Файл: Изучение и сравнение архитектур Dual Homed Host, Bastion Host, Perimeter.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 25.10.2023

Просмотров: 541

Скачиваний: 21

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Федеральное государственное образовательное бюджетное учреждение высшего образования

«Финансовый университет при Правительстве Российской Федерации»

(Финансовый университет)

Колледж информатики и программирования








Специальность 10.02.05 Обеспечение информационной безопасности автоматизированных систем
МДК.02.01 ПРОГРАММНЫЕ И ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
ОТЧЁТ ПО ПРАКТИЧЕСКОМУ ЗАНЯТИЮ №14

ТЕМА:

Изучение и сравнение архитектур Dual Homed Host, Bastion Host, Perimeter.





Выполнил:

Обучающийся группы: 3ОИБАС-1020

Ольгин И.А.

Преподаватель:

Поколодина Елена Владиславовна
Оценка: ________


Москва 2022

Практическая работа № 14

Изучение и сравнение архитектур Dual Homed Host, Bastion Host, Perimeter.

Теория

Общие сведения о защите периметра информационной системы

Межсетевое взаимодействие — это способ соединения компьютерной сети с другими сетями с помощью шлюзов, которые обеспечивают общепринятый порядок маршрутизации пакетов информации между сетями. Полученная система взаимосвязанных сетей называется составной сетью, или просто интерсетью.

Наиболее ярким примером межсетевого взаимодействия является Интернет, сеть сетей, основанная на многих базовых технологиях оборудования, но объединённая стандартным набором протоколов межсетевого взаимодействия, известного как TCP/IP.

Самым простым примером составной сети являются две локальные сети, соединённые с помощью маршрутизатора. Использование коммутатора или концентратора для соединения локальных сетей не предполагает межсетевого взаимодействия, а лишь расширяет первоначальную сеть.


Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «чёрных» дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

Из каких компонентов должна состоять защита периметра, обеспечивающая минимальный (начальный) уровень информационной безопасности? Чтобы ответить на этот вопрос, необходимо произвести анализ наиболее распространённых угроз информационным ресурсам организации:

  1. Сетевые атаки, направленные на недоступность информационных ресурсов (к примеру, Web-серверов, сервисов электронной почты и т.д.) – атаки класса DoS и DDoS;

  2. Компрометация информационных ресурсов и эскалация привилегий – как со стороны инсайдеров, так и внешних злоумышленников, как с целью использования ресурсов пользователя, так и с целью нанесения ущерба;

  3. Действия вредоносного программного кода (вирусы, сетевые черви, трояны, программы-шпионы и т.д.);

  4. Утечка конфиденциальной информации и похищение данных – как через сеть (e-mail, FTP, web и пр.), так и через внешние носители.

  5. Различные сетевые атаки на приложения.

Для минимизации угроз информационной безопасности необходимо внедрение многоуровневой системы защиты информации.

Что такое Защита периметра информационной системы?

Первым уровнем обеспечения информационной безопасности, блокирующей несанкционированный доступ хакеров в корпоративную сеть, является межсетевой экран, который может быть нацелен на защиту как небольших, так и крупных территориально-распределённых информационных систем. В зависимости от технологии обработки информации в организации, межсетевые экраны (устройства защиты периметра) могут поставляться в различной комплектации и обеспечивать различный функционал, в том числе:



  1. Разграничение и контроль доступа, выполнение аутентификации пользователей, трансляция IP-адресов (NAT);

  2. Организация демилитаризованных зон;

  3. Построение различных типов VPN (IPSec и SSL VPN, в том числе сертифицированные по требованиям ФСБ России решения);

  4. Функционал контроля контента. Анализ трафика на прикладном уровне, защита трафика от вирусов и различных типов spyware и malware, защита от спама, URL-фильтрация, антифишинг, и пр.;

  5. Функционал системы обнаружения и предотвращения сетевых атак и несанкционированной сетевой активности;

  6. Высокую доступность и кластеризацию;

  7. Балансировку нагрузки;

  8. Поддержка качества обслуживания (QoS);

  9. Механизмы аутентификации пользователей;

  10. Интеграцию с различными системами аутентификации и авторизации (RADIUS, TACACS+, LDAP и др.);

  11. Управление списками контроля доступа маршрутизаторов;

  12. Ряд других возможностей.

Основным функционалом межсетевых экранов является разграничение и контроль доступа, трансляция адресов и сокрытие топологии пользовательской вычислительной сети от внешнего мира. Однако необходимо отметить, что межсетевые экраны главным образом осуществляют фильтрацию и анализ трафика на третьем и четвёртом уровнях модели OSI, и лишь ограниченно – на более высоких уровнях.

Другим чрезвычайно важным функционалом межсетевых экранов является организация демилитаризованных зон. Это специально защищённые сегменты сети, к которым организован безопасный доступ из внешних сетей (Интернет) и в которых рекомендуется устанавливать сервера, взаимодействующие с внешними сетями – WEB, почтовый, DNS, и т.п.

Однако и сам межсетевой экран может служить мишенью для злоумышленников – так же, как и другие узлы сети, начиная от серверов приложений и Web-серверов и заканчивая почтовыми узлами и базами данных. Для мониторинга и борьбы с атаками и несанкционированной сетевой активностью рекомендуется использовать специализированные продукты сетевые системы обнаружения и предотвращения атак (IDS/IPS).

Система обнаружения вторжений (англ. Intrusion Detection System (IDS)) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.


Система предотвращения вторжений (англ. Intrusion Prevention System (IPS)) – программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

Максимально эффективно использовать данные, получаемые от сенсоров (серверов) обнаружения атак и от межсетевых экранов (об отражённых ими атаках) позволяет использование системы мониторинга информационной безопасности. Система мониторинга ИБ позволяет свести все события и инциденты ИБ в единой консоли, выполняет интеллектуальный анализ атак и их последствий и помогает администраторам выработать контрмеры. Кроме этого, система мониторинга ИБ выполняет регистрацию и хранение всех событий информационной безопасности, что делает возможным использование полученного материала в качестве доказательного при выполнении расследований инцидентов и судопроизводстве.

Итак, базовые элементы защиты периметра – это межсетевые экраны (и VPN-серверы), системы обнаружения и предотвращения сетевых атак и системы мониторинга ИБ. Однако, как показывает практика, этих систем зачастую недостаточно для эффективной защиты от современных угроз они обеспечивают необходимый, но не достаточный уровень защищённости информационной системы. Существует ряд угроз и их становится всё больше и больше, от которых указанные средства защиты малоэффективны. К таким угрозам относятся:

  1. Проникновение червей, вирусов и другого вредоносного кода через электронную почту, web-сёрфинг и т.п. Как правило, данная угроза не определяется ни межсетевыми экранами, работающими на третьем уровне модели OSI, ни системами обнаружения сетевых атак. Ведь никакой атаки, например, в момент передачи файла, не производится.

  2. Заражение пользовательских компьютеров, работающих через криптотуннель (например, внутри SSL-соединения с заражённым web-сервером или IPSec-соединения с заражённой сетью).

  3. Атаки, использующие неизвестные уязвимости некоторых приложений.

По этим, и ряду других причин, для полноценной защиты корпоративной информационной системы недостаточно лишь межсетевых экранов (и систем обнаружения атак). В зависимости от особенностей конкретной защищаемой системы и требованиям к уровню защищённости, рекомендуется использовать и другие системы и методы защиты. Очень важно организовать эффективную защиту на уровне хостов (серверов и рабочих станций сети), контроль контента на периметре сети, контроль за утечкой конфиденциальной информации и принять некоторые другие меры.


Под защитой сетевого периметра (network perimeter) подразумевается комплексное обеспечение безопасности всех точек соединения внутренней сети с внешними сетями (например, Internet).

Основные угрозы, исходящие из внешних компьютерных сетей:

  1. Сканирование портов и сбор сведений о работающих сервисах, в том числе через сбор «баннеров» (service banners) — приглашений, выдаваемых службой при соединении с ней.

  2. Атаки переполнения буфера с целью получения контроля над системой.

  3. DoS-атаки.

  4. Проникновение вирусов и червей.

Основным методом защиты периметра является применение межсетевых фильтров (firewall), также называемых брандмауэрами. Межсетевой экран (firewall) – программа или аппаратно-программный комплекс, который располагается между сетями с различными уровнями доверия и фильтрует (блокирует или разрешает) пакеты согласно правилам фильтрации, заложенным администратором.

Дизайн сетевого периметра

По дизайну сетевого периметра и размещению межсетевых экранов выделяют следующие сетевые конфигурации:

  1. Одиночный межсетевой экран (Bastion host).

  2. Межсетевой экран с тремя интерфейсами (Three-legs firewall).

  3. Конфигурация с тремя межсетевыми экранами (Back–to–back firewall).

Bastion Host

Самая простая и часто применяемая в небольших сетях конфигурация. Роль межсетевого экрана выполняет компьютер с двумя сетевыми адаптерами или специализированное устройство. Основное достоинство – простота и дешевизна решения, основной недостаток – пониженная безопасность по сравнению с другими конфигурациями. Это особенно проявляется тогда, когда требуется сделать некоторые внутренние ресурсы (например, Web-сервер) доступными для Internet-клиентов.

Three-legs firewall

В данной конфигурации межсетевой экран имеет три интерфейса, поэтому кроме сети организации и Internet появляется также третья сеть. Эту сеть называют демилитаризованной зоной (Demilitarized zone, DMZ) или Screened subnet. В DMZ располагаются серверы, к которым должен быть разрешён ограниченный доступ из Internet (Web/FTP серверы, серверы электронной почты и т.д.). Ограниченность доступа означает то, что из Internet доступны только некоторые службы, работающие на серверах в DMZ. Данная конфигурация более безопасна для публикации ресурсов, так как при «взломе» опубликованного ресурса злоумышленник не окажется сразу во внутренней сети, как в случае сценария Bastion host. Основной её недостаток – сложность настройки правил.

Back–to–back firewall