Компьютерные сети

8.1 Типы атак

Зачем нужна сетевая безопасность?

Сети постоянно подвергаются атакам. Понимание типов атак помогает защитить сеть и данные. Безопасность — это не разовое действие, а непрерывный процесс.

Сетевые атаки

MITM (Man-in-the-Middle) — атака "человек посередине":

  • Суть: Злоумышленник перехватывает и изменяет трафик между двумя сторонами
  • ARP Spoofing: Подмена ARP-таблиц, чтобы трафик шел через атакующего
  • DNS Spoofing: Подмена DNS-ответов, перенаправление на поддельные сайты
  • Защита: Использование HTTPS, DNSSEC, статические ARP-записи, Dynamic ARP Inspection

DDoS (Distributed Denial of Service) — распределенная атака на отказ в обслуживании:

  • Суть: Множество устройств одновременно атакуют цель, перегружая ее трафиком
  • Volumetric: Заполнение канала большим объемом трафика (например, UDP flood)
  • Protocol: Использование уязвимостей протоколов (например, SYN flood)
  • Application: Атака на прикладном уровне (например, HTTP flood)
  • Защита: DDoS-фильтры, CDN, ограничение скорости, изоляция атакуемых ресурсов

Сканирование и эксплойты:

  • Сканирование портов: Поиск открытых портов и уязвимых сервисов
  • Эксплойты: Использование найденных уязвимостей для получения доступа
  • Защита: Закрытие ненужных портов, регулярные обновления, IDS/IPS

Атаки на приложения

Основные типы:

  • SQL Injection: Внедрение вредоносного SQL-кода в запросы к базе данных
  • XSS (Cross-Site Scripting): Внедрение вредоносного JavaScript на веб-страницы
  • CSRF (Cross-Site Request Forgery): Выполнение действий от имени пользователя без его ведома
  • Уязвимости аутентификации: Слабые пароли, отсутствие многофакторной аутентификации

Социальная инженерия

Методы атак:

  • Фишинг: Поддельные письма/сайты для кражи учетных данных
  • Spear Phishing: Целевой фишинг на конкретного человека или организацию
  • Vishing: Фишинг по телефону (voice phishing)
  • SMShing: Фишинг через SMS

Методы защиты

Сегментация сети:

  • VLAN/VRF: Логическое разделение сетей для изоляции трафика
  • Принцип наименьших привилегий: Доступ только к необходимым ресурсам
  • Микросегментация: Детальное разделение даже внутри одной сети

Защита на уровне L2:

  • DHCP Snooping: Блокировка неавторизованных DHCP-серверов
  • Dynamic ARP Inspection: Проверка ARP-сообщений на подлинность
  • Port Security: Ограничение количества MAC-адресов на порту

Наблюдаемость и мониторинг:

  • Логирование: Запись всех важных событий для анализа
  • Телеметрия: Сбор метрик в реальном времени
  • Алерты: Уведомления о подозрительной активности
  • SIEM: Централизованный сбор и анализ логов

Резюме

Ключевые моменты:

  • MITM: Перехват и изменение трафика (защита: HTTPS, DNSSEC)
  • DDoS: Перегрузка ресурсов трафиком (защита: фильтры, CDN)
  • Атаки на приложения: SQL Injection, XSS, CSRF (защита: валидация, санитизация)
  • Социальная инженерия: Обман пользователей (защита: обучение, многофакторная аутентификация)
  • Сегментация: Изоляция сетей для ограничения распространения атак

Цель: Защитить сеть и данные от различных типов атак через многоуровневую защиту и мониторинг.

8.2 Шифрование и VPN/IPsec

TLS защищает приложения (HTTPS); IPsec — защита на сетевом уровне; VPN создаёт защищённый туннель поверх недоверенной сети.

TLS кратко

  • Рукопожатие: согласование алгоритмов, проверка сертификата, обмен ключами.
  • Современные практики: TLS 1.2/1.3, PFS (ECDHE), отказ от слабых шифров и протоколов.

IPsec кратко

  • Режимы: транспортный/туннельный; протоколы AH/ESP.
  • IKEv2: аутентификация и согласование параметров, построение SA.

Криптография и PKI углубление

  • Ассиметричная/симметричная криптография: RSA/ECDSA для аутентификации; AES/ChaCha20 для шифрования данных.
  • Хэш‑функции/целостность: SHA‑2/SHA‑3, HMAC; назначение и угрозы коллизий.
  • PKI‑цепочки: Root/Intermediate/Leaf, OCSP/CRL, OCSP‑stapling.
  • HSM/KMS: хранение ключей, разграничение доступа, аудит операций.

VPN

  • Site‑to‑Site/Remote Access: выбор технологий (IPsec, SSL‑VPN, WireGuard), маршрутизация/политики.
  • PFS: новые ключи сеанса исключают компрометацию прошлых сессий при утечке долгосрочного ключа.

8.3 Межсетевые экраны

Что такое firewall?

Firewall (межсетевой экран) — это устройство или программа, которая контролирует и фильтрует сетевой трафик на основе правил безопасности. Это "охранник" на границе сети.

Аналогия: Firewall — это как охрана на входе в здание: проверяет, кто входит и выходит, и блокирует нежелательных посетителей.

