Файл: Защита сетевой инфраструктуры предприятия (Разработка мер по защите сетевой инфраструктуры предприятия).pdf
Добавлен: 26.05.2023
Просмотров: 68
Скачиваний: 3
СОДЕРЖАНИЕ
1. Теоретические основы защиты информации
1.1. Основные понятия по информационной безопасности
1.2. Методы и средства защиты информации
2. Разработка мер по защите сетевой инфраструктуры предприятия
2.1. Характеристика предприятия
3. Технология доверенного объекта электронном сети.
6. очевидными Внедрение Программа ложного сфере объекта ней сети.
данной Эта фотопанно угроза поток основана состоящие на Меры использовании Международное недостатков получаемых алгоритмов счетчик удаленного совместно поиска. В LSP случае, затем если Вместе объекты сделать сети Закон изначально проф не ре имеют подмены адресной территорию информации ЗАЩИТЫ друг о того друге, Открытый используются декор различные используемых протоколы высоким удаленного использования поиска (например, Пакет SAP в файлов сетях уничтожается Novell литературных NetWare; обществе ARP, Россвязьнадзор DNS, Пр WINS в объект сетях до со Торгового стеком выбранный протоколов ответов TCP/IP), подобранное заключающиеся в дом передаче попасть по достигает сети Она специальных Тимошкин запросов и друг получении клиенты на права них ложный ответов с базу искомой штатных информацией. ответы При высокая этом подключенных существует Затем возможность равен перехвата защитой нарушителем маршрутизации поискового присущей запроса и поддерживается выдачи запрета на один него совпадать ложного передача ответа, осуществление использование минимуму которого сегмента приведет к признаваемых требуемому добавлением изменению атакующий маршрутно-адресных симметричными данных. В ряда дальнейшем защиты весь предприятия поток Виртуальные информации, предназначались ассоциированный с внутри объектом-жертвой, доступных будет включен проходить IBM через виртуальную ложный цель объект компьютерной сети (рисунки 8 – 10).
комплексный Для Петров реализации передаваемая данной основах атаки недостатках злоумышленнику Mbps необходимо трафик наличие значением доступа к итальянской компьютеру, первого подключенному к его сети к деятельность сети и Декора заранее миром приготовленное правовыми программное шаблона обеспечение порядок для обобщению осуществления стадию атаки.
связывающих Происходит система настройка Интеграция приложения перехватывая для способами осуществления IBM сканирования Федеральные сети острее для невозможно выявления сокращая соответствия федеральные MAC-адресов с рисков IP-адресами Курц хостов. управляющее После LCP следует мерах настройка адресом параметров осуществляется программы генерации для единице проведения ассортимент перехвата воздействий трафика является между внутренней двумя Бил или пытаются более состоянии хостами. марта Далее сетевых происходит одним подмена оно таблиц препятствуют MAC-адресов и действовать ожидание нарушения подключения к механические удаленному ОБРАЗОВАНИЯ компьютеру, Сущность для уже перехвата сопровождения имени и посылки пароля.
конкретной Рисунок 8 – две Схема основанных реализации дешёвая угрозы «Внедрение потенциальным ложного туннель ARP-сервера»
загруженными Основой можно данной ИТ атаки продуктом является значение то, аппаратных что даже злоумышленник благодаря перехватывает инфор запрос описание атакуемого ОБРАЗОВАТЕЛЬНОЕ хоста к Указы настоящему находится DNS-серверу. возможностью Благодаря системы этому сторон он находящейся решает аппаратурой задачу концепции подбора Масштабируемость номера работоспособность порта, с Основная которого частных отправлен программой запрос. способность Перед оценка ним актов ставится Федеральные задача акты определить внесения идентификатор меняющих запроса, Согласно однако в содержать большинстве проверяют систем пособие этот символов идентификатор понимаются либо навязывания равен инженерно единице, концентраторах либо прозрачный имеет Шенкир близкий хакеров порядок. анализу Поэтому, УЧРЕЖДЕНИЕ отправив различные несколько большинстве ответов с другую разными такую идентификаторами, доставка злоумышленник акты может произойдет рассчитывать устанавливает на существенно успех получаемых атаки.
точке Рисунок 9 – Схема реализации угрозы «Внедрение ложного DNS-сервера» путем перехвата DNS-запроса
3.1. Межсегментное внедрение ложного DNS-сервера
При реализации данной атаки злоумышленник не имеет возможности перехватить запрос атакуемого хоста к настоящему DNS-серверу. Перед ним ставится задача определить номер порта, с которого отправлен запрос и идентификатор запроса, однако в большинстве систем этот идентификатор либо равен единице, либо имеет близкий порядок. Поэтому, отправив несколько ответов с разными идентификаторами и номерами порта, злоумышленник может рассчитывать на успех атаки.
Рисунок 10 – Схема реализации угрозы «внедрение ложного DNS-сервера» путем шторма DNS-ответов на компьютер сети
Рисунок 11 – Схема реализации угрозы «Внедрение ложного DNS-сервера» путем шторма DNS-ответов на DNS-сервер
7. Отказ в обслуживании.
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
SYN-flood атаки, известные также как TCP-flood атаки, обычно осуществляются против серверов. Основная задача таких атак — отказ в обслуживании (DoS). Злоумышленник посылает большое количество SYN-пакетов на целевой хост по порту сервиса, который он хочет приостановить, от имени произвольных IP-адресов [3]. Так как SYN-пакеты используются в тройном рукопожатии при установлении TCP-соединения, целевой хост отвечает на них пакетами SYN-ACK, резервирует место в буфере под каждое соединение и ждет ответного пакета ACK, который должен завершить соединение, в течение некоторого промежутка времени [12, с.108].
Пакет-подтверждение SYN-ACK передается на ложный адрес источника SYN-пакета, в произвольную точку сети и либо вовсе не найдет адресата, либо будет просто проигнорирован. В результате, при постоянном потоке SYN-запросов, целевой хост будет постоянно держать свой буфер заполненным ненужным ожиданием завершения полуоткрытых ложных соединений и не сможет обработать SYN-запросы от настоящих легальных пользователей.
Меры по защите сетевой инфраструктуры
Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны.
Межсетевой экран – это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.
В качестве межсетевых экранов будут рассматриваться последние разработки следующих компаний-производителей аппаратных средств защиты периметра:
- IBM;
- D–link;
- Cisco.
В результате выбора среди продуктов от каждой фирмы можно выделить продукты D–linkDFL–260, IBMProventiaNetworkIPS и Cisco 1801/K9.
Условные обозначения:
– недостатки;
Без выделения – преимущества.
Таблица 1
Результаты сравнительного анализа средств межсетевого экранирования
|
Характеристика |
D–linkDFL–260 |
IBMProventiaNetworkIPS |
Cisco 1801/K9 |
|
Класс отказоустойчивости |
1 класс |
нет |
1 класс |
|
Контроль на прикладном уровне с учетом состояния |
Нет |
Да |
Да |
|
Прозрачная аутентификация Windows |
Да |
Да |
Да |
|
Пропускная способность |
80Mbps |
10Mbps |
100Mbps |
|
Wi–Fi |
Нет |
Нет |
Да |
|
Интерфейсы |
Ethernet 10/100BaseT (WAN) Ethernet |
2 x Ethernet 10/100BaseT (WAN) Ethernet |
ADSL (WAN)) 8 x Ethernet 10/100BaseT (LAN) ISDN BRI |
|
Протоколирование всех имен пользователей и приложений |
Да |
Да |
Нет |
|
Поддержка Exchange |
Да |
Да |
Да |
|
Поддержка Exchange |
Да |
Да |
Да |
|
Демилитаризованная зона |
Да |
Да |
Нет |
|
Характеристика |
D–linkDFL–260 |
IBMProventiaNetworkIPS |
Cisco 1801/K9 |
|
Контроль шлюзового и клиентского трафика VPN на прикладном уровне |
Нет |
Да |
Да |
|
100–Мбит/с порты ЛВС |
4 |
8 |
8 |
|
Число одновременных подключений |
12000 |
10000 |
18000 |
|
Передача функций отказавшего МЭ исправному устройству |
Нет |
Нет |
Да |
|
Web-кэширование и proxy |
Да |
Нет |
Да |
|
Цена |
28000 руб. |
150000 руб. |
36000 руб. |
|
Общее количество недостатков систем |
3 |
4 |
3 |
Как видно из таблицы 1, высокая цена продукта компании IBM обоснована высоким качеством, пропускной способностью, в данном случае рассматривается мало пропускаемая, т.е. самая дешёвая – 10Mbps, и функциональной полнотой их продуктов. Однако наилучшим продуктом в соотношении цена/качество является продукт компании D–link.
Таким образом, наиболее приемлемым средством защиты периметра является межсетевой экран D–linkDFL–260.
Также предлагается развертывание сети VPN, Составной частью решений для развертывания сетей VPN являются такие технологии, как IPSec VPN, Cisco Easy VPN, Cisco Dynamic Multipoint VPN, Cisco GRE VPN.
Основные требования
- прозрачный обмен данными между приложениями сетей территориально удаленных офисов
- защита данных от несанкционированного доступа и искажения злоумышленниками как из сети Интернет, так и из внутренней сети компании
- способность автоматической реконфигурации сети при отказах основных каналов связи с переходом на резервные каналы
- возможность предоставлять требуемые классы обслуживания для заданных типов трафика (данные, голос, видео)
- возможность гибкого централизованного управления сетью и политиками безопасности всех узлов
- учет событий в системе безопасности, их накопление и выдача статистических данных
IPSec VPN
Наиболее распространенная технология, основанная на открытых стандартах, поддерживаемая наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных сетей VPN.
Отработанная за годы развития технология IPSec VPN гарантирует стабильную работу и корректное взаимодействие оборудования различных производителей, различных платформ и программных сред в рамках одной сети VPN. Вместе с очевидными достоинствами имеет ряд существенных ограничений.
В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом все политики доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.
Преимущества
- Поддержка наибольшим числом производителей
- Поддерживается во всех моделях маршрутизаторов Cisco
- Открытый стандарт
Недостатки
- Нет поддержки широковещательного трафика
- Нет поддержки трафика отличного от IP
- Нет поддержки политик качества обслуживания для каждого туннеля
- Нет механизма переключения основной/резервный каналы - только переключение с отказавшего на следующий доступный канал из списка.
Функциональность IPSec VPN реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.
Таблица 2
Ключевые характеристики IPSec VPN
|
|||||||||||||||||||||||
Технология Cisco Easy VPN в значительной степени упрощает процесс развертывания и сопровождения сети VPV для множества удаленных офисов. Технология централизует управление всеми параметрами и политиками безопасности на устройствах сети, сокращая сложность и повышая безопасность сети VPN.
Суть решения состоит в размещении всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные и программные клиенты (Easy VPN Remote). Перед тем как удаленный клиент сети Easy VPN сможет начать процедуру установления зашифрованного соединения с сетью VPN, он должен пройти процедуру проверки подлинности и загрузить все политики безопасности с сервера Easy VPN.
Благодаря тому, что все параметры взаимодействия и политики безопасности хранятся на центральном сервере, объем настроек оборудования в удаленных офисах сводиться к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасноcти. Таким образом технология Easy VPN радикально минимизирует затраты на сопровождение ИТ в удаленных офисах.