Полная защита нескольких локальных сетей, связанных через Internet без Proxy-серверов

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«СЕВЕРО-КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИСТЕТ»

КУРСОВАЯ РАБОТА

по дисциплине «Технология построения защищенных автоматизированных систем»

ТЕМА: «Полная защита нескольких локальных сетей,

связанных через Internet без Proxy-серверов»

Автор курсовой работы

Соломонов

Дмитрий Владимирович

Ставрополь, 2011

Оглавление

сеть система защиты сетевая атака

• Введение
• Глава 1. Постановка проблемы защиты информации
• 1.1 Выявление структуры и основных свойств незащищённой сети
• 1.2 Формирование требований к системе защиты
• 1.3 Анализ основных угроз безопасности данной системы
• Вывод по 1 главе
• Глава 2. Исследование способов противодействия сетевым атакам
• 2.1 Обнаружение DoS-атак
• 2.2 Защита от DoS-атак
• 2.3 Противодействие ICMP (Ping)
• 2.4 Снижение угрозы спуфинга
• 2.5 Противодействие Traffic analysis (sniffing)
• Вывод по 2 главе
• Глава 3. Разработка и формирование защищённой сети
• 3.1 Формирование структуры защищённой сети
• 3.2 Анализ режимов безопасности сетевых интерфейсов Координатора
• 3.3 Выбор режима для сетевых интерфейсов и настройки правил фильтрации
• 3.4 Пример настроек ПО VipNet [Координатор]
• Вывод по 3 главе
• Заключение

Список используемой литературы

• Введение
• Администраторы локальных сетей все чаще сталкиваются с проблемами защиты информации. Особенно важно это становится в сетях, в которых приходится работать с информацией, требующей дополнительной защиты. Это сети государственных учреждений, предприятий, связанных с выпуском определенной продукции, иных организаций, которым раскрытие внутренней информации может принести серьезный экономический ущерб. Тем более важное значение приобретает проблема в тех случаях, когда локальные сети должны быть доступны из Глобальной сети, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений либо когда пользователи локальной сети должны иметь доступ к Глобальной сети.
• Одним из решений этой проблемы является создание виртуальных частных сетей (Virtual Private Network -- VPN). Для их создания используется специальное программное обеспечение, одно из которых предлагает компания «Инфотекс». Их решение называется ViPNet (точнее, два решения -- ViPNet Office и ViPNet Custom). Они отличаются тем, что второе решение позволяет создавать произвольные сети неограниченного масштаба. Определимся с различиями, а потом рассмотрим принцип создания VPN. В качестве базовой программы в решении ViPNet Custom используется программа «Администратор», во втором решении -- «Менеджер». ViPNet Manager -- это облегченная версия программного обеспечения ViPNet «Администратор», позволяющая простым образом, на интуитивном уровне, задавать и изменять структуру защищенной сети ViPNet.

Глава 1. Постановка проблемы защиты информации

1.1 Выявление структуры и основных свойств незащищённой сети

Для того, чтобы построить систему защиты системы, необходимо, прежде всего построить модель системы, которую мы будем защищать, выделить её основные свойства и угрозы, которые могут быть реализованы.

Взаимодействие локальных сетей, связанных через Интернет, без Proxy-серверов, можно представить в виде схемы:

Рисунок 1.1 Схема незащищённых локальных сетей, связанных через Internet без Proxy-серверов

Глядя на данную схему, мы видим, что информация, проходящая по функциональному каналу связи, не защищена, а это значит - подвержена ряду угроз информационной безопасности. Варианты информационного взаимодействия возможны по всем каналам, которыми соединены элементы данной сети, поэтому мы не будем выделять их отдельно.

Основные свойства имеющейся у нас системы:

· Адреса в локальных сетях реальные.

· Одна из ЛВС находится в центральном офисе, другие в филиалах.

· На входах в обе локальные сети стоят маршрутизаторы.

· Возможности по количеству локальных сетей не ограничены

1.2 Формирование требований к системе защиты

Требуется защита информационного обмена при прохождении через открытый Интернет.

- Требуется защита информационного обмена внутри локальных сетей.

- Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

- Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

1.3 Анализ основных угроз безопасности данной системы

Информация любого предприятия при утечке или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов и партнеров и падении финансовых результатов. Еще серьезнее последствия у компаний ИТ-сферы при потере информации - баз данных, результатов аналитических исследований, исходных кодов, программных продуктов, персональных данных клиентов, без которых дальнейшее продолжение бизнеса становится проблемным, если вообще возможным, а с уничтожением улик и расследование становится бесперспективным. Определяющий фактор экономической безопасности такого предприятия - информационная безопасность, а ее ключевой аргумент - уровень защиты информации.

Применение антивирусных программ стало повсеместным, что, к сожалению, заметно успокоило руководителей предприятий. Однако, статистика обращений в компании, занимающиеся информационной безопасностью, показывает, что инциденты, связанные с работой информационных систем, становятся более серьезными, а причины - менее явными, и, как правило, не всегда устранимыми силами обслуживающего персонала, что и вызывает нормальную озабоченность заинтересованных лиц в надежном решении проблемы непрерывности бизнеса и защищенности его информационных ресурсов независимо от сферы деятельности.

Любая коммерческая информация имеет свою цену, бесспорно, осталось решить как и какими средствами обеспечить ее защиту? Забегая вперед, можно констатировать - для подавляющего большинства российских компаний задача защиты коммерческой информации безболезненно решаема в обозримые сроки и при незначительных финансовых затратах.

Виды возможных атак на нашу систему

Denial of service (DOS)

Класс атак, приводящих к отказу в обслуживание. Во время таких атак происходит повышенный расход ресурсов процессора и уменьшение канала пропускной возможности канала связи, что может привести в сильному замедлению работы всей компьютерной системы, отдельных задач либо вообще к полному останову задач пользователя. Пример. Вы пошли в магазин за хлебом, а там два часа назад хулиганы побили все стекла и весь персонал занят их уборкой; возле входа в магазин выстроилась огромная очередь пенсионеров т.е. шанса пройти без очереди когда магазин откроется - нет. К DOS атакам относятся Floods, ICMP ing, Identification ing и другие.

Hack

Класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером дляосуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки.

Floods

Перевод с английского на русский - "затопление". Во время flood-атак происходит посылка большого количества на атакуемую систему ICMP (чаще всего) либо UDP пакетов, которые не несут полезной информации (мусор). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших бесполезных пакетов и генерацией на них ответов.

SYN ICMP ( ping) WinNuke Ports scan Pong Puke Smurf

Затопление SYN-пакетами - самый известный способ "забить" информационный канал. Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN-пакет S-SYN/CACK-пакетом, переводит сессию в состояние SYN_RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет S-ACK, соединение удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED. По RFC когда очередь входных соединений уже заполнена, а система получает SYN-пакет, приглашающий к установке соединения, он будет молча проигнорирован. Затопление SYN пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. В различных системах работа с очередью реализована по разному. После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает хакеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, хакер может посылать каждые полторы минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем состоянии. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов - 189 секунд.

ICMP ( ping) WinNuke Ports scan Pong Puke Smurf

Перевод с английского на русский - "поток пингов". Во время этой атаки происходит посылка компьютерной системе жертвы большого количества запросов эха ICMP (пинг системы). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших пакетов и генерацией на них ответов. Примечание: В мирных целях пинг используется администраторами и пользователями для проверки работоспособности основных частей транспортной системы вычислительной сети, оценить работу сети при максимальной нагрузке. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть.

Ports scan

Сканирование компьютерной системы на наличие портов, путем попыток их открытия. Эта атака также расходует ресурсы системы . Обычно она используется для поиска слабых мест <дырок> в компьютерной системе и предшествует более элегантной атаке; ресурсы системы расходует намного скромнее нежели другие.

WinNuke

Hаpяду с обычными данными пеpесылаемыми по TCP соединению cтандаpт пpедустатpивает также пеpедачу сpочных (Out Of Band)данных. Hа уpовне фоpматов пакетов TCP это выpажается в ненулевом urgent pointer. У большинства PC с установленным Windows пpисутствует сетевой пpотокол NetBIOS, котоpый использует для своих нужд3 IP поpта: 137, 138, 139. Как выяснилось, если соединиться сWindows машиной в 139 поpт и послать туда несколько байт OutOf-Band данных, то pеализация NetBIOS-а не зная что делать с этимиданными попpосту подвешивает или пеpезагpужает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающийоб ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 совтоpым сеpвис паком выпадает в синий экpан.

IP spoofing

Хакер отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки хакер может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа хакера становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера. Установка TCP соединения происходит в три стадии: клиент выбирает и передает серверу sequence number (назовем его C-SYN), в ответ наэто сервер высылает клиенту пакет данных, содержащий подтверждение (C-ACK) и собственный sequence number сервера (S-SYN). Теперь уже клиент должен выслать подтверждение (S-ACK). После этого соединение считается установленным и начинается обмен данными. При этом каждый пакет имеет в заголовке поле для sequence number и acknowledge number. Данные числа увеличиваются при обмене данными и позволяют контролировать корректность передачи. Предположим,что хакер может предсказать, какой sequence number (S-SYN по схеме) будет выслан сервером. Это возможно сделать на основе знаний о конкретной реализации TCP/IP. Таким образом, послав один пакет серверу, хакер получит ответ и сможет (возможно, с нескольких попыток и с поправкой на скорость соединения) предсказать sequence number для следующего соединения. Если реализация TCP/IP использует специальный алгоритм для определения sequence number, то он может быть выяснен с помощью посылки нескольких десятков пакетов серверу и анализа его ответов. Итак, предположим, что система A доверяет системе B, так, что пользователь системы B может сделать"rlogin A" и оказаться на A, не вводя пароля. Предположим, что хакер расположен на системе C. Система A выступает в роли сервера, системы B и C - в роли клиентов. Первая задача хакера - ввести систему B в состояние, когда она не сможет отвечать на сетевые запросы. Это может быть сделано несколькими способами, в простейшем случае нужно просто дождаться перезагрузки системы B. Нескольких минут, в течении которых она будет не работоспособна, должно хватить. После этого хакер может попробовать притвориться системой B, для того, что бы получить доступ к системе A (хотя бы кратковременный). Хакер высылает несколько IP-пакетов, инициирующих соединение, системе A, для выяснения текущего состояния sequence number сервера. Хакер высылает IP-пакет, в котором в качестве обратного адреса указан уже адрес системы B. Система A отвечает пакетом с sequence number, который направляется системе B. Однако система B никогда не получит его (она выведена из строя),как, впрочем, и хакер. Но он на основе предыдущего анализа догадывается, какой sequence number был выслан системе B. Хакер подтверждает "получение" пакета от A, выслав от имени B пакет с предполагаемым S-ACK (заметим, что если системы располагаются в одном сегменте, хакеру для выяснения sequence number достаточно перехватить пакет, посланный системой A). После этого, если хакеру повезло и sequence number сервера был угадан верно, соединение считается установленным. Теперь хакер может выслать очередной фальшивый IP-пакет, который будет уже содержать данные. Например, если атака была направлена на rsh, он может содержать команды создания файла .rhosts или отправки /etc/passwd хакеру по электронной почте.

Traffic analysis (sniffing)

Прослушивание канала. Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру, что поможет в дальнейшем ему подобрать/придумать другие типы атак против Вас. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.

Virus

Программа, будучи однажды запущена, способная самопроизвольно создавать свои копии, обладающие такими же способностями. Вирусы могут искажать, модифицировать и уничтожать данные. Будучи подключенным к сети Интернет вирус можно "подцепить" путем скачивания какой-либо зараженной программы и последующего ее запуска у себя на ПК; получить по электронной почте инфицированной программы либо в качестве присоединенного исполняемого кода при просмотре сообщения; просмотреть интернет браузером www-страничку, содержащую вирус; кто-либо закачает вирус на Ваш накопитель.

Trojan horse

Троянский конь, по греческому преданию, огромный деревянный конь, в котором спрятались ахейские воины, осаждавшие Трою. Троянцы, не подозревая хитрости, ввезли его в Трою. Ночью ахейцы вышли из коня и впустили в город остальное войско. Выражение"Троянский конь" стало нарицательным (дар врагу с целью его погубить). Возвращаясь из прошлого к компьютерам и хакерам - "Троянским конем" стали называть любую функциональную возможность в программе, специально встроенную для того, чтобы обойти системный контроль секретности. Эта возможность может быть самоликвидируемой, что делает невозможным ее обнаружение, или же может постоянно реализовываться, но существовать скрыто. Для хакера обычно не составляет большого труда "заселить" Вам на ПК какую-либо версию программы, содержащие функцию "троянский конь". Хакер пишет программу, предназначенную, например, для выполнения какой-нибудь интересной либо полезной функции: запуска игры, оптимизации работы операционной системы или для увеличения скорости доступа в сеть Интернет. В программе спрятаны инструкции для прочтения файлов паролей и отсылки их на адрес электронной почты хакера, или выполнения другой скрытой операции. Затем хакер посылает Вам эту программу по электронной почте либо выкладывает ее для скачивания на общедоступный www-сервер, подзагружает программу в BBS и надеется, что пользователь запустит программу. Для того чтобы это произошло хакер рассказывает в описание на программу очень ярко ее необходимость и превосходство над другим подобным ПО, например, пишет так "Эта программа позволит Вам увеличить скорость доступа в Интернет на 300% - такого еще не было". Также функция "Троянкий конь" может встраиваться в вирус, заражение которым Вашей ПЭВМ приведет к активизации этой функции. Программа с функцией "троянский конь" может также подделывать системное приглашение ввода логина и пароля. Неопытный пользователь не сможет отличить фальшивое приглашение запроса логина и пароля от настоящего, введет логин и пароль - тем самым отдаст их хакеру. Описать все возможные способы обмана пользователя не представляется возможным т.к. хакеры придумываю постоянно что-то новенькое, ранее неиспользуемое.

Вывод по 1 главе

Итак, в 1 главе мы рассмотрели нескольких локальных сетей, связанных через Интернет, c Proxy-серверами. Таким образом, мы сформировали модель системы, которую нам требуется защитить. Были выявлены основные значимые для нас свойства данной системы. По итогам анализа угроз безопасности мы выяснили, что защита этой системы необходима и какие именно угрозы для нас особенно актуальны.

Были выделены основные типы сетевых атак:

· Denial of service (DOS)

· Hack

· Floods

· SYN

· ICMP ( ping)

· WinNuke

· Ports scan

· Fuzzy

· IP spoofing

· Traffic analysis (sniffing)

· Virus

· Trojan horse

Для того, чтобы возможно было построить защищённую сеть, мы выработали систему требований, которые должны выполняться.

В следующей главе мы подробно рассмотрим, какие меры необходимо предпринять для противодействия сетевым атакам.

Глава 2. Исследование способов противодействия сетевым атакам

2.1 Обнаружение DoS-атак

Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через 2-3 суток. Бывало, что негативные последствия атаки (типа флуд) заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счёта. Кроме того, многие методы обнаружения атак неэффективны вблизи цели атаки, но эффективны на магистральной сети. В таком случае целесообразно ставить системы обнаружения именно там, а не дожидаться, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения можно разделить на несколько больших групп:

· сигнатурные -- основанные на качественном анализе трафика;

· статистические -- основанные на количественном анализе трафика;

· гибридные -- сочетающие в себе достоинства двух предыдущих методов.

2.2 Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

1. Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.

2. Фильтрация и блэкхолинг. Блокирование трафика исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.

3. Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.

4. Наращивание ресурсов.

5. Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за атаки.

6. Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.

7. Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера.

8. Внедрение оборудования по отражению DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и других производителей.

9. Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности канала.

2.3 Противодействие ICMP (Ping)

Для противодействия атаке (помимо блокирования трафика с отдельных узлов и сетей) возможны следующие меры:

· отключение ответов на ICMP-запросы (отключение соответствующих служб или предотвращение отклика на определенный тип сообщения) на целевой системе;

· Понижение приоритета обработки ICMP-сообщений (при этом весь остальной трафик обрабатывается в обычном порядке, а ICMP-запросы обрабатываются по остаточному принципу, в случае перегрузки ICMP-сообщениями часть из них игнорируется).

· отбрасывание или фильтрация ICMP-трафика средствами межсетевого экрана.

· увеличение очереди обрабатываемых подключений

2.4 Снижение угрозы спуфинга

Угрозу спуфинга можно ослабить (но не устранить) с помощью перечисленных ниже мер.

1. Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Правда, это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса; если же санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

2. Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным сетевым гражданином). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Данный тип фильтрации, известный под названием RFC 2827, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

Наиболее эффективный метод борьбы с IP-спуфингом -- тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает подобные атаки бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

2.5 Противодействие Traffic analysis (sniffing)

Рассмотрим основные меры противодействия флудам. Их можно разделить на превентивные и реакционные, а также на пассивные и активные.

1 Предотвращение флуда

Флуд, как, впрочем, и любую другую сетевую атаку, проще предотвратить, чем бороться с его последствиями. Позволим себе проиллюстрировать это утверждение примером из жизни. В 2004 году хостинг-провайдер П и его аплинк, провайдер Р в течение месяца боролись с флудом, направленным на один из хостинговых серверов П. Фильтры помогали слабо. Метод уклонения от флуда также не работал - флуд оперативно следовал за изменением IP-адреса. Быстро изыскать пригодный межсетевой экран также не удалось. В общем, флуд нанёс существенный ущерб обоим провайдерам, а также их клиентам. В процессе расследования инцидента удалось выяснить мотивы злоумышленника. Оказалось, что у хостинг-провайдера П на этом сервере жил веб-форум, который администрировался одним из внештатных сотрудников. Один из участников форума допустил оскорбительное выражение, и его постинг был удалён. Тогда этот участник негативно высказался в адрес администратора форума. Администратор удалил учётную запись этого участника и в дальнейшем препятствовал ему регистрироваться на форуме вновь. Обиженный на администратора участник пообещал уничтожить форум и прибег к флуд-атаке. По-видимому, осуществлял он атаку не сам, а заплатил тем, кто на таких атаках специализируется.

Конечно, заказавший атаку был кругом неправ. Но дальновидно ли поступил администратор форума? Ведь он знал, что хостинговый сервер не способен выдержать серьёзного флуда. И он должен был предполагать, что у любого обидчивого грубияна может найтись пара сотен долларов на удовлетворение своих амбиций. Но администратор форума об этом не подумал, дал волю чувствам и спровоцировал флуд, который, можно сказать, достиг своей цели. А провайдерам и их клиентам был нанесён существенный ущерб.Образно выражаясь, Интернет сейчас - дикий Запад, где закона практически нет, зато у каждого за поясом вполне может оказаться револьвер. В такой ситуации не стоит отвечать грубостью на грубость, даже если кто-то этого заслуживает. По крайней мере, пока сам не владеешь револьвером лучше всех.

2 Предотвращение последствий

Суть метода состоит в том, чтобы загодя построить инфраструктуру, устойчивую к флуду и DoS-атакам вообще. Устойчивую - значит не прекращающую обслуживать пользователей (во всяком случае, большую их часть) даже под воздействием атаки. Как правило, подразумевается распределённая структура. В англоязычной литературе часто используется термин "content delivery network", а в военной терминологии это звучит как "рассредоточение и мобильность". Оба эти качества вносят вклад в трудноуязвимость такой системы.

Вывод по 2 главе

Таким образом, по итогам 2 главы мы исследовали способы противодействия сетевым атакам, которые были описаны в 1 главе.

Были рассмотрены следующие методы:

· Противодействие DoS-атак

· Противодействие ICMP (Ping)

· Снижение угрозы спуфинг

· Противодействие Traffic analysis (sniffing)

В результате анализа способов решения организации системы защиты мы выяснили, что от некоторых угроз невозможно совсем избавиться, а можно только снизить уровень опасности, связанный с возможностью из реализации.

Теперь у нас достаточно сведений для построения и формирования защищённой сети, которое будет выполнено в 3 главе.

Глава 3. Разработка и формирование защищённой сети

3.1 Формирование структуры защищённой сети

Сформируем структуру защищённой сети. На которой указателем в виде молнии указан путь между локальными сетями сформулированный VipNet. Именно по нему будет проходить информационное взаимодействие.

Рисунок 2 Структура защищенной сети

ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). ПО позволяет:

Создать топологию (логическую конфигурацию) VPN-сети и сгенерировать ключевую информацию для объектов VPN-сети, задать названия объектам VPN-сети и разрешить или запретить связи между ними.

Модифицировать (добавить или удалить объекты) VPN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VPN-сети, которых коснулось конкретное изменение.

Централизованно обновить установленное ПО (ViPNet [Клиент] и ViPNet [Координатор]) в случае выхода новой версии.

ПО ViPNet [Координатор] целесообразно устанавливать в каждой локальной сети на один из компьютеров. IP-адреса таких компьютеров должны быть статическими. ПО выполняет следующие функции:

Является сервером IP-адресов, то есть является справочным бюро, которое сообщает объектам VPN о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах.

Является сервером для рассылки обновлений (ПО, справочная и ключевая информация).

Является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN.

ПО ViPNet [Клиент] устанавливается на все остальные компьютеры всех локальных сетей и на компьютеры мобильных пользователей. ПО выполняет следующие функции:

Путем шифрования/расшифрования защищает весь информационный обмен данного компьютера с другими объектами VPN от несанкционированного доступа третьих лиц.

Запрещает доступ к ресурсам в Интернете (WEB, FTP и т.д.).

Предоставляет большой набор сервисных возможностей для взаимодействия с другими объектами VPN (отправка онлайновых текстовых сообщений, получение информации о "включенности" конкретного объекта VPN, отправка почтовых сообщений и файлов и др.).

При старте компьютера сообщает серверу IP-адресов свой текущий IP-адрес.

При выключении компьютера сообщает серверу IP-адресов об этом.

Является Персональным Сетевым Экраном, который запрещает несанкционированный доступ с открытых ресурсов на данный компьютер пользователя.

3.2 Анализ режимов безопасности сетевых интерфейсов Координатора

Правила, в соответствии с которыми производится фильтрация трафика, задаются в окнах защищенной сети, открытой сети и туннелируемых ресурсов.

Действия над защищенным трафиком между одним узлом и другими защищенными узлами полностью определяются в окне Защищенная сеть.

Открытый транзитный трафик, который не попал под действие ни одного из заданных в окне Открытая сеть фильтров, всегда блокируется.

Для локального открытого трафика, для которого не определены правила фильтрации в окне Открытая сеть, можно определить правила выбором режима (2 или 3 режим) на некотором интерфейсе.

Кроме того выбором режима на интерфейсе можно независимо от фильтров блокировать любой открытый трафик (1 режим) или пропустить любой открытый локальный трафик (4 режим).

С учетом сказанного возможны следующие режимы работы:

1 режим (Блокировать IP-пакеты всех соединений) блокирует на сетевом интерфейсе любые открытые IP-пакеты, в том числе туннелируемые. Поэтому такой режим следует использовать на интерфейсах, где открытые IP-пакеты пропускаться не должны.

2 и 3 режимы действуют только на открытый локальный и широковещательный трафик, и определяют действие - запретить или разрешить создание соединений, правила обработки которых, не заданы в локальных и широковещательных фильтрах открытой сети.

* 2 режим (Блокировать все соединения кроме разрешенных) блокирует создание любых таких соединений (установлен по умолчанию).

* 3 режим (Пропускать все исходящие соединения кроме запрещенных) пропускает исходящие и блокирует входящие соединения.

4 режим (Пропускать все соединения) также действует только на локальный трафик. Это тестовый режим, в котором разрешается создание любых локальных соединений. Компьютер в этом режиме открыт для несанкционированного доступа, в связи с чем этот режим может использоваться только для кратковременного включения.

5 режим (Пропускать IP-пакеты на всех интерфейсах без обработки) на всех интерфейсах прекращает обработку любого трафика (открытого и закрытого) модулем ViPNet. Прекращаются шифрование и расшифрования трафика, любая фильтрация трафика, трансляция IP-адресов. Информация в канале, компьютер и защищаемые сети в этом режиме открыты для несанкционированного доступа. В связи с чем этот режим также может использоваться только для кратковременного тестового включения.

По умолчанию на всех сетевых интерфейсах координатора устанавливается 2-й режим.

С целью исключения снижения уровня безопасности координатора, обслуживающего защищенную сеть, следует избегать установки на координатор любых служб, особенно серверов, требующих взаимодействия с открытыми ресурсами, как локальных, так и внешних сетей.

При выполнении данной рекомендации целесообразно:

на всех интерфейсах координатора защищенной сети устанавливать 2-й режим, который задан по умолчанию,

не добавлять никаких локальных и широковещательных фильтров,

при необходимости, следует задать фильтры в разделе Транзитных фильтров для разрешения создания транзитных открытых соединений в нужном направлении для требуемых типов трафика между сетями, подключенными к разным интерфейсам координатора. Если все же требуется взаимодействие координатора с некоторыми службами в открытой сети, то в локальных фильтрах следует стремиться задавать фильтры только для исходящих соединений для конкретных протоколов с конкретными IP-адресами. Третий режим, разрешающий исходящий локальный трафик, рекомендуется использовать только на координаторах, не обслуживающих защищенную сеть, а используемых для организации доступа из локальной сети в Интернет. Настройки режимов безопасности производятся в окне Свойства сетевых интерфейсов на вкладке Режим (Рисунок 33). Для вызова окна Свойства сетевых интерфейсов выберите сетевой интерфейс в окне Сетевые интерфейсы и воспользуйтесь пунктом главного меню Действия -> Сетевые интерфейсы (или контекстным меню Свойства…). Для изменения режима безопасности выберете нужный режим в списке Режим интерфейса.

Для отключения обработки трафика (открытого и закрытого) модулем ViPNet установите флажок Пропускать IP-пакеты на всех интерфейсах без обработки.

3.3 Выбор режима для сетевых интерфейсов и настройки правил фильтрации

Рассмотрим некоторые простейшие варианты использования ViPNet Coordinator:

1. Требуется обеспечить возможность взаимодействия любых компьютеров локальной сети, в том числе туннелируемых, с открытыми ресурсами Интернета, а также взаимодействие туннелируемых ресурсов с защищенными узлами.

В этом случае на всех интерфейсах следует установить 2 режим.

В окне Открытая сеть следует создать транзитное правило для диапазона адресов локальной сети на соответствующем интерфейсе (устройства 1) и всех адресов на внешнем интерфейсе (устройства 2). Для этого правила создать фильтр Все протоколы, в котором задать направление соединения от устройств 1 к устройствам 2.

Для работы туннелируемых устройств никаких дополнительных правил создавать не надо, поскольку правило по умолчанию в окне Туннелируемые ресурсы разрешает работу туннелируемых устройств (если их адреса заданы на координаторе в качестве туннелируемых) со всеми защищенными узлами, с которыми связан Ваш координатор. При таких настройках:

* координатор полностью защищен от любых видов атак из открытой внешней сети (Интернет) и из локальной сети;

* осуществляется защищенное взаимодействие с сетевыми узлами из окна

Защищенная сеть и туннелируемыми ресурсами координаторов;

* все компьютеры (туннелируемые и нетуннелируемые) внутренней (локальной) сети смогут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;

* соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут невозможны.

2. Если требуется установить какие-либо ограничения на работу пользователей локальной сети с ресурсами внешней сети (например, Интернет), то следует воспользоваться следующими рекомендациями:

Если ViPNet Coordinator используется для организации взаимодействия только защищенных компьютеров (с ПО ViPNet), то устанавливайте для всех сетевых интерфейсов 1 режим работы.

Если ViPNet Coordinator осуществляет туннелирование незащищенных компьютеров локальной сети и при этом должна быть исключена возможность работы этих и других открытых компьютеров локальной сети с открытыми ресурсами во внешней сети, то для внешних сетевых интерфейсов, устанавливайте 1 режим работы, а для внутренних - 2 режим.

Если требуются какие-либо ограничения для туннелируемых компьютеров при их взаимодействии с внешними сетевыми узлами, то в окне Туннелируемые ресурсы можно задать частные (пропускающие или блокирующие) фильтры между туннелируемыми IP-адресами и сетевыми узлами.

3. Если ViPNet Coordinator используется для организации доступа из внешней сети со стороны открытых источников к отдельным открытым ресурсам, расположенным в демилитаризованной зоне - ДМЗ (за отдельным интерфейсом координатора), то:

На всех интерфейсах следует установить 2 режим.

В транзитных фильтрах добавьте правило для всех адресов со стороны внешних интерфейсов (Устройства 1) и конкретных адресов серверов со стороны интерфейса ДМЗ. В этом правиле создайте фильтры для пропуска конкретных протоколов и портов с направлением соединения от устройств 1 к устройствам 2. Например, чтобы разрешить работу с FTP-сервером в ДМЗ достаточно задать пропускающий фильтр для TCP- протокола на 21 порт.

4. Если Вы все же используете на координаторе какие-либо сетевые службы, которые должны работать с открытыми ресурсами локальной или внешней сети, то в этом случае:

Интерфейсы во 2 режиме и настроить в локальных фильтрах исключить доступ в Интернет.

3.4 Пример настроек ПО VipNet [Координатор]

Рассмотрим одну из распространенных схем использования защищенных туннелей ViPNet. Пусть имеется два офиса, соединенных через Интернет. В одном из офисов находится сервер, к которому обращаются компьютеры из другого офиса. Необходимо, чтобы весь обмен данными через Интернет производился с шифрованием трафика, при этом установка ПО ViPNet непосредственно на участвующие в информационном обмене компьютеры невозможна или по каким-либо причинам нежелательна. Для того чтобы решить эту задачу, в каждом из офисов устанавливается ViPNet-координатор, к которому подключаются компьютеры. При этом схема принимает вид, изображенный на рисунке 2

Рисунок 3 Схема построения

Компьютер 4 - это сервер, к которому должны обращаться Компьютеры 1-3 из другого офиса. Каждый из ViPNet-координаторов имеет два сетевых интерфейса: один (внешний) сетевой интерфейс имеет публичный адрес и подключен к Интернет, второй (внутренний) сетевой интерфейс имеет частный адрес и подключен к локальной сети офиса. Пусть ViPNet Координатор 1 имеет внешний адрес 195.210.139.22 и внутренний адрес 192.168.1.1, а подключенные к нему компьютеры (1, 2, 3) имеют адреса с 192.168.1.2 по 192.168.1.4. ViPNet Координатор 2 имеет внешний адрес 194.87.0.8 и внутренний 192.168.2.1, а подключенный к нему компьютер (4) имеет адрес 192.168.2.2. Руководство администратора ПО ViPNet Coordinator ФРКЕ.00005-04 32 0159 Для того чтобы обеспечить правильную работу туннелей, на ViPNet-координаторах должны быть произведены настройки туннелируемых адресов. При ручной настройке: На ViPNet Координаторе 1:

В окне Туннелируемые ресурсы нажать кнопку IP-адреса и в открывшемся окне при помощи кнопки Добавить внести диапазон туннелируемых адресов: 192.168.1.2-192.168.1.4 (Рисунок 22).

В окне Правило доступа\Туннель для ViPNet Координатора 2 установить флажок Использовать IP-адреса для туннелирования и при помощи кнопки Добавить внести туннелируемый адрес: 192.168.2.2 (Рисунок 23). Руководство администратора ПО ViPNet Coordinator ФРКЕ.00005-04 32 01

На ViPNet Координаторе 2

В окне Туннелируемые ресурсы нажать кнопку адреса и в открывшемся окне при помощи кнопки Добавить внести туннелируемый адрес: 192.168.2.2.

В окне Правило доступа\Туннель для ViPNet Координатора 1 установить флажок Использовать IP-адреса для туннелирования и при помощи кнопки Добавить внести диапазон туннелируемых адресов: 192.168.1.2-192.168.1.4.

Замечание: Вышеуказанные настройки рекомендуется производить в программе ЦУС (ViPNet Manager).

Настройте режимы безопасности (в окне Свойства сетевых интерфейсов на вкладке Режим) на обоих ViPNet-координаторах в соответствии с рекомендациями раздела 10.3.1.

Внутренние интерфейсы обоих ViPNet-координаторов, за которыми находятся туннелируемые ресурсы, установите в режим 2. Внешние интерфейсы установите в режим 1 (если не требуется через данный интерфейс пропускать открытые IP-пакеты) или 2 (в этом случае Вы, при необходимости, сможете настроить фильтры для пропуска интересующих Вас открытых соединений).

Имеющееся в окне Туннелируемые ресурсы правило по умолчанию Все туннелируемые IP-адреса - Все узлы (Рисунок 24) автоматически разрешит трафик между туннелируемыми ресурсами своего координатора и всеми защищенными узлами, с которыми этот координатор связан. При необходимости в окне Туннелируемые ресурсы можно создать фильтры, ограничивающие доступ к своим туннелируемым ресурсам. Руководство администратора ПО ViPNet Coordinator.

Вывод по 3 главе

В данной главе мы сформировали структуру защищённой сети, настроили Координатор в соответствии с нашими требованиями.

Для настройки Координатора нам потребовалось проанализировать режимы безопасности сетевых интерфейсов - правила, в соответствии с которыми производится фильтрация трафика.

Мы выбрали подходящие настройки интерфейса и правила фильтрации для нашего случая.

А так же рассмотрели примерную схему настройки ПО VipNet [Координатор]

И определили что для исключения создания виртуальных адресов нужно снять галочку на против "Использовать виртуальные IP-адреса".

Таким образом, в данной главе мы завершили формирование защищённого туннеля для наших сетей.

Заключение

Рассмотрим соответствие требованиям, поставленным в первой главе и выполнение их:

· Адреса в локальных сетях реальные.

· Одна из ЛВС находится в центральном офисе, другие в филиалах.

· На входах в обе локальные сети стоят маршрутизаторы.

· Возможности по количеству локальных сетей не ограничены

Для реализации этих требований, действительно, достаточно установки ПО ViPNet [Координатор] только на шлюзы ЛВС, потому что весь трафик проходит через эти шлюзы и контролируется.

Для выполнения данных требовании мы установили 2 режим фильтрации трафика, при котором все соединения, кроме разрешенных, блокируются, и настроили диапазон адресов локальной сети на соответствующем интерфейсе и всех адресов на внешнем интерфейсе.

В результате этого:

- координатор полностью защищен от любых видов атак из открытой внешней сети (Интернет) и из локальной сети;

- осуществляется защищенное взаимодействие с сетевыми узлами из окна Защищенная сеть и туннелируемыми ресурсами координаторов;

- все компьютеры внутренней (локальной) сети не смогут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;

- соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут так же невозможны.

Таким образом, в трёх главах данной работы мы сформировали модель защищаемой сети, выявили значимые свойства данной системы, определили

Список используемой литературы

1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. [Текст] // -- В.Г. Олифер, Н.А Олифер. // -- СПб.: Питер. -- 2001

2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. 2-е издание [Текст] // -- Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. // -- М: Радио и связь. -- 2002.

3. ViPNet Администратор: Руководство администратора

4. ViPNet Координатор: Руководство администратора

5. Документ с сети Интернет www.infotecs.ru/

6. Документ с сети Интернет ru.wikipedia.org/wiki

7. Документ с сети Интернет http://www.bcetyt.ru/internet/game/sozdaem-vpn-na-primere-vipnet-.html

8. Документ с сети Интернет http://www.securitylab.ru

9. Документ в сети Интернет http://www.linuxforum.ru

Размещено на Allbest