NGFW
Информационная безопасность ИТ инфраструктуры / NGFW
Межсетевой экран (firewall) — это устройство безопасности, которое создано для разграничения доступа и контроля сетевого трафика. Работает на3 и 4 уровнях модели OSI, анализируя ip адреса и порты источника и назначения в проходящем через него трафике. Для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.
NGFW — Next Generation FireWall. Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.
Также используя модуль Application Control.позволяет контролировать трафик на 7 уровне модели OSI, указывая в правилах доступа не протокол и порт (4 уровень OSI), а конкретное приложение (7 уровень OSI). Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобно и безопасно.
Информационная безопасность ИТ инфраструктуры
Основные средства защиты информации (СЗИ) для защиты ИТ инфраструктуры:
SIEM (Security information and event management)
Cистема управления событиями безопасности
На основе анализа логов, поступающих от контроллеров домена, рабочих станций, серверов, сетевых устройств, серверов, баз данных и иных систем обнаруживает события информационной безопасности в реальном времени.
NGFW (Next Generation Firewall)
Межсетевые экраны (нового поколения)
Позволяют контролировать сетевой трафик, предоставлять права сетевого доступа для пользователей и ресурсов, а также контролировать и защищать проходящий через них трафик.
WAF (Web Application Firewall)
Система защиты веб приложений
Дополнительный уровень защиты для веб приложений. Работает по принципу реверс прокси сервера — выдает себя за приложение для клиента и от своего имени запрашивает данные с целевого сервера. Анализирует поступающие запросы на уровне протокола HTTP, сигнализирует и/или блокирует вредоносные запросы и активность.
AVP (Antivirus Protection)
Система антивирусной защиты
Обеспечивает защиту от проникновения известных вредоносных программ. Позволяет обнаружить и уничтожить вредоносные программы.
DLP (Data Leak Prevention)
Система предотвращения утечек данных
Обычно представляет собой взаимосвязь между центральным сервером управления и установленнми агентами на целевых устройствах (рабочие станции, серверы). Система анализирует весь поток данных на рабочей станции и мгновенно блокирует любую передачу данных при обнаружении утечки.
Контролирует доступ по сети (email, ftp, соц. сети…), доступ на физические носители (USB, CS, DVD, Bluetoth…), а также все действия, которые совершает пользователь. Часто имеет возможность записывать звук микрофона, делать снимки экрана и фиксировать иные действия подконтрольных рабочих станций.
Vulnerability scanner
Сканнер уязвимостей
Это система позволяет проанализировать имеющуюся ИТ инфраструктуру на наличие известных уязвимостей. Помимо аудита и выявления проблем также часто может предложить пути по их устранению
Существует 2 базовых подхода к сканированию:
WhiteBox. Сканнер располагается внутри инфраструктуры и проводит анализ, заранее «зная» что именно анализируется будь то сеть, система, приложение или иной ресурс. Сканирование проводится без учета имеющихся средств защиты. Подход позволяет полностью исследовать объект. Минус в том, что такой анализ гораздо менее приближен к реальной среде и тому, как исследуемый ресурс представляется для потенциального злоумышленника
BlackBox. Сканнер проводит сканирование извне и «видит» целевой ресурс также, как и потенциальный злоумышленник. Соответственно, в итоговом отчете будет отражена картина не по цели сканирования, а по всей инфраструктуре, включая все имеющиеся средства защиты.
Например, при сканировании веб сервера извне при таком подходе сканнеру будут доступны только те порты, которые открыты на межсетевом экране, а часть уязвимостей может быть отражена средствами WAF, защищающего этот сервер.
Как готовиться к собеседованию ИТ специалисту
Как человек, который провел более 100 собеседований для ИТ специалистов, как и сам прошел немало интервью просто расскажу о том, как будет проходить ВАШЕ собеседование практически в любую компанию.
Расскажите о себе?
