Частичная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской федерации

Северо-Кавказский Государственный Технический Университет

Кафедра защиты информации

«ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к курсовому проекту (работе) по дисциплине

«Технология построения защищенных автоматизированных систем»

Тема: Частичная защита нескольких локальных сетей, связанных через Internet c Proxy-серверами

Ставрополь, 2011

Содержание

Введение

Глава 1. Изучение структуры незащищенной сети и видов угроз информации

1.1 Изучение незащищенной сети и требований защиты

1.2 Классификация сетевых атак

Глава 2. Методы защиты от сетевых атак

2.1 Защита от перехвата пакетов

2.2 Защита от IP-спуфинга

2.3 Защита от атак типа «Отказ в обслуживании»

2.4 Защита от парольных атак

2.5 Защита от атак типа Man-in-the-Middle

2.6 Защита от атак на уровне приложений

2.7 Защита от сетевой разведки

Глава 3. Разработка защищенной сети

3.1 Выбор средств защиты

3.2 Формирование защищенной сети

Заключение

Список использованной литературы

Введение

Сейчас, когда повсюду используются электронные средства связи, в эпоху вирусов и хакеров, электронной разведки и мошенничества, вопросы безопасности, без сомнения, не могут оставаться чем-то второстепенным. Актуальность темы этой курсовой работы определяется двумя ясно обозначенными моментами. Во-первых, вследствие лавинообразного распространения компьютерных систем и их взаимодействия посредством сетей возникает все большая зависимость как организаций, так и отдельных людей от информации, хранящейся в связанных сетями системах. Это, в свою очередь, заставляет осознать необходимость защиты данных и ресурсов, использования специальных средств проверки аутентичности получаемых данных и сообщений, а также защиты систем от несанкционированного доступа и сетевых атак. Во-вторых, вполне сформирована теоретическая основа разработки реальных приложений сетевой защиты, криптография и теория защиты сетей.

Для построения хорошей системы безопасности необходимо иметь представление о возможностях нападения. Защита не может быть просто создана сама по себе - вы должны понимать, в чем состоит угроза. В этой области незнание всегда карается, а знание поощряется. Для этого в этой работе будут рассмотрены типовые удаленные атаки, которые могут быть реализованы на защищаемую сеть.

В организациях с несколькими филиалами локальные сети этих филиалов часто необходимо соединить между собой для эффективной и защищённой передачи данных. Для удовлетворения таких потребностей были разработаны Virtual Private Networks (Виртуальные частные сети) (VPN). VPN -обобщенное название технологии, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). Следуя тем же функциональным принципам, что и выделенные линии, VPN позволяют установить защищенное цифровое соединение между двумя участниками (или сетями) и создать глобальную сеть (Wide Area Network, WAN) из существующих локальных сетей (Local Area Networks, LAN).Трафик VPN передаётся поверх IP и использует в качестве транспортного уровня датаграммы, что позволяет ему спокойно проходить через Интернет.

Многие бесплатные программные реализации VPN осуществляют шифрование по открытым стандартам, чтобы скрыть передаваемые данные. С таким серьёзным уровнем защиты злоумышленник должен не только перехватить пакет, но и расшифровать его. Взломщики, реализовавшие атаку с посредником между сервером и клиентом, должны также иметь доступ к минимум одному из закрытых ключей, используемых в сеансе проверки подлинности. Так как в VPN применяются несколько уровней проверки подлинности и шифрования, VPN достаточно безопасны и эффективны для того, чтобы объединить множество удалённых узлов в единую интрасеть. Такой подход к защите сетей подходит для реализации защиты в нашей информационной системе.

Глава 1. Изучение структуры незащищенной сети и видов угроз

информации

Изучение незащищенной сети и требований защиты

Размещено на http://www.allbest.ru/

Рисунок 1 - Схема незащищенной сети

Информация об исходной схеме сети

Адреса в локальных сетях частные.

На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

Локальных сетей может быть сколько угодно.

Требуемая защита

Требуется защита информационного обмена при прохождении через открытый Интернет.

Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.

Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие.

1.2 Классификация сетевых атак

Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный оператор, даже не предполагающий, какие последствия может иметь его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TPC/IP. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широко она распространится. В результате, в спецификациях ранних версий интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Через много лет, получив множество рекламаций (RFC - Request for Comments), мы, наконец, стали внедрять средства безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу. Далее мы кратко обсудим типы атак, которые обычно применяются против сетей IP, и перечислим способы борьбы с ними.

Сниффер пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют единый пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме «клиент-сервер», а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно представляют себе, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и потому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в Сеть и к ее ресурсам.

IP - спуфинг

IP-спуфинг происходит в том случае, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами: хакер может воспользоваться или IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример -- атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений -- если главная задача заключается в получении от системы важного файла, то ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.

Отказ в обслуживании

Denial of Service (DoS), без сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Среди хакеров атаки DoS считаются детской забавой, а их применение вызывает презрительные усмешки, поскольку для организации DoS требуется минимум знаний и умений. Тем не менее именно простота реализации и огромные масштабы причиняемого вреда привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность.

Атаки DoS отличаются от атак других типов. Они не нацелены ни на получение доступа к сети, ни на получение из этой сети какой-либо информации, но атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания рядовых пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Большинство атак DoS рассчитано не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Данный тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если не остановить у провайдера трафик, предназначенный для переполнения вашей сети, то сделать это на входе в сеть вы уже не сможете, поскольку вся полоса пропускания будет занята. Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (distributed DoS, DDoS).

Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль зачастую можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры нередко пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack).

Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакеру предоставляется доступ к ресурсам, то он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать себе «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свои пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: к корпоративной, персональной и к системам Интернета. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, то хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них -- использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.

Главная проблема при атаках на уровне приложений заключается в том, что хакеры часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.

Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.

Глава 2. Методы защиты от сетевых атак

2.1 Защита от перехвата пакетов

Снизить угрозу сниффинга пакетов можно с помощью следующих средств:

* Аутентификация. Сильные средства аутентификации являются важнейшим способом защиты от сниффинга пакетов. Под «сильными» мы понимаем такие методы аутентификации, которые трудно обойти. Примером такой аутентификации являются однократные пароли (One-Time Passwords, OTP). ОТР -- это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке, а во-вторых, по вводимому вами пин-коду. Для аутентификации в системе ОТР также требуются пин-код и ваша личная карточка. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает данный пароль с помощью сниффера, то эта информация будет бесполезной, поскольку в этот момент пароль уже будет использован и выведен из употребления. Отметим, что этот способ борьбы со сниффингом эффективен только в случаях перехвата паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.

* Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не устраняет угрозы сниффинга, но заметно снижает ее остроту.

* Антиснифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Антиснифферы измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать лишний трафик.

* Криптография. Этот самый эффективный способ борьбы со сниффингом пакетов хотя и не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, то хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec, который представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К другим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).

2.2 Защита от IP-спуфинга

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

* Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Правда, это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса; если же санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

* Фильтрация RFC 2827. Можно пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным сетевым гражданином). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Данный тип фильтрации, известный под названием RFC 2827, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Отметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес -- 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом -- тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает подобные атаки бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

2.3 Защита от атак типа «Отказ в обслуживании»

Угроза атак типа DoS может быть снижена тремя способами:

* Функции антиспуфинга. Правильная конфигурация функций антиспуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции как минимум должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

* Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах способна ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.

* Ограничение объема трафика (traffic rate limiting). Организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Типичным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

2.4 Защита от парольных атак

Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают вышеуказанные методы аутентификации.

При использовании обычных паролей следует стараться придумать такой, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать их на бумаге. Чтобы избежать этого, пользователи и администраторы могут использовать ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные будут надежно защищены приложением.

2.5 Защита от атак типа Man-in-the-Middle

Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Отметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), то это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

2.6 Защита от атак на уровне приложений

Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете новые уязвимые места прикладных программ. Самое главное здесь -- хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

* читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений;

* подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtraq (http://www.securityfocus.com) и CERT (http://www.cert.com);

2.7 Защита от сетевой разведки

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, то вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования -- просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.

* пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами);

* кроме системного администрирования, пользуйтесь системами распознавания атак (IDS) -- двумя взаимодополняющими друг друга технологиями IDS:

- сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;

- хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.

В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является их способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Глава 3. Разработка защищенной сети

3.1 Выбор средств защиты

Необходимость объединения рабочих мест в распределенные сети для доступа к различным ресурсам и обмена информацией является объективной потребностью любой организации.

В большинстве случаев оптимальным, а часто и единственным доступным решением является использование сети Интернет для связи с удаленными филиалами, мобильными пользователями и другими сетями. Данное решение имеет ряд преимуществ - таких как уменьшение стоимости связи, гибкость структуры корпоративной сети организации.

