ЖУРНАЛ СТА 3/2013

84 СТА 3/2013 АППАРАТНЫЕ СРЕДСТВА СЕТЕВОЕ ОБОРУДОВАНИЕ www.cta.ru В ВЕДЕНИЕ Собственные сотрудники – угроза безопасности? В 2004 году 17-летний школьник об- наружил слабое место системы безопас- ности в ОС Windows XP и создал червя Sasser, который позволяет получать до- ступ к терминалам и выключать их. Данная уязвимость обусловлена тем, что разработчики компании Microsoft по неустановленным причинам не за- щитили порт 445. Времени на создание червя потребо- валось не более одной ночи, но полу- ченные в результате его работы повреж- дения нанесли миллионные убытки. Специалисты Microsoft оперативно устранили технические недостатки, после чего появилась возможность пе- рехватывать червей из внешних сетей центральным брандмауэром опера- ционной системы. Описанный случай повлиял на дея- тельность многих промышленных ком- паний и на административные ведом- ства, поскольку в настоящее время большинство систем управления про- мышленных предприятий построено на базе ОС Microsoft. Но в этом случае ре- шение с помощью системного брандма- уэра не помогло, так как вредоносное программное обеспечение было случай- но принесено сотрудниками, исполь- зующими свои ноутбуки за пределами компании. Таким образом, инфициро- ванные ноутбуки после повторного подключения к внутренней сети компа- нии давали возможность червю снова и снова заражать всю сеть. Получается, что собственные сотрудники компании стали неумышленной угрозой её без- опасности. Угроза безопасности может включать как сотрудников компании, так и кли- ентов, которые получают тем или иным образом доступ к корпоративной сети. Источник опасности может таиться не только во вредоносном ПО. Зачастую при подключении к случайным сетям через стандартный браузер можно под- вергнуть опасности локальный ком- пьютер и далее компьютеры всей сети. Поэтому только технологии, основан- ные на механизме локальной безопас- ности, могут обеспечить эффективную защиту производственных мощностей или объектов, которые должны быть постоянно в работе. Как брандмауэр Hirschmann EAGLE может решить эту проблему? По умолчанию многопортовые брандмауэры EAGLE сконфигурирова- ны для работы в прозрачном режиме (Transparent Mode) и для динамиче- ской проверки содержимого переда- ваемых пакетов (Stateful-Inspection). Таким образом, только данные, запра- шиваемые изнутри, поступают в защи- щённую сеть. В ранее упомянутом примере с Sasser при условии применения брандмауэра EAGLE червь не был бы передан через него, потому что порт 445 был бы недо- ступен. EAGLE может ограничить до- ступ к сети для конкретного IP-адреса или услуги, и при этом только автори- зованные пользователи получают до- ступ к защищённой сети извне. Программное обеспечение семейства брандмауэров EAGLE совместимо с различными службами безопасности: открытыми, промышленными или спе- циального назначения, от глобального уровня управления до местного. С по- мощью разделения сети на зоны EAGLE обеспечивает комплексную за- щиту всех существующих и будущих приложений. Обзор возможностей Система безопасности промышлен- ных сетей имеет свою специфику: уро- вень защиты должен быть выше, неже- ли используемый обычно в стандартной офисной среде. Такие решения предла- гает компания Hirschmann, продукция которой в основном предназначена для промышленных применений. Кроме того, в результате вертикальной интег- рации в перспективе всё больше и боль- ше промышленных приложений будут разрабатываться для Ethernet. Децентрализованная архитектура безопасности на базе семейства EAGLE вызывает особенный интерес при ис- пользовании в промышленных сетях, где требуется защита от случайных и не- умышленных атак внутри сети: ● безопасный удалённый доступ к ма- шинам (станки и печатающие устрой- ства); Концепция защиты промышленного IT-контура на основе брандмауэра Hirschmann серии Eagle 20 Франк Зойферт В статье рассматриваются преимущества и особенности работы оборудования и ПО семейства EAGLE от компании Hirschmann. Приведены примеры типовых схем включения оборудования EAGLE в существующую сеть предприятия. Рассмотрены основные функции, режимы работы и нюансы настройки. © СТА-ПРЕСС