После короткого приветствия вас попросят рассказать о своем прошлом опыте работы в других компаниях Будьте готовы уложить в 2-3 минуты рассказ о себе и о том, чем вы занимались на прошлом месте работы. Сильно углубляться в детали смысла нет — вас спросят о всех интересных подробностях позже. Расскажите какую должность занимали, что входило в ваши обязанности и о своих основных достижениях.
Если у вас совсем нет опыта и вы только закончили учебное заведение или курсы, то расскажите о том, что изучали. Подойдет как описание программы курсов, так и краткое содержание дипломной работы.
А знаете ли вы эту технологию?
Сразу после или даже во время вашего монолога «о себе» вас будут спрашивать о деталях, касающихся вашей деятельности, а потом плавно перейдут к теоретическим вопросам. Вас спросят про общеизвестные технологии, настройки, методы. Например:
- Что такое протокол BGP? Зачем он нужен?
- Что такое таблица маршрутизации? Какие параметры указываются для маршрутов?
- Что такое Spanning tree? Зачем он нужен?
- Чем отличается маршрутизатор от межсетевого экрана?
- Что нужно для того, чтобы построить IPSEC VPN тоннель?
Отвечайте максимально все. что знаете. Если забыли какие-то таймеры, термины или что-то подобное, то рассказывайте своими словами — это тоже покажет ваш кругозор и будет ценно.
А вдруг все-таки спросят вопрос по теме, которую я не знаю?
Не переживайте! Точно спросят! На это есть простой и правильный ответ, который звучит примерно так: «Нет, эту тему я не знаю. Мне не приходилось работать с ней ранее. Но ОЧЕНЬ интересно будет изучить. Давно хотел!»
Помните, что 80% знаний мы получаем не когда учимся на курсах, а пока работаем и занимаемся ей повседневно.
Почему ищете работу?
После технической части вас спросят про ваше отношение к прошлой работе и карьерным целям.
Плохой ответ на подобные вопросы — рассказать о том, какие негодяи окружали вас на прошлом месте (особенно начальник) и как тяжело было с ними работать.
Хороший ответ звучит примерно так «На прошлом месте я уже сделал много хорошего и полезного. Достиг предела в развитии. Хочется расти и развиваться, но там этого сделать не получается, поэтому смотрю компании, которым могу быть полезен и рассматриваю предложения.»
Сколько денег вы хотите?
Традиционная игра на каждом собеседовании! Правила просты — кто первым озвучил сумму заработной платы, тот и проиграл.
Пример ответа: «Я, конечно же, хотел бы чем больше — тем лучше. Но понимаю, что у вас есть фиксированная ставка на эту позицию. Если я подхожу на эту вакансию, то готов рассмотреть любые ваши предложения.»
Без сомнения уместно назвать желаемую сумму самому, если вы хорошо представляете сколько стоит подобный специалист на рынке труда, но ни в коем случае не вздумайте занизить свои ожидания! Помните, что собеседование — это как раз тот момент, когда вы договариваетесь о желаемой заработной плате! Повысить ее во время работы в разы сложнее, чем даже перейти на другое место работы!
Ваша очередь спрашивать. Что вам интересно узнать?
Плохой ответ — «Ничего. У меня нет вопросов.»
Хорошие вопросы, которые должны вас интересовать:
- Какие главные задачи на этой позиции на ближайшие пол года?
- Расскажите о коллективе? Кто входит в команду и с кем нужно будет взаимодействовать?
- Какой у вас принят формат работы: уделенный: гибридный? все время в офисе?
- Часто ли бывают аварии или нужно задерживаться по рабочим вопросам?
- Предоставляется ли корпоративное оборудование для работы: ноутбук, телефон?…
Не пренебрегайте этими и другими вопросами. Спросите хотя бы пару из них «для вежливости». В любом случае это даст лично вам больше понимания об этом месте, так как выбирают в данные момент не только вас, но и вы сами.
После собеседования
Любое интервью — это стресс даже для очень опытных специалистов. После него нужно отдохнуть, а на следующий день со свежими силами проанализировать весь диалог и выявить свои сильные и слабые стороны.
