Настроим Cisco
быстро и просто

NGFW

Октябрь 4, 2024

Информационная безопасность ИТ инфраструктуры / NGFW

Межсетевой экран (firewall) — это устройство безопасности, которое создано для разграничения доступа и контроля сетевого трафика. Работает на3 и 4 уровнях модели OSI, анализируя ip адреса и порты источника и назначения в проходящем через него трафике. Для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.

NGFW — Next Generation FireWall.  Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.

Также используя модуль Application Control.позволяет контролировать трафик на 7 уровне модели OSI, указывая в правилах доступа не протокол и порт (4 уровень OSI), а конкретное приложение (7 уровень OSI). Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобно и безопасно.

 

Чем отличается роутер от межсетевого экрана и NGFW

Информационная безопасность ИТ инфраструктуры

Октябрь 4, 2024

Основные средства защиты информации (СЗИ) для защиты ИТ инфраструктуры:

SIEM (Security information and event management)

Cистема управления событиями безопасности

На основе анализа логов, поступающих от контроллеров домена, рабочих станций, серверов, сетевых устройств, серверов, баз данных и иных систем обнаруживает события информационной безопасности в реальном времени.

NGFW (Next Generation Firewall)

Межсетевые экраны (нового поколения)

Позволяют контролировать сетевой трафик, предоставлять права сетевого доступа для пользователей и ресурсов, а также контролировать и защищать проходящий через них трафик.

WAF (Web Application Firewall)

Система защиты веб приложений

Дополнительный уровень защиты для веб приложений. Работает по принципу реверс прокси сервера — выдает себя за приложение для клиента и от своего имени запрашивает данные с целевого сервера. Анализирует поступающие запросы на уровне протокола HTTP, сигнализирует и/или блокирует вредоносные запросы и активность.

AVP (Antivirus Protection)

Система антивирусной защиты

Обеспечивает защиту от проникновения известных вредоносных программ. Позволяет обнаружить и уничтожить вредоносные программы.

DLP (Data Leak Prevention)

Система предотвращения утечек данных

Обычно представляет собой взаимосвязь между центральным сервером управления и установленнми агентами на целевых устройствах (рабочие станции, серверы). Система анализирует весь поток данных на рабочей станции и мгновенно блокирует любую передачу данных при обнаружении утечки.

Контролирует доступ по сети (email, ftp, соц. сети…), доступ на физические носители (USB, CS, DVD, Bluetoth…), а также все действия, которые совершает пользователь. Часто имеет возможность записывать звук микрофона, делать снимки экрана и фиксировать иные действия подконтрольных рабочих станций.

Vulnerability scanner

Сканнер уязвимостей

Это система позволяет проанализировать имеющуюся ИТ инфраструктуру на наличие известных уязвимостей. Помимо аудита и выявления проблем также часто может предложить пути по их устранению

Существует 2 базовых подхода к сканированию:

WhiteBox. Сканнер располагается внутри инфраструктуры и проводит анализ, заранее «зная» что именно анализируется будь то сеть, система, приложение или иной ресурс. Сканирование проводится без учета имеющихся средств защиты. Подход позволяет полностью исследовать объект. Минус в том, что такой анализ гораздо менее приближен к реальной среде и тому, как исследуемый ресурс представляется для потенциального злоумышленника

BlackBox. Сканнер проводит сканирование извне и «видит» целевой ресурс также, как и потенциальный злоумышленник. Соответственно, в итоговом отчете будет отражена картина не по цели сканирования, а по всей инфраструктуре, включая все имеющиеся средства защиты.
Например, при сканировании веб сервера извне при таком подходе сканнеру будут доступны только те порты, которые открыты на межсетевом экране, а часть уязвимостей может быть отражена средствами WAF, защищающего этот сервер.

 

 

Как готовиться к собеседованию ИТ специалисту

Июль 14, 2024

Как человек, который провел более 100 собеседований для ИТ специалистов, как и сам прошел немало интервью просто расскажу о том, как будет проходить ВАШЕ собеседование практически в любую компанию.

Как пройти собеседование на сетевого инженера

Расскажите о себе?

После короткого приветствия вас попросят рассказать о своем прошлом опыте работы в других компаниях Будьте готовы уложить в 2-3 минуты рассказ о себе и о том, чем вы занимались на прошлом месте работы. Сильно углубляться в детали смысла нет — вас спросят о всех интересных подробностях позже. Расскажите какую должность занимали, что входило в ваши обязанности и о своих основных достижениях.

Если у вас совсем нет опыта и вы только закончили учебное заведение или курсы, то расскажите о том, что изучали. Подойдет как описание программы курсов, так и краткое содержание дипломной работы.

А знаете ли вы эту технологию?

Сразу после или даже во время вашего монолога «о себе» вас будут спрашивать о деталях, касающихся вашей деятельности, а потом плавно перейдут к теоретическим вопросам. Вас спросят про общеизвестные технологии, настройки, методы. Например:

  • Что такое протокол BGP? Зачем он нужен?
  • Что такое таблица маршрутизации? Какие параметры указываются для маршрутов?
  • Что такое Spanning tree? Зачем он нужен?
  • Чем отличается маршрутизатор от межсетевого экрана?
  • Что нужно для того, чтобы построить IPSEC VPN тоннель?

Отвечайте максимально все. что знаете. Если забыли какие-то таймеры, термины или что-то подобное, то рассказывайте своими словами — это тоже покажет ваш кругозор и будет ценно.

 

А вдруг все-таки спросят вопрос по теме, которую я не знаю? 

Не переживайте! Точно спросят! На это есть простой и правильный ответ, который звучит примерно так: «Нет, эту тему я не знаю. Мне не приходилось работать с ней ранее. Но ОЧЕНЬ интересно будет изучить. Давно хотел!»

Помните, что 80% знаний мы получаем не когда учимся на курсах, а пока работаем и занимаемся ей повседневно.

Почему ищете работу?

После технической части вас спросят про ваше отношение к прошлой работе и карьерным целям.

Плохой ответ на подобные вопросы — рассказать о том, какие негодяи окружали вас на прошлом месте (особенно начальник) и как тяжело было с ними работать.

Хороший ответ звучит примерно так «На прошлом месте я уже сделал много хорошего и полезного. Достиг предела в развитии. Хочется расти и развиваться, но там этого сделать не получается, поэтому смотрю компании, которым могу быть полезен и рассматриваю предложения.»

Сколько денег вы хотите?

Традиционная игра на каждом собеседовании! Правила просты — кто первым озвучил сумму заработной платы, тот и проиграл.

Пример ответа: «Я, конечно же, хотел бы чем больше — тем лучше. Но понимаю, что у вас есть фиксированная ставка на эту позицию. Если я подхожу на эту вакансию, то готов рассмотреть любые ваши предложения.»

Без сомнения уместно назвать желаемую сумму самому, если вы хорошо представляете сколько стоит подобный специалист на рынке труда, но ни в коем случае не вздумайте занизить свои ожидания! Помните, что собеседование — это как раз тот момент, когда вы договариваетесь о желаемой заработной плате! Повысить ее во время работы в разы сложнее, чем даже перейти на другое место работы!

Ваша очередь спрашивать. Что вам интересно узнать?

Плохой ответ — «Ничего. У меня нет вопросов.»

Хорошие вопросы, которые должны вас интересовать:

  • Какие главные задачи на этой позиции на ближайшие пол года?
  • Расскажите о коллективе? Кто входит в команду и с кем нужно будет взаимодействовать?
  • Какой у вас принят формат работы: уделенный: гибридный? все время в офисе?
  • Часто ли бывают аварии или нужно задерживаться по рабочим вопросам?
  • Предоставляется ли корпоративное оборудование для работы: ноутбук, телефон?…

Не пренебрегайте этими и другими вопросами. Спросите хотя бы пару из них «для вежливости». В любом случае это даст лично вам больше понимания об этом месте, так как выбирают в данные момент не только вас, но и вы сами.

После собеседования

Любое интервью — это стресс даже для очень опытных специалистов. После него нужно отдохнуть, а на следующий день со свежими силами проанализировать весь диалог и выявить свои сильные и слабые стороны.

Если вас спросили о какой-то технологии или функции, которую вы не знаете, то почитайте о ней в интернете для общего развития. Будет достаточно краткой статьи на Википедии или другом ресурсе для понимания ее принципов. На следующем собеседовании вы уже будете знать что ответить!

Что дальше?

Кстати о будущих собеседованиях. Не ждите ответа от этого работодателя, а сразу договаривайтесь с другими о следующих интервью. Ваша задача — пройти несколько собеседований и получить сразу несколько предложений о работе, после чего выбрать наиболее понравившееся.

Даже если вы прошли всего лишь одно собеседование и вам сразу же предложили работу, все равно постарайтесь  пообщаться еще хотя бы в одном или двух местах.Если вы думаете, что несколько собеседований проходят лишь те, имеют мало опыта и знаний, то это глубочайшее заблуждение! Наоборот, если вы прошли собеседование в компанию и вас сразу же берут,, то скорее всего вам или сказочно повезло (маловероятно) или что вы обозначили свои зарплатные ожидания гораздо меньше рыночной стоимости и вас хотят принять на меньшие деньги как можно скорее.

Не думайте лишнего о том, что «это же некрасиво…». У вас точно есть 1 или 2 недели на «подумать». используйте их с максимальной эффективностью для себя! Ориентируйтесь на количество от 3 до 10 собеседований. на каких-то не понравитесь или не подойдете вы, на каких-то вам не понравится работодатель (это будет происходить гораздо чаще, чем можно себе представить). Из оставшихся вы будете выбирать(!) к кому же пойти.

 

Читайте другие статьи о сетях В стиле Deltaconfig 

telegram-iconНаш канал в Telegram

 

Чем отличается роутер от межсетевого экрана и NGFW

Июнь 9, 2024

Маршрутизатор

Маршрутизатор (Router) — это устройство, созданное главным образом для передачи пакетов на основе информации об ip адресах. Его задача — получить пакет на одном из своих интерфейсов, заглянуть в таблицу маршрутизации и решить в какой интерфейс и на какой следующий шлюз отправлять трафик дальше.

Практически у каждого маршрутизатора есть базовая функция безопасности — возможность создания правил доступа — Access Control Lists (ACL).  В них нужно указать ip адреса источника, назначения, протокол и порт и пометить: разрешен ли такой трафик или запрещен. Таким образом можно регулировать сетевой трафик, ограничивая нежелательные соединения.

Пример:

от адреса 192.168.1.10 до адреса 8.8.8.8 протокол TCP и порт 443 действие Разрешить

 

 

Важно!

Важно отметить, что логика работы ACL в маршрутизаторах похожа на трафарет, который устройство прикладывает к входящему или исходящему пакету. Если совпадение есть — пропускает трафик. Если совпадений нет — не пускает.

Например, можно сделать такое правило для какого-нибудь внешнего ip адреса сайта в сети Интернет, на котором располагаются вредоносные программы.

Однако, нужно всегда помнить, что маршрутизатор создан в первую очередь для передачи трафика, а не для его контроля. Его задача — стабильность и скорость передачи трафика.

 

Межсетевой экран

Межсетевой экран (firewall) — это устройство безопасности. Он создан именно для контроля трафика и обладает в своей базе гораздо большим арсеналом возможностей. Здесь также есть списки доступа и они выглядят точно также, как и маршрутизаторах — адрес источника, адрес назначения, протокол, порт и действие (разрешить или запретить). Ключевое отличие в том, что межсетевой экран для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.

Разницу в логике работы ACL с маршрутизатором отлично можно увидеть на примере протокола TCP (HTTPS). Представим, что пользователь в корпоративной сети идет на какой-то сайт в Интернет, посылая запрос. В этот момент маршрутизатор и межсетевой экран будут действовать одинаково — получив запрос пользователя посмотрят в свои базы правил и пропустят через себя трафик.

Далее веб сервер отвечает на запрос пользователя и тут логика маршрутизатора и межсетевого экрана будет работать также одинаково — оба пропустят ответный пакет. А в чем тогда разница?

