Добавлен: 17.06.2023
Просмотров: 184
Скачиваний: 3
СОДЕРЖАНИЕ
Теоретические основы защиты информации
Основные понятия по информационной безопасности
Методы и средства защиты информации
Подмена доверенного объекта сети. Перехват TCP-сессии (IP-hijacking)
5. Навязывание ложного маршрута сети.
6. Внедрение ложного объекта сети.
Функциональность IPSec VPN реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.
Таблица 2
Ключевые характеристики IPSec VPN
|
Технология Cisco Easy VPN в значительной степени упрощает процесс развертывания и сопровождения сети VPV для множества удаленных офисов. Технология централизует управление всеми параметрами и политиками безопасности на устройствах сети, сокращая сложность и повышая безопасность сети VPN.
Суть решения состоит в размещении всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные и программные клиенты (Easy VPN Remote). Перед тем как удаленный клиент сети Easy VPN сможет начать процедуру установления зашифрованного соединения с сетью VPN, он должен пройти процедуру проверки подлинности и загрузить все политики безопасности с сервера Easy VPN.
Благодаря тому, что все параметры взаимодействия и политики безопасности хранятся на центральном сервере, объем настроек оборудования в удаленных офисах сводиться к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасноcти. Таким образом технология Easy VPN радикально минимизирует затраты на сопровождение ИТ в удаленных офисах.
В настоящее время функциональность Easy VPN Server реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.
В качестве клиента Easy VPN Remote могут выступать маршрутизаторы Cisco ISR, UBR900 , Cisco PIX 501, 506E и аппаратный клиент сетей VPN - Cisco VPN 3002.
Таблица 3
Ключевые характеристики Easy VPN
Преимущества |
Сокращение затрат на администрирование и повышение безопасности благодаря автоматической загрузке конфигураций и политик с центрального узла Поддержка QoS |
Показания к применению |
Для сокращения затрат ресуров на настройку и управление сетью, при некоторых ограничениях в функциональности сети VPN При необходимости единой унифицированной системы управления разнообразными продуктами Cisco для построения VPN |
Совместимость оборудования |
Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco |
Масштабируемость |
Тысячи узлов в сети |
Управление и контроль |
Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager |
Топология |
Звезда |
Динамическая маршрутизация |
Ограниченно |
Качество обслуживания |
Только статические политики QoS для каждого узла |
Широковещательный трафик |
Нет |
Поддержка протоколов отличных от IP |
Нет |
Резервирование |
Возможность активизации резервного канала |
Технология Cisco Dynamic Multipoint VPN
Технология построения виртуальных частных сетей в основе которой лежит механизм динамического установления соединений между узлами сети
Cisco DMVPN может быть развернута как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами как QoS, IP Multicast, Split Tunneling и механизмами резервных маршрутов (routing-based failover). Используя возможности Cisco DMVPN можно создавать крупные VPN сети с десятками и сотнями узлов, с возможностью балансировки загрузки каналов и резервирования. При этом нет необходимости вручную конфигурировать каждое соединение между узлами сети - соединение будет установлено автоматически в соответствии c политиками доступа и безопасности.
Преимущества технологии Cisco DMVPN
Динамическая маршрутизация между узлами сети VPN
Протоколы динамической маршрутизации могут пересылать информацию об IP-сетях по зашифрованным тоннелям между подразделениями компании. Поддерживаются протоколы маршрутизации: Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), и Border Gateway Protocol (BGP).
Небольшой объем конфигурационных данных
Нет необходимости настраивать каждое соединение в отдельности. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла такой сети. Например, типовой конфигурационный файл для сети из 1000 узлов в случае традиционных сетей IPsec буде содержать 3900 строк на каждом устройстве VPN, в то время как для технологии DMVPN необходимо только 13 строк на одно устройство.
Динамические туннели без участия центрального узла
В соответствии с политиками безопасности компании отдельные узлы смогу устанавливать соединения VPN между собой без участия центрального узла. Это снижает как нагрузку на оборудование и расходы на транзитный трафик для центрального узла, так и повышает скорость обработки таких данных как трафик систем IP-телефонии.
Поддержка NAT
Узлы сети VPN в удаленных подразделениях на оборудовании которых используется трансляция адресов NAT с успехом могут быть подключены к сети DMVPN.
Механизмы отказоустойчивости
Сеть VPN может быть построена как с использованием одного центрального узла, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Удаленные узлы сети могут быть подключены к двум каналам связи от двух операторов связи одновременно для обеспечения отказоустойчивой схемы.