Одной из существующих в настоящее время технологий, позволяющих обеспечить заданный уровень защищенности распределенной корпоративной сети, является использование виртуальных частных сетей (VPN). В качестве сети передачи данных используются сети общего пользования (например, Интернет), а безопасность информации достигается криптографическими средствами. Виртуальная частная сеть реализует функции шифрования передаваемых данных и создания электронной цифровой подписи (ЭЦП), а также централизованного управления.

Для создания VPN используется специальное программное обеспечение, одно из которых предлагает компания «Инфотекс». Их решение называется ViPNet.

Технология ViPNet предназначена для создания защищенных виртуальных сетей (VPN) в глобальных и локальных IP-сетях. В отличие от других технологий VPN, технология ViPNet обеспечивает прозрачное взаимодействие защищаемых компьютеров, независимо от способа и места подключения этих компьютеров к сети, а также типа выделяемого адреса.

При этом обеспечивается не только гарантированная защита трафика, передаваемого между компьютерами, включенными в VPN, от перехвата и модификации, путем его шифрования, но также защита самих компьютеров от сетевых атак из любой точки сети за счет интегрированных в технологию ViPNet персональных и межсетевых экранов.

Компания «Инфотекс» предлагает решение под названием ViPNet CUSTOM, которое я считаю наиболее удачным для применения в нашем случае.

ViPNet CUSTOM предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей; и нацелен на решение двух важных задач информационной безопасности:

Создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т.п.), путем организации виртуальной частной сети ( VPN ).

Развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины).

В настоящее время в состав ViPNet CUSTOM входит более 15-ти различных компонент и модулей, позволяющих реализовать множество сценариев защиты информации в современных мультисервисных сетях связи.

Базовыми компонентами ViPNet CUSTOM является ПО ViPNet Administrator, ViPNet Coordinator (в разных вариантах исполнения) и ViPNet Client. Эти компоненты являются основой для развертывания виртуальной частной сети и инфраструктуры открытых ключей. С целью расширения возможностей базовых компонент могут использоваться дополнительные компоненты ViPNet CUSTOM: ViPNet StateWatcher? ViPNet Registration Point, ViPNet Publication Service и ViPNet CryptoService.

Уникальной особенностью ViPNet CUSTOM является программное обеспечение ViPNet Client Mobile, которое позволяет использовать коммуникатор (КПК) с ОС Windows Mobile 2005/6, как полноценный VPN-клиент для удаленного защищенного подключения к ресурсам корпоративной сети через сеть сотового оператора по GPRS/EDGE или с использованием сетей WiFi.

Криптографические функции во всех компонентах комплекса ViPNet CUSTOM реализуются с помощью семейства средств криптографической защиты информации (СКЗИ) «Домен-К». СКЗИ «Домен-К» является разработкой компании Инфотекс и представляет собой набор программных библиотек, драйверов и средств управления ключами пользователя. В зависимости от выбранного уровня безопасности СКЗИ «Домен-К» может комплектоваться сертифицированными средствами защиты от несанкционированного доступа - электронными замками. В настоящее время доступны следующие версии СКЗИ «Домен-К»:

СКЗИ «Домен-КС2» - прошло сертификацию в ФСБ России по классам КС1 и КС2;

СКЗИ «Домен-КМ» - прошло сертификацию в ФСБ России по классу КС3.

С использованием ViPNet CUSTOM могут разрабатываться решения по защите информации, требующие проведения разработки/доработки функционала компонент комплекса по требованиям заказчика. Поэтому ViPNet CUSTOM - это постоянное развитие функциональных возможностей и следование современным требованиям российского рынка средств защиты информации.

3.2 Формирование защищенной сети

Программный комплекс "ViPNet" включает в свой состав следующие компоненты:

ViPNet [Администратор]

ViPNet [Координатор]

ViPNet [Клиент]

ViPNet [Администратор] создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Он также формирует симметричную ключевую информацию и первичную парольную информацию для объектов сети, выпускает сертификаты открытых ключей для объектов сети.

ViPNet[Координатор]:

выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором].

в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.

обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy).

осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет.

фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана).

обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-сервера других производителей.

ViPNet[Клиент] обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей.

При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.

Доверительность отношений, безопасность коммуникаций и технических средств, безопасность и достоверность информационных ресурсов достигается путем создания в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, включающей:

Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак.

Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам.

Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.

Систему прозрачного для программных приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях, обеспечивающую целостность и недоступность информации для несанкционированного использования в процессе ее хранения.

Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.

Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet, в том числе защиту подсистемы PKI.

Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

Для того чтобы компьютеры, включенные в виртуальную защищенную сеть, увидели друг друга в глобальной сети, на одном или нескольких компьютерах, имеющих постоянный IP-адрес, должны быть установлены программы ViPNet [Координатор].

Каждый компьютер с ViPNet [Клиентом] будет посылать на ViPNet [Координатор] информацию о своем включении и об изменении IP-адреса, получать с него информацию о других связанных с ним компьютерах. Если ViPNet [Координаторов] несколько, то они обмениваются между собой необходимой информацией о подключении и отключении абонентов, а также информацией о подключении/отключении друг друга, осуществляют взаимное резервирование.

Конфигурация и управление виртуальной защищенной сетью осуществляется с помощью программ ViPNet [Администратора].

Обмен управляющей информацией между объектами сети (справочники, ключи, программное обеспечение и др.), а также обмен почтовой информацией производится с помощью специального транспортного протокола над TCP/IP (MFTP) через ViPNet [Координаторы], напрямую друг другу или по протоколам SMTP/POP3 через стандартные сервера SMTP/POP3. Протокол MFTP обеспечивает сохранение "точки разрыва" при разрыве канала связи, что особенно важно на коммутируемых линиях. Кроме того, протокол MFTP на 20% менее избыточен, чем протокол SMTP/POP3.

Программный комплекс ViPNet является легко масштабируемой системой. Наращивание системы может осуществляться по мере возникающих у корпорации потребностей путем увеличения поставщиком продукта требуемого числа лицензий на количество объектов, которое может быть зарегистрировано в ЦУСе данной сети. Количество объектов, которое может быть зарегистрировано в одной сети, практически не ограничено (до 65000 координаторов, до 65000 абонентских узлов на одном координаторе).

ПО функционирует в операционных средах Windows 95/98/ME/NT/2000/XP, Linux.

Производительность работы Драйвера защиты трафика в зависимости от операционной системы и мощности компьютера - от 6 до 32 Мбит/сек и практически не ограничивает работу компьютеров даже в 100-Мегабитных сетях.

Для разгрузки процессоров серверов сети и увеличения пропускной способности до 60-96 Мбит/сек в них может быть установлена PCI-плата ViPNet-Turbo 100.

Теперь ещё раз обратимся к требованиям защиты нашей сети:

Требуется защита информационного обмена при прохождении через открытый Интернет.

Защита информационного обмена реализуется путём установки ПО ViPNet Client или ViPNet Client Mobile на рабочие станции сетей и компьютеры мобильных пользователей. Это ПО выполняет следующие функции:

*Путем шифрования/расшифрования защищает весь информационный обмен данного компьютера с другими объектами VPN от несанкционированного доступа третьих лиц.

*Запрещает доступ к ресурсам в Интернете (WEB, FTP и т.д.).

*Предоставляет большой набор сервисных возможностей для взаимодействия с другими объектами VPN (отправка онлайновых текстовых сообщений, получение информации о "включенности" конкретного объекта VPN, отправка почтовых сообщений и файлов и др.).

*При старте компьютера сообщает серверу IP-адресов свой текущий IP-адрес.

*При выключении компьютера сообщает серверу IP-адресов об этом.

*Является Персональным Сетевым Экраном, который запрещает несанкционированный доступ с открытых ресурсов на данный компьютер пользователя.

Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.

Технология ViPNet прозрачна для конечного пользователя, т.е. ПО ViPNet Client не только не мешает привычной работе пользователя, но и добавляет ряд удобных и полезных функций, например: встроенные службы мгновенного обмена сообщениями (чат и конференция), файлами, собственная защищенная почтовая служба с элементами автоматизации обмена письмами и поддержкой механизмов ЭЦП.

Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие.

ПО ViPNet Client запрещает доступ к ресурсам в Интернете, если того требует политика безопасности сети, которая гибко настраивается при помощи ПО ViPNet Администратор. ПО ViPNet Администратор выполняет следующие функции:

*Определение узлов защищенной сети, пользователей и допустимых связей между ними путем создание необходимых баз данных для работы Удостоверяющего и Ключевого Центров;

*Определение политики безопасности на каждом узле и формирование списка прикладных задач, которые могут быть на данном узле запущены (шифрование трафика, ЭЦП, Деловая Почта и т.д.);

*Поддержание сервиса автоматической рассылки до узлов сети разнообразной справочно-ключевой информации (справочников связей узлов, корневых и отозванных сертификатов, новых ключей шифрования, информации о связях с другими ViPNet -сетями и др.);

*Проведение автоматического централизованного обновления ПО ViPNet на узлах защищенной сети;

*Поддержание удаленного доступа к журналам событий на узлах защищенной сети.

Итак в результате анализа исходной схемы сети и требований к защите можно построить схему защищенной сети:

Рисунок 2 - Схема защищенной сети

ПО ViPNet Администратор устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе).

ПО ViPNet Координатор устанавливается на один из компьютеров в каждой из объединяемых ЛВС (в нашем случае выбранный для этого компьютер не должен быть шлюзом ЛВС). IP-адреса таких компьютеров должны быть статическими.

ПО ViPNet Client или ViPNet Client Mobile устанавливается на все остальные компьютеры всех локальных сетей и на компьютеры мобильных пользователей.

Данная схема полностью удовлетворяет всем предъявленным требованиям, а использование ViPNet CUSTOM делает сеть защищенной, удобной в использовании и масштабируемой.

сеть атака защита программный vipnet

Заключение

Использование ViPNet позволяет быстро внедрить систему защиты в уже существующую инфраструктуру сети, не используя при этом дорогостоящих аппаратных средств защиты. При этом система защиты не будет причинять пользователю неудобств, а наоборот снабдит его набором удобных средств обмена информацией. Использование каналов сети Интернет является очень экономичным и удобным, а ViPNet делает обмен информацией в открытой сети безопасным.

Технология ViPNet представляет собой сертифицированный программный комплекс, позволяющий организовать виртуальную сеть, защищенную от несанкционированного доступа по классу 1В для автоматизированных систем и 3 классу для межсетевых экранов.

В качестве криптографического ядра системы используется - сертифицированная ФАПСИ разработка ОАО Инфотекс "Домен-К". Уникальное сочетание симметричных процедур распределения ключей и технологий PKI, электронной цифровой подписи (ЭЦП), автоматических процедур ключевого взаимодействия обеспечивает высокий уровень безопасности в системе.

Полностью безопасная работа пользователей и использование информационных и технических ресурсов обеспечивается при установке средств защиты на каждый компьютер, участвующий в виртуальной защищенной сети. Информация, которой данный компьютер обменивается с другими компьютерами, становится недоступной для любых других компьютеров, не участвующих в данном соединении. Информация, которая расположена на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируем администраторами безопасности.

Список использованной литературы

1. Фороузан, Б.А. Криптография и безопасность сетей [Текст]/Фороузан Б.А.//Бином. Лаборатория знаний, 2010 - 784 с., ISBN 978-5-9963-0242-0

2. Мак-Клар, С. Секреты хакеров. Безопасность сетей - готовые решения [Текст] /Мак-Клар С.//Вильямс, 2004 - 656c., ISBN 5-8459-0603-2

3. Столлингс, В. Основы защиты сетей. Приложения и стандарты [Текст] /Столлингс В.//Вильямс, 2002 - 432c., ISBN 5-8459-0298-3

4. Бармен, С. Разработка правил информационной безопасности [Текст] /Бармен С.//Вильямс, 2002 - 208с., ISBN 5-8459-0323-8

5. Норткат, С. Обнаружение нарушений безопасности в сетях [Текст] /Норткат С.//Вильямс, 2003 - 448с., ISBN 5-8459-0526-5

6. Мамаев, М. Технологии защиты информации в Интернете. [Текст] /Мамаев М.//Питер, 2002 - 848с., ISBN 5-318-00244-7

7. Чирилло, Д. Обнаружение хакерских атак [Текст] /Чирилло Д.//Питер, 2003 - 864с., ISBN 5-318-00533-0

8. Захватов, М. Построение виртуальных частных сетей (VPN) на базе технологии MPLS [Текст] /Захватов М.//Cisco Systems, 2001 - 52с.

9. Браун, С. Виртуальные частные сети [Текст] /Браун С.//Лори, 2001 - 503с., ISBN: 5-85582-119-6

10. Запечников, С.В. Основы построения виртуальных частных сетей [Текст]/Запечников С.В.//Горячая Линия - Телеком, 2003 - 248с., ISBN: 5-93517-139-2

Размещено на Allbest.ru