Файл: Общие вопросы обеспечения информационной безопасности корпоративной сети.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 202
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. Общие вопросы обеспечения информационной безопасности корпоративной сети
1.2 Виды защищаемой информации
1.3 Угрозы безопасности информации
1.4 Существующие положения в области обеспечения ИБ
1.5 Выбор средств межсетевой защиты
2. ИССЛЕДОВАНИЕ ПРИНЦИПОВ и ОСОБЕННОСТЕЙ
2.2 Исследование принципов работы VPN
2.3 Анализ безопасности VPN сетей
2.7 Категории продуктов для создания VPN
2.8 Обзор существующих программных решений VPN
3 ПРОЕКТИРОВАНИЕ КОРПОРАТИВНОЙ VPN СЕТИ
3.2 Описание технологии OpenVPN
находится в равновесном состоянии. При атаке на систему, она выходит из этого состояния и этот факт можно зафиксировать. Поэтому, метод обнаружения аномального поведения должен учитывать три главных аспекта:
-
Поведение системы должно быть описано таким образом, чтобы изменение в поведении можно было автоматически определить. -
Должен быть разработан алгоритм, который позволит отслеживать поведение системы и изменение в ее поведении.
З) Для отслеживания изменения в поведении необходимо использование в алгоритмах математических методов и механизмов принятия решения о попытке атаки
Достоинства метода обнаружения аномалий возможность обнаружения новых атак.
1.5.3 Виртуальные частные сети
Virtual Private Network VPN -(виртуальная частная сеть) это защищенная компьютерная сеть, где применяется технология защиты информации, основанная на применении межсетевого экранирования и защиты сетевого трафика с помощью криптографических методов. В источнике описано такое определение виртуальной частной сети. VPN объединяет доверенные сети, узлы и пользователей через недоверенные открытые сети. Основная идея данного определения приведена на схеме
( рисунок 1.7).
реально установленные соединения
организация защиты
ситуация для внешнего
наблюдателя
Рисунок 1. 12 - Схема VPN
Функции VPN:
-
Обеспечивает сохранность трех свойств информации: конфиденциальности, доступности и целостности с помощью криптографических методов; -
Обеспечивает надежную защиту внутренних сегментов защищаемой сети от доступа извне. То есть обеспечивает туннелированние внутреннего трафика путем упаковки передаваемых пакетов в другие пакеты и использованием криптографических средств и межсетевых экранов; -
Обеспечивает идентификацию и аутентификацию субъектов и объектов системы. Таким образом реализуется технология использования доверенных узлов.
Так так VPN используют Интернет вместо выделенных защищенных каналов, существенно экономятся финансовые ресурсы предприятий с распределенной сетью.
1.6 Выводы по главе
В первой главе дипломной работы была описана структура корпоративной сети и информация, циркулирующая в данной сети и нуждающаяся в защите от угроз информационной безопасности. Были обозначены проблемы, возникающие в корпоративной сети при защите информации, а именно, использование открытых каналов связи, таких как Интернет и Интранет. Были описаны угрозы межсетевого взаимодействия, к которым относятся:
-
Анализ сетевого трафика; -
Сканирование сети; -
«Парольная» атака; -
Подмена доверенного объекта сети; 5) Навязывание ложного маршрута; 6) Внедрение ложного объекта сети;
7) Отказ в обслуживании.
Для защиты от угроз межсетевого взаимодействия используются программные или программно-аппаратные средства. К ним относятся межсетевые экраны, системы обнаружения атак и вторжений, виртуальные частные сети. Защита от угроз регламентируется действующими в РФ нормативно-правовыми актами, а именно: федеральными законами, руководящими документами ФСТЭК, ГОСТами и прочими документами в области обеспечения ПБ.
2. ИССЛЕДОВАНИЕ ПРИНЦИПОВ и ОСОБЕННОСТЕЙ
ПОСТРОЕНИЯ VPN СЕТЕЙ
2.1 Постановка задачи
Преимущество виртуальных частных сетей при сегодняшнем уровне развития информационных технологий неоспоримо. Виртуальные частные сети позволяют удаленному пользователю воспользоваться корпоративной сетью наравне с клиентами центральной корпоративной сети. Центральная сеть любой организации может аутентифицировать пользователей несмотря на то, что они получают доступ через публичную сеть.
Проектирование удачной и надежной корпоративной VPN невозможно без знания особенностей технологии VPN. Поэтому в данной главе необходимо рассмотреть общие принципы работы VPN, провести классификацию VPN по различным признакам, рассмотреть категории продуктов и существуюп_ще на рынке решения в области построения VPN. Также необходимо сделать обоснование выбора OpenVPN в качестве продукта для организации корпоративной VPN.
2.2 Исследование принципов работы VPN
Виртуаљные частные сети (VPN - Virtual Private Network) обеспечивают прозрачную (незаметную для пользователя) защиту ЦеЛОСТНОСТИ и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет.
Схема VPN представлена на рис. 2.1.
Рисунок 2.1 — Виртуальная частная сеть
VPN - это совокупность сетей, на внешнем периметре которых установлены Х7РХТ-агенты.
ГР№агент - это программа или программно-аппаратный комплекс, выполняющий следующие действия:
1. Перед отправкой любого информационного пакета (для определенности здесь и далее будем рассматривать ГР-пакеты):
• из заголовка 1Р-пакета выделяется информация о его адресате. Согласно данной информации на основе политики безопасности (подробно о политике безопасности будет рассказано ниже) данного Х7Р№агента (настраивается для каждого ИХТ-агента его администратором) выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности И №агента не предусмотрена отправка 1Р-пакета данному адресату или IPпакета с данными характеристиками, отправка 1Р-пакета блокируется;
-
с помощью выбранного алгоритма Зт_цИТЫ целостности формируется и добавляется в ГР-пакет ЭЦП или имитоприставка; -
выбирается алгоритм шифрования и производится зашифрование
1Р-пакета; при помощи установленного алгоритма инкапсуляции пакетов зашифрованный 1Р-пакет помещается в готовый для передачи IPпакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о ихт-агенте адресата и И№агенте отправителя. Это называется трансляцией сетевых адресов (NAT Network Address
Translation);
-
пакет отправляется И№агенту адресата. В случае, если размер результирующего пакета превышает МП-Ј (Maximum Transfer Unit - максимально возможныи размер пакета для конкретного участка сети), производятся его дробление и поочередная отправка результирующих пакетов.
2. При приеме Р-пакета:
• из заголовка 1Р-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком),
пакет не обрабатывается и отбрасывается;
-
в соответствии с политикой безопасности выбираются алгоритмы
защиты данного пакета и ключи, с помощью которых будут произведены расшифрование пакета и проверка его целостности;
-
выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование; производится контроль целостности пакета на основе выбранного
алгоритма. В случае нарушения целостности пакет отбрасывается;
-
пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.
ИХТ-агент может находиться непосредственно на защищаемом компьютере (например, компьютер «удаленного пользователя» на рис. 2.1). В этом случае с его помощью защищается информационный обмен только того
компьютера, на котором он установлен, однако описанные выше принципы действия остаются неизменными.
Защищающий локальную вычислительную сеть (ЛВС) УГРХТ-агент может быть совмещен с маршрутизатором ГР-пакетов, который также должен находиться на выходе из ЛВС. Такой маршрутизатор обычно называют криптографическим. В качестве криптографического маршрутизатора может использоваться как обычный (неспециализированный) компьютер, оснащенный специальным программным обеспечением и аппаратурой (например, аппаратным шифратором), так и специализированный маршрутизатор .
Основное правило построения VPN: связь между защищенной ЛВС и
Интернетом должна осуществляться только через VPN- агенты, категорически запрещаются какие-либо способы связи, минующие защитный барьер в виде УРХТ-агента; иными словами, должен быть определен защищаемый периметр, связь с которым возможна только через соответствующее средство защиты.
Политика безопасности представляет собой набор правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:
-
вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации; -
инкапсуляция 1Р-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернета обмен информацией между двумя защищенными ЛВС виден как обмен информацией только между их И№агентами, поскольку все внутренние IPадреса в передаваемых через Интернет Р-пакетах в этом случае не фигурируют.