Разница будет тогда, когда злобный хакер решит попробовать взломать вашу сеть и попытается обмануть устройство, выставив себя за веб сервер. Он попробует сразу послать пакет, сделав его ответным на несуществующий запрос. Если у вас будет стоять маршрутизатор, то он обратится к своей базе правил, увидит соответствие и благополучно пропустит такой пакет, не заподозрив неладное. Дальше хакер может установить соединение с каким-то из узлов внутри сети и продолжить вершить свои темные дела.

А вот межсетевой экран, получив ответный пакет после быстрого анализа поймет, что для него не было запросов. И такой пакет пропускать не станет, Еще и в лог сделает соответствующую запись, чтобы администратор обязательно обратил внимание на такие попытки.

За возможность работы этой и других функций безопасности межсетевому экрану приходится расплачивается своей производительностью. А выводом из всего этого будет то, что оба устройства важны и нужны, только у каждого из них своя область применения. Если нужно передать большие объемы трафика, то нужен маршрутизатор.  А если нужно контролировать сетевой трафик, то не обойтись без межсетевого экрана.

 

NGFW

NGFW — Next Generation FireWall.  Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.

Если по-простому, то IPS — это модуль, который содержит в себе несколько тысяч заготовленных правил. Правила называются сигнатурами и каждая из них описывает набор параметров, по которым можно определить вредоносный трафик. NGFW сверяет поступающий трафик с этой базой и применяет к трафику заданные действия (разрешения, уведомления, блокировки…)

Также очень полезен модуль Application Control. Он позволяет указывать в правилах доступа не протокол и порт, а конкретное приложение. Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобно и безопасно.

Модуль Network Antivirus — позволяет проводить антивирусную проверку для проходящих через устройство файлов.

Модуль URL filtering — позволяет открыть доступ в Интернет на определенные категории сайтов. Например разрешить пользователям читать новости, пользоваться поисковыми системами и онлайн магазинами, при этом запретить контент для взрослых, запрещенные вещества и другие непотребства.

Модуль SSL Inspection — позволяет расшифровывать SSL (HTTPS) трафик с целью поиска уязвимостей и вредоносной активности. NGFW получает запрос от пользователя на доступ к веб ресурсу в интернете, расшифровывает его и отправляет дальше от своего имени. Без этого модуля NGFW не может заглянуть внутрь такого трафика, так как передаваемые данные зашифрованы.

 

Читайте другие статьи о сетях В стиле Deltaconfig 

telegram-iconНаш канал в Telegram

Как работает коммутатор (l2 switch)

Март 1, 2024

Основная задача коммутатора — объединить устройства в единую сеть. Он передает данные, полученные на один из своих интерфейсов в другой на основе информации о MAC адресах источника и назначения, содержащейся в передаваемом фрейме.

 

Как работает коммутатор (l2 switch)

 

В основе их логики лежит Таблица коммутации. Как только в сети появляется новый хост и пробует передать любую информацию, коммутатор фиксирует, что на одном из его интерфейсов появился новый MAC адрес. Он заносит эти данные вида:

Интерфейс Х - MAC адрес У

Когда этот вновь появившийся хост пытается обратиться к какому-то MAC адресу, например соседнего хоста, коммутатор анализирует информацию о MAC адресе назначения и смотрит, есть ли таковой в его таблице коммутации. Как только нашлось соответствие, то дальше дело за малым — коммутатору остается только передать ее из одного интерфейса в другой.

Если же он не найдет соответствия, то попытается отправить фрейм сразу по всем своим интерфейсам. Если целевой хост назначения «живой», то он обязательно ответит на такой запрос. А коммутатор, увидев ответ от еще одного MAC адреса, занесет данные в таблицу коммутации и далее при сетевом взаимодействии этих двух хостов будет просто пересылать данные из одного интерфейса в другой.

Срок жизни данных в таблицах коммутации обычно составляют 5 минут. Если оба устройства перестанут отправлять и получать информацию друг от друга, то постепенно данные о их MAC адресах исчезнут из таблицы. Процесс повторится вновь как только хостам снова потребуется что-то передать друг другу.

 

Читайте другие статьи о сетях В стиле Deltaconfig 

telegram-iconНаш канал в Telegram

 

×

Форма для связи