Добавлен: 25.06.2023
Просмотров: 36
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. АНАЛИЗ СТРУКТУРЫ НЕЗАЩИЩЕННОЙ СЕТИ И ФОРМИРОВАНИЕ ТРЕБОВАНИЙ ЗАЩИТЫ
1.1 Анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности
1.2 Основные требования к системе информационной защиты и их формирование
1.3 Решение проблем защиты информационно-вычислительной сети организации
1.4 Защита информационного обмена при прохождении через «открытый» Интернет
ГЛАВА 2. АНАЛИЗ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ, РЕАЛИЗУЮЩИХ ТЕХНОЛОГИЮ VPN
2.1 Выбор средства реализации данной технологии
2.2 Анализ состава и функциональных возможностей программного комплекса ViPNet
ВВЕДЕНИЕ
Специалисты, работающие с локальными сетями, в последние годы постоянно испытывают неудобства и несут риски утечки данных, кражи сведений, взлома секретной информации. Данное явление практически всегда имеет место в локальных сетях, работа которых сопряжена с обменом информацией повышенной секретности и вынуждающей применять специальные программы, защищающие ее от попыток взлома. В первую очередь к таковым следует отнести специализированные государственные ведомства, например, Министерство обороны, Центральный Банк Российской Федерации, взлом секретной информации этих учреждений может нанести существенный урон государственной и общественной безопасности.
Проблема обостряется тем, что любая локальная сеть является неотъемлемым компонентом сети Интернет, поскольку ее пользователями (локальной сети) могут быть отдельные категории лиц, например, удаленные сотрудники компании, имеющие доступ.
Неоднократно предпринимались попытки нейтрализовать данную проблему, при этом одним из успешных направлений укрепления информационной безопасности локальных сетей является создание VPN (в переводе означает «виртуальная частная сеть»), при этом их разработка ведется с использованием специального программного обеспечения компании «Инфотекс».
ГЛАВА 1. АНАЛИЗ СТРУКТУРЫ НЕЗАЩИЩЕННОЙ СЕТИ И ФОРМИРОВАНИЕ ТРЕБОВАНИЙ ЗАЩИТЫ
1.1 Анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности
Модель взаимодействия группы локальных сетей в пределах одного канала, подконтрольного системе защиты представлена на рисунке 1 (на нем показана деятельность координаторов на основе однокарточной технологии).
Рисунок 1. – Модель работы системы обработки информации без средств информационной защиты
Графически сведения о начальном состоянии системы обработки информации показаны на рисунке 1.
Качественные характеристики системы обработки следующие:
- все адреса, используемые в локальных сетях носят частный характер;
- к локальным сетям подключены компьютеры, имеющие тип соединения PROXY, при этом выданы реально подтвержденные адреса;
- количество локальных сетей не ограничено.
1.2 Основные требования к системе информационной защиты и их формирование
Требования носят следующие положения:
1) необходимо осуществлять защиту информации во время ее перемещения в глобальной сети, для чего следует разработать специальный тип подключения, поскольку подключение к Интернету всегда в свободном доступе;
2) необходимо обеспечить прозрачность пользования данным каналом связи для удаленных категорий пользователей;
3) пользователи, имеющие доступ к локальной сети, должны быть ограничены в выходе в Интернет, кроме ряда Интернет – ресурсов, выделенных непосредственно администратором, при этом соединение с ним должно обладать повышенной защитой;
4) программное обеспечение VipNet (являющегося собственно координатором работы системы) не должно быть установлено на каналах локальной сети.
1.3 Решение проблем защиты информационно-вычислительной сети организации
С учетом постоянно развивающихся технологий постоянно совершенствуется и система информационной безопасности компании, при этом к наиболее распространенным источникам защиты можно отнести:
- криптографическая система защиты информации для поддержания уровня секретности, полноты и ее достоверности.
Именно криптографические методы в современном программировании составляют базу для обеспечения безопасности обмена информацией в сетях различного типа. Суть подобных технологий заключается в том, чтоб придать внешний вид секретным сведениям такого рода, не представляющего интерес для нелегальных гостей сети. Данные приемы позволяют устранить следующие сложности при поддержании безопасности: поддерживают секретность сведений, их полноту и корректность. Наиболее часто используются следующие методы: кодировка, цифровая подпись, а также аутентификация;
- приемы аутентификации для контроля корректности сетевых пользователей.
В любой системе каждый пользователь несет в себе определенный объем сведений, позволяющий опознать его. В качестве таких опознавательных знаков могут быть числовые значения, набор буквенных символов, отождествляющих пользователя. Подобный набор принято именовать идентификатором субъекта сети. Для корректного входа в сеть пользователю необходимо осуществить действия, дающие возможность его опознать (идентифицировать) и подтвердить свои действия (аутентифицировать).
Под идентификацией понимается система действий, предусматривающих определение пользователя сети по конкретному коду (имени), данные меры всегда имеют место при входе в сеть каждым пользователем.
В отличии от идентификации, аутентификация подразумевает действия по проверке корректности, правдивости пользователя, имеющего намерения войти в сеть. Другими словами, данная процедура дает возможность подтвердить факт того, что в сеть входит именно тот пользователь, от имени которого осуществляется запрос.
Результатом успешной идентификации и аутентификации пользователя является следующий шаг – авторизация.
Под авторизацией понимается ряд действий, при реализации которых пользователь получает некие права и информационные ресурсы в свое распоряжение, находящиеся в конкретной сети. Проще говоря, авторизация устанавливает рамки конкретному пользователю в отношении определенного объема Интернет – ресурсов и круг его компетенций;
- применение межсетевых экранов для поддержания информационной безопасности в случае возникновения опасностей извне при попытках подключения к сетям, находящимся в свободном доступе.
В качестве межсетевого экрана можно понимать отдельно разработанный пакет программ, нацеленных на информационную безопасность между сетями, наиболее известное его название брандмауэр либо Firewall. Данная технология дает возможность группировать одну общую сеть на ряд мелких для утверждения определенного свода критериев (правил), предъявляемых при перемещении массивов информации из пределов одной сети в другую. В большинстве случаев границы устанавливаются во время взаимодействия локальных сетей с Интернетом;
- приемы, используемые для информационной безопасности сетей, используемых при VPN – подключении.
Сущность предлагаемых методов сводится к такому порядку действий: при наличии в глобальной информационной сети двух узлов обмена сведениями, целесообразно между ними сформировать некий канал, имеющий усиленную защиту для поддержания секретности и полноты передаваемых сведений, при этом получение доступа для всех сторонних лиц к данному каналу должно стать практически невозможным;
- система повышенной защиты процедуры идентификации для всех пользователей посредством использования токенов, например, смарт – ключей, а также всех прочих инструментов проведения аутентификации;
- приемы определения несанкционированных вторжений для проверки сохранности сведений.
Подобные приемы дают возможность не только обнаружить и сигнализировать о попытках взлома и определении наиболее уязвимых мет системы, но также и показывают возможные новые слабости или обнаруженные в данной ситуации скрытые опасности с предложением определенного набора профилактических мер;
- приемы обеспечения информационной безопасности, направленные на борьбу с программами – вирусами.
С целью противодействия вредоносным программам были созданы специальные программные продукты, дающие возможность распознать и устранить вирус в сети, подобное программное обеспечение получило название антивирусного;
- диспетчирование системы информационной безопасности в пределах компании.
Данное направление является комплексным и нацелено на реализацию следующих требований:
- нейтрализовать всякие попытки несанкционированного доступа в локальные сети компании;
- заниматься систематически и постоянно проверками, контрольными процедурами, позволяющими оценивать уровень качества и состояние действующей системы информационной безопасности для разработки и реализации определенных решений в данном аспекте.
1.4 Защита информационного обмена при прохождении через «открытый» Интернет
Сеть VPN представляет собой логическую сеть, в пределах которой осуществляется передача сведений с применением криптографических инструментов безопасности, при этом данная виртуальная сеть разрабатывается поверх другой сети.
Содержание виртуальной частной сети имеет свои особенности: она включает в себя два компонента – сеть, находящуюся под контролем (ведомую), их может быть целая группа, а вторая составляющая – сеть, посредством которой осуществляется присоединение инкапсулированного типа. Довольно часто на практике встречается подключение к VPN обособленного компьютера.
Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Классификация VPN:
Классифицировать VPN решения можно по нескольким основным параметрам:
- По степени защищенности используемой среды:
Защищённые
Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
Доверительные:
Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).
- По способу реализации:
В виде специального программно-аппаратного обеспечения
Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.
В виде программного решения
Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
Интегрированное решение
Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
- По назначению:
Intranet VPN
Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
Remote Access VPN
Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.
Extranet VPN
Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
Internet VPN
Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей.