Сетевая безопасность

8.1 Типы атак

  • Сетевые: MITM (подмена ARP/DNS, прокси), DDoS (Volumetric/Protocol/Application), сканирование и эксплойты сервисов.
  • Вектор приложений: инъекции, XSS/CSRF, уязвимости в аутентификации.
  • Социальная инженерия: фишинг, spear phishing, vishing/SMShing.

Подходы к снижению рисков

  • Сегментация: VLAN/VRF, правила доступа по принципу наименьших привилегий.
  • Защита L2: DHCP Snooping, Dynamic ARP Inspection, Port Security.
  • Наблюдаемость: логи, телеметрия, алерты, ответ на инциденты.

8.2 Шифрование и VPN/IPsec

TLS защищает приложения (HTTPS); IPsec — защита на сетевом уровне; VPN создаёт защищённый туннель поверх недоверенной сети.

TLS кратко

  • Рукопожатие: согласование алгоритмов, проверка сертификата, обмен ключами.
  • Современные практики: TLS 1.2/1.3, PFS (ECDHE), отказ от слабых шифров и протоколов.

IPsec кратко

  • Режимы: транспортный/туннельный; протоколы AH/ESP.
  • IKEv2: аутентификация и согласование параметров, построение SA.

Криптография и PKI углубление

  • Ассиметричная/симметричная криптография: RSA/ECDSA для аутентификации; AES/ChaCha20 для шифрования данных.
  • Хэш‑функции/целостность: SHA‑2/SHA‑3, HMAC; назначение и угрозы коллизий.
  • PKI‑цепочки: Root/Intermediate/Leaf, OCSP/CRL, OCSP‑stapling.
  • HSM/KMS: хранение ключей, разграничение доступа, аудит операций.

VPN

  • Site‑to‑Site/Remote Access: выбор технологий (IPsec, SSL‑VPN, WireGuard), маршрутизация/политики.
  • PFS: новые ключи сеанса исключают компрометацию прошлых сессий при утечке долгосрочного ключа.

8.3 Межсетевые экраны

Современные межсетевые экраны сочетают stateful‑фильтрацию, идентификацию приложений (L7), IPS/IDS и функции прокси. Они применяются на периметре и внутри сегментов (микросегментация).

Практика firewall

  • Stateful инспекция и таблицы состояний, таймауты.
  • Правила: денай по умолчанию, минимизация экспонированных сервисов.
  • Логи: критичны для расследований; централизованный сбор в SIEM.

NAT ≠ безопасность: трансляция адресов не заменяет фильтрацию и сегментацию; используйте явные политики доступа и принцип наименьших привилегий.

8.4 Для профессионалов

PKI: инфраструктура открытых ключей, цепочки доверия, OCSP/CRL, HSM. Практики: HSTS, CSP, mTLS, TLS 1.3.

Управление ключами и политиками

  • Выдача/отзыв сертификатов, автоматизация (ACME), сроки и ротация ключей.
  • Политики: pinning (с осторожностью), минимизация доверенных CA, разделение ролей.

Операционная безопасность PKI

  • Разделение ролей: офлайн Root CA, онлайн Issuing CA, аудит ключевых операций.
  • Прозрачность сертификатов: CT‑логи, отслеживание и отзыв компрометированных сертификатов.
  • mTLS: взаимная аутентификация сервис‑сервис, короткоживущие сертификаты.

8.5 IDS/IPS

IDS/IPS анализируют сетевой трафик и событийные логи для обнаружения атак и аномалий; IPS может активно блокировать трафик. Решения бывают сетевыми (NIDS/NIPS) и хостовыми (HIDS/HIPS).

Подходы к детектированию

  • Сигнатурный: сравнение с базой известных шаблонов атак.
  • Аномальный/поведенческий: статистика/ML, выявление отклонений.
  • Stateful L7: корреляция сессий/протоколов (HTTP/DNS/SMB и др.).

Развёртывание и интеграция

  • SPAN/TAP для зеркалирования трафика в NIDS; in‑line режим для NIPS.
  • Правила и обновления: жизненно важны актуальные сигнатуры и исключения (tuning).
  • SIEM/SOAR: корреляция событий и автоматизация реакции.

Ложные срабатывания неизбежны: настраивайте пороги и исключения; комбинируйте с сетевой сегментацией и MFA.

8.6 NAC и 802.1X

Network Access Control (NAC) управляет допуском устройств в сеть на основе аутентификации/авторизации и состояния устройства.

802.1X в двух словах

  • Роли: supplicant (клиент), authenticator (коммутатор/AP), authentication server (RADIUS).
  • EAP‑методы: PEAP/EAP‑TLS — баланс между удобством и безопасностью (сертификаты).
  • MAB: резервная авторизация по MAC, как правило, с ограниченными правами.

Политики доступа

  • VLAN‑назначение/dACL: динамическая сегментация на порту по результатам авторизации.
  • Posture: проверка соответствия (антивирус, шифрование диска, патчи) и карантинные VLAN.
  • Гостевой доступ: временные учётные записи/порталы, изоляция.

Практика: начинайте с «low‑impact» режимов (monitor, closed‑mode с исключениями), чтобы не нарушить бизнес‑процессы.