Типы firewall

Stateless (без состояния):

  • Проверяет каждый пакет независимо
  • Фильтрует по IP-адресам, портам, протоколам
  • Простой, но менее эффективный
  • Не помнит предыдущие пакеты

Stateful (с состоянием):

  • Помнит состояние соединений (таблица состояний)
  • Понимает контекст трафика (например, ответ на запрос)
  • Более умный и эффективный
  • Может отслеживать установленные соединения

Next-Generation Firewall (NGFW):

  • Идентификация приложений (L7) — понимает, какое приложение использует трафик
  • IPS/IDS — обнаружение и предотвращение вторжений
  • Глубокий анализ пакетов (DPI)
  • Интеграция с системами безопасности

Принципы настройки firewall

Правило "Deny by Default":

  • По умолчанию весь трафик блокируется
  • Разрешаются только явно указанные правила
  • Безопаснее, чем разрешать все по умолчанию

Минимизация экспонированных сервисов:

  • Открывайте только необходимые порты
  • Закрывайте неиспользуемые сервисы
  • Используйте принцип наименьших привилегий

Порядок правил:

  • Правила проверяются сверху вниз
  • Первое совпадение применяется
  • Важно: более специфичные правила должны быть выше
  • Общие правила (например, deny all) — в конце

Где размещать firewall?

Периметр сети:

  • На границе между внутренней сетью и интернетом
  • Защищает всю сеть от внешних угроз
  • Первая линия защиты

Микросегментация:

  • Firewall внутри сети, между сегментами
  • Защита от распространения атак внутри сети
  • Изоляция критичных систем

Логирование и мониторинг

Важность логов:

  • Расследование инцидентов: Логи показывают, что происходило в сети
  • Обнаружение атак: Аномальная активность видна в логах
  • Аудит: Кто и когда получал доступ
  • Централизованный сбор: SIEM-системы собирают логи со всех устройств

Важно: NAT (трансляция адресов) — это НЕ безопасность! NAT скрывает внутренние адреса, но не фильтрует трафик. Всегда используйте явные правила firewall для контроля доступа.

Резюме

Ключевые моменты:

  • Firewall — контролирует и фильтрует сетевой трафик
  • Stateless — проверяет каждый пакет независимо
  • Stateful — помнит состояние соединений
  • NGFW — идентификация приложений, IPS/IDS
  • Deny by Default — блокировать все по умолчанию, разрешать явно
  • Минимизация — открывать только необходимые порты
  • Логирование — критично для безопасности и расследований

Цель: Контролировать сетевой трафик, блокировать нежелательные соединения и защищать сеть от угроз.

8.4 Для профессионалов

PKI: инфраструктура открытых ключей, цепочки доверия, OCSP/CRL, HSM. Практики: HSTS, CSP, mTLS, TLS 1.3.

Управление ключами и политиками

  • Выдача/отзыв сертификатов, автоматизация (ACME), сроки и ротация ключей.
  • Политики: pinning (с осторожностью), минимизация доверенных CA, разделение ролей.

Операционная безопасность PKI

  • Разделение ролей: офлайн Root CA, онлайн Issuing CA, аудит ключевых операций.
  • Прозрачность сертификатов: CT‑логи, отслеживание и отзыв компрометированных сертификатов.
  • mTLS: взаимная аутентификация сервис‑сервис, короткоживущие сертификаты.

8.5 IDS/IPS

IDS/IPS анализируют сетевой трафик и событийные логи для обнаружения атак и аномалий; IPS может активно блокировать трафик. Решения бывают сетевыми (NIDS/NIPS) и хостовыми (HIDS/HIPS).

Подходы к детектированию

  • Сигнатурный: сравнение с базой известных шаблонов атак.
  • Аномальный/поведенческий: статистика/ML, выявление отклонений.
  • Stateful L7: корреляция сессий/протоколов (HTTP/DNS/SMB и др.).

Развёртывание и интеграция

  • SPAN/TAP для зеркалирования трафика в NIDS; in‑line режим для NIPS.
  • Правила и обновления: жизненно важны актуальные сигнатуры и исключения (tuning).
  • SIEM/SOAR: корреляция событий и автоматизация реакции.

Ложные срабатывания неизбежны: настраивайте пороги и исключения; комбинируйте с сетевой сегментацией и MFA.

8.6 NAC и 802.1X

Network Access Control (NAC) управляет допуском устройств в сеть на основе аутентификации/авторизации и состояния устройства.

802.1X в двух словах

  • Роли: supplicant (клиент), authenticator (коммутатор/AP), authentication server (RADIUS).
  • EAP‑методы: PEAP/EAP‑TLS — баланс между удобством и безопасностью (сертификаты).
  • MAB: резервная авторизация по MAC, как правило, с ограниченными правами.

Политики доступа

  • VLAN‑назначение/dACL: динамическая сегментация на порту по результатам авторизации.
  • Posture: проверка соответствия (антивирус, шифрование диска, патчи) и карантинные VLAN.
  • Гостевой доступ: временные учётные записи/порталы, изоляция.

Практика: начинайте с «low‑impact» режимов (monitor, closed‑mode с исключениями), чтобы не нарушить бизнес‑процессы.

Настройки

Цветовая схема

Тема