suricata
VPN (IPsec, WireGuard, OpenVPN)Шифрованный туннельУдалённый доступ сотрудников
TLS/SSLШифрование прикладного уровняHTTPS, SMTPS, IMAPS
Сегментация (VLAN, DMZ)Ограничение зоны пораженияDMZ для веб-сервера
802.1X / NACКонтроль доступа к портуАутентификация перед доступом в LAN

12.1.3. VPN — типы и применение

  • Site-to-Site VPN — соединение филиалов организации через Интернет.
  • Remote Access VPN — подключение удалённого сотрудника к корпоративной сети.
  • Протоколы: IPsec (L2TP/IPsec), OpenVPN, WireGuard, SSL VPN.

12.1.4. Рекомендации для ЛВС организации

  1. Разделить сеть на VLAN (серверы, пользователи, гости).
  2. Использовать WPA3 для Wi-Fi; отдельный гостевой SSID.
  3. Регулярно обновлять прошивки и ПО сетевого оборудования.
  4. Применять принцип наименьших привилегий для доступа.
  5. Вести журналы (логи) и мониторинг аномалий.

Контрольные вопросы

  1. Расшифруйте триаду CIA.
  2. Чем IDS отличается от IPS?
  3. Для чего организация использует DMZ?
  4. Какие риски несёт незашифрованный HTTP?

12.1.5. Модель безопасности: периметр и Zero Trust

Классическая модель — периметр (МЭ на границе, «доверенная» внутренняя сеть). Современный подход Zero Trust — не доверять ни внутри, ни снаружи; проверка каждого запроса (идентичность, устройство, контекст). Микросегментация VLAN и политики east-west трафика между серверами.

12.1.6. Классификация межсетевых экранов

ТипУровеньПример правила
Пакетный (stateless)L3–L4Разрешить TCP 443 из any в DMZ
С отслеживанием состояния (stateful)L3–L4Разрешить ответы на исходящие соединения
Прикладной (WAF, proxy)L7Блок SQL-injection в HTTP
NGFWL3–L7 + IPSПолитики с учётом приложений и пользователей

12.1.7. DMZ и размещение сервисов

DMZ (демилитаризованная зона) — сегмент между внешним и внутренним МЭ. Публичные веб-серверы, почтовые реле, VPN-концентраторы — в DMZ; базы данных и доменные контроллеры — только во внутренней сети. Правило: минимум открытых портов с Интернета, журналирование всех отказов.

12.1.8. Сравнение VPN-технологий

ТехнологияОсобенности
IPsecСтандарт IETF, site-to-site и remote access, NAT-T
OpenVPNTLS поверх UDP/TCP, гибкая настройка
WireGuardМинимальный код, высокая производительность, современная криптография
SSL VPNДоступ через браузер или клиент к внутренним веб-приложениям

12.1.9. Организационные меры

  • Политика паролей и MFA для удалённого доступа.
  • Регламент обновления прошивок и патчей.
  • Разделение обязанностей (админ сети ≠ админ безопасности).
  • Резервное копирование конфигураций оборудования.
  • Обучение пользователей (фишинг, USB, гостевой Wi-Fi).

12.1.10. Соответствие законодательству РФ

Обработка персональных данных — 152-ФЗ, уровни защищённости ПДн (Приказ ФСТЭК № 21). КИИ — 187-ФЗ для значимых объектов. Выбор средств защиты и класс МЭ согласуется с моделью угроз организации.

Дополнительные вопросы для самопроверки

  1. Чем stateful МЭ отличается от stateless?
  2. Почему доменный контроллер не размещают в DMZ?
  3. Что означает принцип «наименьших привилегий» для сетевого доступа?
Последнее изменение: пятница, 3 июля 2026, 12:13