Большинство сетей настроены как плоские сети, где каждый сервер и рабочая станция работают в одной локальной сети (LAN), так что каждое приложение и система в сети могут общаться и подключаться ко всем остальным.
С точки зрения безопасности, такой практики следует избегать, поскольку большинству этих систем не нужно взаимодействовать друг с другом. Более того, если плоская сеть подвергается атаке (злоумышленником или вредоносным ПО) и одна машина оказывается скомпрометированной, вся информационная система также подвергается риску. Действительно, такие атаки используют метод, называемый «поворотным», который заключается в использовании скомпрометированного устройства для доступа к другим элементам и свободного перемещения в сети.
Сегментация
Сегментация сети является важной мерой безопасности, поскольку, даже если она не предотвращает атаки, она остается одним из основных способов уменьшить последствия успешной атаки.
Принцип работы прост. Как следует из названия, он заключается в разделении компьютерной сети на более мелкие сегменты, изолированные друг от друга в рамках виртуальных локальных сетей (VLAN). Это позволяет группировать приложения, серверы, рабочие станции [и т.д.] в сетевые подразделы в соответствии с вашими вопросами безопасности и приоритетами, и особенно в соответствии с критичностью этих систем. Кроме того, IP-фильтрация и брандмауэры облегчают разделение областей.
Использование Wi-Fi также может стать точкой входа для компьютерной атаки. Во-первых, необходимо отличать Wi-Fi соединения личных терминалов или терминалов посетителей от Wi-Fi соединений терминалов организации (обычно с гостевым Wi-Fi), а затем фильтровать и ограничивать потоки станций, подключающихся к сети Wi-Fi. Для этого в организации может быть создано несколько сетей Wi-Fi (каждая из которых явно разделена на сегменты), чтобы ограничить доступ к определенным критическим ресурсам, обеспечивая при этом доступ только к необходимым элементам для различных групп пользователей в вашей компании.
Сегментация сетевой архитектуры ограничивает последствия вторжения периметром информационной системы. В случае кибератаки боковое перемещение злоумышленника или вредоносного ПО невозможно, что предотвращает его распространение. Кроме того, когда несколько подсетей действуют как небольшие сети сами по себе, это позволяет администраторам лучше отслеживать поток трафика между каждой из них, а значит, легче обнаружить необычные события.
Пентест внутренней сети
Тем не менее, важно протестировать систему, чтобы убедиться в надежности сегментации, установленной для изоляции критически важных систем и приложений друг от друга. Пентест внутренней сети является наиболее эффективным способом сделать это. Во время тестирования на проникновение пентестеры фокусируются на средствах управления сегментацией, как снаружи сети, так и внутри сети, чтобы выявить потенциальные уязвимости (технические недостатки, недостатки конфигурации или реализации), которые могут позволить получить доступ к критическим системам, приложениям и данным.
Внутренний тест на проникновение гарантирует, что критически важные системы и приложения не взаимодействуют с менее защищенными сетями. Цель этих тестов — подтвердить, что сегментация работает так, как задумано, и что нет никаких лазеек, которыми мог бы воспользоваться злоумышленник или вредоносное ПО.
Шифрование связи, сниффинг и атаки типа «человек посередине»
Конфигурация некоторых внутренних сетей означает, что информация передается в открытом виде, т. е. незашифрованной. Такой информацией могут быть идентификаторы счетов и связанные с ними пароли, конфиденциальные данные (личные, банковские и т. д.), архитектурные документы и другая критически важная информация. Такая практика значительно повышает риск компрометации вашей информационной системы внешними злоумышленниками (получившими доступ к вашей сети) и злонамеренными сотрудниками.
Риск еще больше для сетей Wi-Fi, поскольку коммуникации могут быть перехвачены по всему периметру, охватываемому точкой доступа.
Если компьютер в сети скомпрометирован, злоумышленник может получить всю широковещательную информацию с помощью программного обеспечения, прослушивающего сетевой трафик, например, wireshark. Этот процесс известен как «сниффинг».
Чтобы усилить воздействие сниффинга, злоумышленник ставит себя в положение «человека посередине» (MitM). Атаки типа «человек посередине», также известные как атаки типа «сниффинг», заключаются в том, что злоумышленник взламывает информационную транзакцию между двумя машинами или серверами, используя такие инструменты, как Ettercap. Заняв позицию «человека посередине», злоумышленник запускает Wireshark, чтобы прослушать трафик и извлечь конфиденциальную информацию и данные.
Учитывая степень риска сниффинга и атак типа «человек посередине», шифрование информации, циркулирующей в сети, является необходимым. Шифрование данных означает сделать их неразборчивыми без ключа для расшифровки. Наиболее распространенной мерой безопасности является добавление уровня шифрования к существующим протоколам (http, rtp, ftp и т.д.) с помощью протокола SSL (https, sftp, srtp и т.д.). В конкретном случае, описанном выше, рекомендация по исправлению, сделанная после тестов, заключалась в использовании smbv3, то есть smbv2 в сочетании с протоколом SSL, который обеспечивает шифрование и, следовательно, гарантирует конфиденциальность коммуникаций.
