Новость из категории: Информация » IT

Навесная или интегрированная защита: что лучше?

Навесная или интегрированная защита: что лучше?

В СЕТИ ВСЕ ДАННЫЕ ПЕРЕДАЮТСЯ ПО ПРОТОКОЛУ TCP/IP. ПРАВДА, КОГДА ПРОТОКОЛ TCP/IP РАЗРАБАТЫВАЛСЯ, ПРОГРАММИСТЫ ЯВНО НЕ ЗАДУМЫВАЛИСЬ О ТОМ, ЧТО КОГДА-НИБУДЬ ПОЯВЯТСЯ ХАКЕРЫ, А В СЕТЬ ПРИДЕТ БОЛЬШОЙ БИЗНЕС.

Сеть создавалась больше для открытого общения, чем для коммерции или передачи секретных данных. Открытость — это, конечно, хорошо, но далеко не всегда и не везде. Ни одно предприятие не захочет, чтобы конфиденциальная информация была открыта конкурентам, ни один потребитель не захочет, чтобы номер его кредитной карты перехватил хакер.

TCP/IP лишен таких возможностей как шифрование и защита от прослушивания и целостности трафика (защита от перехвата не является надежной). Все эти недостатки серьезны, но, тем не менее, протокол до сих пор используется. Сама сетевая модель была разработана профессионально. Она состоит из семи уровней, а протокол TCP находится ровно посередине — на транспортном уровне. Любое приложение, которому требуется работа с Сетью, может использовать уже реализованные функции, либо на более высоких уровнях реализовать недостающие и необходимые возможности. Просто поверх TCP нужно поставить еще один «кубик». И любой реализующий защиту сетевой протокол на базе TCP/IP будет навесным.

Без навеса

Когда средства защиты реализованы уже внутри программы, получаем следующие преимущества:
- Установка пройдет без проблем, так как не нужно настраивать отдельное приложение, которое будет обеспечивать безопасность (например, шифрование). Упрощение настройки часто является серьезным плюсом, особенно в больших компаниях с сотнями компьютеров, когда важна быстрота установки и удобство конфигурирования.
- Небольшая вероятность конфликтов между различными модулями.

Теперь о недостатках:
- Как показывает жизнь, далеко не все программисты являются специалистами в области безопасности. Выходит, что если компания разрабатывает сетевую программу и пытается реализовать встроенную защиту, то без соответствующих специалистов может получится незащищенный продукт.
- Теряется гибкость, если система реализована под определенное оборудование или протокол.
- Часто для встроенной защиты используется сторонний пакет. И могут возникнуть проблемы с его обновлениями. Например, вы купили программу. Она использует для шифрования трафика OpenSSL. Если в функциях этого пакета найдена ошибка и разработчики об этом сигнализируют, вы должны иметь возможность обновить необходимые библиотеки, не дожидаясь официальных заплаток от разработчика. Ведь если разработчик окажется нерасторопным, все это время ваша система будет находиться под угрозой.

Под навесом

Рассмотрим преимущества навесной защиты:
-Чаще всего защита разрабатывается специалистами в этой области. И, выбирая проверенные временем решения, вы имеете больше шансов получить качественную защиту.
- Распространенность системы позволяет гарантировать, что существующие ошибки будут найдены и оперативно исправлены.
- Навесная защита позволяет защитить даже то, что изначально не было безопасным. Например, протокол Telnet. Передаваемые по нему данные абсолютно не защищены, и любой специалист скажет, что этот протокол использовать нельзя. Но если трафик аккуратно завернуть в stunnel, то проблема исчезнет. Еще один пример – протокол FTP, с помощью которого мы передаем файлы. Он изначально не защищает свои каналы и передаваемые данные, но, обернув трафик шифруемым туннелем, получаем SFTP и возможность безопасно работать с FTP.

К минусам можно отнести:
- Распространенность. Популярность всегда имеет две стороны медали и обратная заключается в том, что если кто-то найдет ошибку, то пострадают все пользователи данного продукта. Поэтому нужно регулярно обновлять системы безопасности.
- Необходимость установки и конфигурирования отдельного продукта.

Симбиоз

Можно встретить ситуации, когда трафик приложения, которое имеет хорошие встроенные механизмы защиты, дополнительно защищается навесной защитой. На первый взгляд, дублирование избыточно, но... Если в механизмах защиты программы будет найдена ошибка, хакер не сможет воспользоваться этим, потому что весь трафик шифруется еще одним алгоритмом. Если же ошибка найдена в навесной защите, то хакер сможет расшифровать первый слой, а второй останется недоступным. Вероятность того, что ошибка будет найдена в обоих алгоритмах, ничтожна мала. Таким образом, двойная защита позволяет снизить риск потери данных.

С другой стороны, накладные расходы передачи/приема данных возрастают. Если оба алгоритма защиты сопоставимы по времени работы и ресурсам, то нагрузка и задержка увеличиваются ровно в два раза. Но если потеря конфиденциальной информации дороже потери производительности, это выход.

Администратору

Если вы выбираете готовое решение для своей сети, обязательно проверьте, как построена защита. Если она встроенная, то нужно выяснить, какие алгоритмы шифрования, авторизации и аутентификации поддерживаются. Далеко не всегда встроенная защита написана самостоятельно - программа может использовать стандартные библиотеки. И если эти библиотеки используются без модификации, то вы сможете их обновлять независимо от разработчика программы. Но если в стандартную библиотеку внесены важные изменения, то обновлять ее должен сам разработчик.

Мнение автора

Безопасность не зависит от того, какая используется защита. Это могут быть как навесные решения, так и встроенные. Если о безопасности думают изначально и на всем жизненном цикле решения (планирование, разработка, внедрение, поддержка), то любая защита может обеспечить должный уровень безопасности. Сама реализация должна быть выполнена на должном уровне: обязательно использование стойкого шифрования и обеспечение корректной авторизации/аутентификации, при которой хакер не сможет скомпрометировать систему. Если систему разрабатывает не профессионал, то последнее условие может быть и не выполнено.



Обеспечить безопасность своей рабочей сети Вы сможете, используя качественное сетевое оборудование. К примеру, SFP трансиверы (http://www.bb-elec.ru/product/esw-700/) от компании Elinx. Я рекомендую Вам остановить свой выбор на модели ESW700.

Узнайте подробности прямо сейчас на сайте www.bb-elec.ru.

Рейтинг статьи

Оценка
0/5
голосов: 0
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх