МЕРЕЖА ПІД ЗАМКОМ Автор: Герман БОГАПОВ принт версiя обговорити надіслати другу прочитати пізніше лист редактору Жодна велика сучасна компанія практично не може успішно вести бізнес без використання корпоративної мережі, зв’язок між окремими ділянками якої здійснюється каналами Інтернету. Відомо також, що останнім часом почастішали атаки хакерів, яким на руку незахищеність апаратного і програмного забезпечення таких мереж. Крім того, Інтернетом гуляють віруси й троянці, знищуючи цілі масиви інформації. Проте керівники багатьох компаній досі не приділяють належної уваги питанням інформаційної безпеки. На жаль, твердження не голослівне — факт підтвердили дослідження, виконані силами Ernst&Young у 66 країнах світу, включно з Україною. Віруси і людський чинник Опитування засвідчило, що найсерйознішу загрозу ІТ-безпеці становлять комп’ютерні віруси і хробаки. Дедалі більше компаній усвідомлюють значимість «людського чинника» і пов’язаних із ним загроз роботі ІТ-систем. Серед таких небезпек — атаки DDo (distributed denial of service — розподілена атака, що викликає відмову сервера від обслуговування) і розкрадання конфіденційної інформації. «Розподіленість» атаки досягається двома способами. Перший передбачає координацію зусиль добровольців, які вручну або на програмному рівні ініціюють велику кількість запитів до атакованого сервера. Другий спосіб більш наукомісткий і передбачає використання так званих «зомбованих серверів»: зловмисник установлює на веб-серверах, які «нічого не підозрюють», програми, котрі починають закидати атакований сервер запитами. Примітно, що втрата клієнтських даних і доступ сторонніх консультантів до ІТ-систем не вважаються в СНД серйозними проблемами. Розглядають хакерів-дилетантів як загрозу в основному міжнародні компанії. При цьому більше половини керівників (66%) не дуже впевнені у здатності своїх компаній виявляти хакерські атаки. Водночас майже така ж сама кількість респондентів (67%) сподівається, що їхня компанія зможе продовжити свою діяльність у разі хакерської атаки чи іншої екстреної ситуації. Вихід через шлюзи Зрозуміло, найкращий захист — це відсутність усякого контакту із зовнішнім світом. У даному разі — з Інтернетом. Але що ж тоді залишається від мережі? Не впадаючи у крайнощі, слід, однак, подбати, щоб усі комп’ютери й мережеві пристрої (принтери, сканери), які можуть обійтися без підключення до Інтернету, використовували цю можливість. Локальну мережу слід від’єднати від Інтернету, тобто не можна використовувати світові IP-адреси, її вихід в Інтернет забезпечується через спеціальний шлюз на сервері. Шлюзова система, у свою чергу, має бути максимально захищеною від впливів ззовні. Це означає, що закритими для доступу ззовні є всі службові файли, корпоративні бази даних для внутрішнього використання, а система і мережеві додатки постійно обновляються. Міжмережевий екран — це набір пов’язаних між собою програм, які розміщуються на сервері, що пов’язаний із локальною мережею й захищає внутрішніх користувачів від зовнішніх. Власник комп’ютера, що має вихід в Інтернет, установлює міжмережевий екран, аби запобігти отриманню сторонніми конфіденційних даних, а також для контролю за зовнішніми ресурсами, до яких мають доступ внутрішні користувачі. В основному міжмережеві екрани працюють із програмами маршрутизації та фільтрами всіх мережевих пакетів. Їхнє завдання — визначити, чи можна пропустити даний інформаційний пакет, і якщо можна, то відправити його точно за призначенням до комп’ютерної служби. Природно, щоб міжмережевий екран міг упоратися з покладеними на нього обов’язками, йому задають правила фільтрації. Переходи тунелями Для створення великих корпоративних мереж, коли виникає потреба пов’язати кілька локальних мереж через Інтернет, будують VPN-тунелі (Virtual Private Networks) — так звані «приватні віртуальні мережі». Розгорнувши віртуальну приватну мережу, компанії можуть з’єднати міжмережеві екрани без додаткових витрат на виділення ліній для їх з’єднання. Принцип роботи віртуальних приватних мереж полягає в тунелюванні переданого трафіка через мережу загального користування, наприклад Інтернет. Технологія реалізується на основі спеціальних пристроїв — криптошлюзів, які приховують структуру локальної мережі, захищають від проникнення ззовні, здійснюють маршрутизацію трафіку. VPN вигідно відрізняється від традиційних рішень на основі виділених каналів — гнучкість і масштабованість мережі, нижча вартість, високий рівень захищеності переданої інформації. Природно, що цих переваг не міг не помітити споживач. Ринок бурхливо розширюється, пристрої VPN є в лінійці моделей практично будь-якого великого виробника телекомунікаційного обладнання. Безпека — справа провайдера? Виявляється, багато провайдерів надають послуги з доступу до Інтернету по виділених лініях і при цьому знімають із себе відповідальність за «зломи» серверів клієнтів, підключених по цих виділених лініях. Хоча більшість провайдерів виконує моніторинг надходження електронної пошти на предмет виявлення вірусів і відфутболює заражені листи. За словами Олександра Пантуса, технічного директора компанії «Лакі Нет», клієнти не повинні розраховувати на 100-відсотковий захист із боку провайдерів. Провайдери ставлять фільтри, які захищають від вірусів та хробаків, відстежують появу нових видів їх і таким чином захищають від вірусних атак. З ініціативи клієнта, може бути створено захист і від мережевих атак. При цьому провайдер може встановити апаратно-програмний комплекс із базовим рівнем безпеки. Є й спеціалізовані компанії, що займаються саме створенням корпоративних мереж, включно з розробкою і встановленням апаратного та програмного забезпечення, узгодженням його роботи, підключенням до провайдерів. В Україні прикладом грамотно створених мереж можуть бути банківські. Багато українських банків, які мають чимало філій по всій країні, прагнуть створювати й розвивати власні корпоративні мережі. Це дозволяє їм отримати інформаційну інфраструктуру і єдиний телекомунікаційний простір, реалізувати принципи оперативного централізованого управління підрозділами, розширити спектр послуг, знизити витрати на адміністративний та управлінський апарати.