Файл: Методы и средства защиты информации.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 18.06.2023

Просмотров: 120

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Функциональность IPSec VPN реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.

Таблица 2

Ключевые характеристики IPSec VPN

Преимущества

Функции защиты передаваемого между двумя точками трафика

Поддержка QoS

Показания к применению

При построении сети из оборудования разных производителей

Совместимость оборудования

Полное, в том числе разных производителей

Масштабируемость

Тысячи узлов в сети

Управление и контроль

Cisco Security Manager, Cisco Router and Security Device Manager

Топология

Звезда, небольшие полносвязные сети VPN

Динамическая маршрутизация

Поддерживается

Качество обслуживания

Поддерживается

Широковещательный трафик

Нет

Поддержка протоколов отличных от IP

Нет

Резервирование

Возможность активизации резервного канала

Технология Cisco Easy VPN в значительной степени упрощает процесс развертывания и сопровождения сети VPV для множества удаленных офисов. Технология централизует управление всеми параметрами и политиками безопасности на устройствах сети, сокращая сложность и повышая безопасность сети VPN.

Суть решения состоит в размещении всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные и программные клиенты (Easy VPN Remote). Перед тем как удаленный клиент сети Easy VPN сможет начать процедуру установления зашифрованного соединения с сетью VPN, он должен пройти процедуру проверки подлинности и загрузить все политики безопасности с сервера Easy VPN.

Благодаря тому, что все параметры взаимодействия и политики безопасности хранятся на центральном сервере, объем настроек оборудования в удаленных офисах сводиться к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасноcти. Таким образом технология Easy VPN радикально минимизирует затраты на сопровождение ИТ в удаленных офисах.


В настоящее время функциональность Easy VPN Server реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.

В качестве клиента Easy VPN Remote могут выступать маршрутизаторы Cisco ISR, UBR900 , Cisco PIX 501, 506E и аппаратный клиент сетей VPN - Cisco VPN 3002.

Таблица 3

Ключевые характеристики Easy VPN

Преимущества

Сокращение затрат на администрирование и повышение безопасности благодаря автоматической загрузке конфигураций и политик с центрального узла

Поддержка QoS

Показания к применению

Для сокращения затрат ресуров на настройку и управление сетью, при некоторых ограничениях в функциональности сети VPN

При необходимости единой унифицированной системы управления разнообразными продуктами Cisco для построения VPN

Совместимость оборудования

Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco

Масштабируемость

Тысячи узлов в сети

Управление и контроль

Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager

Топология

Звезда

Динамическая маршрутизация

Ограниченно

Качество обслуживания

Только статические политики QoS для каждого узла

Широковещательный трафик

Нет

Поддержка протоколов отличных от IP

Нет

Резервирование

Возможность активизации резервного канала

Технология Cisco Dynamic Multipoint VPN

Технология построения виртуальных частных сетей в основе которой лежит механизм динамического установления соединений между узлами сети

Cisco DMVPN может быть развернута как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами как QoS, IP Multicast, Split Tunneling и механизмами резервных маршрутов (routing-based failover). Используя возможности Cisco DMVPN можно создавать крупные VPN сети с десятками и сотнями узлов, с возможностью балансировки загрузки каналов и резервирования. При этом нет необходимости вручную конфигурировать каждое соединение между узлами сети - соединение будет установлено автоматически в соответствии c политиками доступа и безопасности.


Преимущества технологии Cisco DMVPN

Динамическая маршрутизация между узлами сети VPN 
Протоколы динамической маршрутизации могут пересылать информацию об IP-сетях по зашифрованным тоннелям между подразделениями компании. Поддерживаются протоколы маршрутизации: Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), и Border Gateway Protocol (BGP).

Небольшой объем конфигурационных данных 

Нет необходимости настраивать каждое соединение в отдельности. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла такой сети. Например, типовой конфигурационный файл для сети из 1000 узлов в случае традиционных сетей IPsec буде содержать 3900 строк на каждом устройстве VPN, в то время как для технологии DMVPN необходимо только 13 строк на одно устройство.

Динамические туннели без участия центрального узла 
В соответствии с политиками безопасности компании отдельные узлы смогу устанавливать соединения VPN между собой без участия центрального узла. Это снижает как нагрузку на оборудование и расходы на транзитный трафик для центрального узла, так и повышает скорость обработки таких данных как трафик систем IP-телефонии.

Поддержка NAT 

Узлы сети VPN в удаленных подразделениях на оборудовании которых используется трансляция адресов NAT с успехом могут быть подключены к сети DMVPN.

Механизмы отказоустойчивости 

Сеть VPN может быть построена как с использованием одного центрального узла, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Удаленные узлы сети могут быть подключены к двум каналам связи от двух операторов связи одновременно для обеспечения отказоустойчивой схемы.

Поддержка качества обслуживания QoS 

Как на центральном узле сети VPN, так и на удаленных узлах возможна реализация политик QoS с классификацией трафика, настройка шейпирования трафика, обслуживания трафика с различным приоритетом для разных узлов сети.

Масштабируемость сети

Сеть DMVPN может состоять как из нескольких узлов, так и вырасти до сети из тысяч узлов с использованием технологии server load balancing (SLB). Производительность центральных узлов может быть увеличена простым добавлением дополнительных устройств. При необходимости сеть VPN может иметь иерархическую структуру.

Минусы технологии Cisco DMVPN

Данная технология построения сетей VPN поддерживается только на маршрутизаторах Cisco Systems.


Сравнение рассмотренных технологий приведено в таблице 4.

Таблица 4

Сравнение технологий


Cisco DMVPN

Cisco GRE VPN

Cisco Easy VPN

Традиционные IPSec VPN

Преимущества

  • Упрощенная настройка и управление туннелями GRE точка-точка
  • Туннели точка-точка по требованию
  • Поддержка QoS, маршрутизации, широковещательного трафика
  • Обеспечивает передачу широковещательного и маршрутизируемого трафика через туннеи IPSec VPN
  • Поддержка протоколов отличных от IP
  • Поддержка QoS
  • Сокращение затрат на администрирование и повышение безопасности благодаря автоматической загрузке конфигураций и политик с центрального узла
  • Поддержка QoS
  • Функции защиты передаваемого между двумя точками трафика
  • Поддержка QoS

Показания к применению

  • Сети VPN с выделенным центром и поддержкой QoS, маршрутизации, широковещательного трафика.
  • Полносвязанные сети VPN малого и среднего размера
  • При необходимости маршрутизации в сети VPN
  • Реализует функции аналогичные топологии звезда DMVPN, но требует более объемной и детальной конфигурации
  • Для сокращения затрат ресуров на настройку и управление сетью, при некоторых ограничениях в функциональности сети VPN
  • При необходимости единой унифицированной системы управления разнообразными продуктами Cisco для построения VPN
  • При построении сети из оборудования разных производителей

Совместимость оборудования

Только маршрутизаторы Cisco

Только маршрутизаторы Cisco

Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco

Полное, в том числе разных производителей

Масштабируемость

Тысячи узлов для топологии с выделенным центром, сотни узлов для частично связанных сетей точка-точка

Тысячи узлов в сети

Тысячи узлов в сети

Тысячи узлов в сети

Управление и контроль

Cisco Security Manager, Cisco Router and Security Device Manager

Cisco Security Manager, Cisco Router and Security Device Manager

Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager

Cisco Security Manager, Cisco Router and Security Device Manager

Топология

Звезда, полносвязные сети VPN, динамические сети точка-точка с автоматическим удалением туннеля при отсутствии трафика

Звезда, небольшие полносвязные сети VPN

Звезда

Звезда, небольшие полносвязные сети VPN

Динамическая маршрутизация

Поддерживается

Поддерживается

Ограниченно

Поддерживается

Качество обслуживания

Поддерживается

Поддерживается

Только статические политики QoS для каждого узла

Поддерживается

Широковещательный трафик

Через туннель VPN

Через туннель VPN

Нет

Нет

Поддержка протоколов отличных от IP

Нет

Да

Нет

Нет

Резервирование

Средствами протоколов маршрутизации

Средствами протоколов маршрутизации

Возможность активизации резервного канала

Возможность активизации резервного канала


Один из возможных вариантов такого решения реализуем на базе маршрутизаторов с интегрированными сервисами Cisco 1800 ISR (для головного офиса) и Cisco 871 (для филиалов). В качестве транспортной среды используется сеть Интернет.

Рисунок 12 – Схема VPN

В данном решении использованы технологии IPSec VPN для связи головного офиса с филиалами и технология Cisco DMVPN для обеспечения, при такой необходимости, передачи данных непосредственно между филиалами.

Для реализации функций шифрования и обеспечения безопасности на маршрутизатор головного офиса загружено программное обеспечение Cisco IOS VPN, являющееся неотъемлемой частью операционной системы маршрутизаторов и позволяющее быстро и эффективно построить виртуальную частную сеть VPN для компании любого масштаба и сети любой топологии.

Причины выбора Cisco IOS VPN:

  • Организация высокопроизводительной сети VPN с расширенными возможностями
  • Снижение стоимости внедрения в существующую инфраструктуру
  • VPN непосредственно для WAN-интерфейсов
  • Организация VPN без приобретения дополнительных средств защиты
  • Интеграция IPSec и MPLS VPN

Заключение

В работе был проведен анализ деятельности компании, выявлены существующие угрозы.

В результате анализа выявлено, что система информационной безопасности нуждается в модернизации, а особенно плохо выполняются мероприятия по защите телекоммуникационных линий и контроль подключения оборудования к линиям.

Применительно к оценке эффективности защиты информации в компьютерной системе для частичного парирования такой условности могут быть выбраны несколько путей, основанных на унификации целей и задач защиты информации. При этом следует подчеркнуть, что полностью парировать указанную условность невозможно, что обусловлено относительностью, присущей самому понятию эффективности.

Список использованной литературы

  1. Доктрина информационной безопасности
  2. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
  3. Конституция Российской Федерации от 25 декабря 1993 года, с изменениями от 30 декабря 2008 года
  4. Гражданский кодекс РФ от 30.11.1994 N 51-ФЗ
  5. Уголовный кодекс РФ (УК РФ) от 13.06.1996 N 63-ФЗ
  6. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  7. Федеральный закон «Об электронной подписи» от 07 апреля 2011 г.
  8. Федеральный закон 152-ФЗ «О персональных данных» от 25.07.2011г.
  9. Федеральный закон №98-ФЗ «О коммерческой тайне» от 14 марта 2014г.