вторник, 8 ноября 2016 г.

0. Практическая безопасность сетей


Ну вот и пришло время для новой книги, которая все еще пишется в свободное от работы время. Пишется она уже месяца два-три и еще очень много работы. Дабы готовые материалы "не залеживались на полках", буду потихоньку публиковать их в блоге. Возможно это смотивирует меня к более продуктивной работе. Публикации будут пару раз в неделю.

От автора

Данная книга является результатом нескольких лет работы в области системной интеграции, а также основана на анализе и переработке огромного количества профессиональной литературы. Руководство носит исключительно информативный характер. Приведенные рекомендации всего лишь личное мнение автора и не являются абсолютной истиной!
Я буду придерживаться свободного стиля изложения и возможно у вас иногда будет возникать ощущение, что вы читаете художественную, а не техническую литературу. Надеюсь, что это позволит гораздо легче воспринимать весь материал.
Автор имеет техническое образование и совершенно однозначно не может назвать себя писателем. Книга не проходила никакой модерации, поэтому с большой долей вероятности вы встретите как орфографические, так и пунктуационные ошибки. Заранее прошу прощения!

О чем эта книга?

Если взять мою предыдущую книгу “Архитектура корпоративных сетей”, то можно узнать практически о всех средствах защиты сети. Однако следует понимать, что в той книге описывается идеальный случай, когда вы не ограничены бюджетом и можете покупать все, что вам нужно. Также стоит помнить, что даже самый дорогой межсетевой экран не сможет защитить вашу сеть, если вы не будете его настраивать должным образом. Информационная безопасность это не результат, это непрерывный процесс. Нельзя установить средства защиты и решить, что теперь ваша сеть безопасна. Вам придется постоянно дорабатывать свою систему защиты.
Мы живем в реальном мире и далеко не всегда располагаем нужными средствами в ИТ/ИБ бюджете для закупки тех или иных средств. Что же делать тем, у кого отсутствует какое-либо оборудование для защиты сети? Неужели придется поставить крест на безопасности? Многие так и делают, говоря: “О какой безопасности может идти речь, если компания не хочет или не может выделять средства”. С этой мыслью многие почему-то совершенно забывают о встроенных средствах защиты в обычном сетевом оборудовании, не соблюдают простейшие правила безопасности и оставляют огромные “дыры” в своей сети. Не делайте так. Если вы беретесь за какую-то работу, то делайте ее максимально хорошо, используя все доступные возможности. 
По работе мне часто приходилось участвовать в очень крупных проектах, где ставилась задача по защите сети в 5-10 тысяч пользователей. Закупалось огромное количество дорого оборудования - межсетевые экраны, системы предотвращения вторжений, прокси-сервера и т.д. Бюджет проектов исчислялся десятками миллионов рублей. Представьте мое удивление, когда после внедрения таких “дорогущих” проектов обнаруживалось, что на обычном сетевом оборудовании использовались пароли вроде “admin” или “1234” (и эти пароли не менялись годами, даже после смены системных администраторов). Для подключения к коммутаторам использовался незащищенный протокол “Telnet”. В офисах стояли хабы, которые принесли сами пользователи, “потому что им так удобнее”. В корпоративную сеть подключались личные ноутбуки сотрудников. В ИТ инфраструктуре была полная анархия.
Таким образом, несмотря на потраченные миллионы, такую сеть мог бы “положить” даже школьник в течении 5 минут. А все из-за безалаберного отношения к обычным коммутаторам и маршрутизаторам, которые обычно никто даже не рассматривает в качестве средств защиты.
В данной книге мы узнаем каким образом можно “закрутить гайки безопасности” на обычных коммутаторах и маршрутизаторах. Попробуем описать лучшие практики по настройке оборудования и процессы, необходимые для обеспечения информационной безопасности.

Для кого эта книга?

Современный работодатель считает (или хочет так считать) что ИТ-специалист и специалист по ИБ, это одно и то же. Безусловно это не так. Это совершенно разные профессии. Но в силу различных обстоятельств (не зависящих от нас), очень часто приходится совмещать эти две профессии. Возможно кого-то возмутит данный факт, но я убежден, что любой уважающий себя ИТ-специалист должен обладать хотя бы элементарными знаниями в области сетевой безопасности и придерживаться некоторых принципов при построении или администрировании сети.
Если перед вами вдруг встала задача обезопасить свою сеть, но тема сетевой безопасности для вас темный лес, то стоит начать именно с этой книги.
Безусловно, это руководство не сделает из вас эксперта в области ИБ. Но мы и не ставим такой цели. Эта книга для тех, кто хочет в кратчайшие сроки улучшить защиту своей сети. Выжмите максимум из имеющегося оборудования, а уж затем можно думать о таких вещах как DLP, SIEM, Proxy, IPS и т.д. Строительство дома всегда начинается с фундамента. В нашем случае, фундамент безопасности - грамотно настроенное сетевое оборудование и выстроенный процесс сопровождения сети.

Эта книга будет вам интересна, если вы:
-хотите узнать об основных опасностях для вашей сети;
-хотите узнать как от них защищаться;
-вам нужны практические советы по защите сети;
-хотите стандартизировать настройки безопасности для сетевого оборудования;
-вам интересны лучшие практики в области сетевой безопасности;
-просто интересуетесь сетевой безопасностью.

Также это руководство отлично подойдет для обучения сотрудников внутри организации - сетевых инженеров и системных администраторов. Данная книга особенно рекомендуется для завершивших “Курс молодого бойца”, как логическое продолжение основ сетевых технологий.

Применение

Данное руководство описывает основные аспекты построения защищенной сети на основе коммутаторов и маршрутизаторов, без использования специализированных средств (межсетевых экранов, IPS, DLP и т.д.). 
В книге будут даны не только рекомендации, но и конкретные примеры конфигурации оборудования. Все примеры будут касаться исключительно оборудования компании Cisco Systems.
Это не значит, что если вы используете коммутаторы другой фирмы, то данная книга вам не подойдет. Все описанные настройки присутствуют в подавляющем большинстве сетевого оборудования. Принцип остается тем же, отличаться будет только синтаксис команд.
Следует отметить, что описанные в книге методы не гарантируют абсолютной безопасности вашей сети. Руководство дает некий “шаблон”, придерживаясь которого вы сможете существенно обезопасить сетевую инфраструктуру. 
Также предполагается, что читатель обладает необходимым уровнем знаний и способен отличить коммутатор от маршрутизатора.

После прочтения данного руководства настоятельно рекомендую к ознакомлению книгу “Архитектура корпоративных сетей”. Книга познакомит вас с принципами построения более комплексной и надежной защиты на основе специализированных продуктов.

Важное замечание! Абсолютно все описанные технологии и настройки, можно попробовать в GNS3, UNetLab или Cisco Packet Tracer. Если у вас нет опыта работы с данными программами, то вы можете воспользоваться бесплатными видео уроками, которые вы найдете по приведенным ссылкам.

4 комментария:

  1. Приятно читать, разнообразие примеров будет только плюсом.

    ОтветитьУдалить
  2. Классный автор, шикарный блог)
    Переехал повыше в экспресс панели.

    ОтветитьУдалить
  3. Спасибо за очень интересную статью

    ОтветитьУдалить

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers