Файл: Защита сетевой инфраструктуры предприятия (Разработка мер по защите сетевой инфраструктуры предприятия).pdf
Добавлен: 26.05.2023
Просмотров: 64
Скачиваний: 3
СОДЕРЖАНИЕ
1. Теоретические основы защиты информации
1.1. Основные понятия по информационной безопасности
1.2. Методы и средства защиты информации
2. Разработка мер по защите сетевой инфраструктуры предприятия
2.1. Характеристика предприятия
3. Технология доверенного объекта электронном сети.
В настоящее время функциональность Easy VPN Server реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.
В качестве клиента Easy VPN Remote могут выступать маршрутизаторы Cisco ISR, UBR900 , Cisco PIX 501, 506E и аппаратный клиент сетей VPN - Cisco VPN 3002.
Таблица 3
Ключевые характеристики Easy VPN
Преимущества |
Сокращение затрат на администрирование и повышение безопасности благодаря автоматической загрузке конфигураций и политик с центрального узла Поддержка QoS |
Показания к применению |
Для сокращения затрат ресуров на настройку и управление сетью, при некоторых ограничениях в функциональности сети VPN При необходимости единой унифицированной системы управления разнообразными продуктами Cisco для построения VPN |
Совместимость оборудования |
Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco |
Масштабируемость |
Тысячи узлов в сети |
Управление и контроль |
Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager |
Топология |
Звезда |
Динамическая маршрутизация |
Ограниченно |
Качество обслуживания |
Только статические политики QoS для каждого узла |
Широковещательный трафик |
Нет |
Поддержка протоколов отличных от IP |
Нет |
Резервирование |
Возможность активизации резервного канала |
Технология Cisco Dynamic Multipoint VPN
Технология построения виртуальных частных сетей в основе которой лежит механизм динамического установления соединений между узлами сети
Cisco DMVPN может быть развернута как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами как QoS, IP Multicast, Split Tunneling и механизмами резервных маршрутов (routing-based failover). Используя возможности Cisco DMVPN можно создавать крупные VPN сети с десятками и сотнями узлов, с возможностью балансировки загрузки каналов и резервирования. При этом нет необходимости вручную конфигурировать каждое соединение между узлами сети - соединение будет установлено автоматически в соответствии c политиками доступа и безопасности.
Преимущества технологии Cisco DMVPN
Динамическая маршрутизация между узлами сети VPN
Протоколы динамической маршрутизации могут пересылать информацию об IP-сетях по зашифрованным тоннелям между подразделениями компании. Поддерживаются протоколы маршрутизации: Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), и Border Gateway Protocol (BGP).
Небольшой объем конфигурационных данных
Нет необходимости настраивать каждое соединение в отдельности. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла такой сети. Например, типовой конфигурационный файл для сети из 1000 узлов в случае традиционных сетей IPsec буде содержать 3900 строк на каждом устройстве VPN, в то время как для технологии DMVPN необходимо только 13 строк на одно устройство.
Динамические туннели без участия центрального узла
В соответствии с политиками безопасности компании отдельные узлы смогу устанавливать соединения VPN между собой без участия центрального узла. Это снижает как нагрузку на оборудование и расходы на транзитный трафик для центрального узла, так и повышает скорость обработки таких данных как трафик систем IP-телефонии.
Поддержка NAT
Узлы сети VPN в удаленных подразделениях на оборудовании которых используется трансляция адресов NAT с успехом могут быть подключены к сети DMVPN.
Механизмы отказоустойчивости
Сеть VPN может быть построена как с использованием одного центрального узла, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Удаленные узлы сети могут быть подключены к двум каналам связи от двух операторов связи одновременно для обеспечения отказоустойчивой схемы.
Поддержка качества обслуживания QoS
Как на центральном узле сети VPN, так и на удаленных узлах возможна реализация политик QoS с классификацией трафика, настройка шейпирования трафика, обслуживания трафика с различным приоритетом для разных узлов сети.
Масштабируемость сети
Сеть DMVPN может состоять как из нескольких узлов, так и вырасти до сети из тысяч узлов с использованием технологии server load balancing (SLB). Производительность центральных узлов может быть увеличена простым добавлением дополнительных устройств. При необходимости сеть VPN может иметь иерархическую структуру.
Минусы технологии Cisco DMVPN
Данная технология построения сетей VPN поддерживается только на маршрутизаторах Cisco Systems.
Сравнение рассмотренных технологий приведено в таблице 4.
Таблица 4
Сравнение технологий
|
Cisco GRE VPN |
Cisco Easy VPN |
Традиционные IPSec VPN |
|
Преимущества |
|
|
|
|
Показания к применению |
|
|
|
|
Совместимость оборудования |
Только маршрутизаторы Cisco |
Только маршрутизаторы Cisco |
Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco |
Полное, в том числе разных производителей |
Масштабируемость |
Тысячи узлов для топологии с выделенным центром, сотни узлов для частично связанных сетей точка-точка |
Тысячи узлов в сети |
Тысячи узлов в сети |
Тысячи узлов в сети |
Управление и контроль |
Cisco Security Manager, Cisco Router and Security Device Manager |
Cisco Security Manager, Cisco Router and Security Device Manager |
Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager |
Cisco Security Manager, Cisco Router and Security Device Manager |
Топология |
Звезда, полносвязные сети VPN, динамические сети точка-точка с автоматическим удалением туннеля при отсутствии трафика |
Звезда, небольшие полносвязные сети VPN |
Звезда |
Звезда, небольшие полносвязные сети VPN |
Динамическая маршрутизация |
Поддерживается |
Поддерживается |
Ограниченно |
Поддерживается |
Качество обслуживания |
Поддерживается |
Поддерживается |
Только статические политики QoS для каждого узла |
Поддерживается |
Широковещательный трафик |
Через туннель VPN |
Через туннель VPN |
Нет |
Нет |
Поддержка протоколов отличных от IP |
Нет |
Да |
Нет |
Нет |
Резервирование |
Средствами протоколов маршрутизации |
Средствами протоколов маршрутизации |
Возможность активизации резервного канала |
Возможность активизации резервного канала |
Один из возможных вариантов такого решения реализуем на базе маршрутизаторов с интегрированными сервисами Cisco 1800 ISR (для головного офиса) и Cisco 871 (для филиалов). В качестве транспортной среды используется сеть Интернет.
Рисунок 12 – Схема VPN
В данном решении использованы технологии IPSec VPN для связи головного офиса с филиалами и технология Cisco DMVPN для обеспечения, при такой необходимости, передачи данных непосредственно между филиалами.
Для реализации функций шифрования и обеспечения безопасности на маршрутизатор головного офиса загружено программное обеспечение Cisco IOS VPN, являющееся неотъемлемой частью операционной системы маршрутизаторов и позволяющее быстро и эффективно построить виртуальную частную сеть VPN для компании любого масштаба и сети любой топологии.
Причины выбора Cisco IOS VPN:
- Организация высокопроизводительной сети VPN с расширенными возможностями
- Снижение стоимости внедрения в существующую инфраструктуру
- VPN непосредственно для WAN-интерфейсов
- Организация VPN без приобретения дополнительных средств защиты
- Интеграция IPSec и MPLS VPN
Заключение
В работе был проведен анализ деятельности компании, выявлены существующие угрозы.
В результате анализа выявлено, что система информационной безопасности нуждается в модернизации, а особенно плохо выполняются мероприятия по защите телекоммуникационных линий и контроль подключения оборудования к линиям.
Применительно к оценке эффективности защиты информации в компьютерной системе для частичного парирования такой условности могут быть выбраны несколько путей, основанных на унификации целей и задач защиты информации. При этом следует подчеркнуть, что полностью парировать указанную условность невозможно, что обусловлено относительностью, присущей самому понятию эффективности.
Список использованной литературы
- Доктрина информационной безопасности
- ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
- Конституция Российской Федерации от 25 декабря 1993 года, с изменениями от 30 декабря 2008 года
- Гражданский кодекс РФ от 30.11.1994 N 51-ФЗ
- Уголовный кодекс РФ (УК РФ) от 13.06.1996 N 63-ФЗ
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон «Об электронной подписи» от 07 апреля 2011 г.
- Федеральный закон 152-ФЗ «О персональных данных» от 25.07.2011г.
- Федеральный закон №98-ФЗ «О коммерческой тайне» от 14 марта 2014г.
Бабаш А.В., Мельников Ю.Н., Баранова Е.К. Информационная безопасность. Лабораторный практикум: Учебное пособие. - М.: КноРус, 2013. – 136с.
- Бартон Т., Шенкир У., Уокер П. Комплексный подход к безопасности сетей. — М.: Издательский дом «Вильямс», 2013. –208 с.
- Бил Джей. Обнаружение вторжений. Snort 2.1. — М.: Бином, 2012, -656 с.
Бирюков А.А. Информационная безопасность: защита и нападение. – М.: ДМК Пресс, 2012. – 474с.
- Галатенко В.А. Стандарты информационной безопасности: курс лекций. – М.: Интернет-Университет Информационных технологий, 2012.
- Герасименко В. А., Медатунян М. В. Организация комплексной защиты информации на современных объектах // Вопросы защиты информации, №1, 2014.
- Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. – М.: Яхтсмен, 2011. – 320с.
- Девянин Н.П., Михальский О.О., Правиков О.О., Щербаков А.Ю. Теоретические основы компьютерной безопасности.- М.: Радио и связь, 2012. – 278с.
- Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: изд-во «Диа-Софт», 2011. – 480 с.
- Жук А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - 2-e изд. - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2015. - 392 с.
- Зима В.М., Молдвян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. 2-е изд. — С.-Пб.: БХВ-Петербург, 2013. –368 с.
Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - 2-e изд. – М.: НИЦ Инфра-М., 2014. – 256с.
- Корт С.С. Теоретические основы защиты информации. – М.: Гелиос АРВ, 2012.
- Лукацкий А.В. Обнаружение атак. — С.-Пб.: БХВ–Петербург, 2014. –624 с.
- Мак-Клар С., Скембрей Д., Курц Д. Секреты хакеров. Безопасность сетей — готовые решения. 2-е изд. — М.: Издательский дом «Вильямс», 2012. –656 с.
Мельников В.П., Петраков А.М. Информационная безопасность и защита информации: Учебное пособие для студентов учреждений высш. проф. образования / С.А. Клейменов, В.П. Мельников, А.М. Петраков; Под ред. С.А. Клейменов. - 6-e изд., стер.- М.: ИЦ Академия, 2012. – 336с.
- Михайлов С.Ф., Петров В.А., Тимофеев Ю. А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции. Учебное пособие. — М.: МИФИ, 2013. –112 с.
- Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. (Учебное пособие). - М.: ИПКИР, 2013. – 365с.
- Хаусманн Л. Знать, что происходит в сети.// LAN: журнал сетевых решений, 2011, №10, сс.104-106.
- Хубер З. Безопасность как процесс.// LAN: журнал сетевых решений, 2012, №2, сс.78-81.
-
Далее под информацией или секретной информацией понимается информация, содержащая сведения, составляющие государственную тайну, если степень ее секретности особо не оговаривается. ↑