Навісна або інтегрований захист: що краще?

Відео: "НашПотребНадзор": Мінуси навісних замків, харчова сіль з хімікатами і фальшиві купюри (02.04.2017)

У МЕРЕЖІ ВСЕ ДАНІ ПЕРЕДАЮТЬСЯ ПО ПРОТОКОЛУ TCP / IP. ПРАВДА, КОЛИ ПРОТОКОЛ TCP / IP розроблялися, ПРОГРАМІСТИ ЯВНО НЕ замислюється про те, ЩО КОЛИ-НЕБУДЬ З`ЯВЛЯТЬСЯ ХАКЕРИ, А В МЕРЕЖА ПРИЙДЕ ВЕЛИКИЙ БІЗНЕС.

Мережа створювалася більше для відкритого спілкування, ніж для комерції або передачі секретних даних. Відкритість - це, звичайно, добре, але далеко не завжди і не скрізь. Жодне підприємство не захоче, щоб конфіденційна інформація була відкрита конкурентам, жоден споживач не захоче, щоб номер його кредитної картки перехопив хакер.

TCP / IP позбавлений таких можливостей як шифрування і захист від прослуховування та цілісності трафіку (захист від перехоплення не є надійною). Всі ці недоліки серйозні, але, тим не менш, протокол до сих пір використовується. Сама мережева модель була розроблена професійно. Вона складається з семи рівнів, а протокол TCP знаходиться рівно посередині - на транспортному рівні. Будь-який додаток, з яким потрібна робота з Мережею, може використовувати вже реалізовані функції, або на більш високих рівнях реалізувати відсутні і необхідні можливості. Просто поверх TCP потрібно поставити ще один «кубик». І будь-який реалізує захист мережевий протокол на базі TCP / IP буде навісним.

без навісу

Коли засоби захисту реалізовані вже всередині програми, отримуємо наступні переваги:
- Установка пройде без проблем, так як не потрібно налаштовувати окремий додаток, яке буде забезпечувати безпеку (наприклад, шифрування). Спрощення настройки часто є серйозним плюсом, особливо в великих компаніях з сотнями комп`ютерів, коли важлива швидкість установки і зручність конфігурації.
- Невелика вірогідність конфліктів між різними модулями.

Тепер про недоліки:
- Як показує життя, далеко не всі програмісти є фахівцями в області безпеки. Виходить, що якщо компанія розробляє мережеву програму і намагається реалізувати вбудований захист, то без відповідних фахівців може вийде незахищений продукт.
- Втрачається гнучкість, якщо система реалізована під певне обладнання або протокол.
- Часто для вбудованої захисту використовується сторонній пакет. І можуть виникнути проблеми з його оновленнями. Наприклад, ви купили програму. Вона використовує для шифрування трафіку OpenSSL. Якщо у функціях цього пакета знайдено помилку і розробники про це сигналізують, ви повинні мати можливість оновити необхідні бібліотеки, не чекаючи офіційних латочок від розробника. Адже якщо розробник виявиться нерозторопним, весь цей час ваша система буде перебувати під загрозою.

під навісом

Розглянемо переваги навісної захисту:
-Найчастіше захист розробляється фахівцями в цій галузі. І, вибираючи перевірені часом рішення, ви маєте більше шансів отримати якісний захист.
- Поширеність системи дозволяє гарантувати, що існуючі помилки будуть знайдені і оперативно виправлені.
- Навісна захист дозволяє захистити навіть те, що з самого початку не було безпечним. Наприклад, протокол Telnet. Передані по ньому дані абсолютно не захищені, і будь-який фахівець скаже, що цей протокол використовувати не можна. Але якщо трафік акуратно загорнути в stunnel, то проблема зникне. Ще один приклад - протокол FTP, за допомогою якого ми передаємо файли. Він спочатку не захищає свої канали та передані дані, але, обернувши трафік зашифрованих тунелем, отримуємо SFTP і можливість безпечно працювати з FTP.

До мінусів можна віднести:
- Поширеність. Популярність завжди має дві сторони медалі і зворотна полягає в тому, що якщо хтось знайде помилку, то постраждають усі користувачі даного продукту. Тому потрібно регулярно оновлювати системи безпеки.
- Необхідність установки і конфігурації окремого продукту.

симбіоз

Можна зустріти ситуації, коли трафік додатку, який має хороші вбудовані механізми захисту, додатково захищається навісний захистом. На перший погляд, дублювання надлишково, але ... Якщо в механізмах захисту програми буде знайдена помилка, хакер не зможе скористатися цим, тому що весь трафік шифрується ще одним алгоритмом. Якщо ж помилка знайдена в навісний захисту, то хакер зможе розшифрувати перший шар, а другий залишиться недоступним. Імовірність того, що помилка буде знайдена в обох алгоритмах, незначна мала. Таким чином, подвійний захист дозволяє знизити ризик втрати даних.

З іншого боку, накладні витрати передачі / прийому даних зростають. Якщо обидва алгоритму захисту порівнянні з часу роботи і ресурсів, то навантаження і затримка збільшуються рівно в два рази. Але якщо втрата конфіденційної інформації дорожче втрати продуктивності, це вихід.

адміністратору

Якщо ви вибираєте готове рішення для своєї мережі, обов`язково перевірте, як побудована захист. Якщо вона вбудована, то потрібно з`ясувати, які алгоритми шифрування, авторизації та аутентифікації підтримуються. Далеко не завжди вбудований захист написана самостійно - програма може використовувати стандартні бібліотеки. І якщо ці бібліотеки використовуються без модифікації, то ви зможете їх оновлювати незалежно від розробника програми. Але якщо в стандартну бібліотеку внесені важливі зміни, то оновлювати її повинен сам розробник.

думка автора

Безпека не залежить від того, яка використовується захист. Це можуть бути як навісні рішення, так і вбудовані. Якщо про безпеку думають спочатку і на всьому життєвому циклі рішення (планування, розробка, впровадження, підтримка), то будь-який захист може забезпечити належний рівень безпеки. Сама реалізація повинна бути виконана на належному рівні: обов`язково використання стійкого шифрування і забезпечення коректної авторизації / аутентифікації, при якій хакер не зможе скомпрометувати систему. Якщо систему розробляє не професіонал, то остання умова може бути і не виконано.

Забезпечити безпеку своєї робочої мережі Ви зможете, використовуючи якісне мережеве обладнання. Наприклад, SFP трансивери (https://bb-elec.ru/product/esw-700/) від компанії Elinx. Я рекомендую Вам зупинити свій вибір на моделі ESW700.

Дізнайтеся подробиці прямо зараз на сайті bb-elec.ru.

Наука і техніка