Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Концепція безпеки в локальній мережі а також технічні і організаційні аспекти рішення цієї проблеми

Скачати 338.79 Kb.

Концепція безпеки в локальній мережі а також технічні і організаційні аспекти рішення цієї проблеми




Скачати 338.79 Kb.
Сторінка1/2
Дата конвертації10.06.2017
Розмір338.79 Kb.
  1   2

http://antibotan.com/ - Всеукраїнський студентський архів

Анотація

В даній курсовій роботі розглянута концепція безпеки в локальній мережі а також технічні і організаційні аспекти рішення цієї проблеми.

Крім того проведений аналіз ризиків, пов'язаних з роботою локальних мережах.

Розглянуто роботу апаратної системи захисту локальних мереж SunScreen та пристрою забезпечення безпеки в локальній мережі SKIPBridge.



ЗМІСТ

Вступ…………………………………………………………………………...……….3

Системи Виявлення Несанкціонованих Підключень (СОНП)………………….6

Протокол управління криптоключами SKIP……………………………………11

Пристрій забезпечення безпеки локальної мережі SKIPBridge………………12

Пристрій SunScreen: апаратна система захисту локальних мереж…………13

Концепція рішення: політика безпеки……………………………………………14

Міжмережевий екран - інструмент реалізації політики безпеки………..…….15

Особливості і переваги пропонованого рішення………………………………..20

Технічні аспекти забезпечення безпеки…………………………………………..22

Апаратне забезпечення і компоновка системи безпеки…………………..…….22

Структура екрануючого сегменту…………………………………………...…….22

Конфігурація комп'ютера-шлюзу…………………………………………...…….23

Забезпечення безпеки видаленого доступу………………………………..……..23

Програмне забезпечення і конфігурація…………………………………………24

Програма Firewall-1………………………………………………………………..24

Засіб аутентифікації S/key……………………………………………………...…..25

Модуль управління термінальним сервером……………………………..……..26

Розробка і корекція правил політики безпеки…………………………………..26

Висновок………………………………………………………………………….…..29

Література………..…………………………………………………………………..30

Вступ

Багато великих і середніх компаній, що піклуються про свою інформаційну безпеку, напевно стикалися з проблемою виявлення несанкціонованих підключень до своєї локальної мережі.

Інформаці́йна безпе́ка - це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»).

Адже ні для кого не секрет, що 80% атак відбувається зсередини компанії і важливим завданням хакера є підключення свого комп'ютера або шпигунського пристрою до мережі компанії.

Підключення організації до глобальної мережі, такий як Internet, істотно збільшує ефективність роботи організації і відкриває для неї безліч нових можливостей. В той же час, організації необхідно поклопочеться про створення системи захисту інформаційних ресурсів, від тих, хто захоче їх використовувати, модифікувати або просто знищити.

Інформаці́йні ресу́рси (Information resources) - документи і масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних сховищах і т.і.). Розрізняють інформаційні ресурси державні та недержавні.

Не дивлячись на свою специфіку, система захисту організації при роботі в глобальних мережах повинна бути продовженням загального комплексу зусиль, направлених на забезпечення безпеки інформаційних ресурсів.

Згідно визначенню, приведеному в Керівному документі Гостехкоміссиі РФ "Захист від несанкціонованого доступу до інформації", під інформаційною безпекою розуміється "стан захищеності інформації, оброблюваної засобами обчислювальної техніки або автоматизованої системи від внутрішніх або зовнішніх погроз".

Глоба́льна мере́жа - англ. Wide Area Network,(WAN)- комп'ютерна мережа, що охоплює величезні території (тобто будь-яка мережа, чиї комунікації поєднують цілі мегаполіси, області або навіть держави і містять у собі десятки, сотні а то і мільйони комп'ютерів).

Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.

Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.

Електро́нна обчи́слювальна маши́на (ЕОМ) - загальна назва для обчислювальних машин, що є електронними (починаючи з перших лампових машин, включаючи напівпровідникові тощо) на відміну від електромеханічних (на електричних реле тощо) та механічних обчислювальних машин.

Захист інформації - це комплекс заходів, направлених на забезпечення інформаційної безпеки. На практиці під цим розуміється підтримка цілісності, доступності і, якщо необхідно, конфіденційності інформації і ресурсів, використовуваних для введення, зберігання, обробки і передачі даних.

Передача даних (обмін даними, цифрова передача, цифровий зв'язок) - фізичне перенесення даних цифрового (бітового) потоку у вигляді сигналів від точки до точки або від точки до множини точок засобами електрозв'язку каналом зв'язку; як правило, для подальшої обробки засобами обчислювальної техніки.

Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідне поєднання законодавчих, організаційних і программно- технічних заходів.

Даний документ описує пропоновані рішення, що забезпечують інформаційну безпеку при роботі в Internet або з іншими інформаційними ресурсами, які повністю або частково знаходяться поза організацією і не можуть їй повністю контролюватися.

Розглянемо найбільш поширені погрози, до яких схильні сучасні комп'ютерні системи. Знання можливих погроз, а також вразливих місць інформаційної системи, необхідне для того, щоб вибирати найбільш ефективні засоби забезпечення безпеки.

Найчастішими і найнебезпечнішими (з погляду розміру збитку) є ненавмисні помилки користувачів, операторів, системних адміністраторів і інших осіб, обслуговуючих інформаційні системи.

Інформацíйна систéма (англ. Information system) - сукупність організаційних і технічних засобів для збереження та обробки інформації з метою забезпечення інформаційних потреб користувачів.

Систе́мний адміністра́тор (від англ. system administrator, systems administrator) - працівник, посадові обов’язки якого передбачають забезпечення роботи комп’ютерної техніки, комп’ютерної мережі і програмного забезпечення в організації.

Іноді такі помилки приводять до прямого збитку (неправильно введені дані, помилка в програмі, що викликала зупинку або руйнування системи). Іноді вони створюють слабкі місця, якими можуть скористатися зловмисники (такі зазвичай помилки адміністрування).

Згідно даним Національного Інституту Стандартів і Технологій США (NIST), 65% випадків порушення безпеки ИС - наслідок ненавмисних помилок. Робота в глобальній інформаційній мережі робить цей чинник достатньо актуальним, причому джерелом збитку можуть бути як дії користувачів Вашої організації, так і користувачів глобальної мережі, що особливо небезпечно.

На другому місці по розмірах збитку розташовуються крадіжки і фальсифікації. У більшості розслідуваних випадків винуватцями виявлялися штатні співробітники організацій, відмінно знайомі з режимом роботи і захисними заходами. Наявність могутнього інформаційного каналу зв'язку з глобальними мережами може, за відсутності належного контролю за його роботою, додатково сприяти такій діяльності.

Скривджені співробітники, що навіть були, знайомі з порядками в організації і здатні шкодити вельми ефективно. Необхідно стежити за тим, щоб при звільненні співробітника його права доступу до інформаційних ресурсів анулювалися.

Право доступу (англ. access right) - дозвіл або заборона здійснення певного типу доступу до інформаційної системи.

Навмисні спроби діставання несанкціонованого доступу через зовнішні комунікації займають в даний час близько 10% всіх можливих порушень. Хоча ця величина здається не такою значною, досвід роботи в Internet, у тому числі і власний досвід компанії "JET Infosystems" показує, що майже кожен Internet- сервер по декілька разів на день піддається спробам проникнення. Крім того, необхідно мати на увазі динаміку розвитку рисок цього типу: за даними Групи вивчення комп'ютерних рисок (CERT), що проводила дослідження різних систем, контрольованих урядом США, якщо в 1990 році зареєстровано 130 вдалих спроб несанкціоновано доступу до комп'ютерних ресурсів через Internet, то за 1994 рік ця цифра склала 2300. Втрати американських компаній, пов'язані з порушеннями безпеки, склали більш US$5 млн.

При аналізі рисок необхідно взяти до уваги той факт, що комп'ютери в локальній мережі організації рідко бувають достатньо захищені, щоб протистояти атакам або хоч би реєструвати факти порушення інформаційної безпеки. Так, тести Агентства Захисту Інформаційних Систем (США) показали, що 88% комп'ютерів мають слабкі місця з погляду інформаційної безпеки, які можуть активно використовуватися для діставання несанкціонованого доступу. При цьому в середньому тільки кожен дванадцятий адміністратор виявляє, що вказаний інцидент відбувся в керованій ним системі.

Окремо слід розглянути випадок видаленого доступу до інформаційних структур організації через телефонні лінії, за допомогою популярних протоколів SLIP/PPP. Оскільки в цьому випадку ситуація близька до ситуації взаємодії користувачів локальної і глобальної мережі, рішення виникаючих проблем також може бути аналогічним рішенням для Internet.

Ми пропонуємо рішення, що мінімізують описані вище ризики, пов'язані з взаємодією ИС організації і зовнішніх інформаційних ресурсів. Ці рішення засновані на концепції міжмережевого екранування (Firewall).



Для ефективного вирішення несанкціонованого підключення до локальної мережі необхідно забезпечити роботу системи виявлення в режимі реального часу, причому інформація про неавторизоване з'єднання повинна містити не тільки мережеві параметри (MAC адреса, IP адреса, VLAN, IP адреса і номер порту комутатора), але і географічне розташування підключеного комп'ютера (будівля, поверх, номер кімнати, номер розетки).

Географі́чне поло́ження - геопросторове відношення певного об'єкта до зовнішнього середовища, елементи якого мають або можуть мати на нього істотний вплив.

Реальний час - режим роботи автоматизованої системи обробки інформації і керування, при якому враховуються обмеження на часові характеристики функціювання.

Нижче ми розглянемо технологію побудови Системи Виявлення Несанкціонованих Підключень (СОНП), що грунтується на аналізі SNMP повідомлень нотифікацій про зміну статусу порту, отримуваних від мережевих комутаторів, і визначення неавторизованих підключень на основі відсутності MAC адреси пристрою в базі даних авторизованих хостов мережі.



Системи Виявлення Несанкціонованих Підключень (СОНП)

Обробка SNMP повідомлень – ядро SNMP повідомлення, IP, що містить, адреса комутатора і номер порту, що знов включився, посилається мережевим комутатором на центральний сервер моніторингу при зміні статусу будь-якого порту з "Вимкнений" на "Включений". Відправку таких повідомлень підтримують навіть найпростіші моделі мережевих комутаторів, тому реалізувати інфраструктуру моніторингу всіх портів локальної мережі досить просто.


Як серверна частина, що забезпечує збір SNMP повідомлень, може виступати сервер мережевого моніторингу, що існує в компанії (HP OpenView, IBM Tivoli, Microsoft MOM, і т.п.).
Далі повідомлення поступає на обробку, де проводиться визначення (discovery) основних ідентифікаційних параметрів підключення.
Насамперед необхідно визначити всю можливу інформацію про нове з'єднання. Як показано на схемі, як джерела інформації про з'єднання можуть бути самі мережеві комутатори, база даних СКС компанії (про неї ми поговоримо окремо), а також база даних дозволених з'єднань, в якій зберігаються всі коли-небудь виявлені підключення.

Мере́жевий комута́тор (англ. network switch) або світч (від англ. switch - «перемикач») - пристрій, призначений для з'єднання декількох вузлів комп'ютерної мережі в межах одного сегмента.


Аналіз з'єднання дозволяє визначити важливу інформацію про мережеві властивості (MAC адреса, IP адреса, VLAN, номер порту мережевого комутатора, мережеве ім'я), і місцерозташування підключеного комп'ютера.
Після цього, за допомогою бази даних з'єднань, що зберігає інформацію про з'єднання і їх статус "Разрешено/Запрещено", проводиться перевірка з'єднання на легітимність. Якщо оброблюване з'єднання зареєстроване в базі, як дозволене, то на цьому його обробка завершується. Тобто система просто ігнорує подію події, розцінюючи його, як нормальну активність.
Якщо ж з'єднання пізнане як Заборонене або непізнане (нове) на консоль Адміністратора безпеки висилається Тривожне повідомлення, а в БД З'єднань заноситься інформація про факт нового або забороненого з'єднання.

Робоче місце Адміністратора Безпеки

Повідомлення Адміністратора Безпеки може бути реалізоване будь-яким з безлічі доступних способів. Наприклад, якщо в компанії реалізований диспетчерський центр на базі таких продуктів, як HP OpenView, IBM Tivoli або Microsoft MOM, то можна виводити повідомлення на консоль диспетчера. Іншими можливими варіантами є повідомлення по електронній пошті, SMS, спливаючі повідомлення на екран робочої станції Адміністратора безпеки.

Се́рвер (англ. server - «служка») - у комп'ютерній термінології термін може стосуватися окремого комп'ютера чи програми. Головною ознакою в обох випадках є здатність машини чи програми переважну кількість часу працювати автономно, без втручання людини, реагуючи на зовнішні події відповідно до встановленого програмного забезпечення.

Електронна пошта Електро́нна по́шта або е-пошта (англ. e-mail, або email, скорочення від electronic mail) - спосіб обміну цифровими повідомленнями між людьми використовуючи цифрові пристрої, такі як комп'ютери та мобільні телефони, що робить можливим пересилання даних будь-якого змісту (текстові документи, аудіо-, відеофайли, архіви, програми).


Після отримання повідомлення, Адміністратор Безпеки повинен мати можливість проглянути деталі з'єднання, щоб ухвалити рішення про його дозвіл або заборону. У цей момент Адміністратор Безпеки може або здійснити фізичну перевірку підключеного комп'ютера, маючи інформацію про розташування підключеного комп'ютера усередині будівлі, або, володіючи даними про мережеві параметри підключення, запитати службу IT про легітимність знаходження даного пристрою в корпоративній мережі.
При позитивному рішенні Адміністратор безпеки реєструє З'єднання, як дозволене. Інформація про це заноситься в БД З'єднань.
Якщо дане з'єднання розглядається, як небажане, робляться відповідні адміністративні заходи, а інформація про пристрій заноситься в БД з'єднань з позначкою "Заборонене". Будь-яке подальше підключення цього пристрою в мережу викличе тривожне повідомлення.

База даних СКС

База даних СКС - це, мабуть, один їх самих затребуваних компонентів Системи Виявлення Несанкціонованих Підключень. При її наявності Сервер Моніторингу на етапі аналізу SNMP повідомлення може по номеру порту мережевого комутатора з точністю до настінної розетки визначити вірогідне місцерозташування підключеного комп'ютера.
На жаль, не у всякій компанії ведеться строгий облік з'єднань СКС. В цьому випадку можна почати з реалізації БД СКС у вигляді простого файлу, IP, що містить, адреса комутатора і опис його місцерозташування і обслуговуваних ним приміщень. Таким чином, на першому етапі, вдасться локалізувати місцерозташування шуканого підключення.

Інші можливості

Проте, на цьому можливості СОНП не обмежуються. Використовуючи розглянутий вище алгоритм, як основу, нескладно використовувати Систему для виконання наступних функцій.
* Від моніторингу до проактивного управління:

про При виявленні забороненого підключення СОНП автоматично вимикає відповідний порт комутатора.

про При виявленні нового підключення СОНП автоматично поміщає відповідний порт комутатора в гостьовий VLAN.

* Інтеграція з іншими системами:

про Система заявок - ИТ реєструє заявку на новий комп'ютер. Після схвалення заявки службою інформаційній безпеці інформація про нове дозволене з'єднання автоматично заноситься в БД З'єднань.

про Система заявок - при виникненні тривожної події відповідний інцидент автоматично генерується в системі реєстрації заявок і прямує на виконання службі інформаційній безпеці.

про БД СКС, поэтажные плани - виведення інформації про місцерозташування несанкціонованого підключення на поэтажном плані.

об Бази даних обліку комп'ютерного устаткування і СКС - при реєстрації нового дозволеного з'єднання інформація про підключений комп'ютер автоматично заноситься в БД обліку комп'ютерного устаткування і БД СКС.

* Ведення журналів історії з'єднань:

об Ведення історії фізичного переміщення пристроїв в мережі.

об Ведення журналу включень і виключень пристроїв в мережі.
Звичайно, при проектуванні і реалізації подібної системи необхідно відштовхуватися в першу чергу від запитів клієнта - служби Інформаційній Безпеці компанії. Якщо якісь з описаних вище функцій вже реалізовані за допомогою інших інформаційних систем, то залишається тільки з розумом скористатися вже наявними напрацюваннями. Якщо ж в компанії не упроваджені супутні системи (обліку інцидентів, диспетчерського центру, управління СКС), то почати можна з реалізації основної функції - виявлення несанкціонованих підключень до локальної мережі компанії.

Відповідаючи на питання скептиків

Чому SNMP?

Останнім часом всього більшого поширення набуває протокол 802.1x, що забезпечує авторизацію будь-якого комп'ютера, що підключається до мережі. Чому не використовувати 802.1х замість SNMP. На жаль, ця технологія володіє поряд серйозних недоліків.


По-перше, використовуючи 802.1х практично неможливо забезпечити повне покриття всієї локальної мережі підприємства. Всі пристрої в мережі (включаючи активні мережеві пристрої) повинні підтримувати цей протокол.

Мереже́ве обла́днання - пристрої, необхідні для роботи комп'ютерної мережі, наприклад: маршрутизатор, комутатор, концентратор, патч-панель та ін. Зазвичай розрізняють активне та пасивне мережеве обладнання.

На сьогоднішній день абсолютна більшість принтерів, сканерів, а також нестандартних мережевих пристроїв (системи відео-спостереження і т.п.) не підтримують 802.1х. Для підключення їх до мережі доводиться або організовувати виділені мережі (що не завжди зручно, наприклад, для принтерів), або відключати авторизацію 802.1х на портах активного мережевого устаткування, до яких підключені ці пристрої. Таким чином, зловмисникові досить знайти мережевий принтер або інший пристрій, який не підтримує авторизацію 802.1х і підключити туди свій комп'ютер, - оскільки авторизація на цьому мережевому порту не включена, то визначити або заборонити це підключення не вдається.
Крім того, протокол 802.1х не володіє власними засобами моніторингу, тобто служба інформаційній безпеці не може отримати сигналу про те, що в якому-небудь місці мережі відбулася спроба неавторизованого підключення.
І нарешті, протокол 802.1х вимагає для своєї реалізації побудови інфраструктури PKI в масштабах всієї локальної мережі, що само по собі є достатньо трудомістким завданням.

Як можна покладатися на MAC-адреси?

Дехто припускає, що ідентифікація з'єднання на основі MAC-адреси не може вважатися достовірною. В цілому, це твердження можна вважати вірним, оскільки сучасні програмні засоби, доступні будь-якому хакерові, що починає, дозволяють з легкістю змінювати MAC-адресу комп'ютера.

Програмне забезпечення Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.

Проте, існує декілька доводів на користь вибраного методу.
Оскільки система знає всі дозволені MAC-адреси і зберігає їх прив'язку до портів мережевого устаткування, то для того, щоб її "обдурити" доведеться попітніти - знайти комп'ютер вже підключений в мережу, "вкрасти" його MAC-адресу (при цьому, легальний комп'ютер необхідно відключити) і підключитися в той же порт мережевого комутатора. По-справжньому захищену мережу можна створити тільки з використанням різних засобів захисту на всіх рівнях. Описана в справжній статті СОНП може виступати, як система раннього сповіщення про можливе несанкціоноване проникнення в мережу. Можна навіть порівняти її з інтелектуальною системою відеоспостереження, що постійно записує зображення з камер, але що включає сигнал сповіщення тільки у разі виникнення підозрілого руху.

Проблема інформаційної безпеки Internet (або корпоративною TCP/IP-сети) обговорюється в літературі давно.

Internet з гнітючою періодичністю приголомшують скандали, суть яких можна виразити простим словосполученням: розкрадання (або псування) інформації. Ця ситуація не влаштовує багато користувачів, в першу чергу тих, хто тяжіє до комерційного використання практично необмежених ресурсів Internet.

Але Internet не був би Internet'ом, якби в його надрах не народилося рішення, що відповідає проблемам, що виставляються життям. Причому, технічна ідея запропонованого рішення володіє спільністю, що дозволяє говорити про те, що Internet після її впровадження по ступеню безпеки перевершить навіть спеціалізовані закриті корпоративні мережі.

Корпоративна мережа - це мережа, головним призначенням якої є підтримка роботи конкретного підприємства, що володіє даною мережею. Користувачами корпоративної мережі є тільки співробітники даного підприємства.

В значній мірі інформаційна безпека Internet визначається особливостями базових комунікаційної і операційної платформ - TCP/IP і UNIX. TCP/IP володіє високою сумісністю як з різними по фізичній природі і швидкісним характеристикам каналами, так і з широким довкола апаратних платформ; крім того, цей протокол в рівній мірі ефективно працює як в локальних мережах, так і в регіональних і глобальних мережах; сукупність цих характеристик робить протокол TCP/IP унікальним засобом для інтеграції великих розподілених гетерогенних інформаційних систем.

І ось тепер ми можемо говорити і про адекватне мережеве рішення для забезпечення інформаційного безпеці для протоколу TCP/IP. Це рішення володіє фундаментальною універсальністю і спільністю, воно дозволяє з регульованим ступенем надійності захищати трафік всіх без виключення користувачів і прикладних систем при повній прозорості (невидимості для додатків) засобів захисту.

Що є цими засобами захисту?

Протокол, керівник шифруванням трафіку SKIP (Simple Key management for Internet Protocol) і створений на його основі ряд продуктів захисту інформації, що масштабується (ряд програмних реалізацій протоколу SKIP для базових апаратний-програмних платформ, пристрій колективного захисту локальної мережі SKIPBridge, пристрій сегментації мереж і забезпечення регульованої політики безпеки SunScreen).

IP-протокол (від англ. Internet Protocol; тж «інтернет протокол», «міжмережевий протокол») - протокол мережевого рівня для передавання датаграм між мережами.

Захист інформації Зáхист інформáції (англ. Data protection) - сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.

  1   2


Скачати 338.79 Kb.

  • ЗМІСТ Вступ…………………………………………………………………………...……….3 Системи Виявлення Несанкціонованих Підключень (СОНП)………………….6
  • Протокол управління криптоключами SKIP……………………………………11 Пристрій забезпечення безпеки локальної мережі SKIPBridge………………12
  • Міжмережевий екран - інструмент реалізації політики безпеки………..…….15 Особливості і переваги пропонованого рішення………………………………..20
  • Структура екрануючого сегменту…………………………………………...…….22 Конфігурація компютера-шлюзу…………………………………………...…….23
  • Програма Firewall-1………………………………………………………………..24 Засіб аутентифікації S/key……………………………………………………...…..25
  • Висновок………………………………………………………………………….…..29 Література………..…………………………………………………………………..30 Вступ
  • Для ефективного вирішення несанкціонованого підключення до локальної мережі необхідно забезпечити роботу системи виявлення в режимі реального часу
  • Системи Виявлення Несанкціонованих Підключень (СОНП)
  • Internet Protocol