Тип безопасности и шифрования беспроводной сети Какой выбрать

23 мая, 2017 /

Тип безопасности и шифрования беспроводной сети. Какой выбрать?

Чтобы защитить свою Wi-Fi сеть и установить пароль, необходимо обязательно выбрать тип безопасности беспроводной сети и метод шифрования. И на данном этапе у многих возникает вопрос: а какой выбрать? WEP, WPA, или WPA2? Personal или Enterprise? AES, или TKIP? Какие настройки безопасности лучше всего защитят Wi-Fi сеть? На все эти вопросы я постараюсь ответить в рамках этой статьи. Рассмотрим все возможные методы аутентификации и шифрования. Выясним, какие параметры безопасности Wi-Fi сети лучше установить в настройках маршрутизатора.

Обратите внимание, что тип безопасности, или аутентификации, сетевая аутентификация, защита, метод проверки подлинности – это все одно и то же.

Тип аутентификации и шифрование – это основные настройки защиты беспроводной Wi-Fi сети. Думаю, для начала нужно разобраться, какие они бывают, какие есть версии, их возможности и т. д. После чего уже выясним, какой тип защиты и шифрования выбрать. Покажу на примере нескольких популярных роутеров.

Я настоятельно рекомендую настраивать пароль и защищать свою беспроводную сеть. Устанавливать максимальный уровень защиты. Если вы оставите сеть открытой, без защиты, то к ней смогут подключится все кто угодно. Это в первую очередь небезопасно. А так же лишняя нагрузка на ваш маршрутизатор, падение скорости соединения и всевозможные проблемы с подключением разных устройств.

Защита Wi-Fi сети: WEP, WPA, WPA2

Есть три варианта защиты. Разумеется, не считая «Open» (Нет защиты) .

  • WEP (Wired Equivalent Privacy) – устаревший и небезопасный метод проверки подлинности. Это первый и не очень удачный метод защиты. Злоумышленники без проблем получают доступ к беспроводным сетям, которые защищены с помощью WEP. Не нужно устанавливать этот режим в настройках своего роутера, хоть он там и присутствует (не всегда) .
  • WPA (Wi-Fi Protected Access) – надежный и современный тип безопасности. Максимальная совместимость со всеми устройствами и операционными системами.
  • WPA2 – новая, доработанная и более надежная версия WPA. Есть поддержка шифрования AES CCMP. На данный момент, это лучший способ защиты Wi-Fi сети. Именно его я рекомендую использовать.

WPA/WPA2 может быть двух видов:

  • WPA/WPA2 — Personal (PSK) – это обычный способ аутентификации. Когда нужно задать только пароль (ключ) и потом использовать его для подключения к Wi-Fi сети. Используется один пароль для всех устройств. Сам пароль хранится на устройствах. Где его при необходимости можно посмотреть, или сменить. Рекомендуется использовать именно этот вариант.
  • WPA/WPA2 — Enterprise – более сложный метод, который используется в основном для защиты беспроводных сетей в офисах и разных заведениях. Позволяет обеспечить более высокий уровень защиты. Используется только в том случае, когда для авторизации устройств установлен RADIUS-сервер (который выдает пароли) .

Думаю, со способом аутентификации мы разобрались. Лучшие всего использовать WPA2 — Personal (PSK). Для лучшей совместимости, чтобы не было проблем с подключением старых устройств, можно установить смешанный режим WPA/WPA2. На многих маршрутизаторах этот способ установлен по умолчанию. Или помечен как «Рекомендуется».

Шифрование беспроводной сети

Есть два способа TKIP и AES.

Метод шифрования Wi-Fi сети: TKIP или AES

Рекомендуется использовать AES. Если у вас в сети есть старые устройства, которые не поддерживают шифрование AES (а только TKIP) и будут проблемы с их подключением к беспроводной сети, то установите «Авто». Тип шифрования TKIP не поддерживается в режиме 802.11n.

В любом случае, если вы устанавливаете строго WPA2 — Personal (рекомендуется) , то будет доступно только шифрование по AES.

Какую защиту ставить на Wi-Fi роутере?

Используйте WPA2 — Personal с шифрованием AES. На сегодняшний день, это лучший и самый безопасный способ. Вот так настройки защиты беспроводной сети выглядит на маршрутизаторах ASUS:

лучший тип аутентификации и шифрование для защиты Wi-Fi

А вот так эти настройки безопасности выглядят на роутерах от TP-Link (со старой прошивкой) .

Настройка безопасности и шифрования на TP-Link

Более подробную инструкцию для TP-Link можете посмотреть здесь.

Инструкции для других маршрутизаторов:

Если вы не знаете где найти все эти настройки на своем маршрутизаторе, то напишите в комментариях, постараюсь подсказать. Только не забудьте указать модель.

Не редко замечаю, что после смены пароля, или других параметров защиты, устройства не хотят подключаться к сети. На компьютерах может быть ошибка «Параметры сети, сохраненные на этом компьютере, не соответствуют требованиям этой сети». Попробуйте удалить (забыть) сеть на устройстве и подключится заново. Как это сделать на Windows 7, я писал здесь. А в Windows 10 нужно забыть сеть.

Пароль (ключ) WPA PSK

Какой бы тип безопасности и метод шифрования вы не выбрали, необходимо установить пароль. Он же ключ WPA, Wireless Password, ключ безопасности сети Wi-Fi и т. д.

Длина пароля от 8 до 32 символов. Можно использовать буквы латинского алфавита и цифры. Так же специальные знаки: — @ $ # ! и т. д. Без пробелов! Пароль чувствительный к регистру! Это значит, что «z» и «Z» это разные символы.

Не советую ставить простые пароли. Лучше создать надежный пароль, который точно никто не сможет подобрать, даже если хорошо постарается.

Требования к паролю Wi-Fi сети

Вряд ли получится запомнить такой сложный пароль. Хорошо бы его где-то записать. Не редко пароль от Wi-Fi просто забывают. Что делать в таких ситуациях, я писал в статье: как узнать свой пароль от Wi-Fi.

Так же не забудьте установить хороший пароль, который будет защищать веб-интерфейс вашего маршрутизатора. Как это сделать, я писал здесь: как на роутере поменять пароль с admin на другой.

Если вам нужно еще больше защиты, то можно использовать привязку по MAC-адресу. Правда, не вижу в этом необходимости. WPA2 — Personal в паре с AES и сложным паролем – вполне достаточно.

А как вы защищаете свою Wi-Fi сеть? Напишите в комментариях. Ну и вопросы задавайте 🙂

Источник

Как настроить домашний роутер, чтобы сделать сеть безопасной

C распространением широкополосного доступа в интернет и карманных гаджетов стали чрезвычайно популярны беспроводные роутеры (маршрутизаторы). Такие устройства способны раздавать сигнал по протоколу Wi-Fi как на стационарные компьютеры, так и на мобильные устройства — смартфоны и планшеты, — при этом пропускной способности канала вполне достаточно для одновременного подключения нескольких потребителей.

Сегодня беспроводной роутер есть практически в любом доме, куда проведён широкополосный интернет. Однако далеко не все владельцы таких устройств задумываются над тем, что при настройках по умолчанию они чрезвычайно уязвимы для злоумышленников. И если вы считаете, что не делаете в интернете ничего такого, что могло бы вам повредить, задумайтесь над тем, что перехватив сигнал локальной беспроводной сети, взломщики могут получить доступ не только к вашей личной переписке, но и к банковскому счёту, служебным документам и любым другим файлам.

Хакеры могут не ограничиться исследованием памяти исключительно ваших собственных устройств — их содержимое может подсказать ключи к сетям вашей компании, ваших близких и знакомых, к данным всевозможных коммерческих и государственных информационных систем. Более того, через вашу сеть и от вашего имени злоумышленники могут проводить массовые атаки, взломы, незаконно распространять медиафайлы и программное обеспечение и заниматься прочей уголовно наказуемой деятельностью.

Между тем, чтобы обезопасить себя от подобных угроз, стоит следовать лишь нескольким простым правилам, которые понятны и доступны даже тем, кто не имеет специальных знаний в области компьютерных сетей. Предлагаем вам ознакомиться с этими правилами.

1. Измените данные администратора по умолчанию

Чтобы получить доступ к настройкам вашего роутера, необходимо зайти в его веб-интерфейс. Для этого вам нужно знать его IP-адрес в локальной сети (LAN), а также логин и пароль администратора.

Внутренний IP-адрес роутера по умолчанию, как правило, имеет вид 192.168.0.1, 192.168.1.1, 192.168.100.1 или, например, 192.168.123.254 — он всегда указан в документации к аппаратуре. Дефолтные логин и пароль обычно также сообщаются в документации, либо их можно узнать у производителя роутера или вашего провайдера услуг.

Читайте также:  На телефоне Huawei нет Плей маркета и Гугл сервисов а игры скачанные с других ов не устанавливаются или

Вводим IP-адрес роутера в адресную строку браузера, а в появившимся окне вводим логин и пароль. Перед нами откроется веб-интерфейс маршрутизатора с самыми разнообразными настройками.

Ключевой элемент безопасности домашней сети — возможность изменения настроек, поэтому нужно обязательно изменить все данные администратора по умолчанию, ведь они могут использоваться в десятках тысяч экземпляров таких же роутеров, как и у вас. Находим соответствующий пункт и вводим новые данные.

router-security-01

В некоторых случаях возможность произвольного изменения данных администратора заблокирована провайдером услуг, и тогда вам придётся обращаться за помощью к нему.

2. Установите или измените пароли для доступа к локальной сети

Вы будете смеяться, но всё ещё встречаются случаи, когда щедрый обладатель беспроводного роутера организует открытую точку доступа, к которой может подключиться каждый. Гораздо чаще для домашней сети выбираются псевдопароли типа «1234» или какие-то банальные слова, заданные при установке сети. Чтобы минимизировать вероятность того, что кто-то сможет с лёгкостью забраться в вашу сеть, нужно придумать настоящий длинный пароль из букв, цифр и символов, и установить уровень шифрования сигнала — желательно, WPA2.

router-security-02

3. Отключите WPS

Технология WPS (Wi-Fi Protected Setup) позволяет быстро наладить защищённую беспроводную связь между совместимыми устройствами без подробных настроек, а лишь нажатием соответствующих кнопок на роутере и гаджете или путём ввода цифрового кода.

Между тем, у этой удобной системы, обычно включённой по умолчанию, есть одно слабое место: поскольку WPS не учитывает число попыток ввода неправильного кода, она может быть взломана «грубой силой» путём простого перебора с помощью простейших утилит. Потребуется от нескольких минут до нескольких часов, чтобы проникнуть в вашу сеть через код WPS, после чего не составит особого труда вычислить и сетевой пароль.

router-security-03

Поэтому находим в «админке» соответствующий пункт и отключаем WPS. К сожалению, внесение изменений в настройки далеко не всегда действительно отключит WPS, а некоторые производители вообще не предусматривают такой возможности.

4. Измените наименование SSID

Идентификатор SSID (Service Set Identifier) — это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.

Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.

router-security-04

При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.

5. Измените IP роутера

Чтобы ещё более затруднить несанкционированный доступ к веб-интерфейсу роутера и его настройкам, измените в них внутренний IP-адрес (LAN) по умолчанию.

6. Отключите удалённое администрирование

Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.

При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.

7. Обновите микропрограмму

Каждый уважающий себя и клиентов производитель роутеров постоянно совершенствует программное обеспечение своего оборудования и регулярно выпускает обновлённые версии микропрограмм («прошивок»). В свежих версиях прежде всего исправляются обнаруженные уязвимости, а также ошибки, влияющие на стабильность работы.

router-security-05

Именно поэтому мы настоятельно рекомендуем регулярно проверять обновления микропрограмм и устанавливать их на свой роутер. В большинстве случаев это можно сделать непосредственно через веб-интерфейс.

Обратите внимание на то, что после обновления все сделанные вами настройки могут сброситься до заводских, поэтому есть смысл сделать их резервную копию — также через веб-интерфейс.

8. Перейдите в диапазон 5 ГГц

Базовый диапазон работы сетей Wi-Fi — это 2,4 ГГц. Он обеспечивает уверенный приём большинством существующих устройств на расстоянии примерно до 60 м в помещении и до 400 м вне помещения. Переход в диапазон 5 ГГц снизит дальность связи в два-три раза, ограничив для посторонних возможность проникнуть в вашу беспроводную сеть. За счёт меньшей занятости диапазона, вы сможете также заметить повысившуюся скорость передачи данных и стабильность соединения.

Минус у этого решения только один — далеко не все устройства работают c Wi-Fi стандарта IEEE 802.11ac в диапазоне 5 ГГц.

9. Отключите функции PING, Telnet, SSH, UPnP и HNAP

Если вы не знаете, что скрывается за этими аббревиатурами, и не уверены, что эти функции вам обязательно потребуются, найдите их в настройках роутера и отключите. Если есть такая возможность, вместо закрытия портов, выберите скрытый режим (stealth), который при попытках зайти на них извне сделает эти порты «невидимыми», игнорируя запросы и «пинги».

10. Включите брандмауэр роутера

Если в вашем роутере есть встроенный брандмауэр, то рекомендуем его включить. Конечно, это не бастион абсолютной защиты, но в комплексе с программными средствами (даже со встроенным в Windows брандмауэром) он способен вполне достойно сопротивляться атакам.

router-security-06

11. Отключите фильтрацию по MAC-адресам

Хотя на первый взгляд кажется, что возможность подключения к сети только устройств с конкретными MAC-адресами полностью гарантирует безопасность, в действительности это не так. Более того, оно делает сеть открытой даже для не слишком изобретательных хакеров. Если злоумышленник сможет отследить входящие пакеты, то он быстро получит список активных MAC-адресов, поскольку в потоке данных они передаются в незашифрованном виде. А подменить MAC-адрес не проблема даже для непрофессионала.

12. Перейдите на другой DNS-сервер

Вместо использования DNS-сервера вашего провайдера, можно перейти на альтернативные, например, Google Public DNS или OpenDNS. С одной стороны, это может ускорить выдачу интернет-страниц, а с другой, повысить безопасность. К примеру, OpenDNS блокирует вирусы, ботнеты и фишинговые запросы по любому порту, протоколу и приложению, и благодаря специальным алгоритмам на базе Больших Данных способен предсказывать и предотвращать разнообразные угрозы и атаки. При этом Google Public DNS — это просто скоростной DNS-сервер без дополнительных функций.

13. Установите альтернативную «прошивку»

И, наконец, радикальный шаг для того, кто понимает, что делает, — это установка микропрограммы, написанной не производителем вашего роутера, а энтузиастами. Как правило, такие «прошивки» не только расширяют функциональность устройства (обычно добавляются поддержка профессиональных функций вроде QoS, режима моста, SNMP и т.д), но и делают его более устойчивым к уязвимостям — в том числе и за счёт нестандартности.

router-security-07

Среди популярных open-source «прошивок» можно назвать основанные на Linux DD-WRT, OpenWrt и Tomato.

Источник

Как взять сетевую инфраструктуру под свой контроль. Глава третья. Сетевая безопасность. Часть первая

Эта статья является третьей в цикле статей «Как взять сетевую инфраструктуру под свой контроль». Содержание всех статей цикла и ссылки можно найти здесь.

Читайте также:  Mazda 6 WiteShark Logbook Камера заднего вида

image

Нет смысла говорить о полном устранении security рисков. Мы в принципе не можем снизить их до нуля. Также нужно понимать, что при стремлении сделать сеть более и более безопасной наши решения становятся все более и более дорогими. Необходимо найти разумный для вашей сети компромисс между ценой, сложностью и безопасностью.

Конечно, дизайн безопасности органично встроен в общую архитектуру и используемые security решения влияют на масштабируемость, надежность, управляемость, … сетевой инфраструктуры, что также должно учитываться.

Но, напомню, что сейчас мы не говорим о создании сети. В соответствии с нашими начальными условиями у нас уже выбран дизайн, выбрано оборудование, и создана инфраструктура, и на этом этапе мы, по возможности, должны «жить» и находить решения в контексте выбранного ранее подхода.

Наша задача сейчас – выявить риски, связанные с защищенностью на уровне сети и снизить их до разумной величины.

Аудит сетевой безопасности

Если в вашей организации внедрены процессы ISO 27k, то аудит безопасности и изменения сети должны быть органично вписаны в общие процессы в рамках этого подхода. Но эти стандарты все же не о конкретных решениях, не о конфигурации, не о дизайне… Нет однозначных советов, нет стандартов детально диктующих какой должна быть ваша сеть, в этом сложность и красота этой задачи.

Я бы выделил несколько возможных аудитов безопасности сети:

  • аудит конфигурации оборудования (hardening)
  • аудит security дизайна
  • аудит доступов
  • аудит процессов

Аудит конфигурации оборудования (hardening)

Кажется, что в большинстве случаев это лучшая стартовая точка для аудита и улучшения безопасности вашей сети. ИМХО, это хорошая демонстраций закона Парето (20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата).

Суть в том, что обычно у нас есть рекомендации от вендоров относительно «best practices» по безопасности при конфигурировании оборудования. Это называется “hardening”.

Также часто можно встретить опросник (или составить самим), на основе этих рекомендаций, который поможет вам определить, насколько конфигурация вашего оборудования соответствует этим «best practices» и в соответствии с результатом произвести изменения в вашей сети. Это позволит вам довольно легко, фактически без затрат, существенно снизить security риски.

Несколько примеров для некоторых операционных систем Cisco.

На основе этих документов может быть создан список требований к конфигурации для каждого типа оборудования. Например, для Cisco N7K VDC эти требования могут выглядеть так.

Таким образом, могут быть созданы конфигурационные файлы для разных типов активного оборудования вашей сетевой инфраструктуры. Далее, вручную или с применением автоматизации, вы можете «залить» эти конфигурационные файлы. Как автоматизировать этот процесс будет подробно рассмотрено в другой серии статей, посвященных оркестрации и автоматизации.

Аудит security дизайна

Обычно в сети предприятия (enterprise network) в том или ином виде присутствуют следующие сегменты:

  • DC (Public services DMZ and Intranet data center)
  • Internet access
  • Remote access VPN
  • WAN edge
  • Branch
  • Campus (Office)
  • Core

Для каждого из этих сегментов требования к уровню безопасности, риски и, соответственно, решения будут отличаться.

Рассмотрим каждый из них по отдельности на предмет проблем, с которыми вы можете столкнуться с точки зрения security дизайна. Конечно, опять повторюсь, что ни в коей мере данная статья не претендует на полноту, достичь которую в этой действительно глубокой и многогранной теме непросто (если вообще возможно), но отражает мой личный опыт.

Не существует идеального решения (во всяком случае сейчас). Это всегда компромисс. Но важно, чтобы решение применить тот или иной подход было сделано осознанно, с пониманием как его плюсов, так и минусов.

Data Center

Наиболее критичный с точки зрения безопасности сегмент.
И, как обычно, здесь также нет универсального решения. Все сильно зависит от требований к сети.

Нужен или нет фаервол?

Если между какими-то сегментами сети низкая задержка является существенным требованием, что, например, справедливо в случае биржи, то между этими сегментами мы не сможем использовать фаерволы. Сложно найти исследования по задержкам в фаерволах, но лишь немногие модели коммутаторов могут предоставить задержки меньше или порядка 1 mksec, поэтому, думаю, что если для вас существенны микросекунды, то фаерволы — это не для вас.

Пропускная способность топовых L3 коммутаторов обычно на порядок выше чем пропускная способность самых производительных фаеролов. Поэтому в случае высокоинтенсивного трафика, вам также скорее всего придется пустить этот трафик в обход фаерволов.

Фаерволы, особенно современные NGFW (Next-Generation FW) – сложные устройства. Они значительно сложнее чем L3/L2 коммутаторы. Они предоставляют большое количество сервисов и возможностей конфигурирования, поэтому неудивительно, что их надежность значительно ниже. Если непрерывность сервиса является критичной для сети, то, возможно, вам придется выбирать, что приведет к лучшей availability — защищенность с помощью фаервола или простота сети, построенной на коммутаторах (или различного рода фабриках) с использованием обычных ACL.

В случае вышеперечисленных примеров вам скорее всего (как обычно) придется находить компромисс. Посмотрите в сторону следующих решений:

  • если вы решили не использовать фаерволы внутри дата-центра, то вам нужно продумать как максимально ограничить доступы по периметру. Например, вы можете открыть только необходимые порты из Интернета (для клиентского трафика) и административные доступы в дата-центр только с джамп хостов. На джамп хостах производить всю необходимую проверку (аутентификацию/авторизацию, антивирус, логирование, …)
  • вы можете использовать логическое разбиение сети дата-центра на сегменты, наподобие схемы, описанной в PSEFABRIC пример p002. При этом маршрутизация должна быть настроена таким образом, чтобы трафик, чувствительный к задержкам или высокоинтенсивный трафик ходил «внутри» одного сегмента (в случае p002, VRF-а) и не шел бы через фаервол. Трафик же между разными сегментами будет по-прежнему идти через фаервол. Также можно использовать route leaking между VRF-ами, чтобы избежать перенаправление трафика через фаервол
  • также можно использовать фаервол в transparent mode и только для тех VLAN-ов где эти факторы (задержка/производительность) не существенны. Но нужно внимательно изучить ограничения, связанные с использованием этой моды, для каждого вендора
  • вы можете подумать о применении service chain архитектуры. Это позволит направлять через фаервол только необходимый трафик. Теоретически выглядит красиво, но я никогда не видел этого решения в продакшене. Мы тестировали service chain для Cisco ACI/Juniper SRX/F5 LTM около 3-х лет назад, но на тот момент это решение показалось нам «сырым»

Уровень защиты

Теперь нужно ответить на вопрос, какие инструменты вы хотите применить для фильтрации трафика. Вот некоторые из возможностей, которые обычно присутствуют в NGFW (например, тут):

  • stateful firewalling (по умолчанию)
  • application firewalling
  • threat prevention (antivirus, anti-spyware, and vulnerability)
  • URL filtering
  • data filtering (content filtering)
  • file blocking (file types blocking)
  • dos protection
  • чем больше вышеперечисленных функций фаервола вы используете, тем естественно это будет дороже (лицензии, дополнительные модули)
  • использование некоторых алгоритмов может существенно снизить пропускную способность фаервола, а также увеличить задержки, см. например тут
  • как и любое сложное решение, использование сложных методов защиты может снизить надежность вашего решения, например, при использовании application firewalling я сталкивался с блокировкой некоторых вполне стандартно работающих приложений (dns, smb)

Невозможно однозначно ответить на вопрос какие функции защиты могут потребоваться. Во-первых, потому, что это конечно же зависит от тех данных, которые вы передаете или храните и пытаетесь защитить. Во-вторых, в действительности, часто выбор средств защиты — это вопрос веры и доверия вендору. Вы не знаете алгоритмы, не знаете насколько они эффективны и не можете полноценно протестировать их.

Поэтому в критических сегментах, хорошим решением может быть использование предложений от разных компаний. Например, вы можете включить антивирус на фаерволе, но также использовать антивирусную защиту (другого производителя) локально на хостах.

Читайте также:  Как крепить бустер виды креплений пошаговая инструкция и советы по установке

Сегментирование

Определив логические части вашей сети, далее вы можете описать, как движется трафик между разными сегментами, на каких устройствах будет производиться фильтрация и какими средствами.

Если в вашей сети отсутствует ясное логическое разбиение и не формализованы правила применения security политик для разных потоков данных (flow), то это значит, что при открытии того или иного доступа вы вынуждены решать эту задачу, и с большой вероятностью каждый раз вы будете решать ее по-разному.

Часто сегментация основана только на FW security зонах. Тогда вам нужно ответить на следующие вопросы:

  • какие security зоны вам нужны
  • какой уровень защиты вы хотите применить к каждой из этих зон
  • будет ли разрешен по умолчанию intra-zone трафик
  • если нет, то какие политики фильтрации трафика будут применяться внутри каждой из зон
  • какие политики фильтрации трафика будут применяться для каждой пары зон (source/destination)

Часто встречается проблема недостаточного TCAM (Ternary Content Addressable Memory), как для маршрутизации, так и для доступов. ИМХО, это один из самых важных вопросов при выборе оборудования, поэтому нужно отнестись к этому вопросу с надлежащей степенью аккуратности.

Пример 1. Forwarding Table TCAM.

Давайте рассмотрим Palo Alto 7k фаервол.
Видим, что IPv4 forwarding table size* = 32K
При этом это количество роутов общее для всех VSYS-ов.

Предположим, что в соответствии с вашим дизайном вы решили использовать 4 VSYS-а.
Каждый из этих VSYS-ов по BGP подключен к двум PE MPLS облака, которое вы используете в качестве BB. Таким образом, 4 VSYS-а обмениваются всеми специфическими роутами друг с другом и имеют forwarding table с приблизительно одинаковыми наборами маршрутов (но разными NH). Т.к. каждый VSYS имеет по 2 BGP сессии (с одинаковыми настройками), то каждый маршрут, полученный через MPLS имеет 2 NH и, соответственно, 2 FIB записи в Forwarding Table. Если предположить, что это единственный фаервол в дата-центре и он должен знать про все маршруты, то это будет значить, что общее количество маршрутов в нашем дата-центре не может быть более чем 32K/(4 * 2) = 4K.

Теперь, если предположить, что у нас 2 дата-центра (с одинаковым дизайном), и мы хотим использовать VLAN-ы, “растянутые» между дата-центрами (например, для vMotion), то, чтобы решить проблему маршрутизации, мы должны использовать хостовые роуты. Но это значит, что на 2 дата-центра у нас будет не больше чем 4096 возможных хостов и, конечно, этого может быть недостаточно.

Если вы планируете фильтровать трафик на L3 коммутаторах (или других решениях, использующих L3 коммутаторы, например, Cisco ACI), то при выборе оборудования вы должны обратить внимание на ACL TCAM.

Предположим вы хотите контролировать доступы на SVI интрефейсах Cisco Catalyst 4500. Тогда, как видно из этой статьи, для контроля исходящего (так же как и входящего) трафика на интерфейсах вы можете использовать лишь 4096 строчек TCAM. Что при использовании TCAM3 даст вам около 4000 тысяч ACE (строк ACL).

В случае, если вы столкнулись с проблемой недостаточного TCAM, то, в первую очередь, конечно, нужно рассмотреть возможность оптимизации. Так, в случае проблемы с размером Forwarding Table, нужно рассмотреть возможность агрегирования маршрутов. В случае проблемы с размером TCAM для доступов — аудит доступов, удаление устаревших и пересекающихся записей, а также, возможно, пересмотр процедуры открытия доступов (будет подробно рассмотрено в главе, посвященной аудиту доступов).

High Availability

Вопрос в том, использовать ли HA для фаерволов или поставить «параллельно» две независимые коробки и в случае падения одной из них маршрутизировать трафик через вторую?

Казалось бы, ответ очевиден – использовать HA. Причина, почему этот вопрос все же возникает заключается в том, что, к сожалению, теоретические и рекламные 99 и несколько девяток после запятой процентов доступности на практике оказываются далеко не такими радужными. HA — логически достаточно сложная штука, и на разном оборудовании, и с разными вендорами (исключений не было) мы отлавливали проблемы и баги и остановку сервиса.

В случае использования HA вы получите возможность выключать отдельные ноды, переключаться между ними без остановки сервиса, что важно, например, при апгрейдах, но при этом имеете далеко не нулевую вероятностью того, что у вас сломаются обе ноды одновременно, а также то, что очередной апгрейд пройдет не так гладко, как обещает вендор (эту проблему можно избежать, если у вас есть возможность протестировать апгрейд на лабораторном оборудовании).

Если вы не используете HA, то с точки зрения двойной поломки ваши риски значительно ниже (т.к. вы имеете 2 независимых фаервола), но т.к. сессии не синхронизированы, то каждый раз, когда будет происходить переключение между этими фаерволами вы будет терять трафик. Можно, конечно, использовать stateless firewalling, но тогда смысл использования фаервола во-многом теряется.

Поэтому, если в результате аудита вы обнаружили одиноко стоящие фаерволы, и вы задумываетесь об увеличении надежности вашей сети, то HA, конечно, является одним из рекомендованных решений, но вы должны учесть и минусы, связанные с этим подходом и, возможно, именно для вашей сети более подходящим будет другое решение.

Удобство в управлении (managability)

В принципе HA — это в том числе и об управляемости. Вместо конфигурирования 2-х коробок по отдельности и решения проблемы синхронизации конфигураций, вы управляете ими во многом так, как будто у вас одно устройство.

Но, возможно, у вас много дата-центров и много фаерволов, тогда этот вопрос встает на новом уровне. И вопрос не только о конфигурировании, но также о

Источник



Как настроить Защиту сети в Windows 10

Защита сети — новая функции безопасности Защитника Windows, впервые представленная в Windows 10 Fall Creators Update.

Данный компонент расширяет возможности фильтра SmartScreen Защитника Windows за счет блокировки исходящего трафика (HTTP и HTTPS) при подключении к ресурсам с низкой репутацией.

Данная функция является частью Exploit Guard Защитника Windows. Чтобы функция работала, должен быть включен Защитник Windows, и должна быть активна защита реального времени.

Защита сети Защитника Windows

Системные администраторы и обычные пользователи могут управлять функцией “Защита сети” с помощью групповых политик, PowerShell или интерфейса MDM CSP.

Групповые политики

Вы можете настроить функцию “Защита сети” с помощью групповых политик.

Как настроить Защиту сети в Windows 10. Групповые политики

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

  1. Нажмите клавишу Windows , введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
  2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Защита сети.
  3. Выберите политику “Запретить пользователям и приложениям получать доступ к опасным веб-сайтам” и щелкните по ней дважды.

Вы можете выбрать следующие режимы:

  • Блокировать — Защита сети будет блокировать доступ к вредоносным IP-адресам и доменам.
  • Выкл (по умолчанию) — аналогично отключению. Защита сети будет неактивна.
  • Проверять — блокировка не будет осуществляться, но каждое событие будет записано в журнал событий Windows.

PowerShell

Вы можете использовать PowerShell для настройки компонента “Защита сети”. Доступны следующие команды:

  • Set-MpPreference -EnableNetworkProtection Enabled
  • Set-MpPreference -EnableNetworkProtection AuditMode
  • Set-MpPreference -EnableNetworkProtection Disabled

Нужно запустить командную строку PowerShell с правами администратора.

Для этого нажмите клавишу Windows , введите PowerShell и удерживая клавиши Ctrl + Shift выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с повышенными привилегиями.

События функции “Защита сети”

Когда функция активна, система Windows создает записи в журнале событий. Microsoft опубликовала пакет пользовательских представлений для встроенной утилиты “Просмотр событий”.

Источник