Безопасный доступ из локальной сети в Интернет с использованием технологии "Открытый Интернет"

Тип работы:
Курсовая
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«СЕВЕРО-КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИСТЕТ»

Кафедра защиты информации

КУРСОВАЯ РАБОТА

по дисциплине «Технология построения защищенных автоматизированных систем»

ТЕМА: «Безопасный доступ из локальной сети в Интернет с использованием технологии „Открытый Интернет“»

Автор курсовой работы Яковлева Екатерина Михайловна

Специальность 90 105 «Комплексное обеспечение информационной безопасности автоматизированных систем»

Номер группы БАС-071

Руководитель работы к. т. н, доцент Граков Вячеслав Иванович

Ставрополь, 2011

Содержание

  • Введение
  • Глава 1. Постановка проблемы защиты информации
  • 1.1 Выявление структуры и основных свойств незащищённой сети
  • 1.2 Выявление и анализ основных угроз безопасности данной системы
  • 1.3 Основные компоненты системы защиты
  • Вывод
  • Глава 2. Исследование способов противодействия сетевым атакам
  • 2.1 Снижение угрозы сниффинга пакетов
  • 2.2 Противодействие DDoS-атакам
  • 2.3 Противодействие атаке ARP-spoofing
  • 2.4 Противодействие атакам на уровне приложений
  • 2.5 Противодействие сетевой разведке
  • Вывод
  • Глава 3. Разработка и формирование защищённой сети
  • 3.1 Формирование структуры защищённой сети с использованием технологии «Открытый Интернет»
  • 3.1.1 Построение защищённой сети с использованием Outpost Firewall Pro
  • 3.1.2 Построение защищённой сети с использованием технологии ViPNet [CUSTOM]
  • Вывод
  • Заключение
  • Список используемой литературы

Введение

В современное время компьютерные технологии стали неотъемлемой частью нашей жизни, они проникли практически во все сферы деятельности человека, начиная от домашнего использования персонального компьютера и заканчивая сложными распределенными компьютерными сетями, включающими сотни компьютеров крупных предприятий и корпораций. Компьютерные технологии развиваются экспоненциальными темпами, буквально каждый месяц появляются новые решения, разработки, перспективные направления. С каждым годом финансирование данной сферы росло и продолжает расти.

Компьютер предназначен для облегчения труда человека, он автоматизирует решения различного рода задач, является средством обработки, передачи, а также хранения огромных массивов информации и способом ведения бизнеса. Компьютер поистине является одним из величайших изобретений всего человечества!

Развитие компьютерных технологий привело к появлению различных форм отчетностей для предприятий, а также созданию такого понятия как электронный документооборот. Часто информация, передаваемая по таким каналам связи, конфиденциальна и несёт реальную или потенциальную коммерческую ценность, которая может быть утрачена при получении этой информации третьими лицами. Поэтому возникает острая необходимость в защите таких каналов связи с помощью специальных средств. Таким образом, проблема защиты нескольких локальных сетей, связанных через Internet, затронутая в данной работе, актуальна.

Глава 1. Постановка проблемы защиты информации

1.1 Выявление структуры и основных свойств незащищённой сети

Для того, чтобы построить систему защиты системы, необходимо построить модель системы, которую мы будем защищать, выделить её основные свойства и угрозы, которые могут быть реализованы.

Взаимодействие двух локальных сетей, связанных через Интернет, можно представить в виде схемы:

Рисунок 1.1 — Схема незащищённых локальных сетей, связанных через Internet.

Глядя на данную схему, мы видим, что информация, проходящая по функциональному каналу связи, не защищена, а это значит — подвержена ряду угроз информационной безопасности. Варианты информационного взаимодействия возможны по всем каналам, которыми соединены элементы данной сети, поэтому мы не будем выделять их отдельно.

Основные свойства имеющейся у нас системы:

— Адреса в локальных сетях частные.

— Локальных сетей может быть сколько угодно.

— На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

— К открытому Интернету подключается произвольное количество мобильных пользователей.

1.2 Выявление и анализ основных угроз безопасности данной системы

По отношению к предприятию угрозы делятся на внутренние и внешние. Соответственно, хакерская атака на компьютеры компании будет рассматриваться как внешняя угроза, а занесение вируса в сеть сотрудниками — как внутренняя. К внутренним угрозам также относят кражу информации сотрудниками.

По намеренности угрозы бывают преднамеренными и непреднамеренными. Устранить от преднамеренные угрозы сложнее, так как вредоносное ПО или человек, угрожающие предприятию, имеют чёткий план действий по преодолению возможной защиты.

По цели можно выделить угрозы, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы ПО, контроль над работой ПО и прочие. Скажем, одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты и т. д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.

Ниже будут перечислены и раскрыты механизмы основных сетевых атак, с которыми может столкнуться наша система.

Перехват пакетов в сети (сниффинг)

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определённый домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват имён и паролей создаёт большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют единый пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме «клиент-сервер», а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно представляют себе, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и потому им часто удаётся, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создаёт нового пользователя, которого можно в любой момент использовать для доступа в Сеть и к её ресурсам.

DDoS-атаки

DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести её из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к DDoS-атаке приводит легитимное действие, например, простановка ссылки на сайт (размещённый на не очень производительном сервере) на популярном Интернет-ресурсе (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и отказу в обслуживании части из них.

Существуют различные причины, по которым может возникнуть DoS-условие:

— Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение серверного приложения. Классическим примером является обращение по нулевому (англ. null) указателю.

— Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (исчерпанию процессорных ресурсов) либо выделению большого объема оперативной памяти (исчерпанию памяти).

— Флуд (англ. flood) — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания ресурсов системы — процессора, памяти либо каналов связи.

— Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов, то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

ARP spoofing

ARP spoofing (АРП-спуфинг) — это атака, используемая для прослушивания сети, построенной на свитчах. Она состоит в том, что злоумышленник посылает ложные ARP-пакеты с целью убедить компьютер жертвы в том, что прослушивающий компьютер и есть конечный адресат. Далее пакеты логгируются и пересылаются реальному получателю, mac-адрес отправителя в них подменяется, чтобы ответные пакеты тоже шли через прослушивающий компьютер. Прослушивающий компьютер становится «шлюзом» для трафика жертвы, и злоумышленники получают возможность прослушивать трафик, например общение по ICQ, почту жертвы и др. При этом, так как трафик жертвы совершает «петли» в сети, обязательно проходя прослушивающий компьютер, соединение прослушивающего компьютера с сетью является узким местом. При попытке прослушать трафик нескольких активно общающихся компьютеров и соответственно возникающим при этом переполнением APR-таблиц возможна перегрузка, и, как следствие, падение сети.

Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространённый из них — использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.

Главная проблема при атаках на уровне приложений заключается в том, что хакеры часто пользуются портами, которым разрешён проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.

Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.

Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключён определённый хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищённому хосту. Примером приложения, которое может предоставить такой доступ, является netcat.

1.3 Основные компоненты системы защиты

Существуют известные проблемы, связанные с обеспечением конфиденциальности и безопасности передаваемой и обрабатываемой информации. Передача информации и ее защита есть две стороны одной медали: информация должна быть доступна одним и закрыта от других. Именно это требование целостности защиты и стало камнем преткновения для успешного создания систем информационной безопасности. По мнению специалистов, система безопасности компьютерной сети должна содержать следующие компоненты:

защищенная сеть открытый интернет

Межсетевой экран (МЭ) как средство защиты от несанкционированного доступа из Сети. Он может обеспечивать защиту на уровнях:

сетевом (контроль адресов);

транспортном («машины состояний» основных протоколов);

прикладном (прокси-системы).

Средства многослойной защиты каналов. Они обеспечивают защиту на уровнях:

физическом (защита кабелей, экранизация наводок);

сетевом (например, шифрация трафика от компьютера до компьютера и использование IPsec-протоколов);

транспортном (например, протокол SSL, шифрующий данные от одного приложения до другого приложения на другом компьютере);

прикладном (когда приложение шифрует данные самостоятельно).

Средства защиты на уровне ОС. Этим может заниматься как сама защищенная ОС, так и специально созданные для этого программно-аппаратные комплексы защиты от НСД, осуществляющие контроль:

за вирусами;

запуском приложений;

запуском самой ОС;

работой приложений и доступом к ресурсам.

Системы middle-ware. Их появление обусловлено необходимостью регламентировать доступ множества пользователей к множеству приложений и информационных ресурсов централизованным образом. Именно системы middle-ware позволяют снять с пользователя гнет десятков паролей и организовать технологию single-sign-on — единство точки входа в систему. Они осуществляют:

аутентификацию (точное опознание) подключающихся к АС пользователей и процессов;

авторизацию (наделение определенными полномочиями согласно информации в базах данных системы middle-ware) пользователей и процессов.

Для работы любой из описанных выше систем пользователь обязан представить определенные доказательства своей аутентичности, а также многочисленные ключи, с помощью которых будет осуществляться защита информации и процедуры допуска. Это требует создания инфраструктуры публичных ключей — Public Key Infrastructure.

Вся система в целом требует централизованного управления всеми ее элементами, а также подсистемы адаптивного управления безопасностью для реализации механизма обратной связи.

Вывод

В данной главе были рассмотрена незащищенная сеть: несколько локальных сетей, связанных через Интернет. Для построения защиты были рассмотрены сетевые атаки. Так же выявили основные, значимые для нас, свойства данной системы. По итогам анализа угроз безопасности выяснили, что защита этой системы необходима и какие именно угрозы для нас особенно актуальны.

Для последующего построения защищённой сети была выбрана система требований, которые должна выполняться. Для построения стойкой системы защиты в следующей главе будут рассмотрены меры предотвращения сетевых атак.

Глава 2. Исследование способов противодействия сетевым атакам

2.1 Снижение угрозы сниффинга пакетов

Снизить угрозу сниффинга пакетов можно с помощью следующих средств:

1. Средства аутентификации. Сильные средства аутентификации являются важнейшим способом защиты от сниффинга пакетов. Под «сильными» мы понимаем такие методы аутентификации, которые трудно обойти. Примером такой аутентификации являются однократные пароли (One-Time Passwords, OTP). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке, а во-вторых, по вводимому вами пин-коду. Для аутентификации в системе ОТР также требуются пин-код и ваша личная карточка. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает данный пароль с помощью сниффера, то эта информация будет бесполезной, поскольку в этот момент пароль уже будет использован и выведен из употребления. Отметим, что этот способ борьбы со сниффингом эффективен только в случаях перехвата паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.

2. Коммутируемая инфраструктура. Ещё одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не устраняет угрозы сниффинга, но заметно снижает ее остроту.

3. Специализированное программное обеспечение — антиснифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Антиснифферы измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать лишний трафик. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.

4. Шифрование. Этот самый эффективный способ борьбы со сниффингом пакетов хотя и не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищённым, то хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec, который представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К другим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).

2.2 Противодействие DDoS-атакам

Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

— Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.

— Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.

— Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.

— Наращивание ресурсов.

— Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.

— Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.

— Активные ответные меры. Воздействие на источники, организатора или центр управления атакой. Меры могут быть как технического характера (не рекомендуется), так и организационно-правового характера.

2.3 Противодействие атаке ARP-spoofing

Борьба с ARP-spoofing'ом с помощью arpwatch и подобных инструментов оказывается хотя и очень простой, но далеко не эффективной.

Во-первых, для того чтобы зафиксировать атаку, на защищаемых узлах должна работать программа arpwatch (или аналогичная). В том случае если она запущена только на одном из двух узлов, подвергающихся ARP-spoofing'у, существует возможность незамеченной односторонней атаки.

Во-вторых, и это более важно, arpwatch позволяет только зафиксировать атаку, но он не в состоянии её предотвратить.

Для предотвращения последствий атаки необходимо вмешательство администратора или внешней системы. В первом случае между обнаружением и реакцией администратора может пройти слишком много времени. Во втором вмешательство не требуется, реакция выполняется автоматически: как только ARP-аномалия зафиксирована, определяется порт коммутатора, к которому подключён источник аномалии, и порт блокируется до выяснения. Однако, такой подход имеет большой недостаток — он может быть использован для выполнения DOS-атаки: достаточно только узнать MAC-адрес компьютера, который надо отключит от сети, и сымитировать атаку с этого компьютера. Дальше наша система обнаружения и предотвращения ARP-spoofing'а все сделает сама.

В основе рассматриваемых способов противодействия ARP-атакам лежат два совершенно различных принципа, каждый из которых обладает как достоинствами, так и недостатками.

Оба способа, помимо того что они надёжно защищают от ARP-spoofing'а имеют ещё то преимущество, что позволяют полностью контролировать трафик — не только тот, что проходит через шлюз, но и тот, который циркулирует между машинами (В случае использования PPPoE машины могут по взаимному согласию обмениваться данными между собой напрямую. В случае использования VLAN такой возможности они лишены напрочь.)

2.4 Противодействие атакам на уровне приложений

Невозможно полностью исключить атаки на уровне приложений. Хакеры постоянно открывают и публикуют в Интернете новые уязвимые места прикладных программ. Самое главное здесь — хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

— читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений;

— подпишитесь на услуги по рассылке данных о слабых местах прикладных программ.

2.5 Противодействие сетевой разведке

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, то вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования — просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.

— пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями;

— кроме системного администрирования, пользуйтесь системами распознавания атак (IDS) — двумя взаимодополняющими друг друга технологиями IDS:

1. сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;

2. хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.

В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является их способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

Вывод

Во второй главе мы рассмотрели способы противодействия некоторым сетевым атакам. В результате анализа способов решения организации системы защиты мы выяснили, что убрать воздействие некоторых угроз невозможно совсем, а можно только снизить уровень опасности, связанный с возможностью из реализации.

Очевидно, что построение защищенной системы является весьма сложной задачей. Однако в настоящее время существуют реализации систем информационной безопасности с помощью одного из самых грамотных и экономически выгодных решений на основе построения так называемых защищенных виртуальных частных сетей Virtual Private Network (VPN). VPN-технологии позволяют не только существенно сократить расходы на содержание выделенных каналов связи с удаленными сотрудниками и подразделениями (филиалами), но и повысить конфиденциальность обмена информацией.

В третьей главе рассмотрим построение защищенной сети на основе VPN — технологии.

Глава 3. Разработка и формирование защищённой сети

3.1 Формирование структуры защищённой сети с использованием технологии «Открытый Интернет»

Наша сеть должна удовлетворять следующим требованиям:

— Требуется защита информационного обмена при прохождении через открытый Интернет.

— Требуется частичная защита информационного обмена внутри локальных сетей.

— Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

— Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

— Требуется обеспечить возможность безопасного доступа в открытый Интернет для пользователей виртуальной защищенной сети изнутри локальных сетей.

Исходя из следующих требований, сформируем структуру защищённой сети.

3.1.1 Построение защищённой сети с использованием Outpost Firewall Pro

Для обеспечения полной безопасности новых угроз, применяют, Outpost Firewall Pro, которое использует многоуровневый подход, обеспечивая проактивную, основанную на анализе поведения, блокировку вместе с более традиционными, сигнатурными методами обнаружения.

Возможности Outpost Firewall Pro

­ Продукт контролирует соединения вашего компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети. Контролируя входящий и исходящий трафик приложений, он останавливает попытки вредоносного ПО передать данные с вашего компьютера или на него.

­ Проактивная защита отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.

­ Outpost Firewall Pro использует специализированные методики для своей собственной защиты, которую невозможно отключить даже с помощью специально созданных вредоносных программ.

­ Простой, но, тем не менее, эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет шпионские программы и другое вредоносное ПО. Постоянная защита непрерывно контролирует пассивные и активные программы, оказывая при этом малейшее влияние на производительность системы.

­ Универсальный компонент Веб-контроль обеспечивает предотвращение случайного раскрытия личных данных, ограничивает воздействие потенциально опасного содержимого ресурсов сети на вашу систему и сохраняет личные данные конфиденциальными.

­ Для новичков Outpost Firewall Pro предлагает всестороннюю помощь в использовании обширных возможностей программы наилучшим образом, в то время, как продвинутые пользователи оценят богатство возможностей контроля и настраиваемых параметров, которые они могут установить в соответствии со своими требованиями.

Настройка политики

Один из самых полезных и важных параметров Outpost Firewall Pro — его политика. Политика задает, каким образом Outpost Firewall Pro будет контролировать доступ вашего компьютера к Интернету или любой другой сети, к которой он подключен. Например, Режим Блокировки предполагает особенно строгую позицию Outpost Firewall Pro, в то время как Режим Разрешения - наоборот, очень мягкую. Outpost Firewall Pro может действовать согласно одной из следующих политик (Таблица 1):

Таблица 3.1 — Политики безопасности Outpost Firewall Pro

Значок

Политика

Описание

Блокировать все

Блокирует все входящие и исходящие соединения вашего компьютера (за исключением локального трафика).

Режим блокировки

Блокирует все соединения кроме тех, которые были явно разрешены глобальными правилами или правилами для приложений.

Режим обучения

Помогает создать правила для взаимодействия

приложения с сетью при первом запуске приложения

Режим разрешения

Разрешает все соединения кроме тех, которые были явно запрещены глобальными правилами или правилами для приложения.

Разрешить все

Разрешает все соединения.

Настройка сетевого доступа для приложений (Настройка списка приложений)

Один из основных принципов работы Outpost Firewall Pro — предоставление доступа к сети процессам и приложениям согласно действующим правилам для приложений. Это позволяет задать гибкий доступ к сети и гарантирует, что ни один из процессов не получит неавторизованного доступа в сеть (т.е. доступа, не определенного ни одним из действующих правил).

Outpost Firewall Pro создает список установленных приложений и автоматически устанавливает для них правила, но также предусматривает возможность модифицировать список приложений и правила для приложений вручную. Более подробную информацию см. в соответствующих разделах.

Во время создания конфигурации Outpost Firewall Pro обнаруживаются все установленные приложения и создаются правила для известных приложений согласно предварительно заданным настройкам. Чтобы просмотреть список обнаруженных приложений, щелкните кнопку Настройки на панели инструментов и выберите страницу Правила для приложений (Рисунок 3. 1):

Рисунок 3.1 — Настройка списка приложений

Для каждого приложения отображаются два столбца со значками, обозначающими тип правил, применяющихся к приложению брандмауэром (Сетевые) и модулем Локальная безопасность (Anti-Leak). Зеленый цвет значка означает, что соответствующим компонентом к данному приложению применяются только разрешающие правила; красный символизирует только запрещающие правила; желтый говорит о том, что доступ для этого приложения определяется обоими типами правил; отсутствие значка означает отсутствие правил, применяемых к данному приложению соответствующим компонентом.

Также вы можете управлять списком приложений, добавляя приложения вручную и удаляя их. Для того, чтобы добавить приложение, щелкните кнопку Добавить. Вам будет предложено найти исполняемый файл приложения в появившемся окне. Найдите его и щелкните Открыть, после чего файл появится в списке. Чтобы назначить на новое приложение индивидуальные правила, выберите его и щелкните Редактировать. В диалоге Редактор правил укажите правила и щелкните OK. Чтобы удалить приложение и списка, щелкните кнопку Удалить.

Настройка уровней доступа для локальной сети (LAN)

Каждый компьютер в локальной сети может получить один из трех уровней доступа к вашему компьютеру:

NetBIOS. Разрешает разделение доступа к файлам и принтерам между компьютером из локальной сети и вашим компьютером. Чтобы установить этот уровень, отметьте соответствующий флажок NetBIOS для этого адреса.

Доверенные. Все соединения к и из этой сети разрешены. Чтобы установить этот уровень, отметьте флажок Доверенные для этого адреса.

Зона NAT. Отметьте этот параметр, если вы используете программу Internet Connection Sharing и другие компьютерные сети получают доступ в Интернет через ваш компьютер.

Ограниченный доступ к LAN. netBIOS соединения блокируются, все остальные соединения обрабатываются согласно глобальным правилам и правилам для приложений. Чтобы установить этот уровень, уберите оба флажка NetBIOS и Доверенные для этого адреса.

Настройка сетевого доступа системы

Помимо контроля доступа к сети на уровне приложений, Outpost Firewall Pro также предоставляет продвинутым пользователям возможность контролировать трафик всей системы на других уровнях.

С Outpost Firewall Pro вы можете воспользоваться следующими преимуществами:

­ Определять правила для всех процессов, запущенных в системе — так называемые глобальные правила;

­ Определять правила передачи данных (низкоуровневые правила);

­ Контролировать ICMP-трафик системы.

Предотвращение сетевых атак

Одним из важнейших аспектов защиты с помощью системы безопасности является фильтрация входящих пакетов, используемая для контроля входящей активности и блокировки хакеров и вредоносных программ при их попытке атаковать ваш компьютер.

Компонент Детектор атак обнаруживает, предотвращает и оповещает вас обо всех возможных атаках на вашу систему из Интернета и локальной сети, к которой подключен ваш компьютер.

Компонент просматривает входящие данные и определяет их законность либо с помощью сравнения контрольных сумм с известными атаками, либо производя анализ поведения. Это позволяет обнаруживать не только известные типы атак, такие как сканирование портов, Отказ от обслуживания (Denial of Service, DoS-атаки), атаки классов 'short fragments' и 'my address' и многие другие, но также и будущие угрозы.

Чтобы активировать компонент Детектор атак, щелкните Настройки > Детектор атак и отметьте параметр Включить детектор атак (Рисунок 3. 2):

Рисунок 3.2 — Настройка компонента Детектор Атак

3.1.2 Построение защищённой сети с использованием технологии ViPNet [CUSTOM]

Система ViPNet [CUSTOM] позволяет объединять в единую защищенную виртуальную сеть произвольное число локальных сетей, рабочих станций. Система дает возможность комбинировать набор компонентов ViPNet и их функций, что позволяет удовлетворить любые потребности. Система ViPNet CUSTOM может содержать следующие программные компоненты, которые мы будем использовать при построение свое защищенной сети: ПО ViPNet [Координатор], ПО ViPNet [Клиент], ПО ViPNet [Администратор].

Рисунок 3.3 — Схема защищённых локальных сетей, связанных через Internet с использованием технологии «Открытый Интернет»

ПО ViPNet [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими реальными адресами Интернет.

ViPNet [Координатор] Защищенной Сети выполняет следующие функции: является сервером IP-адресов, то есть является справочным бюро, которое сообщает объектам VPN о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;

— является сервером для рассылки обновлений (ПО, справочная и ключевая информация);

— является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;

— является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета;

— является шлюзом для защищенных соединений в удаленные сегменты защищенной сети.

ViPNet [Координатор] Открытого Интернета выполняет следующие функции:

­ позволяет организовать доступ к ресурсам Интернета от имени своего IP-адреса для привилегированных пользователей защищенной сети, за счет установленного на этом же компьютере ПО Proxy-сервера (например, WinGate, WinRoute и т. д.);

­ запрещает доступ к ресурсам Интернета для непривилегированных пользователей защищенной сети (кому администратором безопасности не были разрешены соединения с Интернет через ViPNet [Координатор] Открытого Интернета);

­ организует защищенный туннель между собой и привилегированным пользователем защищенной сети, на время его работы с ресурсами Интернета, без возможности доступа к этому туннелю со стороны других пользователей защищенной сети и всех остальных (незащищенных) компьютеров данной ЛВС;

­ является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета.

ПО ViPNet [Клиент] устанавливается на компьютеры всех мобильных пользователей и пользователей защищенной сети. Это П О выполняет такие же функции, как описано в комментариях к схеме 1 (раздел Ошибка! Источник ссылки не найден. ), а также:

­ Запрещает доступ к ресурсам в Интернете для непривилегированных пользователей защищенной сети.

­ Организует доступ к ресурсам открытого Интернета для привилегированных пользователей защищенной сети через защищенный туннель с ViPNet [Координатором] Открытого Интернета.

­ Запрещает взаимодействие со всеми другими пользователями защищенной сети (привилегированными и непривилегированными) и открытыми ресурсами ЛВС, если они есть, на время организации доступа к ресурсам Интернета через ViPNet [Координатор] Открытого Интернета.

­ При использовании дополнительного модуля ViPNet [Safe Disk] организуется автоматическое отключение секретных дисков при работе с ресурсами Открытого Интернета, исключая возможность удаленного несанкционированного доступа к конфиденциальной информации, хранимой на этих дисках.

Вывод

В данной главе мы сформировали структуру защищённой сети, разработали системы защиты удовлетворяющую нашим условиям, построения защищенной сети.

Нами были рассмотрены следующие технологии для построения защищенной сети: Технологии VipNet, Outpost Firewall Pro.

Из анализа данных технологий были выявлены достоинства, недостатки и возможности данных технологий. И с уверенностью мы можем сказать использование технологии VipNet, является самым оптимальным решением наших задач, при построение защищенной сети. Недостатком данной технологии является финансовая реализация. В отличие от VipNet Outpost Firewall Pro является более экономичным в реализации, но недостатком является отсутствие возможности защиты передачи данных при передаче в интернете.

Заключение

Современный Интернет требует принципиально нового подхода к безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты.

На основании представленных требований по защите сети в первой главе мы сформировали модель защищаемой сети, выявили значимые свойства данной системы, определили основные угрозы безопасности, от которых нам необходимо будет защищать нашу систему, а также требования, которым должна соответствовать защищённая нами система.

Для реализации защищенной сети мы использовали VipNet. И рассмотрели организации защиты сети с использование Outpost Firewall Pro.

По итогам анализа полученной системы можем сказать, что требования выполняются, и организована защита нескольких локальных сетей, связанных через Internet, что соответствует цели данной работы.

Список используемой литературы

1. ViPNet Администратор: Руководство администратора

2. ViPNet Координатор: Руководство администратора

3. www. infotecs. ru/

4. http: //ypn. ru

5. http: //secureblog. info

6. http: //www. netlock. ru

7. www. kaspersky. ru/

8. www. internet-technologies. ru/

9. www. xgu. ru/

ПоказатьСвернуть
Заполнить форму текущей работой