Файл: Защита сетевой инфраструктуры компании.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 26.05.2023

Просмотров: 126

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

И эта сфера бурно и непрерывно развивается, причем крайне интенсивно. Основными методами защиты еще с давнего времени являются разнообразные сетевые экраны. Они дают базовый уровень защиты, они являются инструментами организации безопасности. Тот уровень защиты, которого позволяет добиться сетевой экран, может быть различен в зависимости от способа организации. Обычно используется политика компромисса между защитой, сложностью эксплуатации, ценой и т.д.

Модуль firewall заменяет роутер или шлюз, соединяющий ЛВС с миром. Безопасный сегмент сети организуется за ним. Пакеты, проходящие сквозь

Firewall, обрабатываются отдельно, а не просто перенаправляются.

Пакеты, направленный модулям за пределами действия Firewall, не проходят. Поэтому потенциальный взломщик будет обязательно иметь проблемы с обходом Firewall.

Такая система проста и эффективна, защищая конкретную машину, их все в целом.

Недостатки системы FireWall обусловлены ее преимуществами, в итоге пользователь получает более сложный внешний доступ как для входящих, так и для исходящих пакетов информации. Для многих программных продуктов, которые функционируют с применением нетривиальных портов и без поддержки прокси-серверов, установка соединения в таком случае для них осуществляется с помощью открытия дополнительных портов. Это прибавляет дополнительные трудности, но без этого придется отказаться от использования подобных программ. Система FTP может и не проверяться, но если она имеется, доступ будет предоставляться только в FireWall-сервер и из него. Таким образом ПК в сети не смогут подключаться напрямую посредством FTP-связи ни с каким ПК извне. Выполнение процедуры telnet доступно только после входа на сервер. Обычно большинство межсетевых экранов не позволяют организовать внутренний ICMP-поток трафика внутрь сети.

2.2. Фильтрующие маршрутизаторы

Фильтрующие маршрутизаторы (ФМ) — это один из наиболее простых элементов межсетевого экрана. Маршрутизатор транспортирует информацию в разных направлениях между 2-мя (и более) различными сетями. Классический передает информацию из сети A и "направляет" его к целевой ЭВМ, которая находится в сети B. Проверяются многие параметры, как для отправляющей, так и для принимающей стороны. Кроме того, для организации полноценного отбора необходимым условием является тот фактор, поддерживает ли маршрутизатор изменение последовательности использования отдельных фильтров (для оптимизации отбора, это может порой привести к неверной смене, что даст разрешение на непреднамеренный доступ). Также следует проверить, есть ли возможность применять фильтры для передаваемых пакетов на отдельных интерфейсах в обоих направлениях.


Когда маршрутизатор отфильтровывает лишь исходящие пакеты, тогда он будет внешним с точки зрения собственных фильтров и это делает его удачной целью для хакеров. Кроме такого изъяна маршрутизатора, это отличия фильтров, применяемых для входящих и исходящих данных, являются критически значимыми для маршрутизаторов с большим количеством интерфейсов. Еще один момент, заслуживающий внимания — возможность организовывать фильтрацию на основании данных заголовка IP и кондиций участков пакета.

2.3. Сетевые шлюзы

Сетевые шлюзы — это аппаратные или программные средства, приводящие в действие NAT.

NAT — процесс в сетях с протоколами TCP/IP, который дает возможность трансформировать IP-адреса проходящих пакетов. Изменение адресов посредством NAT может быть выполнено практически любым сетевым приспособлением — для этой цели подойдет маршрутизатор, сервер обеспечения доступа, сетевым экраном. Принцип работы NAT основывается на замене обратных адресов во время передачи частей информации в одну из сторон и восстановлении конечного адреса в пакете, посылаемом в ответ. Вместе с исходящими и входящими адресами могут меняться и ID портов. NAT существенно уменьшает смысл создания уникальных IP для каждого информационного пакета. Это дает возможность подключиться к Internet организации с уникальной адресацией лишь в рамках локальной сети. Это достигается путём распространения данных адресов в глобально распределяемое пространство адресов. Кроме того, NAT может применяться для того, чтобы IP локальной сети вовсе не отображался.

Положительные стороны механизма NAT:

- Минимизирует потребность уникальных IP в глобальном плане, передавая несколько внутрисетевых IP-адресов для использования извне в качестве публичного IP (даже если передается несколько внутрисетевых адресов, их число все равно меньше).

- Предотвращает внешнее сообщение хостов сети, сохраняя возможность обратной связи (из сети во внешний мир). При установке соединения в самой сети организуется трансляция.

Данный, поступающие в ответ извне, подгоняются под трансляцию и быстро проходят без проблем. Для всех пакетов, которые идут извне, подобной трансляции нет, по этой причине у них не получится пройти.

Минусы NAT:

- Не каждый протокол поддерживает NAT.

Существуют такие, которые не могут функционировать, если между сообщенными хостами происходит трансляция пакетных адресов (например, IPSec). Многие сетевые экраны, организующие трансляцию IP, могут помочь справиться с данной ситуацией, так как они могут изменить IP-адреса как в заголовках, так и не уровнях выше (к примеру, в для таких протоколов, как FTP).


- Трансляция адресов пакетов приводит к тому, что появляется связь «из многих в один» это чревато возникновением проблем авторизации клиентов сети. Поэтому нужно сохранять все сведения о проведении трансляций.

2.4. Прокси-сервера

Прокси-сервера являются инструментом, который меняет адресацию сети, проводя все запросы клиента через другой ПК. Как правило, имеется один компьютер с хорошо разработанной защитой, который выполняет функции прокси-сервера для комплекса протоколов (FTP, SMTP, Telnet, HTTP и прочих), однако существуют и персональные компьютеры для предоставления ряда прикладных услуг. Здесь не используется прямое подключение к глобальной сети, пользователь имеет доступ к прокси- серверу, задача данной машины состоит в настройке целевого соединения с внешней сетью. Существуют различные типы прокси-серверов, настраивать их конфигурации для пользователей можно таким образом, чтобы переадресация осуществлялась в автоматическом режиме, без предоставления соответствующей информации для клиента, который пытается наладить доступ. В ряде других случаев прокси-сервер может запросить подтверждение от клиента на подключение через него, и лишь после этого организовать подключение.

Использование прокси-серверов открывает большие возможности с точки зрения безопасности. Здесь можно добавить списки доступа к тем или иным протоколам, для той или иной категории клиентов. Также, в зависимости от требований пользователей, можно настроить определенную процедуру авторизации перед обеспечением доступа. При этом фильтрующий маршрутизатор можно настроить на открытие или закрытие доступа по протоколам FTP. Также имеется возможность наложить некоторые ограничения. Прокси-сервера можно настроить для обеспечения шифрования передаваемой информации, при этом гибкость такой настройки позволит применить широкий спектр криптографических.

Перед этим следует активировать некоторые опции, чтобы функция передачи шифрованных данных между двумя ПК (один из которых внешний) была доступна. Межсетевые экраны, как правило, применяются как инструмент блокировки хакерских атак, но кроме этого они не редко применяются и в качестве метода проверки регистрированных клиентов к ПК. Есть множество случаев, когда клиент не может получить стабильный доступ к требуемой информации в ответственные моменты. Это обусловлено тем, что порой выход в Internet обеспечивается через непроверенную ЭВМ или локальную сеть. Настроенный верно прокси- сервер дает доступ на узел лишь клиентам, отсеивая неавторизованных пользователей.


Сегодня лучшим межсетевым экраном признан тандем фильтрующего маршрутизатора и одного (при необходимости больше) прокси-сервера. Это дает возможность внешнему маршрутизатору запрещать все попытки применения нижнего IP-уровня в целях обхода безопасности (то есть блокировать IP-spoofing, подмену маршрутизации, неверное формирование пакетов). Кроме того, прокси-сервер обеспечивает защищенную работу протоколов высшего уровня. При использовании такой системы защиты достигается высокий уровень защиты сети.

Также важна степень отладки конфигурации система мониторинга запросов в локальной сети, ведь именно она дает права администратору определять все угрозы и своевременно их устранять.

Большая часть межсетевых экранов ведут протоколы, которые гибко регулируют, в целях создания наилучших условий для управления сетью. Данная система бывает централизованной, и настроена таким образом, чтобы предупреждать администратора в случае непредвиденных ситуаций. Постоянно следить за протоколами значит следить за безопасностью, а при обнаружении признаков хакерской атаки или попытки получить несанкционированный доступ — немедленно вмешиваться. Многие хакеры после взлома пытаются получить доступ и к журналам, чтобы скрыть следы своих действий, поэтому их следует хорошо защитить.

Типы применяемых фильтров. Межсетевые фильтры, функционирующие совместно с прокси-сервером, дают администратору возможности регулировать потоки данных, идущие сквозь Firewall, однако они не отличаются высокой скоростью работы. Аппаратные устройства пропускать широкие потоки пакетов данных, однако они практически не настраиваются. Также существует уровень прокси, исследующий потоки данных, и после принимает решение, стоит ли их пропускать. При этом фильтрация работает на основе IP, ID портов, используемых интерфейсов и даже с учетом некоторых сведений из передаваемых пакетов.

Регистрация трансфера. Почти все Firewall оснащаются интегрированной системой записи сведений о всех операциях. При этом важно согласовать инструменты обработки лог-файлов и с системой их записи.

Администрирование. Многие Firewall оборудуются графической оболочкой. Более просты распоряжаются лишь файлами текстового типа. Стоит отметить, что многие Firewall позволяют работать удаленно.

Простота. Хороший Firewall — простой Firewall. Структура прокси- сервера не должна изменяться, а проверка его функционирования должна быть несложной.


3. Выбор и реализация комплекса мер по защите сетевой инфраструктуры

3.1. Обоснование выбора средства защиты информационной безопасности

Информационные ресурсы учебного заведения постоянно подвергаются угрозам из глобальной сети.

Наиболее важные данные внутри учебного заведения хранятся в электронном виде и имеют ограниченное распространение, следовательно, к ним закономерно ожидать повышенный интерес со стороны злоумышленников.

Таким образом, локальная вычислительная сеть института должна быть защищена с учетом всех специфических особенностей хранимой информации, во внимания должны быть приняты угрозы, рассмотренные в первой главе.

В учебных заведениях достаточно часто возникают условия, когда, в локальных сетях большой поток пользователей, с одной стороны, пользуются ресурсами сети Интернет на разных компьютерах. Единовременно обеспечить достойный уровень безопасности, в данном случае, на компьютерах довольно нелегко. Также учебные заведения часто имеют пропускную способность канала, недостаточную для высокоскоростного доступа в Internet, скорость доступа к внешним ресурсам, в следствии чего, сильно снижается, это отображается на плохом качестве и скорости учебного процесса. Усиление пропускной мощности канала не устраняет полностью эту проблему. Такое происходит потому, что недостаточная скорость поставки Web-страниц вызвана сопоставлением немалой протяженности сетей между пользователями и конечными ресурсами.

Для урегулирования этой проблемы требуется переместить данные ближе к пользователю, т.е. использовать промежуточный узел, который будет хранить копии популярных Web страниц внутри локальной сети Кэширование дает возможность существенно повысить скорость доставки исходных данных и облегчить канал выхода в глобальную сеть.

Для защиты сети с выявленными особенностями мы будем применять кэширующий прокси-сервер совместно с роутером.

Роутером будет находится перед сервером и будет обеспечивать сеть доступом в интернет от двух провайдеров и фильтрацию трафика до обработки его сервером, таким образом облегчая его нагрузку

Кэширующий-сервер будет выступать своего рода посыльным между локальной сетью и Internet, который будет хранить в памяти часто запрашиваемые у пользователей Web-страницы. Кроме функции кэширования прокси-сервер, будет обеспечивать безопасность ЛВС.