Системы контроля сетевого доступа
Средства контроля безопасного доступа к корпоративной сети (NAC-решения)
Выбор средств защиты
Поиск
Мнение
Описание и назначение
Контроль сетевого доступа (NAC) — это комплекс технических мер и средств, реализующий политики и правила доступа в сеть, который также обеспечивает защиту всех конечных устройств, имеющих к ней доступ, от присутствующих внутри угроз безопасности.
Для выполнения требований политик информационной безопасности на предприятиях ответственные сотрудники должны контролировать учетные данные подключившихся к сервисам пользователей, информацию об устройстве, с которого было произведено подключение, и какими именно приложениями сотрудник может воспользоваться в рамках установленной сессии. Системы NAC позволяют выполнять эту задачу и обеспечить централизованное управление и администрирование политик доступа сотрудников в информационную среду организации.
Действия NAC-системы заключаются в том, чтобы выяснить, безопасно ли устройство, предпринимающее попытку подключения к сети, и соответствует ли его конфигурация определенным правилам доступа. После процедуры идентификации система принимает решение о том, какой уровень доступа к системным ресурсам необходимо предоставить.
Параллельно с увеличением количества совершаемых внешних атак посредством вирусов, червей, а также шпионских программ, решения NAC продолжают набирать свою популярность. Особое внимание этому классу продуктов уделяют разработчики антивирусных средств, так как в первую очередь стоит рассматривать работающих удаленно пользователей как потенциальных, даже если и неумышленно, нарушителей.
Изначально на рынке информационной безопасности появились два отдельных типа решений:
- Системы контроля доступа к сети (NAC).
- Системы централизованной аутентификации, авторизации и аккаунтинга (AAA).
Но с развитием технологий функциональности этих решений были интегрированы в одну систему. И теперь основными составляющими NAC являются:
- Сервер- и клиент-системы контроля доступа.
- Сетевые устройства, которые участвуют в идентификации сотрудников и применении определенных политик доступа.
Это позволило снизить риски успешного осуществления атак на сеть за счет превентивного блокирования доступа ноутбуков, мобильных телефонов и других удаленных устройств в случае их несоответствия принятым политикам, управлять и контролировать доступ, а также обеспечить автоматизацию доступа гостевых устройств.
Российские регуляторы выпустили ряд требований и рекомендаций к системам контроля сетевого доступа. Согласно ФСТЭК России, доступ к сервисам должен контролироваться, чтобы избежать компрометацию безопасности сети и самих сервисов.
При выборе NAC стоит обратить внимание на возможные особенности продуктов:
- Необходимо ли применение политик до или после подключения устройства к защищаемой сети.
- Будет ли установлен агент NAC или будет использоваться решение без агента.
- Внешнее исполнение или встроенные компоненты системы.
Зачастую компании, планирующие использовать NAC как средство защиты от внешних угроз, приходят к выводу, что для обеспечения всех внутренних требований к такой системе и соответствия внутренним политикам информационной безопасности необходимо настраивать два решения параллельно. Это зависит в первую очередь от количества и особенностей уже имеющихся систем информационных технологий внутри корпоративной сети.
Ограничение доступа в интернет
Ограничение доступа в интернет остается одним из основных методов обеспечения безопасности в информационной среде. Проблема в большинстве случаев решается программными методами. На аппаратном уровне ограничение редко применяется, так как очень сложно отличить нежелательные пакеты данных от тех, к которым доступ разрешен, а вот с помощью софта эта задача решается недорого и эффективно. Рассмотрим подробнее как это происходит.
Методы ограничения доступа, анализ трафика
Интернет состоит из множества сайтов, поэтому контроль доступа к сайтам — основной метод ограничения доступа. Распространенных способов здесь два, и они подходят к проблеме с противоположенных концов: белый список и черный список. В первом случае ограничивается всё, кроме сайтов из белого списка. Во втором, наоборот, доступ ко всем сайтам разрешен, кроме черного списка.
Ввиду специфики интернета, постоянного пополнения числа нежелательных сайтов, технология с черным списком практически устарела. Тем не менее web-фильтрация продолжает оставаться действенным методом контроля доступа. Для корпоративных нужд пользуются готовыми программными решениями, открывая доступ только необходимым для рабочего процесса ресурсам.
Ограничение доступа в интернет в корпоративных масштабах выполняется через установку специальной программы на каждую рабочую станцию.
Основные способы контроля доступа в интернет
- Белый и черный список. Избирательный контроль доступа к сайтам с идентификацией по доменному имени и адресу, но не по содержимому, за счет чего экономятся аппаратные ресурсы.
- Интеллектуальный анализ содержимого сайтов. Применяются методы ассоциации, классификации, кластеризации данных.
- Ограничение доступа в интернет по времени.
- Контроль доступа к приложениям, ограничения на установку приложений (требуются права администратора).
- Отслеживание местоположения.
- Проверка переписки (контроль сообщений в мессенджерах).
Технических методов, обеспечивающих контроль доступа к сайтам, более чем достаточно. Применять их следует в соответствии с законом и задачами коммерческого субъекта, или частного лица/лиц.
Правовые аспекты ограничения доступа в интернете
Регулирование ограничения доступа в интернете может быть выполнено провайдером в случае нарушения пользователями действующего законодательства, или руководителем организации согласно внутренним правилам поведения и режима работы сотрудников. Также в трудовом договоре часто прописано, что сотрудник в рабочее время имеет право посещать только те сайты, которые непосредственно связаны с его деятельностью.
