Лекция 8. Защита сетевой инфраструктуры: межсетевые экраны, IDS/IPS, VPN¶

• Содержание
• Лекция 8. Защита сетевой инфраструктуры: межсетевые экраны, IDS/IPS, VPN
  • Введение
  • Межсетевые экраны (МЭ)
    • Поколения межсетевых экранов
    • Классы МЭ по ФСТЭК
    • Российские МЭ/NGFW (сертифицированные ФСТЭК)
    • Правила фильтрации: принцип «запрещено всё, что не разрешено»
  • Демилитаризованная зона (DMZ)
  • Сегментация сети
    • VLAN и микросегментация
    • Zero Trust Network Access (ZTNA)
  • Системы обнаружения и предотвращения вторжений (IDS/IPS)
    • Методы обнаружения
    • Размещение IDS/IPS
    • Российские сертифицированные IDS/IPS
  • ГосСОПКА
  • VPN и защищённые каналы
    • Типы VPN-подключений
    • Требования к VPN в российских системах
  • Защита от DDoS-атак
  • Мониторинг сетевой безопасности
  • Сквозной пример: сетевая архитектура защиты ИСПДн кадровой службы
  • Что дальше
  • Список литературы и нормативных актов

Введение¶

В предыдущих лекциях мы рассмотрели защиту данных на уровне доступа (Лекция 6) и на уровне криптографии (Лекция 7). Однако большинство атак реализуется через сеть — именно она является основным вектором проникновения для внешних нарушителей уровней Н1–Н2.

Сетевая защита строится на принципе глубокоэшелонированной обороны (Defence in Depth): каждый рубеж задерживает или блокирует нарушителя, вынуждая его совершать всё больше действий и оставлять всё больше следов. Ни один отдельный инструмент не обеспечивает полной защиты — только их совокупность.

В российской нормативной практике сетевая защита регулируется мерами групп СМЭ (Средства межсетевого экранирования), СОВ (Системы обнаружения вторжений) и ЗИС (Защита информационной системы и её компонентов) в рамках Приказов ФСТЭК №117, №21, №239.

Принцип эшелонированной обороны: нарушитель, преодолевший межсетевой экран, встречает IDS/IPS; обошедший IDS — наталкивается на сегментацию сети и разграничение доступа; получивший доступ к данным — обнаруживает, что они зашифрованы. Каждый рубеж увеличивает стоимость атаки и время её обнаружения.

Межсетевые экраны (МЭ)¶

Межсетевой экран — первый и обязательный рубеж защиты сетевого периметра. Он фильтрует трафик между сетевыми сегментами на основании заданных правил.

Поколения межсетевых экранов¶

Поколение	Уровень фильтрации	Что анализирует	Ограничения
Пакетный фильтр (1-е пок.)	L3–L4 (сетевой, транспортный)	IP-адреса, порты, протоколы	Не видит состояние соединения; не анализирует содержимое
Stateful Inspection (2-е пок.)	L3–L4 + состояние сессии	Таблица состояний TCP-сессий	Не анализирует прикладной уровень
Прикладной МЭ / Proxy (3-е пок.)	L7 (прикладной)	Содержимое HTTP, FTP, SMTP, DNS	Высокая нагрузка; не охватывает все протоколы
NGFW — межсетевой экран нового поколения (4-е пок.)	L3–L7 + идентификация приложений	DPI, идентификация приложений, пользователей, угрозы	Требует значительных вычислительных ресурсов

Классы МЭ по ФСТЭК¶

Приказ ФСТЭК №9 (2016) устанавливает классификацию межсетевых экранов по типам и классам защищённости:

Тип МЭ	Уровень применения	Классы
Тип А	Периметр ИС (уровень сети)	4, 3, 2, 1 (1 — высший)
Тип Б	Уровень логических границ ИС (VLAN)	4, 3, 2, 1
Тип В	Уровень узла (host-based)	4, 3, 2, 1
Тип Г	Уровень веб-сервера (WAF)	4, 3, 2, 1
Тип Д	Уровень промышленных протоколов (для АСУ ТП)	4, 3, 2, 1

Минимальный класс МЭ определяется классом защищённости ИС: для ГИС К1 — МЭ не ниже 2-го класса; для ИСПДн УЗ1 — не ниже 2-го класса.

Российские МЭ/NGFW (сертифицированные ФСТЭК)¶

Продукт	Производитель	Класс МЭ
Континент 4 NGFW	«Код Безопасности»	1–4 (тип А, Б)
UserGate	UserGate	3–4 (тип А, Б, Г)
ПАК «Рубикон»	НПО «Эшелон»	1–3 (тип А, Б)
Ideco UTM	Ideco	3–4 (тип А)
АПКШ «Континент»	«Код Безопасности»	1–3 (тип А) + СКЗИ

Правила фильтрации: принцип «запрещено всё, что не разрешен

Базовый принцип конфигурирования МЭ — whitelist (белый список): разрешается только явно определённый трафик, всё остальное блокируется по умолчанию.

Антипаттерн — blacklist (чёрный список): разрешается всё, кроме явно запрещённого. Этот подход неприемлем для защищаемых объектов, поскольку нарушитель всегда может использовать незапрещённый порт или протокол.

Демилитаризованная зона (DMZ)¶

DMZ — сетевой сегмент, изолированный от внутренней сети и напрямую взаимодействующий с внешними сетями. В DMZ размещаются серверы, доступные извне: веб-серверы, почтовые серверы, DNS, VPN-шлюзы.

Логика DMZ: если нарушитель компрометирует сервер в DMZ, он оказывается в изолированном сегменте — для проникновения во внутреннюю сеть ему необходимо преодолеть второй рубеж (внутренний МЭ).

Ошибка проектирования: отсутствие DMZ при наличии публично доступных сервисов. Прямое подключение веб-сервера во внутреннюю сеть означает, что его компрометация немедленно открывает нарушителю доступ ко всей инфраструктуре.

Сегментация сети¶

Сегментация — разделение сети на изолированные сегменты с контролем трафика между ними. Даже внутри периметра нарушитель, получивший доступ к одному сегменту, не должен автоматически получать доступ ко всем остальным.

VLAN и микросегментация¶

VLAN (Virtual Local Area Network) — логическое разделение сети на канальном уровне (L2). Позволяет изолировать трафик между группами устройств без физического разделения.

Типовая сегментация для защищаемого объекта:

• VLAN пользователей — рабочие станции сотрудников.
• VLAN серверов — серверный сегмент с защищаемыми данными.
• VLAN управления — выделенная сеть для управления сетевым оборудованием и СЗИ.
• VLAN гостевого доступа — изолированный сегмент для посетителей.
• VLAN АСУ ТП — полностью изолированный сегмент для промышленных систем (при наличии).

Микросегментация — более гранулярный подход: контроль трафика на уровне отдельных рабочих нагрузок (виртуальных машин, контейнеров). Реализуется через программно-определяемые сети (SDN) и применяется в облачных и виртуализированных средах.

Zero Trust Network Access (ZTNA)¶

Концепция Zero Trust («нулевое доверие») — развитие принципа сегментации: ни один субъект не считается доверенным по умолчанию, даже находясь внутри периметра. Каждый запрос доступа проверяется независимо от местоположения субъекта.

Ключевые принципы Zero Trust:

• Верифицировать явно — аутентификация и авторизация при каждом запросе.
• Использовать наименьшие привилегии — доступ только к необходимым ресурсам.
• Предполагать компрометацию — проектировать с учётом возможного нарушителя внутри сети.

Zero Trust актуален в контексте удалённой работы и облачных сред, где понятие «периметра» размыто. В российской нормативной базе концепция не закреплена явно, однако требования Приказов ФСТЭК о сегментации, контроле привилегий и мониторинге фактически реализуют её принципы.

Системы обнаружения и предотвращения вторжений (IDS/IPS)¶

Межсетевой экран блокирует трафик по правилам. Но что если атака использует легитимный протокол (например, HTTP) с вредоносным содержимым? Здесь на первый план выходят системы обнаружения (IDS) и предотвращения вторжений (IPS).

Параметр	IDS	IPS
Режим работы	Пассивный (мониторинг копии трафика)	Активный (встраивается в разрыв трафика)
Реакция на угрозу	Генерация алерта	Блокировка трафика + алерт
Влияние на производительность	Минимальное	Умеренное (задержка)
Риск ложных срабатываний	Нет последствий	Блокировка легитимного трафика

Методы обнаружения¶

Сигнатурный анализ — сравнение трафика с базой сигнатур известных атак. Эффективен против известных угроз; требует регулярного обновления базы. Аналог антивируса, но для сетевого трафика.

Обнаружение аномалий — построение профиля нормального поведения сети; оповещение при отклонениях. Эффективен против неизвестных угроз (0-day); высокий процент ложных срабатываний на начальном этапе.

Поведенческий анализ — отслеживание последовательности действий, характерных для APT-атак: разведка → закрепление → горизонтальное перемещение → эксфильтрация.

Размещение IDS/IPS¶

Корректное размещение датчиков IDS/IPS критично для эффективности:

• На периметре (снаружи МЭ) — обнаружение атак до фильтрации МЭ; высокий шум.
• За периметром (внутри МЭ) — обнаружение трафика, прошедшего МЭ; более значимые алерты.
• На границах сегментов — обнаружение горизонтального перемещения нарушителя внутри сети.
• На критичных серверах (host-based IDS, HIDS) — мониторинг активности непосредственно на защищаемом узле.

Российские сертифицированные IDS/IPS¶

Продукт	Производитель	Тип
ViPNet IDS	ИнфоТеКС	NIDS (сетевой)
Континент СОВ	«Код Безопасности»	NIDS
PT Network Attack Discovery (PT NAD)	Positive Technologies	NTA/NDR
Kaspersky Anti Targeted Attack (KATA)	«Лаборатория Касперского»	NTA + sandbox

Приказ ФСТЭК №239 (для объектов КИИ) и Приказ №117 (для ГИС К1–К2) требуют применения сертифицированных систем обнаружения вторжений. Для объектов КИИ 1-й категории — обязательная интеграция с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

ГосСОПКА¶

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Оператор — ФСБ России.

Субъекты КИИ обязаны (187-ФЗ «О безопасности КИИ»):

• Подключиться к ГосСОПКА или создать собственный корпоративный центр ГосСОПКА (SOC).
• Информировать ФСБ об инцидентах на значимых объектах КИИ в течение 3 часов с момента обнаружения (для объектов 1-й категории — 24 часа для детального отчёта).
• Передавать данные об инцидентах и индикаторах компрометации в НКЦКИ (Национальный координационный центр по компьютерным инцидентам).

VPN и защищённые каналы¶

Тема шифрования каналов через VPN частично рассмотрена в Лекции 7. Здесь рассмотрим архитектурные аспекты VPN-решений.

Типы VPN-подключений¶

Тип	Применение	Протокол
Site-to-Site VPN	Объединение территориально распределённых площадок	IPsec/IKEv2 с ГОСТ
Remote Access VPN	Защищённый удалённый доступ сотрудников	SSL/TLS VPN с ГОСТ или IPsec
Client-to-Site VPN	Подключение отдельных устройств	IPsec, SSL VPN

Требования к VPN в российских системах¶

Для ГИС, ИСПДн и объектов КИИ применение VPN-решений с иностранными криптоалгоритмами не допускается. Используются сертифицированные ФСБ решения (рассмотрены в Лекции 7): ViPNet Coordinator, Континент 4, S-Terra Gate.

Особое требование для КИИ: при использовании облачной инфраструктуры или арендованных каналов связи весь трафик с защищаемой информацией должен передаваться по зашифрованным каналам с применением сертифицированных СКЗИ.

Защита от DDoS-атак¶

DDoS (Distributed Denial of Service) — атака на доступность, которая не может быть полностью отражена средствами самого объекта. Объёмные атаки превышают пропускную способность канала задолго до достижения средств защиты объекта.

Эшелоны защиты от DDoS:

1. Провайдерский уровень — оператор связи фильтрует трафик до вхождения в сеть организации (BGP Blackholing, RTBH).
2. Операторские сервисы Anti-DDoS — специализированные сервисы очистки трафика (Ростелеком-Солар, МТС RED, Kaspersky DDoS Protection).
3. Периметровые средства — МЭ и IPS блокируют трафик аномальных соединений, которые прошли первые рубежи.
4. Балансировщики нагрузки — распределяют легитимный трафик между несколькими серверами.

Для объектов КИИ непрерывность функционирования является обязательным требованием. Отсутствие защиты от DDoS-атак при наличии этой угрозы в модели угроз является нарушением требований Приказа №239.

Мониторинг сетевой безопасности¶

Обнаружение атаки в реальном времени требует непрерывного мониторинга сетевого трафика и событий безопасности. Ключевые инструменты:

NetFlow/IPFIX-анализ — анализ метаданных сетевых потоков (без глубокой инспекции содержимого): выявление аномалий в объёмах трафика, нетипичных соединений, признаков сканирования.

NTA (Network Traffic Analysis) / NDR (Network Detection and Response) — глубокий анализ сетевого трафика с применением машинного обучения для выявления аномалий и атак. PT NAD, Kaspersky KATA — примеры российских решений этого класса.

Интеграция с SIEM — сетевые события (алерты МЭ, IPS, NetFlow) направляются в SIEM для корреляции с событиями на хостах (из Лекции 6).

Сквозной пример: сетевая архитектура защиты ИСПДн кадровой службы¶

На основе актуальных угроз из Лекции 5 проектируем сетевую защиту.

Угроза	Сетевая мера защиты	Реализация	НПА
УБИ.001: атака на веб-приложение кадровой системы	WAF (МЭ типа Г) + IPS	UserGate с модулем IPS; правила OWASP Top 10	Приказ №21, мера СМЭ.1, СОВ.1
УБИ.004: распространение ransomware по сети	Сегментация: серверный VLAN изолирован от пользовательского	МЭ Тип Б между VLAN; запрет SMB из пользовательского сегмента в серверный	Приказ №21, мера ЗИС.17
УБИ.005: использование учётных данных уволенного через VPN	Двухфакторная аутентификация на VPN-шлюзе + проверка статуса учётной записи	ViPNet Client + интеграция с AD; мгновенная блокировка при увольнении	Приказ №21, мера ИА.3
Перехват трафика в локальной сети	Шифрование канала между АРМ и сервером + IDS на границе сегментов	ГОСТ TLS для прикладного протокола; ViPNet IDS	Приказ №21, мера ЗИС.3

Что дальше¶

• Следующая тема: 9. Защита от утечек (DLP) — контроль данных изнутри периметра, который мы только что выстроили
• Взаимосвязь: сеть защищена снаружи (эта лекция) + данные защищены криптографией (Лекция 7) + утечки изнутри блокирует DLP (Лекция 9)
• Связь с аудитом: 5. Технический аудит и пентест — пентест проверяет именно сетевой периметр и сегментацию
• Связь с менеджментом: 9. Управление доступом — сетевые меры как часть общей технической архитектуры

Список литературы и нормативных актов¶

• Приказ ФСТЭК России №9 от 26.03.2019 — требования к межсетевым экранам; классификация типов А–Д и классов 1–4
• Приказ ФСТЭК России №117 от 11.04.2025 — меры СМЭ, СОВ, ЗИС для ГИС
• Приказ ФСТЭК России №21 от 18.02.2013 — меры СМЭ, СОВ, ЗИС для ИСПДн
• Приказ ФСТЭК России №239 от 25.12.2017 — меры защиты сетевой инфраструктуры КИИ
• 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» — требования к субъектам КИИ, включая подключение к ГосСОПКА
• Приказ ФСБ России №196 от 19.06.2019 — порядок уведомления об инцидентах на объектах КИИ
• ГОСТ Р 56939-2016 — разработка безопасного ПО; раздел по сетевой безопасности
• NIST SP 800-41 — Guidelines on Firewalls and Firewall Policy (справочно)