Кстати, есть еще системы, которые можно классифицировать как «правдивое отрицание» – таким термином специалисты по ИБ называют разграничение доступа к данным. Примерно такую же модель защиты мог видеть каждый еще со времен первых версий Windows – тогда на каждом компьютере создавалось по две учетных записи, одна пользовательская (ограниченная в правах согласно политикам безопасности Windows), вторая – «Администратор» (с правом полного доступа ко всем компонентам системы). В современных системах хранения данных можно провернуть нечто такое же, когда при помощи вспомогательного ПО устанавливаются два пароля – при наборе одного из них пользователь получит доступ к одной части данных, при наборе второго – к другой. Таким образом можно обмануть возможного «любопытного», который захочет поживиться какой-нибудь цифровой «вкусняшкой» с вашего ПК.
Обойти же встроенные системы шифрования можно, например, используя модуль ТРМ материнской платы компьютеров, предназначенный… для защиты компьютера и его данных. Эту уязвимость производители на данный момент не могут перекрыть – слишком много цифровых связей сходятся именно на этом программном модуле, и его правка может нарушить этот порядок данных. Да и потом, кто из читателей обновляет BIOS материнской платы? Спросите себя, как давно вы выполняли обновление данного компонента? Но хочу сразу сказать: апгрейд BIOS будет удачным только при сочетании определенных факторов. И факторы эти – знание, как этот процесс происходит, зачем это нужно делать и как это сделать. Плюс ко всему необходимо убедиться, что сам файл с обновлением системы скачан полностью, без ошибок и из доверенного источника. В противном случае ваше устройство вместо новых функций и методов работы встретит свою цифровую смерть. Вытащить компьютер из такого состояния будет очень сложно, а в ряде случаев невозможно. Поэтому, если хоть один из вышеуказанных факторов вам непонятен, лучше не лезть в эти дебри самостоятельно. Обратитесь к профессионалам.
Но в целом шифрование дисков того стоит – мало ли в Сети сливов данных различных звезд и звездюлек шоу-бизнеса? Нельзя исключать намеренных пиар-акций такого рода, но не стоит и сбрасывать со счетов сливы данных со взломанных компьютеров и жестких дисков. Конечно, не каждый из читателей данной книги является каким-то значимым в сетевом или медиапространстве человеком, но каждый пользователь в Сети может стать базой для целого спектра атак – забывать об этом никогда нельзя. И давать преступникам возможности лишний раз использовать ваши данные тоже. Это несет как личные (потеря данных), так и репутационные риски.
Прокси-серверы
Прокси-сервер – это такой узел, в роли которого может выступать физический компьютер, мобильный телефон, устройство, подключаемое к интернету (роутер, утюг, телевизор), или программный комплекс. Служит такой сервер прежде всего для защиты анонимности как конкретного пользователя (или группы пользователей), так и конкретных сетевых узлов. Выступая своеобразным героем цифрового мира, прокси-сервер настраивается, как правило, в виде некоего щита, принимающего на себя весь удар, будь то безобидный трафик, который нужен пользователю по работе или в качестве развлечения, или же атака некоего цифрового злодея.
Объяснить работу прокси-серверов «на пальцах» можно следующим образом: это еще один роутер, только к нему вы подключаетесь не через Wi-Fi, а через сеть Интернет. Можно также сказать, что это упрощенная версия VPN[41] – по некоторой своей функциональности и в контексте рассматриваемого вопроса. К примеру, вы сотрудник компании, которая не только дорожит безопасностью в цифровом пространстве, но и желает сохранить анонимность каждого узла корпоративной сети. Тогда эта компания задает своему сетевому администратору задачу: а сделай-ка ты нам доступ в интернет, чтобы был только через один компьютер да чтобы остальные три сотни компьютеров было никак не найти! Тогда сотрудник будет настраивать всю сеть так, чтобы весь трафик по внутренней сети двигался по привычным маршрутам, а «наружу», то есть во внешнюю интернет-сеть, только через один компьютер, который оснащен, как правило, мощной защитой суровых фильтров входящего и исходящего трафика. Таким образом, получается, что компьютер, выступающий в роли прокси-сервера, не позволит обнаружить остальные компьютеры в локальной сети (извне будет казаться, что там лишь один компьютер с тремя сотнями открытых вкладок в Сети и одновременно запущенной сотней пасьянсов «Косынка»), заодно в случае чего примет на себя весь удар цифровых злоумышленников. Таким образом он и будет защищать вашу сеть.
Однако не защитой локальной сети единой жива компания – прокси-серверы могут выполнять (в том числе и одновременно) целый ряд различных задач:
– обеспечение компьютерам в локальной сети безопасного доступа к интернету;
– кеширование данных (кеш как предотвращение повторного скачивания), если необходимо снизить нагрузку на канал внешней сети, прокси-сервер может кешировать конкретные данные для ускорения загрузки страниц, а также для снижения потребления трафика;
– сжатие данных – при необходимости экономить интернет-трафик такой компьютер может сжимать входящие данные путем урезания картинок, их качества, а также отключения любой лишней информации на страницах сайтов;
– защита локальной сети от проникновения извне – как я уже писал, некий хакер, вычисливший такой компьютер в Сети, будет считать, что этот компьютер и есть вся цифровая инфраструктура компании, а то и вовсе примет такой компьютер за стандартную домашнюю станцию и пройдет мимо (такие методы защиты – «обманки» – тоже часто используются специалистами по кибербезопасности);
– ограничение и контроль сетевого трафика – например, можно установить доступ или запрет к тем или иным сайтам с компьютеров и иных устройств, включенных в общую Сеть под управлением прокси-сервера;
– фильтрация входящего интернет-трафика на предмет непропускания таких вредоносных факторов, как подозрительное или откровенно зараженное ПО, а также различные рекламные баннеры, ссылки и иже с ними;
– анонимизация доступа к различным ресурсам, а именно «обезличивание» пользователей подконтрольной сети;
– обход ограничений доступа к различным веб-узлам, например, для входа на сайты, контент которых заблокирован для пользователей из конкретных государств.
Условно можно разделить прокси-серверы на два типа – открытые и закрытые. Отличаются они лишь уровнем доступа – к открытым может присоединиться каждый пользователь Сети (как правило, это веб-сервисы), а к закрытым – лишь определенный список компьютеров из подконтрольной сети.
По способу подключения (протоколу связи) различают три основных вида прокси-серверов.
– HTTP-прокси – в основном используется, когда необходимо отфильтровать рекламу, настроить блокировки по конкретным сайтам (например, чтобы сотрудники компании в рабочее время не отвлекались на посторонние задачи) или попросту кешировать веб-страницы для экономии трафика и повышения скорости загрузки. В плане шифрования данных и повышения конфиденциальности этот протокол связи абсолютно бесполезен;
– HTTPS-прокси – это следующее слово в цифровой безопасности и гигиене. Используя все те же механизмы, что и HTTP, этот вид прокси умеет шифровать трафик, повышая общий уровень защиты. Чаще всего такие прокси используются в более или менее продвинутых компаниях, а еще через них можно со спокойной душой передавать практически любую информацию, необходимую для авторизации в различных веб-службах и финансовых инструментах;
– SOCKS-прокси на сегодня считается одним из самых «продвинутых» протоколов связи. Несмотря на свой солидный, по цифровым меркам, возраст (первая редакция протокола вышла еще в 1992 году), он и по сей день умеет то, чего не могут другие сетевые протоколы без применения VPN[42] – SOCKS не передает в Сеть никакого намека на IP-адрес пользователя, в свою очередь, сетевые узлы не могут определить присутствие прокси-сервера в цепочке запроса.
Вот теперь, когда мы рассмотрели основные виды прокси-серверов по принципу подключения к Сети, пора бы перейти к описанию основных видов по принципу работы. Всего их будет шесть подвидов.
– Прямой прокси-сервер, он же forward proxy. Базовый уровень защиты (то есть никакой), в основном нужный для обхода блокировок веб-сервисов. Также поддерживает кеширование данных для оптимизации интернет-канала связи и технологии сокрытия местоположения.
– Обратный прокси-сервер, он же reverse proxy, используют для оптимизации нагрузки на веб-сервисы. Многие крупные веб-сайты имеют несколько десятков вспомогательных серверов, которые служат для распределения нагрузки по различным страницам ресурса. Обратный прокси-сервер служит для оптимизации отправки обратных запросов – программа управления может сама определить менее загруженный сервис и отправить ответ на запрос пользователя через него.
– Прозрачные прокси-серверы используются, как правило, в образовательной сфере или же в бизнесе. Они предназначены лишь для фильтрации трафика, кеширования данных, а также для установки блокировок доступа к посторонним веб-сайтам.
– Анонимные прокси-серверы уже целенаправленно служат системам безопасности. Такие программные службы позволяют подменять IP-адрес пользователя, в некотором роде выполняя задачи VPN-серверов. В Сети пользователя увидят, но определить его реальное местоположение смогут не сразу[43] – IP-адрес может быть произвольным, и, как в случае с VPN*, системы будут видеть его местоположение, к примеру, в сердце Гамбурга, в то время как физически пользователь будет находиться в Узбекистане, поедая плов за просмотром необходимой информации. Однако в Сети будет видно, что прокси-сервер используется, поэтому пользователь все-таки будет скомпрометирован.