Частные лица также вправе удалять информацию из сети, в случаях, если имеется решение суда о том, что указанные сведения являются клеветой, порочат репутацию или же попадают под иные федеральные законы.
Функцию контроля и ограничения доступа в интернет в РФ по большей части реализует Роскомнадзор. Это касается как физических, так и юридических лиц. Если речь идет про корпоративные сети и доступ, то ограничение действий пользователей здесь чаще всего добровольное – это важно для обеспечения целей собственной безопасности, например, с помощью систем SWG предлагаемых нашей компанией. В этом случае доступ к нежелательной и потенциально опасной информации закрыт изначально согласно политикам и настройкам SWG-системы.
Однако стоить помнить, что за защиту интернета отвечает далеко не только один Роскомнадзор, но и много других органов безопасности в основном международного уровня – интернет-пространство глобально. Среди тех, кто так или иначе причастен к управлению и контролю за мировой паутиной можно причислить In-Q-Tel, ICANN, IANA, IRTF.
SWG-системы надежно защищают крупный, средний бизнес за счет автоматизированного контроля, гибких настроек, совершенствования функционала. Так, в числе первоочередных функций – блокировка доступа к контенту, не соответствующему политикам допустимого использования, защита конфиденциальных данных от несанкционированной передачи.
Способы реализации ограничения сетевого доступа
Контроль доступа в интернет – повсеместная мера, к которой прибегают коммерческие и государственные организации. Разработана масса методов, как для частного, так и для коммерческого применения. Среди них:
- использование одной из функций SWG-системы;
- установка кэширующего прокси-сервера;
- использование файрвола, межсетевого экрана (может быть реализован в аппаратном виде);
- временное отключение интернета, например, 4-6 часов рабочего времени;
- использование таймера запуска и закрытия приложений, планировщика заданий Windows;
- настройка пользовательских профилей на сайтах, например, на YouTube.
Каждый из способов рассмотрим подробно. Наиболее часто ограничение доступа к сайтам для ребенка реализуется установкой специального приложения, а также антивируса. Встроенная функция родительского контроля есть далеко не на всех устройствах. Этот способ практически бесплатный, но для коммерческих детских учреждений недостаточный.
Аппаратный межсетевой экран (файрвол)
Это наиболее надежный способ реализации ограничения доступа. Работа межсетевого экрана основана на самом надежном принципе сетевой безопасности – белый список, через который проходят только пакеты данных с адресами из разрешенного списка и не более того. Межсетевые экраны очень хороши, но применяются ограниченно, например, в финансовых учреждениях, органах безопасности и там, где необходима самая надежная защита.
Файрвол – это программный маршрутизатор с функцией глубокого анализа пакетов. При небольшом числе пользователей корпоративной сети это недорогая достаточно надежная стандартная защита, но уже в средних компаниях ее цена не идет ни в какое сравнение с чисто программными решениями.
Фактически, DNS-сервер, это программный файрвол. Он выполняет те же функции, что и коммутатор с глубоким анализом пакетов. Родительский контроль доступа в интернет может быть реализован с помощью DNS-сервера достаточно просто и недорого. Способ защиты подходит для образовательных учреждений, школ и кружков. IP-адреса из белого списка прописываются в настойках вручную. Это могут быть, например, только серверы программ для обучения, а доступ ко всем остальным сайтам будет надежно заблокирован.
С точки зрения безопасности, DNS-сервер не сильно уступает аппаратному межсетевому экрану, поэтому также используется в качестве защитного решения. Он представляет собой специальную программу, которая устанавливается на внутрикорпоративный сервер небольшой мощности, где и происходит обработка IP-адресов.
Кэширующий прокси-сервер – усложненный вариант DNS сервера с функцией накопления и анализа содержимого пакетов. Коммерческого применения данная технология почти не имеет, так как требуется подменять SSL-сертификаты сайтов, а это далеко не всегда возможно и эффективно.
Приложения для ограничения доступа
Это самый простой способ реализовать ограничение доступа к сайтам для ребенка. Для массового потребителя большую сложность представляют незнакомые англоязычные интерфейсы настройки DNS-серверов. Такой проблемы нет при использовании простых русифицированных приложений. Они настраиваются легко и просто, и это под силу персоналу детских образовательных учреждений.
Список запрещенных сайтов скачивается из специальной базы. Обычно эта возможность есть в таких приложениях по умолчанию, без указания конкретных сайтов в реестре. Помимо этого, можно вручную закрыть доступ, например, к социальным сетям, которые, несмотря на общее разрешение использования их несовершеннолетними, могут существенно помешать осуществлению процессов обучения.
Отдельного внимания заслуживает ограничение доступа к сетевым играм. Такие функции тоже включены в список стандартных ограничений для доступа во многих приложениях и имеют гибкие ручные настройки.
Родительский контроль в Windows и на сайтах
В ОС Windows 10 представлен довольно обширный набор функций родительского контроля, обеспечивающий:
- фильтрацию трафика с анализом содержимого;
- фильтрацию трафика по IP-адресам;
- ограничения по времени просмотра;
- сохранение истории всех действий.
Пользоваться встроенными функциями OC достаточно удобно, но, по мнению многих пользователей, эффективности этих средств недостаточно, чем и объясняется популярность других приложений для решения той же самой задачи.
Ограничение доступа в интернет – необходимая мера обеспечения безопасности. Она используется в комплексе с другими средствами защиты от внутренних и внешних угроз, антивирусами и DLP-системами. В случаях, когда к компьютерам имеют доступ несовершеннолетние, родительский контроль доступа в интернет обеспечивается силами физического или юридического лица самостоятельно, с помощью недорогих программных средств.