Поддержка качества обслуживания QoS
Как на центральном узле сети VPN, так и на удаленных узлах возможна реализация политик QoS с классификацией трафика, настройка шейпирования трафика, обслуживания трафика с различным приоритетом для разных узлов сети.
Масштабируемость сети
Сеть DMVPN может состоять как из нескольких узлов, так и вырасти до сети из тысяч узлов с использованием технологии server load balancing (SLB). Производительность центральных узлов может быть увеличена простым добавлением дополнительных устройств. При необходимости сеть VPN может иметь иерархическую структуру.
Данная технология построения сетей VPN поддерживается только на маршрутизаторах Cisco Systems.
Сравнение рассмотренных технологий приведено в таблице 4.
Таблица 4
Сравнение технологий
|
Cisco GRE VPN |
Cisco Easy VPN |
Традиционные IPSec VPN |
|
Преимущества |
|
|
|
|
Показания к применению |
|
|
|
|
Совместимость оборудования |
Только маршрутизаторы Cisco |
Только маршрутизаторы Cisco |
Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco |
Полное, в том числе разных производителей |
Масштабируемость |
Тысячи узлов для топологии с выделенным центром, сотни узлов для частично связанных сетей точка-точка |
Тысячи узлов в сети |
Тысячи узлов в сети |
Тысячи узлов в сети |
Управление и контроль |
Cisco Security Manager, Cisco Router and Security Device Manager |
Cisco Security Manager, Cisco Router and Security Device Manager |
Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager |
Cisco Security Manager, Cisco Router and Security Device Manager |
Топология |
Звезда, полносвязные сети VPN, динамические сети точка-точка с автоматическим удалением туннеля при отсутствии трафика |
Звезда, небольшие полносвязные сети VPN |
Звезда |
Звезда, небольшие полносвязные сети VPN |
Динамическая маршрутизация |
Поддерживается |
Поддерживается |
Ограниченно |
Поддерживается |
Качество обслуживания |
Поддерживается |
Поддерживается |
Только статические политики QoS для каждого узла |
Поддерживается |
Широковещательный трафик |
Через туннель VPN |
Через туннель VPN |
Нет |
Нет |
Поддержка протоколов отличных от IP |
Нет |
Да |
Нет |
Нет |
Резервирование |
Средствами протоколов маршрутизации |
Средствами протоколов маршрутизации |
Возможность активизации резервного канала |
Возможность активизации резервного канала |
Один из возможных вариантов такого решения реализуем на базе маршрутизаторов с интегрированными сервисами Cisco 1800 ISR (для головного офиса) и Cisco 871 (для филиалов). В качестве транспортной среды используется сеть Интернет.
Рисунок 12 – Схема VPN
В данном решении использованы технологии IPSec VPN для связи головного офиса с филиалами и технология Cisco DMVPN для обеспечения, при такой необходимости, передачи данных непосредственно между филиалами.
Для реализации функций шифрования и обеспечения безопасности на маршрутизатор головного офиса загружено программное обеспечение Cisco IOS VPN, являющееся неотъемлемой частью операционной системы маршрутизаторов и позволяющее быстро и эффективно построить виртуальную частную сеть VPN для компании любого масштаба и сети любой топологии.
Причины выбора Cisco IOS VPN:
- Организация высокопроизводительной сети VPN с расширенными возможностями
- Снижение стоимости внедрения в существующую инфраструктуру
- VPN непосредственно для WAN-интерфейсов
- Организация VPN без приобретения дополнительных средств защиты
- Интеграция IPSec и MPLS VPN
Заключение
В работе был проведен анализ деятельности компании, выявлены существующие угрозы.
В результате анализа выявлено, что система информационной безопасности нуждается в модернизации, а особенно плохо выполняются мероприятия по защите телекоммуникационных линий и контроль подключения оборудования к линиям.
Применительно к оценке эффективности защиты информации в компьютерной системе для частичного парирования такой условности могут быть выбраны несколько путей, основанных на унификации целей и задач защиты информации. При этом следует подчеркнуть, что полностью парировать указанную условность невозможно, что обусловлено относительностью, присущей самому понятию эффективности.
Список использованной литературы
- Доктрина информационной безопасности
- ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
- Конституция Российской Федерации от 25 декабря 1993 года, с изменениями от 30 декабря 2008 года
- Гражданский кодекс РФ от 30.11.1994 N 51-ФЗ
- Уголовный кодекс РФ (УК РФ) от 13.06.1996 N 63-ФЗ
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон «Об электронной подписи» от 07 апреля 2011 г.
- Федеральный закон 152-ФЗ «О персональных данных» от 25.07.2011г.
- Федеральный закон №98-ФЗ «О коммерческой тайне» от 14 марта 2014г.