Сети и сетевая безопасность

Сеть – это  группа компьютеров и других устройств, соединенных между собой.  Это могут быть 2 компьютера , которые  соединяются серийным кабелем , или множество компьютеров во всем мире, объединенных через Интернет.  Компьютеры одной сети могут работать вместе и обмениваться данными.

Несмотря на то, что сеть Интернет позволяет получить  доступ  к большому количеству информации и увеличивает возможности ведения дел через сеть, это влечет за собой проникновение хакеров в вашу сеть.

Многие люди думают, что их компьютеры не содержат важную информацию. Они не подозревают, что их компьютер является мишенью для хакеров. Это заблуждение.

Хакер может использовать ваш компьютер как платформу для атаки других компьютеров или сетей, а также  использовать вашу учетную запись  для отправки  спама. Ваша персональная информация и данные учетной записи также уязвимы и ценны для хакеров.

WatchGuard устройство и подписка LiveSecurity помогут вам отразить атаки такого типа. Хорошая политика сетевой безопасности или набор правил доступа для пользователей также помогут вам эффективно обнаруживать и отражать атаки на ваш компьютер и вашу сеть. Мы рекомендуем вам настроить ваш Firebox в соответствие с вашей политикой безопасности и подумать о потенциальных внешних и внутренних угрозах для вашей компании.

Интернет подключения

ISP (Internet service providers) – это компании, которые предоставляют пользователям доступ в сеть Интернет. Скорость, с которой данные передаются по сети, называется пропускная способность: например 3 Мбит/с (Mbps).

Высокоскоростное соединение, такое как например кабельный модем или DSL (Digital Subscriber Line), также известно как широкополосное соединение.

Широкополосные соединения значительно быстрее dial-up соединений. Пропускная способность dial-up соединения меньше .1 Мбит/c , в то время как пропускная способность кабельного модема может быть более 5 Мбит/с .

Обычно скорость передачи данных несколько меньше, чем максимальная скорость, так как каждый компьютер является частью одной сети и использует некоторую часть пропускной способности. Поэтому скорость передачи данных по кабельному модему может значительно снизится при наличии большого количества пользователей в сети.

DSL соединения обеспечивают постоянную величину пропускной способности, но скорость передачи данных в таких соединениях меньше, чем скорость передачи через кабельные модемы. Также следует помнить, что пропускная способность величина постоянная только между вашим домом или офисом и центральным офисом, в котором установлен DSL модем.

Передача информации в сети Интернет

Данные по сети Интернет передаются пакетами, имеющими адрес пункта назначения. Пакеты, которые передаются по сети, могут попадать в пункт назначения разными путями, или маршрутами. В пункте назначения порядок этих пакетов восстанавливается. Для того чтобы гарантировать доставку всех пакетов в пункт назначения в них добавляется информации об адресе назначения.

Протоколы

Протокол – это совокупность правил, которое используется устройствами для обмена данными в сети. Протоколы являются грамматикой языка, на котором общаются устройства в сети. Стандартным протоколом сети Интернет является протокол IP (Internet Protocol). Этот протокол используется компьютерами в сети Интернет для общения друг с другом. Этот протокол определяет, каким образом данные будут передаваться по сети. Наиболее часто используемые транспортные протоколы это TCP (Transmission Control Protocol) и UDP (User Datagram Protocol). TCP/IP – основной стек протоколов, который используется компьютерами для подключения к сети Интернет.

При настройке устройства WatchGuard вам необходимо будет знать некоторые параметры стека протоколов TCP/IP. Для более подробной информации см.  “Ваши настройки TCP/IP ”

Для того чтобы отправить обычное письмо кому –либо, вам необходимо знать координаты. Для передачи данных по сети Интернет от одного компьютера к другому необходимо знать адрес этого компьютера. Компьютерный адрес известен как IP-адрес (Internet Protocol Address) . Все устройства в сети Интернет имеют уникальный IP адрес, который  позволяет другим устройствам находить  их  и обмениваться с ними данными. IP адрес состоит из четырех октетов (8-битных двоичных последовательностей),  представленных в десятичном формате и разделенных точками. Каждое значение между точками должно лежать в диапазоне от 0 до 255.

Некоторые примеры IP адресов:

• 206.253.208.100
• 4.2.2.2
• 10.0.4.1

Внутренние адреса и шлюзы

Большинство компаний создают так называемые внутренние сети со своим собственным адресным пространством. Диапазон адресов 10.x.x.x и 192.168.x.x зарезервирован для внутренних IP-адресов. Компьютеры, подключенные к сети Интернет не могут использовать эти адреса. Если компьютер находится во внутренней (частной) сети, то к сети Интернет вы подключаетесь через шлюз – устройство, которое имеет публичный IP адрес.

Обычно шлюзом по умолчанию (default gateway) является маршрутизатор, находящийся между вашей внутренней сетью и сетью Интернет. После того, как вы подключите устройство Firebox к вашей сети, то оно становится вашим шлюзом по умолчанию для всех компьютеров, подключенных к Trusted или Optional интерфейсам.

Маски подсети

Для безопасности и увеличения эффективности  сети обычно разделяют на более мелкие части, называемые подсетями. Все устройства подсети имеют схожие IP адреса. Например, все устройства, имеющие IP адреса, у которых первые три октета  50.50.50 – принадлежат одной и той же подсети.  Сеть IP адресов масок подсети или сетевая маска – это последовательность битов, которую маска делит на IР адреса,  показывающая количество доступных адресов и количество уже используемых. Маску подсети также как и IP адрес или в slash или CIDR нотации.

Slash-нотация

Slash-нотация используется устройством Firebox для многих целей, включая настройку политик. Slash-нотация, также известна как CIDR (Classless Inter-Domain Routing) нотация – это более удобный способ записи маски подсети.

При использовании slash-нотации вы записываете IP-адрес, затем прямую косую черту (/), и затем номер маски подсети. Для того чтобы определить номер маски подсети:

1. Конвертируйте маску подсети в двоичный вид.
2. Посчитайте количество единиц в маске подсети. Это количество и будет номером маски подсети

Например, вы хотите записать IP-адрес 192.168.42.23 с маской подсети 255.255.255.0, используя slash-нотацию.

1. Приведение маски подсети к двоичному представлению. Например, двоичное представление 255.255.255.0. - 11111111.11111111.11111111.00000000.
2. Подсчет количества единиц в маске подсети. Приведенный выше пример имеет двадцать четыре единицы.
3. Затем к IP адресу из пункта 2 добавляется число, отделяемое от основного IP адреса слешом (/).
   В результате получим 192.168.42.23/24.

Приведенная таблица показывает общие сетевые маски и их эквиваленты в slash-нотации.

Маска подсети	Эквивалент маски в slash-нотации
255.0.0.0	/8
255.255.0.0	/16
255.255.255.0	/24
255.255.255.128	/25
255.255.255.192	/26
255.255.255.224	/27
255.255.255.240	/28
255.255.255.248	/29
255.255.255.252	/30

Ввод IP-адресов

К этому типу IP адресов относятся - ваш IP адрес в мастере Setup Wizard или диалоговом окне управления программным обеспечением в Firebox, типом цифр и периодами в правильной последовательности. Для того, чтобы не  использовать клавишу TAB, клавиши со стрелками, клавишу пробела, или мышь для перевода курсора после периодов. 

Например, если  ваш IP адрес 172.16.1.10  не относится к типу  пространства после 16. Не пытайтесь перевести курсор после следующего периода к типу 1.

Тип периода непосредственно следующий после 16 и затем типы 1.10. Нажмите «/» для перемещения к сетевой маске.

Статические и Динамические IP адреса

ISP (Internet service providers – поставщик Интернет услуг)  определяет IP адрес каждого устройства сети. IP адрес может быть статическим или динамическим. Статический IP адрес не меняет своего значения.  Если у вас есть web-сервер, FTP-сервер или другие Интернет ресурсы, которые не могут менять своего адреса, вы можете получить статический IP адрес от вашего ISP. Статический IP адрес обычно более дорогой, чем динамический, и некоторые Интернет-провайдеры не предоставляют статические IP адреса.

В этом случае вам следует сформировать статический IP адрес вручную. Динамические IP адреса ISP выделяют для вашего временного пользования. Если динамический адрес не используется, он может быть автоматически присвоен другому устройству. Динамический IP адрес устанавливает использование либо DHCP, либо PPPoE.

DHCP (Dynamic Host Configuration Protocol) Интернет протокол, который компьютер сети использует для получения IP адресов и другой информации, такой как шлюз по умолчанию. Когда вы подключаетесь к Интернету, DHCP сервер автоматически присваивает IP адрес вашему компьютеру

Это может быть IP адрес, который вы использовали ранее, либо новый, еще не использованный вами IP адрес. Когда вы закрываете Интернет соединение, которое использует динамический IP адрес, Интернет-провайдер может назначить этот IP адрес другому клиенту.(пользователю) Вы можете сконфигурировать Firebox как DHCP сервер для сетей, подключенных к нему. Вы можете назначить диапазон, из которого DHCP сервер сможет выбрать адрес.

Для поиска адреса нужного вам человека вы зачастую пользуетесь телефонным справочником. В сети Интернет эквивалентом телефонного справочника является DNS (Domain Name System). DNS – это набор серверов, которые преобразуют числовые IP адреса в читаемые Интернет адреса и наоборот. DNS получает от вас запрос на подключение, например к сайту www.example.com, и находит его IP-адрес - 50.50.50.1.

Для подключения к сайтам сетевым устройствам необходим его реальный IP адрес, однако доменные имена легче запомнить.  DNS сервер – это сервер, который выполняет это преобразование. Многие компании имеют внутренние DNS серверы в своей сети, которые также занимается обработкой DNS запросов. Вы также можете использовать внешние DNS серверы, например DNS сервер, предоставленный вашим ISP

Брандмауэр – это устройство, которое используется для защиты вашей внутренней сети от внешних атак. На рисунке ниже показано, каким образом брандмауэр защищает компьютеры, подключенные к Trusted сети.

Брандмауэры используют политики доступа для идентификации и фильтрации данных различных типов. Они также могут определять какие порты и политики могут быть использованы пользователями при подключении к сети Интернет (исходящий доступ). Например многие брандмауэры имеют политики безопасности, которые разрешают только определенные типы трафика. Пользователи имеют возможность выбирать политики, которые подходят им больше всего. Другие брандмаэуры, как например WatchGuard устройства, позволяют пользователю самому настраивать эти политики

Брандмауэры могут программными и аппаратными. Брандмауэр защищает сеть от несанкционированного доступа из сети Интернет. Входящий и исходящий трафик анализируется брандмауэром, если трафик не удовлетворяет политике безопасности, то он блокируется. В некоторых закрытых или default-deny брандмауэрах, все подключения запрещены, только если нет специального правила, которое разрешает это подключение. Для того чтобы использовать такой тип брандмауэром вам необходимо иметь очень подробную информацию о приложениях, которые необходимо использовать в вашей сети. Другой тип брандмауэров разрешают весь сетевой трафик, который не заблокирован в настройках. Такой тип брандмауэров легче эксплуатировать, но они менее безопасны.

Сервисы и политики

Вы используете сервисы для отправки определенные типов данных (электронная почта, файлы или команды) с одного компьютера на другой через сеть или другие сети.  Эти сервисы используют протоколы. Чаще всего используются следующие Интернет сервисы:

• Доступ в сеть Интернет (World Wide Web) осуществляется по протоколу HTTP(HyperText Transfer Protocol );
• Для передачи электронной почты используется протоколы SMTP или POP3;
• Для передачи файлов используется протокол FTP;
• Для поиска IP адреса по доменному имени используется DNS,
• Для удаленного доступа к терминалу используются протоколы Telnel или SSH (Secure Shell).

Когда вы разрешаете или запрещаете сервис, вы должны добавить политику в конфигурацию вашего Firebox. Каждая созданная вами политика может создать брешь в вашей системе безопасности. Для того чтобы передавать и получать данные вам необходимо будет открывать доступ к вашему компьютеру, что несет в себе потенциальную угрозу вашей сети. Мы рекомендуем добавлять только те политики, которые вам необходимы для вашей деловой деятельности.

Пример использования политики: предположим, что ваш системный администратор хочет разрешить подключение Windows терминала к публичному серверу компании на Optional интерфейсе. Администратор при помощи Remote Desktop администрирует этот сервер. Он не хочет, чтобы другие пользователи могли использовать Remote Desktop сервисы через Firebox. Администратору необходимо добавить политику, которая разрешает RDP соединения только с IP-адреса компьютера администратора на IP-адрес публичного web-сервера.

Во время настройки вашего WatchGuard устройства при помощи мастера Quick Setup Wizard, мастер создает политики для ограниченного исходящего доступа. Если у вас используется другие приложения, то для того чтобы разрешить им доступ вам необходимо выполнить следующее:

• Настроить политики на Firebox, которые разрешат необходимый трафик
• Создать список хостов, к которым будет применяться эта политика, и выполнить все необходимые настройки параметров политики
• Создать такую политику доступа, которая одновременно не создаст потенциальной бреши в вашей системе защиты, и которая предоставит пользователям доступ к необходимым сервисам

Порты, помимо физических портов, которые используются для физического подключения устройств друг к другу, но также и специальные номера, которые используются для привязки трафика к определенным процессам на компьютере. Если IP адрес похож на адрес улицы, то порт представляет собой номер квартиры или здания на этой улице. Когда компьютер передает данные на другой удаленный компьютер, он указывает IP адрес устройства, которое эти данные будет получать, и номер порта, который определяет какой процесс на этом устройстве эти данные будет обрабатывать.

Например, вы хотите посмотреть страницу на Интернет сайте. Ваш браузер пытается создать подключение через порт 80 ( порт для HTTP трафика) для каждого элемента страницы. После того, как браузер получит все запрашиваемые с сервера данные, он закроет соединение.

Большинство портов используются только для определенного типа трафика, например порт 25 используется только для SMTP (Simple Mail Transfer Protocol) трафика. Некоторые протоколы, как SMTP, имеют закрепленные за ними номера портов. Другие программы для каждого подключения используют различные номера портов. Специальная организация IANA (Internet Assigned Numbers Authority) содержит список известных портов. Для того чтобы посмотреть список портов зайдите на сайт: https://www.iana.org/assignments/port-numbers

Большинство политики, которые вы создаете на устройстве Firebox, имеют номера портов от 0 и 1024

Порты можно закрыть или открыть. Если порт открыт, то ваш компьютер принимает данные по этому порту и использует этот порт для соединения с другими устройствами. Однако открытый порт это угроза вашей системе безопасности. Для того чтобы защитить вашу сеть от атак вам необходимо решить, какие порты необходимо заблокировать, а какие необходимо открыть. Для более подробной информации см. “Заблокированные порты”.

Вы также можеть блокировать попытки хакеров сканировать порты на вашем компьютере: процедура сканирования портов используется для того, чтобы определить, какие порты открыты на вашем компьютере. Для более подробной информации см. “Сканирование портов и адресного пространства”.