Если вас спросили о какой-то технологии или функции, которую вы не знаете, то почитайте о ней в интернете для общего развития. Будет достаточно краткой статьи на Википедии или другом ресурсе для понимания ее принципов. На следующем собеседовании вы уже будете знать что ответить!
Что дальше?
Кстати о будущих собеседованиях. Не ждите ответа от этого работодателя, а сразу договаривайтесь с другими о следующих интервью. Ваша задача — пройти несколько собеседований и получить сразу несколько предложений о работе, после чего выбрать наиболее понравившееся.
Даже если вы прошли всего лишь одно собеседование и вам сразу же предложили работу, все равно постарайтесь пообщаться еще хотя бы в одном или двух местах.Если вы думаете, что несколько собеседований проходят лишь те, имеют мало опыта и знаний, то это глубочайшее заблуждение! Наоборот, если вы прошли собеседование в компанию и вас сразу же берут,, то скорее всего вам или сказочно повезло (маловероятно) или что вы обозначили свои зарплатные ожидания гораздо меньше рыночной стоимости и вас хотят принять на меньшие деньги как можно скорее.
Не думайте лишнего о том, что «это же некрасиво…». У вас точно есть 1 или 2 недели на «подумать». используйте их с максимальной эффективностью для себя! Ориентируйтесь на количество от 3 до 10 собеседований. на каких-то не понравитесь или не подойдете вы, на каких-то вам не понравится работодатель (это будет происходить гораздо чаще, чем можно себе представить). Из оставшихся вы будете выбирать(!) к кому же пойти.
Читайте другие статьи о сетях В стиле Deltaconfig
Чем отличается роутер от межсетевого экрана и NGFW
Маршрутизатор
Маршрутизатор (Router) — это устройство, созданное главным образом для передачи пакетов на основе информации об ip адресах. Его задача — получить пакет на одном из своих интерфейсов, заглянуть в таблицу маршрутизации и решить в какой интерфейс и на какой следующий шлюз отправлять трафик дальше.
Практически у каждого маршрутизатора есть базовая функция безопасности — возможность создания правил доступа — Access Control Lists (ACL). В них нужно указать ip адреса источника, назначения, протокол и порт и пометить: разрешен ли такой трафик или запрещен. Таким образом можно регулировать сетевой трафик, ограничивая нежелательные соединения.
Пример:
от адреса 192.168.1.10 до адреса 8.8.8.8 протокол TCP и порт 443 действие Разрешить
Важно!
Важно отметить, что логика работы ACL в маршрутизаторах похожа на трафарет, который устройство прикладывает к входящему или исходящему пакету. Если совпадение есть — пропускает трафик. Если совпадений нет — не пускает.
Например, можно сделать такое правило для какого-нибудь внешнего ip адреса сайта в сети Интернет, на котором располагаются вредоносные программы.
Однако, нужно всегда помнить, что маршрутизатор создан в первую очередь для передачи трафика, а не для его контроля. Его задача — стабильность и скорость передачи трафика.
Межсетевой экран
Межсетевой экран (firewall) — это устройство безопасности. Он создан именно для контроля трафика и обладает в своей базе гораздо большим арсеналом возможностей. Здесь также есть списки доступа и они выглядят точно также, как и маршрутизаторах — адрес источника, адрес назначения, протокол, порт и действие (разрешить или запретить). Ключевое отличие в том, что межсетевой экран для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.
Разницу в логике работы ACL с маршрутизатором отлично можно увидеть на примере протокола TCP (HTTPS). Представим, что пользователь в корпоративной сети идет на какой-то сайт в Интернет, посылая запрос. В этот момент маршрутизатор и межсетевой экран будут действовать одинаково — получив запрос пользователя посмотрят в свои базы правил и пропустят через себя трафик.
Далее веб сервер отвечает на запрос пользователя и тут логика маршрутизатора и межсетевого экрана будет работать также одинаково — оба пропустят ответный пакет. А в чем тогда разница?
Разница будет тогда, когда злобный хакер решит попробовать взломать вашу сеть и попытается обмануть устройство, выставив себя за веб сервер. Он попробует сразу послать пакет, сделав его ответным на несуществующий запрос. Если у вас будет стоять маршрутизатор, то он обратится к своей базе правил, увидит соответствие и благополучно пропустит такой пакет, не заподозрив неладное. Дальше хакер может установить соединение с каким-то из узлов внутри сети и продолжить вершить свои темные дела.
А вот межсетевой экран, получив ответный пакет после быстрого анализа поймет, что для него не было запросов. И такой пакет пропускать не станет, Еще и в лог сделает соответствующую запись, чтобы администратор обязательно обратил внимание на такие попытки.
За возможность работы этой и других функций безопасности межсетевому экрану приходится расплачивается своей производительностью. А выводом из всего этого будет то, что оба устройства важны и нужны, только у каждого из них своя область применения. Если нужно передать большие объемы трафика, то нужен маршрутизатор. А если нужно контролировать сетевой трафик, то не обойтись без межсетевого экрана.
NGFW
NGFW — Next Generation FireWall. Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.
Если по-простому, то IPS — это модуль, который содержит в себе несколько тысяч заготовленных правил. Правила называются сигнатурами и каждая из них описывает набор параметров, по которым можно определить вредоносный трафик. NGFW сверяет поступающий трафик с этой базой и применяет к трафику заданные действия (разрешения, уведомления, блокировки…)
Также очень полезен модуль Application Control. Он позволяет указывать в правилах доступа не протокол и порт, а конкретное приложение. Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобно и безопасно.
Модуль Network Antivirus — позволяет проводить антивирусную проверку для проходящих через устройство файлов.
Модуль URL filtering — позволяет открыть доступ в Интернет на определенные категории сайтов. Например разрешить пользователям читать новости, пользоваться поисковыми системами и онлайн магазинами, при этом запретить контент для взрослых, запрещенные вещества и другие непотребства.
Модуль SSL Inspection — позволяет расшифровывать SSL (HTTPS) трафик с целью поиска уязвимостей и вредоносной активности. NGFW получает запрос от пользователя на доступ к веб ресурсу в интернете, расшифровывает его и отправляет дальше от своего имени. Без этого модуля NGFW не может заглянуть внутрь такого трафика, так как передаваемые данные зашифрованы.
Читайте другие статьи о сетях В стиле Deltaconfig
Как работает коммутатор (l2 switch)
Основная задача коммутатора — объединить устройства в единую сеть. Он передает данные, полученные на один из своих интерфейсов в другой на основе информации о MAC адресах источника и назначения, содержащейся в передаваемом фрейме.
В основе их логики лежит Таблица коммутации. Как только в сети появляется новый хост и пробует передать любую информацию, коммутатор фиксирует, что на одном из его интерфейсов появился новый MAC адрес. Он заносит эти данные вида:
Интерфейс Х - MAC адрес У
Когда этот вновь появившийся хост пытается обратиться к какому-то MAC адресу, например соседнего хоста, коммутатор анализирует информацию о MAC адресе назначения и смотрит, есть ли таковой в его таблице коммутации. Как только нашлось соответствие, то дальше дело за малым — коммутатору остается только передать ее из одного интерфейса в другой.
Если же он не найдет соответствия, то попытается отправить фрейм сразу по всем своим интерфейсам. Если целевой хост назначения «живой», то он обязательно ответит на такой запрос. А коммутатор, увидев ответ от еще одного MAC адреса, занесет данные в таблицу коммутации и далее при сетевом взаимодействии этих двух хостов будет просто пересылать данные из одного интерфейса в другой.
Срок жизни данных в таблицах коммутации обычно составляют 5 минут. Если оба устройства перестанут отправлять и получать информацию друг от друга, то постепенно данные о их MAC адресах исчезнут из таблицы. Процесс повторится вновь как только хостам снова потребуется что-то передать друг другу.
Читайте другие статьи о сетях В стиле Deltaconfig