Криптопротокол S-HTTP
Після розбивки мережі на окремі VLAN (наприклад, кожен відділ - у своєї VLAN), постає питання про безпеку усередині кожної з них. Технологія Private VLAN (PVLAN), що дозволяє обмежувати трафік між портами усередині однієї VLAN, підтримує три типи портів:
Promiscuous - працює з усіма портами усередині PVLAN-групи;
Isolated - може обмінюватися інформацією тільки з Promiscuous портами;
Community - може обмінюватися даними з Community й Promiscuous портами.
Завдяки застосуванню PVLAN вдається в значній мірі захистити робочі станції, але при цьому не завжди можливо відключити весь трафік у напрямку певного порту. На додаток до PVLAN або окремо варто використати списки доступу. Сучасні, відносно недорогі комутатори 2-го рівня моделі OSI дозволяють фільтрувати трафік по VLAN-мітках, MAC- і IP-адресам, TCP/UDP портам, DSCP полям, причому використання цих фільтрів ніяк не позначається на продуктивності комутаторів. Настроїти такі списки доступу нескладно, оскільки 99% робочих станцій використовує стандартний набір мережних програм: досить проробити стандартний список доступу й установити його на всі користувальницькі порти. Таким чином, робочі станції будуть захищені від можливого злому через невикористовувані порти, а у випадку зараження вірусом одного комп'ютера далі нього він не зможе поширитися.
Для запобігання включення в мережну розетку несанкціонованого устаткування існує протокол 802.1х, суть роботи якого полягає в наступному: перш ніж порту буде дозволено передавати трафік, виконується аутентифікація, і тільки у випадку її успішного проходження користувачі одержують дозвіл увійти в мережу. Основна проблема полягає в тому, що не всі операційні системи підтримують даний протокол.
Взаємодія між VLAN (обмін трафіком між відділами компанії) здійснюється через комутатори 3-го рівня, основне завдання яких (з погляду безпеки) - максимально обмежувати взаємодію між відділами, дозволяючи переходити з однієї VLAN в іншу тільки дійсно легітимному трафіку, що досягається прописуванням добре продуманого набору списків доступу для кожної VLAN.Поряд з викладеним для забезпечення безпеки серверного сегмента доцільно забезпечити фільтрацію трафіка аж до 7-го рівня, тобто контролювати кількість установлюваних сесій, аналізувати й фільтрувати/модифікувати запити SQL, SNMP, HTTP. Бажано також документувати всі спроби сканування й злому серверів, включаючи ті, які не увінчалися успіхом. Для рішення цього завдання використовуються апаратні рішення Firewall і систем запобігання вторгнення, оскільки програмні комплекси навряд чи впораються зі стомегабітними або гігабітними швидкостями, властивим локальним мережам.
Описаними рішеннями не вичерпується набір способів захисту мережі. Кожна мережа вимагає індивідуального підходу в забезпеченні безпеки.
Класифікація комп’ютерних атак
Форми організації атак досить різноманітні, але в цілому всі вони належать до однієї з наступних категорій:
віддалене проникнення в комп‘ютер: програми, які отримують неавторизований доступ до іншого комп’ютера через Інтернет (або локальну мережу);
локальне проникнення в комп’ютер: програми, які отримують неавторизований доступ до комп’ютера, на якому працюють;
віддалена блокування комп’ютера: програми, які через Інтернет (чи мережу) блокують роботу всього віддаленого комп’ютера чи окремої програми на ньому;
локальне блокування комп’ютера: програми, які блокують роботу комп’ютера, на якому працюють;
сканери мережі : програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп’ютерів і програм, що на них працюють, потенційно є вразливими до атак;
сканери вразливих місць програм: програми, що перевіряють великі групи комп'ютерів в Інтернеті у пошуках комп’ютерів, що є вразливими до того чи іншого виду атак;