Отчет по производственной практике на тему: безопасность корпоративных сетей
Автор: drug | Категория: Технические науки / Автоматизация | Просмотров: | Комментирии: 0 | 10-01-2013 10:37
Министерство образования и науки Российской Федерации
Уфимский Государственный Авиационный Технический Университет









Кафедра: Вычислительной техники и защиты информации




Отчет по производственной практике

на тему: безопасность корпоративных сетей






Уфа - 2012

Содержание
Введение……………………………………………………………………….. 3
1. Сведения о структуре корпоративной сети………………………………. 4
2. Практическая часть………………………………………………………….. 7
3. ДМЗ-зона и межсетевые экраны в реализации собственной архи-тектуры 21
Заключение……………………………………………………………………. 24
Список используемых источников……………………………………………. 25
Приложение А…………………………………………………………………. 26
Приложение В………………………………………………………………… 27



























Введение


В период с 28 мая по 7 июля 2012 года я проходил практику в ОАО «УМПО». За мной практически сразу была закреплена тема защиты корпоративных сетей. После ознакомления с международными и российскими стандартами безопасности, я приступил к изучению корпоративных сетей и получил достаточные знания для самостоятельного моделирования сети с использованием сетевых средств защиты.
Построение современных систем обеспечения безопасности информаци-онных ресурсов корпоративных сетей основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности. В тоже время комплексный подход, используемый в современных концепциях информационной безопасности, основывается на практическом опыте компаний, спе-циализирующихся на предоставлении услуг по защите информации.
Для достижения наибольшей эффективности средства защиты должны адекватно защищать информацию, в соответствии с ее ценностью в корпора-ции. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации телекоммуникационных сетей и информационных технологий.















1 Сведения о структуре корпоративной сети


На рисунке 1 проиллюстрирован общий случай, отличающийся тем, что структуры основного и удаленного фрагментов совпадают (по функциям они различны - в основном фрагменте реализуется централизованное управление сетью связи). Как правило, данные фрагменты имеют различную сложность. При этом следует отметить, что упрощение структуры сети состоит в части уменьшения сложности удаленных фрагментов, с переносом соответствующих функций на элементы основного фрагмента, (соответственно с его усложнением), что, прежде всего, имеет место для следующих элементов:
• информационные серверы (с точки зрения обеспечения безопасности сети имеет смысл сконцентрировать все информационные серверы, обеспечивая для них необходимую защиту организационными и техническими мероприятиями);
• администрирование всеми функциональными подсистемами для корпоративных сетей, использующих ограниченное число дополнительных средств реализации функциональных подсистем (например, маршрутизаторов) может быть сконцентрировано в основном фрагменте;
• подключение к общедоступным сервисам (сеть Интернет) осуществля-ется с выделенных рабочих мест основного фрагмента (здесь используются соответствующие средства защиты, подключения к глобальным сетям в общем случае отличные от остальных).

Рисунок 1 – Обобщенная структура корпоративной сети
С учетом сказанного, из рисунка 1 имеем упрощенную структуру корпоративной сети, структура которой приведена на рисунке 2.

Рисунок 2 – Система управления корпоративной сетью

Замечание

Именно структура корпоративной сети, приведенная на рисунке 2, может быть рекомендована как типовая для большинства мелких и средних корпораций (структура сети, приведенная на рисунке 1 предполагает реализацию сети для очень разветвленной инфраструктуры корпорации).











2 Практическая часть


В ходе изучения корпоративных сетей, была использована архитектура SAFE компании CISCO, которая рассматривает вопросы безопасности корпоративных сетей. Главная цель архитектуры Cisco для безопасности корпоративных сетей (SAFE) состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания защищенных сетей. SAFE призвана помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. SAFE исходит из принципа глубоко эшелонированной обороны сетей от внешних атак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается на продуктах компании Cisco и ее партнеров. Вначале мы рассмотрим саму архитектуру SAFE. Затем следует подробное описание модулей, из которых состоит реальная сеть, как крупного предприятия, так и малых сетей, в том числе сетей филиалов предприятий, средних сетей и сетей удаленных и мобильных пользователей. Дизайны малых и средних сетей применяются в двух возможных вариантах. Во-первых, это может быть дизайн основной сети предприятия, которая имеет соединения с другими офисами подобных предприятий. Например, крупное юридическое агентство может построить главную сеть на основе дизайна среднего предприятия, а сети филиалов — на основе малого. Во-вторых, дизайн может быть разработан как сеть филиала, т. е. как часть сети крупного предприятия. В этом случае примером может служить крупная автомобильная компания, где дизайн крупной сети используется в штаб-квартирах, а для прочих подразделений — от филиалов до удаленных работников — применяются дизайны средних и малых предприятий.
SAFE с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:
• безопасность и борьба с атаками на основе политики;
• внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);
• безопасное управление и отчетность;
• аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;
• обнаружение атак на критически важные ресурсы и подсети;
• поддержка новых сетевых приложений.
Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети — и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система обеспечения сетевой безопасности.
Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде. Тем не менее, на всем протяжении этого документа мы рассматриваем возможности ограничения сложности дизайна.

Принцип модульности

Хотя по мере роста требований большинство сетей развивается, архи-тектура SAFE использует открытый модульный подход. Такой подход имеет два основных преимущества: во-первых, он описывает дизайн с точки зрения защиты взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщику оценивать защищенность каждого модуля по отдельности, а не только всей системы в целом. Защищенный дизайн каждого модуля можно описать и реализовать по отдельности, а оценить в рамках всей системы.

Хотя многие сети нельзя четко разгра ничить на отдельные модули, такой подход дает ориентиры при внедрении в сети функций защиты. Сетевым инженерам не предлагается строить свои сети в строгом соответствии с SAFE, но рекомендуется комбинировать описанные здесь модули и использовать их в имеющихся сетях. На рисунке 3 показан первый уровень модульности SAFE. Каждый блок представляет определенную функциональную

Рисунок 3 – Первый уровень модульности
зону. Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общую схему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности.
Второй уровень модульности, показанный на рисунке 4, демонстрирует модули в каждой функциональной области. Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного модуля на схеме не обязательно соответствует его масштабу в реальной сети. Так, например, «модуль здания», представляющий устройства конечных пользователей, может включать в себя до 80% всех сетевых устройств. Дизайн безопасности каждого модуля описывается отдельно, но проверяется в комплексе, т. е. в составе всей корпоративной системы.

Рисунок 4 – Блок схема корпоративной системы SAFE

Хотя большинство существующих корпоративных сетей нелегко разделить на отдельные модули, этот
подход позволяет реализовать разные функции безопасности по всей сети. Авторы не думают, что сете-
вые инженеры будут проектировать сети, идентичные схеме SAFE. Скорее всего они будут пользоваться
сочетанием описанных модулей, интегрированных в существующую сеть.

Цель – маршрутизаторы

Маршрутизаторы контролируют доступ из любой сети к любой сети. Они рекламируют сети и определяют тех, кто может получать к ним доступ. Поэтому потенциально маршрутизатор — это «лучший друг хакера». Безопасность маршрутизаторов является критически важным элементом любой системы сетевой
безопасности. Основной функцией маршрутизаторов является предоставление доступа, и поэтому маршрутизаторы нужно обязательно защищать, чтобы исключить возможность прямого взлома. Вы можете обратиться и к другим документам, где описана защита маршрутизаторов. Эти документы более детально рассматривают следующие вопросы:
• блокировка доступа к маршрутизатору из сетей связи общего доступа;
• блокировка доступа к маршрутизатору через протокол SNMP;
• управление доступом к маршрутизатору через TACACS+;
• отключение ненужных услуг;
• вход в систему на определенных уровнях;
• аутентификация обновлений маршрутов.



Цель – коммутаторы

Коммутаторы (обычные и многоуровневые), как и маршрутизаторы, имеют свои требования к безопасности. Однако данные об угрозах для безопасности коммутаторов и о смягчении этих угроз распространены гораздо меньше, чем аналогичные данные для маршрутизаторов. Большинство соображений, приведенных в предыдущем разделе для маршрутизаторов, годятся и для коммутаторов. Кроме того, в случае с коммутаторами вы должны предпринимать следующие меры предосторожности:
• Если порт не должен подключаться к транку, то параметры транковых соединений на нем должны не устанавливаться в положение «auto», а отключаться (off). В результате хост не сможет стать транковым портом и получать трафик, который обычно поступает на такой порт.
• Убедитесь в том, что транковые порты используют уникальный номер VLAN (виртуальной локальной сети), который не используется ни в каком другом месте этого коммутатора. В результате пакеты, имеющие метку с тем же номером, будут передаваться в другую сеть VLAN только через устройство
• Объедините все неиспользуемые порты коммутатора в сеть VLAN, которая не имеет выхода на Уровень 3. Будет еще лучше, если вы вообще отключите все порты, которые реально не используются. В результате хакеры не смогут подключаться к таким портам и через них получать доступ к другим сетевым ресурсам.
• Старайтесь не использовать технологию VLAN в качестве единствен-ного способа защиты доступа между двумя подсетями. Постоянно присутст-вующая вероятность ошибок, а также тот факт, что сети VLAN и протоколы маркирования VLAN разрабатывались без учета требований безопасности, — все это не позволяет рекомендовать применение этих технологий в чувствительной среде. Если вы все-таки используете сети VLAN в защищенной среде, обратите особое внимание на конфигурации и рекомендации, перечисленные выше.
В существующей сети VLAN дополнительную защиту для некоторых сетевых приложений могут дать виртуальные частные локальные сети (private VLAN). Основной принцип их работы состоит в том, что они ограничивают число портов, которым разрешается связываться с другими портами в пределах одной и той же сети VLAN. Порты, которые относятся к определенному сообществу, могут сообщаться только с другими портами того же сообщества и портами общего доступа (promiscuous ports). Порты общего доступа могут связываться с любым портом. Это позволяет миними-зировать ущерб от хакерского проникновения на один из хостов. Рассмотрим в качестве примера стандартный сетевой сегмент, состоящий из web-сервера, сервера FTP и сервера доменных имен (DNS). Если хакер проник на сервер DNS, для работы с двумя другими серверами ему уже не нужно преодолевать межсетевой экран. Но если у вас имеются виртуальные локальные частные сети, то в случае проникновения хакера на одну из систем она не сможет связываться с другими системами. Единственными целями для хакера остаются хосты, находящиеся по другую сторону межсетевого экрана.

Цель – хосты

Хост является наиболее вероятной целью хакерской атаки. Кроме того, хост создает самые сложные проблемы для обеспечения безопасности. Существует множество аппаратных платформ, операционных систем и приложений — и все это периодически обновляется, модернизируется и корректируется, причем в разные сроки. Поскольку хосты предоставляют другим хостам услуги по требованию, их очень хорошо видно в сети. К примеру, многие посещали сайт Белого Дома http://www.whitehouse.gov (это хост), но вряд ли кто-нибудь пытался получить доступ к адресу s2-0.whitehouse.net (это маршрутизатор). Поскольку хосты так хорошо видны, именно через них чаще всего совершаются попытки несанкционированного доступа в сеть.
По этим причинам хосты чаще других устройств становятся жертвами удачных атак. Зачастую web-сервер в сети Интернет работает на аппаратной платформе одного производителя с сетевым адаптером другого производителя, с операционной системой третьего поставщика и серверным программным обеспечением, которое либо является открытым, либо поставлено четвертой компанией. Кроме того, на этом web-сервере могут работать приложения, свободно распространяемые через Интернет. И, наконец, этот сервер может связываться с сервером базы данных, где все «разнообразие» повторяется еще раз. Мы не хотим сказать, что угроза безопасности происходит из-за разнородности источников сетевых устройств. Цель у нас другая: показать, что по мере увеличения сложности системы повышается вероятность сбоев
и отказов. Для защиты хоста необходимо внимательно следить за всеми компонентами системы. Все они должны
быть самыми свежими, со всеми «заплатками» и коррекционными модулями. В частности, следите за тем, как эти модули влияют на функционирование других системных компонентов. Прежде чем установить модуль или новую версию в производственную среду, тщательно протестируйте их в испытательной среде. Если этого не сделать, новый модуль может привести к отказу в обслуживании (denial of service— DoS).

Цель – хосты

Самая ужасная атака— та, которую вы не можете остановить. При тщательной подготовке и исполнении именно такой является атака типа «распределенный отказ в обслуживании» (distributed denial of service—DDoS). Как показано в Приложении В «Основы сетевой безопасности», эта атака заставляет десятки или даже сотни машин одновременно отправлять ненужные данные на определенный IP-адрес. Цель атаки состоит в том, чтобы не просто «повесить» отдельный хост, а прекратить функциони-рование целой сети.
Представьте себе организацию с каналом доступа DS3 (45 Мбит/с), которая предоставляет услуги электронной коммерции пользователям своего web-сайта. Этот сайт хорошо защищен от самых разных атак.
Он имеет систему обнаружения атак, межсетевые экраны, систему авторизации доступа и средства активного мониторинга. К сожалению, все эти средства не могут защитить от хорошо подготовленной атаки типа DDoS.
Представьте себе сто устройств, находящихся в разных уголках мира. Каждое из них имеет канал доступа DS1 (1,5 Мбит/с). Если этим системам в удаленном режиме дать соответствующую команду, они легко и просто заполнят канал DS3 ненужной информацией. Даже если каждый хост может сгенерировать трафик объемом 1 Мбит/с (а лабораторные испытания показали, что при наличии специального средства DDoS обычная рабочая станция Unix может легко сгенерировать и 50 Мбит/с), это более чем в два раза перекроет полосу пропускания атакуемого сайта. В результате сайт не сможет реагировать на реальные запросы и с точки зрения пользователей будет неработоспособным. Разумеется, местный межсетевой экран отфильтрует ложные данные, но будет поздно. Ущерб уже будет нанесен. Трафик пройдет по каналу связи с территориальной сетью и заполнит весь канал до предела. Компания может надеяться на отражение таких атак только с помощью Интернет-провайдера. Провайдер может определить максимально допустимые границы для трафика, передаваемого на корпоративный сайт. При достижении пороговой величины нежелательный трафик будет отбраковываться. Главное здесь — правильно пометить трафик как нежелательный.
Обычно атаки типа DDoS проводятся в форме переполнения ICMP, переполнения TCP SYN или переполнения UDP. В среде электронной коммерции этот тип трафика очень легко категоризировать. Только в случае ограничения атаки TCP SYN на порту 80 (http) администратор рискует блокировать санкционированных пользователей. И даже в этом случае лучше временно блокировать несколько пользователей и сохранить маршрутизацию и каналы управления, чем «повесить» маршрутизатор и потерять все соединения.
Более изощренные хакеры используют атаки через порт 80 с установленным битом АСК таким образом, что трафик выглядит как обычный результат web-транзакций. Администратор вряд ли сможет правильно распознать такую атаку, поскольку используемый ею трафик ТСР носит точно такой же характер, что
и обычный трафик, который необходимо пропускать в сеть.
Одним из способов ограничения опасности таких атак является четкое следование рекомендациям RFC 1918 и RFC 2827. RFC 1918 определяет сети, зарезервированные для частного пользования, которые никогда не должны связываться с общедоступной сетью Интернет. Фильтрация RFC 2827 описана в разделе «IP-спуфинг» Приложения В «Основы сетевой безопасности». Вы можете использовать RFC 1918 и RFC 2827 для фильтрации входящего трафика на маршрутизаторе, подключенном к Интернет, чтобы предотвратить проникновение несанкционированного трафика в корпоративную сеть. При использовании у Интернет-провайдера такая фильтрация не позволяет передавать по каналам WAN пакеты DDoS, использующие эти адреса в качестве источников, что в принципе должно защитить полосу пропускания в случае атаки. Если бы все Интернет-провайдеры мира следовали рекомендациям RFC 2827, угроза спуфинга исходных адресов потеряла бы свою остроту. Хотя подобная стратегия не дает стопроцентной защиты от атак типа DDoS, она не позволяет хакерам маскировать источник атаки, что значительно облегчает поиск атакующей сети.



Цель – приложения

Исходные коды приложений, как правило, пишутся людьми и поэтому неизбежно содержат ошибки.
Ошибки могут быть мелкими (например ошибки, возникающие при распечатке документов) или весьма неприятными (к примеру, в результате ошибки номер вашей кредитной карты, хранящийся в базе данных, может стать доступным по протоколу FTP для анонимного пользователя). На обнаружение ошибок второго типа, а также других слабостей более общего характера и нацелены системы обнаружения вторжений (intrusion detection system — IDS), которые действуют как системы предупреждения. Когда IDS обнаруживает что-то похожее на атаку, она может предпринять самостоя-тельные действия или уведомить систему управления, чтобы соответствующие действия мог предпринять сетевой администратор. Некоторые системы такого типа снабжаются более или менее эффективными средствами реагирования и отражения атак. Системы обнаружения атак, работающие на хостах (host-based IDS — HIDS), могут перехватывать вы-зовы операционных систем и приложений на отдельном хосте. Кроме того, они могут впоследствии проводить анализ локальных лог-файлов. Перехват позволяет лучше предотвращать атаки, а анализ представляет собой пассивное средство реагирования. Специфика хост-систем (HIDS) делает их более эффективными для предотвращения атак некоторых типов по сравнению с сетевыми системами NIDS (network IDS), которые обычно выдают сигнал тревоги только после обнаружения атаки. Однако та же специфика не дает хост-системам общесетевой перспективы, которой в полной мере обладают системы NIDS. Поэтому Cisco рекомендует сочетать системы обоих типов и размещать HIDS на критически важных хостах, а NIDS — для наблюдения за всей сетью. В результате такого сочетания воз-никает полномасштабная система обнаружения атак.
После установки системы необходимо настроить ее, чтобы повысить эффективность и сократить число ложных срабатываний. Под ложным срабатыванием понимается сигнал тревоги, вызванный не атакой, а обычным трафиком или обычной деятельностью. Отрицательным срабатыванием называется случай, когда система не обнаруживает настоящей атаки. После настройки системы IDS вы можете точно сконфигурировать ее для конкретных действий по ликвидации угроз. Как уже отмечалось, нужно нацеливать HIDS на ликвидацию наиболее опасных угроз на уровне хоста, потому что именно здесь HIDS может работать с наибольшей эффективно-стью.
Определяя роль системы NIDS, вы можете выбрать один из двух основных вариантов.
Первый вариант (и потенциально — в случае неправильного внедрения — наиболее опасный) — это «отрубание» трафика с помощью фильтров управления доступом, установленных на маршрутизаторах. Если система NIDS обнаруживает атаку, источником которой является какой-либо хост, она блокирует этот хост, не давая ему возможности на определенное время связываться с данной сетью. На первый взгляд этот способ кажется очень удобным и хорошо помогает администратору безопасности, однако в действительности прибегать к нему следует с большой осторожностью, а, возможно, и не прибегать вовсе.
Первая проблема состоит в том, что хакер может пользоваться чужими адресами. Если система NIDS решает, что атака идет с определенного устройства, и «отрубает» это устройство, оно теряет права доступа к вашей сети. Однако, если хакер пользуется чужим адресом, NIDS блокирует адрес, хозяин которого ни
когда не планировал никаких атак. Если для атаки хакер использовал IP-адрес мощного прокси-сервера HTTP, вы блокируете множество ни в чем не повинных пользователей. В руках творчески настроенного хакера этот механизм сам по себе может стать удобным инструментом для атаки типа DoS.
Для смягчения описанного выше риска метод «отрубания» нужно использовать только для трафика ТСР, но там, где спуфинг адресов осуществить гораздо труднее, чем в области UDP. Пользуйтесь этим методом только в случае реальной угрозы и при минимальной вероятности ложного срабатывания. Однако в пределах одной сети существует гораздо больше вариантов. Эффективное внедрение фильтрации RFC 2827 может значительно ограничить объем трафика, поступающего с чужих адресов. Кроме того, поскольку заказчики обычно не включаются в состав внутренней сети, вы можете предпринять более жесткие меры против атак, исходящих из внутрикорпоративных источников. Еще одна причина для более жестких внутренних мер состоит в том, что внутренние сети, как правило, не имеют таких мощных средств фильтрации с учетом состояния соединений (stateful filtering), которые обычно используются на границе сети. Поэтому во внутренней сети вам следует более серьезно полагаться на систему IDS, чем во внешней среде.
Вторым вариантом для NIDS является сокращение угроз за счет ис-пользования сброса TCP (TCP reset). Как видно из названия этого метода, он используется только для трафика ТСР. Прекращение атаки производится от-правлением сообщений «TCP reset» на атакующий и атакуемый хост. Поскольку трафик ТСР хуже поддается спуфингу, этот метод является более предпочтительным, чем метод грубого «отрубания» адресов.
Этот метод чувствителен к производительности. Система NIDS отсле-живает передаваемые пакеты. Если скорость передачи пакетов превосходит возможности NIDS, снижения производительности в сети не происходит, так как NIDS не находится на пути потоков данных. Однако при этом теряется эффективность самой системы NIDS, которая начинает терять пакеты, срабатывать в спокойной обстановке и не замечать настоящих атак. Поэтому, чтобы в полной мере воспользоваться всеми преимуществами NIDS, не превышайте возможностей этой системы. С точки зрения маршрутизации, IDS, как и многие системы, способные учитывать состояние, некорректно функционирует в асимметрично маршрутизируемой среде. Если группа маршрутизаторов и коммутаторов передает пакеты по одному маршруту, а принимает по другому, система IDS будет видеть только половину трафика, что вызовет ложные срабатывания и нулевую реакцию на реальные атаки.

Корпоративный модуль крупного предприятия

Корпорация состоит из двух функциональных областей: кампуса и периферии. Эти области, в свою очередь, делятся на модули, которые определяют детали функционирования каждой из областей. Модули подробно описываются в разделах «Корпоративный кампус» и «Корпоративная периферия». После этого в разделе «Корпоративные опции» описываются различные варианты дизайна.
Говоря об угрозах, следует отметить, что корпоративная сеть, как и большинство других сетей, подключена к Интернет. Внутренние пользователи должны получать выход в Интернет, а внешние пользователи должны получать доступ к внутрикорпоративной сети. Это создает ряд угроз общего характера, которые могут дать хакеру щелочку, через которую он может проникнуть к важным сетевым ресурсам.
Первая угроза — это угроза со стороны внутренних пользователей. Статистика приводит разные цифры,
но все исследователи сходятся в том, что большинство атак начинается изнутри корпоративной сети. Потенциальными источниками таких атак являются обиженные сотрудники, промышленные шпионы, посетители и беспечные пользователи, допускающие ошибки. Разрабатывая систему безопасности, необходимо уделять особое внимание внутренним угрозам.
Второй является угроза подключенным к Интернет хостам общего доступа. Эти системы являются потенциальными объектами атак на уровне приложений и атак типа DoS.
И наконец, еще одна угроза связана с тем, что хакер может попытаться определить ваши телефонные номера, которые используются для передачи данных, с помощью аппаратного и/или программного устройства под названием «war-dialer». Это устройство набирает множество телефонных номеров и определяет тип системы, находящейся на другом конце провода. Наиболее уязвимыми для них являются слабо защищенные персональные системы с программными средствами удаленного доступа, установленными пользователем. Такие системы расположены внутри зоны, защищенной межсетевым экраном, и поэтому хакер пытается получить доступ к ним через хост, поскольку это позволяет обезличить пользователя.

Рисунок 5 – Пробная схема корпоративного кампуса

Модуль управления на рисунке 5 и 6 поддерживает управление конфигурацией практически всех сетевых устройств с помощью двух базовых технологий: маршрутизаторов Cisco IOS, действующих в качестве терминальных серверов, и сетевого сегмента, специально выделенного для управления. Маршрутизаторы выполняют функцию reverse-telnet для доступа к консольным портам на устройствах Cisco по всей корпорации. Более широкие функции управления (изменения ПО, обновления содержания, обобщение лог-данных и сигналов тревоги, управление SNMP) поддерживаются с помощью выделенного сегмента сетевого управления. Все остающиеся неуправляемые устройства и хосты (а их остается крайне мало) управляются через туннели IPSec, которые идут от маршрутизатора управления.
SSH - (англ. Secure SHell — «безопасная оболочка») - сетевой протокол при-кладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений/
syslog — стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в компьютерных сетях, работающих по протоколу IP.
Intrusion Detection System (IDS) - Система обнаружения вторжений
AAA (от англ. Authentication, Authorization, Accounting) — используется для описания процесса предоставления доступа и контроля за ним.
Cisco IOS (от англ. Internetwork Operating System — Межсетевая Операционная Система) — программное обеспечение, используемое в маршрутизаторах Cisco, и некоторых сетевых коммутаторах. Cisco IOS — многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных.
IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.


Рисунок 6 – Модуль управления_функции предотвращения атак

Корпоративный модуль Интернет

Корпоративный модуль Интернет на рисунке 7 и 8 предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Трафик с этого модуля передается в виртуальные частные сети (VPN) и на модуль удаленного доступа, где происходит терминирование VPN. Этот модуль не предназначен для поддержки приложений электронной коммерции. Более подробная информация об электронной коммерции содержится в разделе «Модуль электронной коммерции».
Основные устройства:
• Сервер SMTP — служит мостом между Интернет и серверами Интер-нет-почты • проверяет содержание.
• Сервер DNS — служит внешним сервером DNS для предприятия, передает в Интернет запросы внутренних пользователей.
• Сервер FTP/HTTP — предоставляет открытую информацию об организации.
• Межсетевой экран — защищает ресурсы на уровне сети и производит фильтрацию трафика.
• Устройство NIDS — поддерживает мониторинг ключевых сетевых сегментов модуля на Уровнях 4–7.
• Сервер фильтрации URL — отфильтровывает несанкционированные запросы URL, исходящие от предприятия.
Предотвращаемые угрозы
• Несанкционированный доступ — угроза ликвидируется с помощью фильтрации на уровне провайдера (ISP), периферийного маршрутизатора и корпоративного межсетевого экрана.
• Атаки на уровне приложений — ликвидируются с помощью IDS на уровне хоста и сети.
• Вирусы и «троянские кони» — ликвидируются с помощью фильтрации содержания электронной почты и системы HIDS.
• Атаки на пароли — ограничение возможностей смены паролей, кон-тролируемых средствами операционной системы и IDS.
• Отказ в обслуживании (DoS) — борьба с этой угрозой проводится с помощью CAR на периферии ISP
и с помощью контроля установлений сессий TCP на межсетевом экране.
• IP-спуфинг — фильтрация RFC 2827 и 1918 на периферии ISP и корпоративном периферийном маршрутизаторе.
• Сниффинг пакетов — коммутируемая инфраструктура и система HIDS снижают эффективность
сниффинга.
• Сетевая разведка — IDS обнаруживает попытки ведения разведки, а фильтрация на уровне протоколов снижает ее эффективность.
• Злоупотребление доверием — эта угроза снижается с помощью строгой модели доверия и за счет использования частных сетей VLAN.
• Переадресация портов — эта угроза снижается с помощью строгой фильтрации и системы HIDS.
HIDS - англ. Host-based intrusion detection system - Хостовая система обнаружения вторжений - это система обнаружения вторжений, которая ведет наблюдение и анализ событий, происходящих внутри системы.

Уровни модели OSI
1.1 Прикладной уровень
1.2 Представительский уровень
1.3 Сеансовый уровень
1.4 Транспортный уровень
1.5 Сетевой уровень
1.6 Канальный уровень
1.7 Физический уровень
ISP — поставщик интернет-услуги - Интернет-прова́йдер

Рисунок 7 – Корпоративный модуль Интернет

Рисунок 8 – Борьба с угрозами с помощью корпоративного модуля Интернет







Условные обозначения







































3 ДМЗ-зона и межсетевые экраны в реализации собственной архитектуры


При разработке собственной архитектуры безопасности корпоративной сети были учтена так же и демилитаризованная зона (ДМЗ) для общедоступных сервисов.
В целях обеспечения безопасности и контроля общедоступные сервисы обычно размещаются в демилитаризованной зоне (ДМЗ). ДМЗ выступает в роли промежуточной области между Интернетом и закрытыми ресурсами организации и предотвращает доступ внешних пользователей к внутренним серверам и данным. Как показано на рисунке 9, сервисы, развернутые в ДМЗ, часто включают web-сайт организации, портал для доступа партнеров, сервер электронной почты, FTP-сервер, DNS-сервер и прочие сетевые сервисы.

Рисунок 9 – Топология ДМЗ

Ниже перечислены некоторые ключевые характеристики безопасности, кото-рые должна обеспечивать структура сети ДМЗ:
• доступность и отказоустойчивость сервисов;
• предотвращение вторжений, атак типа "отказ в обслуживании", утечек данных и
мошенничества;
• обеспечение конфиденциальности пользователей, целостности и дос-тупности данных;
• защита серверов и приложений;
• сегментация серверов и приложений.

В проекте была применена схема с раздельной защитой закрытой и открытой подсетей
Данная схема подключения, на рисунке 10, обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети. Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone).


Рисунок 10 – Схема с раздельной защитой закрытой и открытой подсетей

При проектировании корпоративной сети весь процесс разработки разбивают на три части в соответствии с предложенным фирмой Cisco Systems подходом. Компьютерные сети удобно представлять в виде трехуровневой иерархической модели, которая содержит следующие уровни:
1) уровень ядра;
2) уровень распределения;
3) уровень доступа.
Уровень ядра предназначен для высокоскоростной передачи сетевого трафика и скоростной коммутации пакетов. Поэтому на сетевых устройствах этого уровня не вводятся дополнительные технологии, отвечающие за фильтрацию или маршрутизацию пакетов, такие как списки доступа или маршрутизация по правилам. В данном курсовом проекте уровень ядра представлен маршрутизаторами уровня ядра (рисунок 1.1), которые располагаются в центральных офисах организации. Офисы разделены между и находятся в разных городах, поэтому маршрутизаторы ядра объединены между собой с помощью технологии глобальных сетей MPLS. К узловым маршрутизаторам регионов через коммутаторы подключены маршрутизаторы доступа в интернет, образуя демилитаризо¬ванную зону, через которую осуществляется выход в Интернет.
МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. МЭ основное название, определенное в РД Гостехкомиссии РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand – пожар, mauer – стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара.
МЭ выполняет подобную функцию для компьютерных сетей.
По определению МЭ служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем слу-чае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации.

Рисунок 11 – Типовое размещение МЭ в корпоративной сети
МЭ, как контрольного пункта, являются:
• Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть
• Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети
Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение – пропустить дальше, перебросить за экран, блокировать или преобразовать данные.

Рисунок 12 – Схема фильтрации в МЭ

Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ.



Заключение


В приложениях А и B приведены мною разработанные модели безопасности корпоративной сети, где кроме ДМЗ-зоны представлена защита в комплексе, с применением межсетевых экранов, системы обнаружения вторжений и различных протоколов, таких как Radius и Tacacs+, в разделенной на сегменты сети.











































Список использованных источников


1. Биячуев Т.А. / под ред. Л.Г.Осовецкого / Безопасность корпоративных сетей. – СПб: СПб ГУ ИТМО, 2004.- 161 с.
2. Решения компании Cisco Systems по обеспечению безопасности корпоративных сетей (издание II) /Cisco sistems; Сост. М. Кадер – Inc. in the U.S. and certain other countries.- 100 с.
3. Обзор архитектуры безопасности /Cisco systems – Inc. in the U.S. and certain other countries.- 35 с.
































Приложение A

Сочинения курсовыеСочинения курсовые