Пятница , 29 марта 2024

Что такое межсетевой экран и почему он должен быть сертифицирован ФСТЭК

межсетевой, экран

Как правило у компании имеется внутренняя сеть: маршрутизаторы, компьютеры сотрудников, серверы. В данной сети хранится конфиденциальная информация: данные сотрудников, персональные данные, корпоративная тайна. Внутренняя сеть соединена с глобальным интернетом, и это небезопасно — такое соединение, чтобы похитить данные могут использовать злоумышленники.

Для защиты внутренний сети устанавливают межсетевые экраны — устройства или программы, охраняющие границы корпоративной сети. Поговорим, как они работают и зачем выбирать экраны, сертифицированные ФСТЭК. На межсетевой экран esr-1500 fstec цена напрямую зависит от функциональности и области его применения.

Что такое межсетевой экран

Межсетевой экран (брандмауэр, файрвол, МЭ) — приспособление, которое фильтрует входящий и исходящий сетевой трафик. Он анализирует источник трафика, время передачи, IP-адрес, протокол, частоту сообщений и другие параметры, после чего принимает решение: пропустить или заблокировать трафик.

У межсетевых экранов бывают стандартные настройки — например, он может блокировать все входящие подключения или исходящие пакеты от определенных приложений. Для корпоративных целей экраны, как правило, настраивают дополнительно — задают протоколы, порты, разрешения для приложений. Обычно этим занимается системный администратор или специалист по информационной безопасности.

Классический межсетевой экран не изучает передаваемые данные, не ищет вредоносный код, ничего не шифрует и не расшифровывает. Он работает только с сетевыми параметрами соединения, а точнее — с признаками отдельных IP-пакетов, из которых состоит это соединение, такими как IP-адреса соединяющихся компьютеров и некоторые другие параметры.

Что такое межсетевой экран и почему он должен быть сертифицирован ФСТЭК

Упрощенная схема работы файрвола

Межсетевой экран выступает в качестве барьера между двумя сетями, например, внутренней сетью компании и интернетом. Он защищает от:

  1. Несанкционированного доступа из интернета в защищенную сеть. Например, если из интернета придет пакет данных от ненадежного адресата, МЭ его не пропустит.
  2. Неконтролируемых сетевых подключений. Если кто-то попытается устроить DDoS-атаку, чтобы уронить серверы компании, МЭ не пропустит все эти пакеты данных.
  3. Несанкционированной передачи из защищенной сети в интернет. Например, вирус проник на сервер, собрал данные и пытается отправить их хакеру. МЭ заметит передачу подозрительному адресату и заблокирует ее — данные не утекут в сеть.

Чаще всего межсетевой экран устанавливают на границе корпоративной сети и интернета. Но можно поставить его и внутри корпоративной сети, чтобы создать отдельную, особо защищенную сеть. Например, дополнительно фильтровать трафик к серверам с самыми секретными данными. Кроме того, экран может стоять на отдельном компьютере и защищать только его. В этом случае его иногда называют сетевым (а не межсетевым), однако по классификации ФСТЭК он также будет относиться к межсетевым экранам.

Ниже мы рассматриваем варианты МЭ, которые отражены в документации ФСТЭК — это классические серверные и десктопные экраны. Поэтому мы не рассматриваем все современные варианты МЭ: брандмауэры для смартфонов, средства фильтрации трафика для беспроводных соединений, а также современные устройства для более сложной фильтрации, чем по признакам сетевых соединений (IP-пакетов), такие как DPI.

Итак, переходим к вариантам межсетевых экранов, описанным в документации ФСТЭК.

Какие бывают межсетевые экраны по документации ФСТЭК

Межсетевые экраны бывают 2-ух видов: программные и аппаратные. Выполняют они одинаковые функции, только работают немного совершенно по-разному:

  1. Программно-аппаратные комплексы (ПАК), или аппаратные МЭ — специальные устройства или компоненты роутеров, на которых установлено фильтрующее программное обеспечение. Все железо и ПО внутри этого устройства специализировано на фильтрации трафика и нескольких смежных задачах, дополнительные программы на аппаратный МЭ поставить нельзя. Это снижает уязвимость такого устройства к атакам и позволяет обеспечивать защищенность более высокого класса.
  2. Программные межсетевые экраны — это программное обеспечение на сервере, которое занимается фильтрацией трафика. По сути, это то же программное обеспечение, что установлено в аппаратном МЭ, но оно устанавливается на сам сервер.

Обычно аппаратные МЭ стоят на границе сети, к примеру, там, где внутренняя сеть будет подключатся к интернету. Программные стоят на узлах самой внутренней сети, другими словами защищают непосредственно серверы и компьютеры.

Аппаратные МЭ дороже, но надежнее, обеспечивают более серьезную защиту. Программные дешевле, но менее надежны — присутствует риск, что трафик от злоумышленника успеет навредить сети. Кроме того, программные межсетевые экраны часто настолько нагружают компьютер, на который установлены, что там ничего больше нельзя установить. Из-за этого для них временами выделяют отдельный сервер — и этот сервер фактически исполняет роль аппаратного межсетевого экрана.

Межсетевой экран можно установить и на облачном сервере. Его можно расположить на границе логической локальной сети в облаке точно так же, как физический МЭ можно разместить на границе физической корпоративной сети. Такой МЭ будет фильтровать соединения на границе виртуальной частной сети.

Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК

Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.

То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный межсетевой экран ФСТЭК.

Сертификат ФСТЭК также может подтвердить, что МЭ подходит для защиты государственной тайны. Так что компании, которые хранят такие сведения, тоже обязаны использовать только сертифицированные межсетевые экраны.

Если вы не храните персональные данные или гостайну, вовсе необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран. Однако если вы беспокоитесь о секретности ваших данных, при выборе экрана целесообразно обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный.

Виды межсетевых экранов по классификации ФСТЭК

Для сертификации межсетевого экрана ФСТЭК определяет его профиль защиты. Профиль нужно знать, чтобы понять, в какой конкретно системе, с какими целями и для защиты каких данных можно использовать этот экран.

К каждому профилю есть конкретные технические требования, а сам профиль зависит от двух параметров: типа МЭ и его класса защиты.

Типы межсетевых экранов по ФСТЭК:

  1. «А» — аппаратные, установленные на физических границах сети. Например, программно-аппаратные комплексы в месте физического подключения сети компании к интернету через кабель.
  2. «Б» — программные и аппаратные, установленные на логических границах сети, например встроенные в маршрутизатор.
  3. «В» — программные, установленные на узлы, например компьютеры сотрудников.
  4. «Г» — аппаратные и программные, работающие с протоколами http и https, то есть с веб-трафиком.
  5. «Д» — аппаратные и программные, которые работают с промышленными протоколами передачи данных.

Классы защиты межсетевых экранов по ФСТЭК:

  • 6 класс — это самый низший класс, подходит для работы с персональными данными 3 и 4 уровня защищенности.
  • 5 класс — подходит для работы с данными 2 уровня защищенности.
  • 4 класс — подходит для работы с данными 1 уровня защищенности.
  • 1, 2 и 3 класс — необходим для работы с гостайной.

Типы и классы защиты не находятся в зависимости друг от друга напрямую. К примеру, может существовать экран типа «А» с 6 классом защищенности или экран типа «В» с 1 классом.

Комбинация типа и класса защиты определяет профиль защиты каждого конкретного межсетевого экрана. И именно от профиля зависят технические требования к МЭ.

Что такое межсетевой экран и почему он должен быть сертифицирован ФСТЭК

Таблица определения профиля защиты межсетевого экрана. Для некоторых профилей нет 1, 2 и 3 уровней защиты — такие экраны не используют для хранения гостайны

Получается, что профилей защиты всего 24. На сайте ФСТЭК выложены требования к 15 профилям — ко всем, кроме тех, что требуют 1, 2 и 3 уровня защиты. Эти профили — закрытая информация, так как они используются для хранения гостайны.

Пример: представим, что компании нужно установить межсетевой экран esr-1000 fstec на компьютер сотрудника. Сотрудник работает с персональными данными третьего уровня защищенности — значит, ей нужен межсетевой экран шестого уровня защиты и типа «В», для установки на узел сети. Это экран с профилем ИТ.МЭ. В6.ПЗ. Получается, нужно искать межсетевой экран с сертификатом, соответствующим выбранному профилю. Профили более высокого уровня тоже подойдут — например, можно поставить и экран ИТ.МЭ. В4.ПЗ.

Если этой же компании понадобится межсетевой экран на границе сети, это будет уже экран типа «А» и того же шестого уровня защищенности — экран профиля ИТ.МЭ. А6.ПЗ.

Что важно знать о межсетевых экранах, сертифицированных ФСТЭК

  1. Межсетевой экран фильтрует трафик — не пропускает подозрительный трафик внутрь защищенной сети и не выпускает его из нее.
  2. Межсетевые экраны бывают аппаратные и программные. Аппаратные — отдельные устройства, которые заняты только фильтрацией трафика. Программные — специальное ПО, которое устанавливают на компьютеры и серверы.
  3. Если вы храните персональные данные или государственную тайну, то обязаны обеспечить им защиту. Межсетевой экран — одна из таких защитных мер.
  4. Для гарантии надежности межсетевого экрана производители получают сертификат ФСТЭК. Только МЭ, сертифицированный ФСТЭК, можно использовать для защиты персональных данных.
  5. ФСТЭК делит межсетевые экраны на профили, в зависимости от назначения и уровня защиты, который они обеспечивают. Чем секретнее данные, которые вы храните, тем более защищенный МЭ нужно выбирать.

Смотрите также

Использовать роутер как коммутатор

Использовать роутер как коммутатор

Вы, наверное, слышали о двух стандартных сетевых устройствах: маршрутизаторе и коммутаторе. Хотя у них больше …

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *