Организация использования средств межсетевого экранирования в информационной системе ИББ и исследование их эффективности
ДИПЛОМНАЯ
РАБОТА
Тема
Организация
использования средств межсетевого экранирования в информационной системе ИББ и
анализ их эффективности
Список сокращений и условных обозначений
ИС
- информационная сеть;
МЭ
- межсетевой экран;
АС
- автоматизированная система;
ИББ
- институт безопасности бизнеса;
ИБ
- информационная безопасность;
ПО
- программное обеспечение;(Virtual Private Network) - виртуальная частная сеть;
СЗИ
- система защиты информации;
ХС
- хозяйствующий субъект;
ПАЗИ
- программно-аппаратная защита информации;
ВУЗ
- высшее учебное заведение;
ЭВМ
- электронная вычислительная машина;
DNS
(Domain Name System) - система
доменных
имён;
ЛВС
- локальная вычислительная сеть;
СУБД
- система управления базами данных;
DHCP
(Dynamic Host Configuration Protocol) - протокол динамической конфигурации
узла;
ОСЭП
- Общеуниверситетская система электронной почты
ИВЦ
- информационно-вычислительный центр;(Intrusion Detection System) - система
обнаружения вторжений;(Intrusion Prevention System) - система предотвращения
вторжений;(Virtual
Private
Server)
- виртуальный выделенный сервер
Введение
Интенсивное развитие ресурсов компьютерных
сетей, появление новых технологий поиска информации привлекают все большее
внимание к сети Интернет со стороны частных лиц и различных организаций. Многие
организации принимают решения по интеграции своих локальных и корпоративных
сетей в Интернет. Использование Интернета в коммерческих целях, а также при
передаче информации, содержащей сведения конфиденциального характера, влечет за
собой необходимость построения эффективной системы защиты данных. Использование
ресурсов сети Интернет обладает неоспоримыми достоинствами, но, как и многие
другие новые технологии, имеет и свои недостатки. Развитие ресурсов привело к
многократному увеличению количества не только пользователей, но и атак на
компьютеры, подключенные к Интернету. Ежегодные потери из-за недостаточного
уровня защищенности компьютеров оцениваются десятками миллионов долларов.
Поэтому при подключении к Интернету локальной или корпоративной сети необходимо
позаботиться об обеспечении ее информационной безопасности.
Основным элементом обеспечения информационной
безопасности, блокирующей несанкционированный доступ в корпоративную сеть,
является межсетевой экран. Так же МЭ называют firewall
и брандмауэр.
Брандмауэр (нем. Brandmauer)
- заимствованный из немецкого языка термин, являющийся аналогом английского
firewall в его оригинальном значении (стена, которая разделяет смежные здания,
предохраняя от распространения пожара). Интересно, что в области компьютерных
технологий в немецком языке употребляется слово «firewall».
Файрволл - образовано транслитерацией
английского термина firewall, эквивалентного термину межсетевой экран, в
настоящее время не является официальным заимствованным словом в русском языке
Согласно Руководящему документу Гостехкомиссии
при Президенте РФ «межсетевым экраном называется локальное (однокомпонентное)
или функционально-распределенное средство (комплекс), которое реализует
контроль за информацией, поступающей в автоматизированную систему и/или
выходящей из нее, и обеспечивает защиту автоматизированной системы посредством
фильтрации информации, т.е. анализа по совокупности критериев и принятия
решения об ее распространении в (из) автоматизированной системе». Однако такое
определение имеет общий характер и подразумевает слишком расширенное
толкование.
Основной задачей межсетевого экрана является
защита компьютерных сетей или отдельных узлов от несанкционированного доступа.
Также сетевые экраны часто называют фильтрами, так как их основная задача -
фильтровать (не пропускать) пакеты, не подходящие под критерии, определённые в
конфигурации.
Межсетевые экраны являются необходимым, но явно
недостаточным средством обеспечения информационной безопасности. Они
представляют собой, так называемую «первую линию обороны ИС». В настоящие время
на рынке МЭ имеется достаточное количество предложений, вследствие чего встаёт
проблема выбора.
Для минимизации угроз информационной
безопасности необходимо внедрение многоуровневой системы защиты информации, а
первым уровнем обеспечения информационной безопасности, блокирующим
несанкционированный доступ в корпоративную сеть, является система защиты
информационной сети.
Современный межсетевой экран представляет собой
интегрированный комплекс защитных средств. Под МЭ, как элементом системы защиты
понимают локальное или функционально-распределенное средство, реализующее
контроль за информацией, поступающей в автоматизированную систему и/или
выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации,
т.е. ее анализа по совокупности критериев и принятия решения о ее
распространении в АС.
Целью данной работы является организация
использования средств межсетевого экранирования на примере информационной
системы ИББ и анализ их эффективности.
Для достижения цели в дипломной работе решаются
следующие задачи:
· анализ роли и места средств межсетевого
экранирования в общей СЗИ;
· провести моделирование
информационной системы лаборатории «ПАЗИ» ИББ;
· провести выбор МЭ на основе их
классификации и анализа;
· разработать рекомендации по
использованию средств межсетевого экранирования в СЗИ лаборатории;
· обосновать затраты на систему защиты
лаборатории «ПАЗИ», основанную на средствах межсетевого экранирования.
Новизна работы заключается в организации
совместного использования средств межсетевого экранирования по прямому
назначению, т.е. в интересах обеспечения ИБ и в учебном процессе, а так же в
учете всех основных требований при организации подобной защиты.
Работа состоит из введения, трех глав,
заключения и списка используемых источников. В первой главе произведён общий
анализ роли и места средств межсетевого экранирования в СЗИ, определена
характеристика угроз безопасности информационной системы учебного назначения, и
поставлены задачи обеспечения безопасности с использованием средств межсетевого
экранирования.
Во второй главе проводится моделирование
информационной системы лаборатории «ПАЗИ» ИББ, анализ требований к СЗИ. А так
же описывается модель информационной системы и СЗИ лаборатории «ПАЗИ».
Третья глава содержит практические рекомендации
по организации использования средств межсетевого экранирования в СЗИ
лаборатории, сравнительный анализ и выбор средств межсетевого экранирования, их
структуру и оценку затрат на организацию системы защиты лаборатории, а так же
разработка рекомендаций по использованию средств межсетевого экранирования по
прямому назначению и в учебном процессе.
Глава 1. Анализ роли и
места средств межсетевого экранирования в СЗИ
Межсетевой экран это устройство контроля доступа
в сеть, предназначенное для блокировки всего трафика, за исключением
разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого
является доставка трафика в пункт назначения в максимально короткие сроки.
Существует мнение, что маршрутизатор также может
играть роль межсетевого экрана. Однако между этими устройствами существует одно
принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации
трафика, а не для его блокировки. Межсетевой экран представляет собой средство
защиты, которое пропускает определенный трафик из потока данных, а
маршрутизатор является сетевым устройством, которое можно настроить на
блокировку определенного трафика.
Кроме того, межсетевые экраны, как правило,
обладают большим набором настроек. Прохождение трафика на межсетевом экране
можно настраивать по службам, IP-адресам отправителя и получателя, по
идентификаторам пользователей, запрашивающих службу. Межсетевые экраны
позволяют осуществлять централизованное управление безопасностью. В одной
конфигурации администратор может настроить разрешенный входящий трафик для всех
внутренних систем организации. Это не устраняет потребность в обновлении и
настройке систем, но позволяет снизить вероятность неправильного
конфигурирования одной или нескольких систем, в результате которого эти системы
могут подвергнуться атакам на некорректно настроенную службу.
Современные информационные сети представляют
собой сложные системы, состоящие из большого числа компонентов, среди которого
можно выделить серверы и рабочие станции, системное и прикладное ПО, сетевое
оборудование и соединительные (кабельные) системы.
Межсетевые экраны устанавливаются в разрыв
канала связи, поэтому основными критериями выбора средств межсетевого
экранирования наряду с эффективностью являются производительность, надёжность и
обеспечение функционала высокой доступности. Высокая доступность, как правило,
обеспечивается резервированием, путём установки нескольких дублирующих
межсетевых экранов. Существует ряд архитектурных решений по обеспечению
высокопроизводительной и отказоустойчивой работы системы межсетевого
экранирования.
Средства межсетевого экранирования в составе
корпоративной информационной системы могут работать совместно с рядом подсистем
обеспечения ИБ. Интеграция с подсистемами управления и мониторинга позволяет
реализовать централизованный контроль функционирования межсетевых экранов,
сократить трудозатраты на реализацию политик безопасности, а также на основе
собранных данных мониторинга принимать своевременные меры по предотвращению и
минимизации последствий инцидентов ИБ. Интеграция межсетевых экранов с такими
подсистемами как подсистема организации VPN или подсистема обнаружения и
предотвращения вторжений даёт возможность совместить функции безопасности в одном
устройстве, и организовать единый интерфейс управления. Данный подход позволяет
увеличить рентабельность использования средств защиты в малых организациях и
филиалах, однако в ряде случаев такой подход не применим, поскольку может
привести к появлению единой точки отказа.
1.1 Общая характеристика угроз безопасности
информационной системы учебного назначения
ИС ВУЗа является организационно - технической
системой, в которой реализуются информационные технологии, и предусматривается
использование аппаратного, программного и других видов обеспечения,
необходимого для реализации информационных процессов сбора, обработки,
накопления, хранения, поиска и распространения информации. Основу современной
ИС высшей школы, как правило, составляют территориально распределенные
компьютерные системы (вычислительные сети) элементы которых расположены в
отдельно стоящих зданиях, на разных этажах этих зданий и связаны между собой
транспортной средой, которая использует физические принципы ("витая
пара", оптико-волоконные каналы, радиоканал и т.п.). Основу аппаратных
(технических) средств таких систем составляют ЭВМ (группы ЭВМ), периферийные,
вспомогательные устройства и средства связи, сопрягаемые с ЭВМ. Состав
программных средств определяется возможностями ЭВМ и характером решаемых задач
в данной ИС [3].
Обеспечения информационной безопасности должна
носить комплексный характер. Она должна основываться на глубоком анализе
негативных всевозможных последствий. Анализ негативных последствий предполагает
обязательную идентификацию возможных источников угроз, факторов, способствующих
их проявлению (уязвимостей) и как следствие определение актуальных угроз
информационной безопасности. Исходя из этого, моделирование и классификация
источников угроз и их проявлений, целесообразно проводить на основе анализа
взаимодействия логической цепочки, которую мы видим на рисунке 1
Рис.1. Логическая цепочка угроз и их проявлений
Источники угроз - это потенциальные
антропогенные, техногенные и стихийные угрозы безопасности. Под угрозой (в
целом) понимают потенциально возможное событие, действие (воздействие), процесс
или явление, которое может привести к нанесению ущерба чьим - либо интересам.
Под угрозой интересам субъектов информационных отношений понимают потенциально
возможное событие, процесс или явление которое посредством воздействия на
информацию или другие компоненты ИС может прямо или косвенно привести к
нанесению ущерба интересам данных субъектов.
Уязвимость - это присущие объекту ИС причины,
приводящие к нарушению безопасности информации на конкретном объекте и
обусловленные недостатками процесса функционирования объекта ИС, свойствами
архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным
обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью
сотрудников.
Последствия - это возможные действия реализации
угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.
Основными угрозами информации являются:
· хищение (копирование информации);
· уничтожение информации;
· модификация (искажение) информации;
· нарушение доступности (блокирование)
информации;
· отрицание подлинности информации.
Носителями угроз безопасности информации
являются источники угроз. В качестве источников угроз могут выступать как
субъекты (личность) так и объективные проявления. Причем источники угроз могут
находиться как внутри ИС - внутренние источники, так и вне нее - внешние
источники.
Все источники угроз информационной безопасности
можно разделить на три основные группы:
. Обусловленные действиями субъекта
(антропогенные источники) - субъекты, действия которых могут привести к
нарушению безопасности информации, данные действия могут быть квалифицированны
как умышленные или случайные преступления. Источники, действия которых могут
привести к нарушению безопасности информации могут быть как внешними, так и
внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
. Обусловленные техническими средствами
(техногенные источники) эти источники угроз менее прогнозируемы и напрямую
зависят от свойств техники и поэтому требуют особого внимания. Данные источники
угроз информационной безопасности, также могут быть как внутренними, так и
внешними.
. Стихийные источники - данная группа объединяет
обстоятельства, составляющие непреодолимую силу (стихийные бедствия, или др.
обстоятельства, которые невозможно предусмотреть или предотвратить или возможно
предусмотреть, но невозможно предотвратить), такие обстоятельства, которые
носят объективный и абсолютный характер, распространяющийся на всех. Такие
источники угроз совершенно не поддаются прогнозированию и, поэтому меры против
них должны применяться всегда. Стихийные источники, как правило, являются
внешними по отношению к защищаемому объекту и под ними, как правило, понимаются
природные катаклизмы.
Территориально распределенная структура ИС ВУЗа,
создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ,
которые могут нанести ущерб ИС. Это разнообразие настолько велико, что не
позволяет предусмотреть каждую угрозу. Поэтому анализируемые характеристики
угроз надо выбирать с позиций здравого смысла, одновременно выявляя не только
сами угрозы, размер потенциального ущерба, но их источники и уязвимости
системы.
Классификацию потенциальных источников угроз и
их проявлений, целесообразно проводить на основе анализа взаимодействия
логической цепочки, показанной на рисунке 1. На рисунке 2 данная логическая
цепочка преобразуется в модель
Рис.2. Модель реализации угроз ИБ
Анализ угроз ИБ является одним из ключевых
моментов политики безопасности любой ИС. Разрабатывая политику безопасности
ВУЗа, целесообразно использовать системный подход, под которым понимается,
прежде всего, то, что защита информации заключается не только в создании
соответствующих механизмов, а представляет собой регулярный процесс,
осуществляемый на всех этапах жизненного цикла ИС, с применением единой
совокупности законодательных, организационных и технических мер, направленных
на выявление, отражение и ликвидации различных видов угроз информационной
безопасности.
1.2
Использование средств межсетевого экранирования в СЗИ. Роль, место и
выполняемые функции
Для защиты информационных ресурсов и обеспечения
оптимальной работы информационных систем необходимо применение комплексной
системы информационной безопасности, которая позволит эффективно использовать
достоинства межсетевых экранов и компенсировать их недостатки с помощью других
средств безопасности.
Использование межсетевых экранов позволяет
организовать внутреннюю политику безопасности сети предприятия, разделив всю
сеть на сегменты. Сегмент сети- логически или физически обособленная часть
сети. Разбиение сети на сегменты осуществляется с целью оптимизации сетевого
трафика и/или повышения безопасности сети в целом.
Это позволяет сформулировать основные принципы
архитектуры безопасности корпоративной сети:
· введение N категорий секретности и создание
соответственно N выделенных сетевых сегментов пользователей. При этом каждый
пользователь внутри сетевого сегмента имеет одинаковый уровень секретности
(допущен к информации одного уровня секретности). Данный случай можно сравнить
с секретным заводом, где все сотрудники в соответствии со своим уровнем доступа
имеют доступ только к определенным этажам. Эта структура объясняется тем, что
ни в коем случае нельзя смешивать потоки информации разных уровней секретности.
Не менее очевидным объяснением подобного разделения всех пользователей на N,
изолированных сегментов является легкость осуществления атаки внутри одного
сегмента сети;
· выделение в отдельный сегмент всех
внутренних серверов компании. Эта мера также позволяет изолировать потоки
информации между пользователями, имеющими различные уровни доступа;
· выделение в отдельный сегмент всех
серверов компании, к которым будет предоставлен доступ из Интернета (создание
демилитаризованной зоны для внешних ресурсов);
· создание выделенного сегмента
административного управления;
· создание выделенного сегмента
управления безопасностью.
Межсетевой экран пропускает через себя весь
трафик, принимая относительно каждого проходящего пакета решение: дать ему
возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту
операцию, ему необходимо определить набор правил фильтрации. Решение о том,
фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса,
зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран
представляет собой набор компонентов, настраиваемых для реализации выбранной
политики безопасности.
При использовании межсетевого экрана прикладного
уровня все соединения проходят через него. Как показано на рисунке 3,
соединение начинается на системе-клиенте и поступает на внутренний интерфейс
межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое
пакета и используемый протокол и определяет, соответствует ли данный трафик
правилам политики безопасности. Если это так, то межсетевой экран инициирует
новое соединение между своим внешним интерфейсом и системой-сервером.
Межсетевые экраны прикладного уровня используют
модули Доступа для входящих подключений. Модуль доступа в межсетевом экране
принимает входящее подключение и обрабатывает команды перед отправкой трафика
получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых
посредством приложений.
Эти экраны содержат модули доступа для наиболее
часто используемых протоколов, таких как HTTP,
SMTP, FTP
и telnet. Некоторые модули
доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный
протокол не может использоваться для соединения через межсетевой экран.
Рис.3. Порядок соединения модуля доступа
межсетевого экрана прикладного уровня
Межсетевой экран также скрывает адреса систем,
расположенных по другую сторону от него. Так как все соединения инициируются и
завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны
напрямую извне, что позволяет скрыть схему внутренней адресации сети.
При использовании межсетевого экрана с пакетной
фильтрацией соединения не прерываются на нем, как показано на рисунке 4, а
направляются непосредственно к конечной системе. При поступлении пакетов
межсетевой экран выясняет, разрешены ли данный пакет и состояние соединения
правилами политики. Если это так, пакет передается по своему маршруту. В
противном случае пакет отклоняется или аннулируется.
Межсетевые экраны, работающие только посредством
фильтрации пакетов, не используют модули доступа, и поэтому трафик передается
от клиента непосредственно на сервер. Если сервер будет атакован через открытую
службу, разрешенную правилами политики межсетевого экрана, последний никак не
отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют
видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не
требуется, так как соединения не прерываются на межсетевом экране.
Рис.4. Порядок передачи трафика через межсетевой
экран с фильтрацией пакетов
В то время как базовая функциональность
межсетевых экранов обоих типов осталась прежней (что является причиной
большинства «слабых мест» этих устройств), сегодня на рынке присутствуют
гибридные межсетевые экраны. Практически невозможно найти межсетевой экран,
функционирование которого построено исключительно на прикладном уровне или
фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как
оно позволяет администраторам, отвечающим за безопасность, настраивать
устройство для работы в конкретных условиях.
Политика сетевой безопасности каждой организации
должна включать две составляющие:
· политика доступа к сетевым сервисам;
· политика реализации межсетевых
экранов.
Политика доступа к сетевым сервисам должна быть
уточнением общей политики организации в отношении защиты информационных
ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы
организации, политика доступа пользователей к сетевым сервисам должна быть
реалистичной. Таковой считается политика, при которой найден гармоничный баланс
между защитой сети организации от известных рисков и необходимостью доступа
пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к
сетевым сервисам определяется список сервисов Интернета, к которым пользователи
должны иметь ограниченный доступ. Задаются также ограничения на методы доступа,
необходимые для того, чтобы пользователи не могли обращаться к запрещенным
сервисам Интернета обходными путями.
Межсетевой экран может реализовать ряд политик
доступа к сервисам. Но обычно политика доступа к сетевым сервисам основана на
одном из следующих принципов:
· запретить доступ из Интернета во внутреннюю сеть
и разрешить доступ из внутренней сети в Интернет;
· разрешить ограниченный доступ во
внутреннюю сеть из Интернета, обеспечивая работу только отдельных
авторизованных систем, например информационных и почтовых серверов [5].
В соответствии с политикой реализации межсетевых
экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего
необходимо установить, насколько «доверительной» или «подозрительной» должна
быть система защиты. Иными словами, правила доступа к внутренним ресурсам
должны базироваться на одном из следующих принципов:
· запрещать все, что не разрешено в явной форме;
· разрешать все, что не запрещено в
явной форме.
Эффективность защиты внутренней сети с помощью
межсетевых экранов зависит не только от выбранной политики доступа к сетевым
сервисам и ресурсам внутренней сети, но и от рациональности выбора и
использования основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам охватывают
следующие сферы:
· фильтрация на сетевом уровне;
· фильтрация на прикладном уровне;
· настройка правил фильтрации и
администрирование;
· средства сетевой аутентификации;
· внедрение журналов и учет.
Большинство компонентов межсетевых экранов можно
отнести к одной из трех категорий:
· фильтрующие маршрутизаторы;
· шлюзы сетевого уровня;
· шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые
компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны
включают только одну из перечисленных категорий. Тем не менее, эти категории
отражают ключевые возможности, отличающие межсетевые экраны друг от друга.
Для защиты корпоративной или локальной сети
применяются следующие основные схемы организации межсетевых экранов:
· межсетевой экран - фильтрующий маршрутизатор;
· межсетевой экран на основе
двупортового шлюза;
· межсетевой экран на основе
экранированного шлюза;
· межсетевой экран - экранированная
подсеть.
Для защиты информационных ресурсов и обеспечения
оптимальной работы распределенных корпоративных информационных систем
необходимо применение комплексной системы информационной безопасности, которая
позволит эффективно использовать достоинства межсетевых экранов и
компенсировать их недостатки с помощью других средств безопасности.
Полнофункциональная защита корпоративной сети
должна обеспечить:
· безопасное взаимодействие
пользователей и информационных ресурсов с внешними сетями;
· технологически единый комплекс мер
защиты для распределенных и сегментированных локальных сетей подразделений
предприятия;
· наличие иерархической системы
защиты, предоставляющей средства обеспечения безопасности для различных по
степени закрытости сегментов корпоративной сети.
Характер современной обработки данных в
корпоративных системах интернет требует наличия у межсетевых экранов следующих
основных качеств:
· мобильность и масштабируемость
относительно различных аппаратно-программных платформ;
· возможность интеграции с
аппаратно-программными средствами других производителей;
· простота установки, конфигурирования
и эксплуатации;
· управление в соответствии с
централизованной политикой безопасности.
В зависимости от масштабов организации и
принятой на предприятии политики безопасности могут применяться различные
межсетевые экраны. Для небольших предприятий, использующих до десятка узлов,
подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие
локальное конфигурирование без применения централизованного управления. Для
крупных предприятий предпочтительнее системы с консолями и менеджерами
управления, которые обеспечивают оперативное управление локальными межсетевыми
экранами, поддержку виртуальных частных сетей.
Увеличение потоков информации, передаваемых по
Интернету компаниями и частными пользователями, а также потребность в
организации удаленного доступа к корпоративным сетям являются причинами
постоянного совершенствования технологий подключения корпоративных сетей к
Интернету.
Следует отметить, что в настоящее время ни одна
из технологий подключения, обладая высокими характеристиками по
производительности, в стандартной конфигурации не может обеспечить
полнофункциональной защиты корпоративной сети. Решение данной задачи становится
возможным только при использовании технологии межсетевых экранов, организующей
безопасное взаимодействие с внешней средой. Также межсетевые экраны позволяют
организовать комплексную защиту корпоративной сети от несанкционированного
доступа, основанную как на традиционной (IP-пакетной) фильтрации контролируемых
потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и
на семантической (контентной), доступной только коммерческим специальным
решениям.
1.3 Постановка задачи обеспечения
безопасности информационной системы учебного назначения с использованием
средств межсетевого экранирования
Для обеспечения безопасности ИС учебного
назначения с использованием средств межсетевого экранирования, необходимо
разработать комплекс мер, по защите от проникновения злоумышленника. Для
решения задачи обеспечения защиты периметра информационной сети хозяйствующего
субъекта, необходимо провести анализ существующих методов и средств защиты
периметра ИС, выбрать наиболее приемлемое средство защиты, т.е. провести
сравнительный анализ средств выбранной группы, выбрать наиболее подходящий.
Уровень защиты должен достигаться с учетом
последующих пунктов:
· масштаба ХС и топологии и размера его
корпоративной сети;
· циркулирующей в сети информации, ее
цене и ценности для ХС;
· построенной модели нарушителя, а так же
возможного ущерба, который нарушитель может нанести ИС.
· выделенных средств, на организацию такой
системы.
Для разработки рекомендаций по организации и
обеспечению защиты безопасности ИС учебного назначения с использованием средств
межсетевого экранирования, необходимо:
· провести моделирование информационной системы
(п.2.2);
· составить классификацию выбранных
средств межсетевого экранирования (п.3.1);
· обосновать показатели и критерии
выбора таких средств (п.3.1);
· провести сравнительный анализ
средств (п.3.1);
· разработать комплекс
организационно-технических мероприятий по организации безопасности лаборатории
«ПАЗИ» (п.3.2);
· обосновать затраты на защиту
лаборатории (п.3.3).
Все эти критерии будут рассмотрены в последующих
разделах данной дипломной работы.
Выводы по первой главе
В рамках анализа роли и места средств
межсетевого экранирования в СЗИ были рассмотрены выполняемые функции МЭ сетей,
с учетом их типовых особенностей, это позволит выделить наиболее полную и
эффективную модель МЭ для защиты лаборатории. В дальнейшем, в рамках данной
работы, будет рассматриваться сравнительный анализ и выбор средств межсетевого
экранирования.
В первой главе проводился анализ угроз
безопасности информационной системы ВУЗа, в данном случае Института
безопасности бизнеса. Были идентифицированы основные типы угроз, факторов,
способствующих их проявлению (уязвимостей) на информационные ресурсы сети, как
внешние, так и внутренние. Анализ угроз ИБ является одним из ключевых моментов
политики безопасности любой ИС. Так же в первой главе были рассмотрены роль и
место, выполняемые функции и проанализировано использование средств межсетевого
экранирования в СЗИ. Это позволит организовать внутреннюю политику безопасности
сети ХС. В соответствии с политикой реализации межсетевых экранов определяются
правила доступа к ресурсам внутренней сети. Так же были рассмотрены различные
категории, виды МЭ и требования к ним.
Задачи, которые были описаны в первой главе,
показывают, что необходимо разработать комплекс мер по защите от проникновения
нарушителя извне и по защите от внутренних угроз, что позволит разработать
рекомендации по организации и обеспечению безопасности информационной системы
учебного назначения, путем обоснования требований к системе защиты информации,
проведения классификации средств межсетевого экранирования по основным
показателям, обоснования показателей и критериев сравнения, по которым будет
проводится выбор средства, а так же сравнительного анализа отобранных средств
защиты информационной системы. Кроме этого в данной главе была выполнена постановка
задачи обеспечения защищенности корпоративной информационной сети.
Глава 2. Моделирование информационной системы
лаборатории «ПАЗИ» ИББ
Федеральный закон РФ «Об информации,
информационных технологиях и о защите информации» даёт следующее определение:
«информационная система - совокупность содержащейся в базах данных информации и
обеспечивающих ее обработку информационных технологий и технических средств».
В данном разделе мы моделируем ИС учебной
лаборатории для проведения учебных занятий по предмету: «Программно-аппаратная
защита информации» и защиты сети от вредоносных объектов при помощи межсетевого
экрана.
Под информационной системой понимается -
совокупность технического, программного и организационного обеспечения, а также
персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих
людей надлежащей информацией [6]. Также информационной системой называют только
подмножество компонентов ИС в широком смысле, включающее базы данных, СУБД и
специализированные прикладные программы.
Модель сети это описание совокупности
составляющих сеть аппаратно-программных средств и протоколов обмена данными
между ее элементами, обеспечивающих ее функционирование, и в достаточной
степени повторяющие свойства реальной сети, существенные для отражения
процессов в сети [8].
В лабораторию ПАЗИ необходимо внедрение и
использование небольшой информационной сети, к которой не будут предъявляться
особые требования к ее функционированию. В сети такого масштаба решаются задачи
получения доступа к файлам соседних компьютеров, распечатка документов на общем
принтере и подключения компьютеров к Интернет. Именно при подключении локальной
сети к Интернет встает задача защиты периметра. Однако выбор средств защиты
будет напрямую зависеть от топологии сети. При построении сети масштаба малого
предприятия обычно используются 2 вида сетей:
· одноранговая сеть;
· сеть с централизованным управлением.
Одноранговой сетью сегодня уже никто не
пользуется, она является не актуальной, поэтому рассмотрим только сеть с централизованным
управлением.
Сеть с централизованным управлением - это
локальная вычислительная сеть, в которой сетевые устройства централизованы и
управляются одним или несколькими серверами.
Рабочие станции или клиенты обращаются к
ресурсам сети через сервер. Сети на основе сервера применяются в тех случаях,
когда в сеть должно быть объединено много рабочих станций, либо необходимо
уделить особое внимание вопросам безопасности сети малого предприятия. В этих
случаях возможностей одноранговой сети не хватит.
С этой целью в корпоративную информационную сеть
хозяйствующего субъекта включается специализированный компьютер - сервер,
который обслуживает только сеть и не решает никаких других задач.
Сервер - логический или физический узел сети,
обслуживающий запросы к одному адресу или доменному имени, и состоящий из
одного или нескольких аппаратных серверов, на котором выполняются один или
система серверных программ [9].
Программное обеспечение, управляющее работой ЛВС
с централизованным управлением, состоит из двух частей:
· сетевой операционной системы, устанавливаемой на
сервере;
· программного обеспечения на рабочей
станции, представляющего набор программ, работающих под управлением
операционной системы, которая установлена на рабочей станции.
Исходя из выше сказанного можно сделать вывод,
что в лаборатории ПАЗИ необходима организация централизованной системы защиты
периметра, которая позволяет вести централизованную настройку средств защиты,
вовремя и адекватно реагировать на атаки, производящиеся извне на корпоративную
сеть, что не позволит злоумышленникам узнать внутреннюю топологию сети.
.1 Анализ требований к системе защиты информации
Периметр защищаемой системы - лучшее место для
раннего обнаружения вторжения. Вредоносные объекты в первую очередь взаимодействует
с периметром, производя преодоление системы защиты, они создают возмущения,
которые регистрируются специальными средствам. Сеть периметра - компьютерная
сеть логически находящаяся между ЛВС и сетью Интернет и предназначенная для
концентрации средств защиты информации с целью защиты ИТ-инфраструктуры
предприятия от вредоносных воздействий из сети Интернет. Таким образом, системы
защиты периметра являются наиболее эффективными средствами защиты от
несанкционированного доступа в ИС, поскольку могут выдавать тревожный сигнал до
того, как злоумышленник реализует атаку.
В данной области нет единых подходов к
организации такой защиты. Однако в данной работе нами проводится обобщение
основных требований, предъявляемых системам защиты периметра ИС.
К системам защиты периметра предъявляются
следующие требования:
· отсутствие возможности управлять
системой извне - например системы, встроенные в операционные системы такие, как
Windows, Unix.
Они обладают одним очень существенным недостатком - гипотетической возможностью
удаленного управления, что очень существенно сказывается на защищенности этих
систем;
· скрытый характер функционирования
системы - система защиты периметра не должна обнаруживать свое функционирование
как для соединений извне, так и поступающих соединений из внутренней сети. Это
не позволит злоумышленнику определить характеристики средства защиты;
· отсутствие известных уязвимостей -
компания-производитель системы защиты периметра должна обеспечивать
всестороннюю поддержку своего продукта и своевременно устранять обнаруженные
уязвимости системы. Данное требование возможно при официальном обновлении
продукта;
· постоянная отчётность о ошибках и
работоспособности - любые события связанные с нарушением работоспособности
системы и отсутствием подключения к внешней или внутренней сети должны быть
доведены до ответственного за обеспечение защиты периметра специалиста по
защите информации или администратора. Например, в случае, если внутреннюю сеть
попытались физически переключить напрямую к внешней сети в обход системы защиты
периметра.
· наличие автономного питания системы
- системы защиты периметра должны быть независимыми от электросети, ввиду
возможных перебоев с электроснабжением. Система должна работать постоянно;
Кроме того, системы защиты периметра должны
обладать максимально высокой чувствительностью, чтобы обнаружить даже самого
опытного нарушителя, но, в то же время, должны обеспечивать низкую вероятность
ложных срабатываний. Для этого необходимо сделать оптимизацию настроек системы
защиты.
При осуществлении защиты периметра
информационной сети лаборатории ПАЗИ, могут возникнуть определенные сложности с
организацией такой системы, обусловленные [5]:
· нечеткостью границ системы. Если у
физического объекта есть видимая граница или такую границу не сложно провести,
то у информационной сети такая граница не очевидна;
· сложностью обнаружения
злоумышленника. Если, при защите периметра физического объекта, можно
зафиксировать злоумышленника, преодолевающего систему защиты, визуально или с
помощью специальных датчиков и извещателей, то при защите информационной сети
это затруднительно;
· скрытость ошибок в программном
обеспечении и технических средствах защиты и функционирования сети. Данные
ошибки можно сравнить с дырами в заборе, которые хорошо видны и легко
устраняемы при физической защите. Однако в ИС такие дыры не всегда заметны для
службы защиты, но о них могут знать злоумышленники.
В системе защиты лаборатории информационной
системы также возможна разработка и использование отдельных модулей защиты,
однако эффективность такой системы будет очень низкой из-за децентрализации,
плохой совместимости и повышающейся вероятности появления ошибки.
Существует комплексная система, позволяющая
обеспечить все требования по защите периметра ИС, реализующая в себе все
средства, с помощью которых достигается защищенность периметра. Эта система
может оповещать администратора безопасности о попытках взлома системы, о
попытках преодоления системы, о попытках вывода из строя системы, кто, куда и
как пытается войти, а так же о действиях персонала компании по доступу к
ресурсам сети с оповещением о превышении ими полномочий, попытках
несанкционированного доступа к ресурсу. Из чего следует, что данная система
реализует защиту сети не только извне, но и изнутри. Такой системой может
служить - межсетевой экран. Однако не стоит полагать, что задачу защиты
периметра МЭ в состоянии решить полностью, необходим комплексный подход к
решению данной задачи, путем внедрения системы обнаружения вторжения и системы
мониторинга информационной безопасности. Но в рамках данной работы будут
рассмотрены возможности по защите периметра межсетевыми экранами.
Межсетевой экран в ПАЗИ это аппаратное или
программное средство первой необходимости при подключении локальной сети к
Интернету. Межсетевые экраны способны анализировать входящий и выходящий трафик
и принимать решения о его пропуске или блокировании. При выборе типа
приобретаемого или создаваемого МЭ прежде всего следует проанализировать
существующую политику безопасности и определить службы, к которым пользователи
должны получить доступ после подключения к сети. С помощью политики
безопасности можно будет разработать стратегию МЭ и использовать маршрутизаторы
и другие методы для обеспечения безопасности сети [10].
Таким образом, в данном разделе мною определены
требования к системам защиты периметра ИС путем анализа различных подходов к
реализации таких систем, в том числе сложности, которые могут возникнуть при
организации данной защиты, а так же выбрана комплексная система защиты периметра
ИС межсетевой экран.
.2 Описание модели информационной системы
лаборатории
Использование современных
компьютерных технологий в учебном процессе при проведении лабораторных занятий
по различным дисциплинам и выполнении студенческих научно-исследовательских
работ требует наличия информационной системы, предусматривающей работу с
большими объемами информации с высоким быстродействием и разграничением
доступа.
Решение задачи информационного и программного
обеспечения учебного процесса основано на использовании высокопроизводительной
локальной вычислительной сети.
При создании ЛВС в лаборатории ПАЗИ, наиболее
подходящей является топология типа «Звезда. Это объясняется тем, что в сетях,
построенных по данному типу, обеспечивается наибольший уровень безопасности и
гарантируется отсутствие «коллизий» (столкновений данных), что в свою очередь
позволяет получить довольно высокую пропускную способность при достаточной
мощности сервера. Что касается экономического аспекта, то ввиду небольшого
расстояния между рабочими станциями и сервером (в пределах лаборатории), не
затребует сравнительно высоких затрат.
В лаборатории ПАЗИ реализован
доступ к ресурсам глобальной сети Интернет от ИВЦ. Информационно-Вычислительный
Центр Московского Энергетического Института (Технического Университета) -
общеуниверситетское подразделение, выполняющее исследования, разработку и
сопровождение распределенных информационных систем для МЭИ (ТУ). Основной целью
ИВЦ МЭИ (ТУ) является исследование и разработка передовых информационных технологий,
их внедрение для обеспечения информационных потребностей университета в
научной, учебной и административной сферах.
В настоящее время ИВЦ МЭИ (ТУ) является мощной
корпоративной компьютерной сетью, объединяющей около 2000 компьютеров по всему
университету. ИВС активно используется для обеспечения учебного процесса,
научных исследований и управления ВУЗом.
ИВЦ МЭИ (ТУ) является частью
научно-образовательной сети FREEnet, объединяющей академические сети России и
сети некоторых крупных высших учебных заведений.
Соединение с Internet обеспечивается посредством
оптоволоконного кабеля, связывающий МЭИ (ТУ) с Северной Московской опорной
сетью и опорным узлом Российского сегмента Internet на международной телефонной
станции М9, так называемой точкой обмена трафиком M9-IX. Соединение использует
технологию АТМ, позволяющую организовать множество каналов суммарной
производительностью до 155 Мбит/сек. Сейчас скорость канала, связывающего МЭИ
(ТУ) и FREEnet, составляет 10 Мбит/сек. В сутки передается и принимается около
45 Гбайт информации.
На сегодняшний день к ИВЦ МЭИ (ТУ) подключены
практически все подразделения университета, находящиеся в основных корпусах.
Ведется активная работа по подключению подразделений, находящихся в отдельных
зданиях на значительном удалении от основных корпусов.
Соединение с Internet и другими сетями
осуществляется через мощную модульную систему управления маршрутизацией CISCO
3662 фирмы CISCO Systems. Маршрутизатор CISCO 3662 обеспечивает кроме связи с
внешними сетями, маршрутизацию внутри сети университета и защиту ИВС МЭИ (ТУ)
от несанкционированного доступа.
ИВЦ МЭИ (ТУ) служит основой для различных
информационных систем, используемых в учебном процессе, активно применяется для
проведения научных исследований и обеспечения организационных аспектов
деятельности ВУЗ’а. На базе ИВС работают десятки информационных серверов
подразделений (в том числе и сервер лаборатории ПАЗИ ИББ), централизованная
общеуниверситетская служба электронной почты, Web-портал университета, мощная
информационная система ИРИС ООП, и другие информационные системы различного
назначения. Так же осуществляется задача электронной почты, так называемый ОСЭП
- это корпоративная система, предназначенная для обеспечения информационного
обмена между преподавателями, сотрудниками, студентами и аспирантами
университета. Таким образом, ОСЭП позволяет организовать единое информационное
сообщество университета.
То, что ОСЭП является корпоративной системой,
определяет состав функций, предоставляемых абонентам. В частности, в состав
ОСЭП включены такие функции, как единая адресная книга университета, мощная
поисковая система, возможность отправки писем через WEB, предоставление
сведений об административных единицах и сотрудниках университета, наличие общих
папок. ОСЭП может использоваться для рассылки объявлений и официальной
информации учебного и научного управлений сотрудникам, студентам и аспирантам
ВУЗа. С помощью ОСЭП может осуществляться общение между преподавателями и
студентами [11].
Создание интерфейса
пользователей для доступа к информации и программному обеспечению выполняется в
операционной системе Windows
2008 Server. Порядок
создания информационной системы реализована в лаборатории
«Программно-аппаратной защиты информации» Института безопасности бизнеса МЭИ
(ТУ). Локальная вычислительная сеть лаборатории объединяет 16 компьютеров типа Intel
PC. На сервере
установлены операционная система Windows
2008 Server, DHCP-сервер,
DNS-сервер, доменная
служба и файловая служба. Локальные компьютеры имеют операционные системы Windows-XP
с установленным браузером Internet
Explore и протоколом
обмена по сети TCP/IP. На сервере и на локальных компьютерах установлен
официальный антивирус Symantec
Endpoint
Protection.
Подробное описание оборудования
ЭВМ лаборатории ПАЗИ написано в Приложении 1. На рисунке 5 показана схема
аудитории К-303 и размещения ЭВТ, которые находится в лаборатории ПАЗИ ИББ.
Рис.5. План размещения ЭВТ в лаборатории ПАЗИ
В созданной ИС компьютерного
класса используются средства разграничения доступа и администрирования
ресурсов, предусмотренные в операционной системе Windows
2008 Server.
Распределенные данные на файловом сервере дают возможность авторам удаленно
изменять, перемещать и удалять свои файлы и каталоги, а также изменять свойства
этих файлов и каталогов на сервере. В распоряжении системного администратора
имеются программные средства, позволяющие тестировать ЛВС, следить за
используемыми ресурсами и попытками несанкционированного доступа.
2.3 Система защиты лаборатории «ПАЗИ»
При разработке системы защиты лаборатории ПАЗИ,
представленной на рисунке 6, используются ресурсы сервера ЛВС, в котором
созданы веб-сервер, файловый сервер, так же на сервере будет установлена
система обнаружения и предотвращения вторжений IDS/IPS.
В наш сервер будет поступать Интернет по выделенному каналу со статическим IP-адресом.
Также в системе защиты обязательно должен присутствовать маршрутизатор, в
котором встроены межсетевой экран и VPN-сервер
для удаленного доступа. Как видно на рисунке 7, после маршрутизатора
Интернет-трафик идет на коммутатор, который раздаёт на рабочие станции (ПК)
лаборатории. Для учебного процесса будет создан виртуальный сервер, на котором
студенты смогут выполнять различные задания, а так же можно будет проводить лабораторные
работы.
межсетевой экранирование безопасность информационный
Рис. 6. Схема ЛВС лаборатории ПАЗИ
Виртуальный сервер будет создан на сервере ЛВС,
и это позволит с безопасностью проводить занятия с заданиями как по
безопасности информационной системы, так и с попытками по выведению её из
строя. А Безопасность заключается в том, что проводя работы на виртуальном
сервере, любые изменения коснутся только виртуальной сети, а рабочая ИС ИББ
будет не затронута, что не приведёт к нарушению или сбою работы учебного
подразделения.
Как было уже написано, на главном сервере ЛВС
реализован файловый сервер. Файловый сервер - это выделенный сервер,
оптимизированный для выполнения файловых операций ввода-вывода. Так же
предназначен для хранения файлов любого типа. Как правило, обладает большим объемом
дискового пространства [2]. В пользе учебного процесса на этом сервер будут
хранится документы преподавателей к занятиям для общего пользования студентов,
так же сами студенты смогут благодаря файловому серверу оставлять свои
документы для преподавателя или обмениваться различными файлами между собой.
Для этого были создана структура хранения файлов доступная пользователям
домена. Вход в домен осуществляется по логину и паролю учётной записи.
Домен Windows - группа компьютеров одной сети,
имеющих единый центр (который называется контроллером домена), использующий
единую базу пользователей (то есть учётные записи находятся не на каждом в
отдельности компьютере, а на контроллере домена, т.н. сетевой вход в систему),
единую групповую и локальную политики, единые параметры безопасности (применимо
к томам с файловой системой NTFS), ограничение времени работы учётной записи и
прочие параметры, значительно упрощающие работу системного администратора
организации, если в ней эксплуатируется большое число компьютеров. Также
становится возможным сделать для каждого аккаунта перемещаемый профиль, сетевой
путь к которому хранится в одном месте - на контроллере домена. В результате
пользователи могут работать со своим «рабочим столом», «моими документами» и
прочими индивидуально настраиваемыми элементами с любого компьютера домена [2].
При помощи домена возможно создать политику безопасности для группы
пользователей, что необходимо для проведения учебного процессе, чтобы избежать
поломок или аварий.
Также на жёстких дисках сервера будет
осуществляться резервное копирование данных сервера ЛВС и данных файлового
сервера. Резервное копирование - процесс создания копии данных на носителе
(жёстком диске, флеш - накопителе и т. д.), предназначенном для восстановления
данных в оригинальном месте их расположения в случае их повреждения или
разрушения. Резервное копирование необходимо для возможности быстрого и
недорогого восстановления информации (документов, программ, настроек и т. д.) в
случае утери рабочей копии информации по какой-либо причине.
В учебном процессе будет рассматривать данная
тема, тем самым это будет наглядным примером для студентов. На сервере
лаборатории ПАЗИ установлена одна из самых лучших программ резервного
копирования - Acronis.
Также эта программа будет использоваться для проведения занятий.
Кроме этого решаются смежные проблемы:
· дублирование данных;
· передача данных и работа с общими
документами;
В сервер ЛВС установлены 2 сетевые карты, чтобы
при помощи встроенного веб-сервера пользователи лаборатории ПАЗИ имели доступ к
ресурсам глобальной сети. В первую - будет поступать Интернет по выделенному
каналу со статическим IP-адресом,
а через вторую распространяться дальше. Веб-сервер - это сервер, принимающий
HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы,
обычно вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими
данными. Веб-сервером называют как программное обеспечение, выполняющее функции
веб-сервера, так и непосредственно компьютер (сервер), на котором это
программное обеспечение работает. Клиент, которым обычно является веб-браузер,
передаёт веб-серверу запросы на получение ресурсов, обозначенных URL-адресами.
Ресурсы это HTML-страницы, изображения, файлы, медиа-потоки или другие данные,
которые необходимы клиенту. В ответ веб-сервер передаёт клиенту запрошенные
данные. Этот обмен происходит по протоколу HTTP [2]. Но для того, чтобы
Интернетом могли пользоваться все юзеры рабочий станций лаборатории, необходимо
было создать протокол DHCP.
DHCP - это сетевой протокол, позволяющий компьютерам автоматически получать
IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный
протокол работает по модели «клиент-сервер». Для автоматической конфигурации
компьютер-клиент на этапе конфигурации сетевого устройства обращается к т. н.
серверу DHCP, и получает от него нужные параметры. Сетевой администратор может
задать диапазон адресов, распределяемых сервером среди компьютеров. Это
позволяет избежать ручной настройки компьютеров сети и уменьшает количество
ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей
TCP/IP [2].
Для раздачи Интернета на некоторое количество
компьютеров необходим сетевой коммутатор, под которым понимают устройство,
предназначенное для соединения нескольких узлов компьютерной сети в пределах
одного сегмента.
На сервере ЛВС будет установлена программная
система IDS/IPS
для защиты самого сервера от несанкционированных атак. Система обнаружения
вторжений (Intrusion Detection System (IDS)) - программное или аппаратное
средство, предназначенное для выявления фактов неавторизованного доступа
(вторжения или сетевой атаки) в компьютерную систему или сеть.
IDS всё чаще становятся необходимым дополнением инфраструктуры сетевой
безопасности. В дополнение к межсетевым экранам, работа которых происходит на
основе политики безопасности, IDS служат механизмами мониторинга и наблюдения
подозрительной активности. Они могут обнаружить атакующих, которые обошли МЭ, и
выдать отчет об этом администратору, который, в свою очередь, предпримет
дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений
не делают систему абсолютно безопасной.
Использование IDS помогает достичь нескольких
задач:
· обнаружить вторжение или сетевую
атаку;
· спрогнозировать возможные будущие
атаки и выявить уязвимости для предотвращения их дальнейшего развития.
Атакующий обычно выполняет ряд предварительных действий, таких как, например,
сетевое зондирование (сканирование) или другое тестирование для обнаружения
уязвимостей целевой системы;
· выполнить документирование
существующих угроз;
· обеспечить контроль качества
администрирования с точки зрения безопасности, особенно в больших и сложных
сетях;
· получить полезную информацию о
проникновениях, которые имели место, для восстановления и корректирования
вызвавших проникновение факторов;
· определить расположение источника
атаки по отношению к локальной сети (внешние или внутренние атаки), что важно
при принятии решений о расположении ресурсов в сети.
Система предотвращения вторжений (Intrusion
Prevention System (IPS)) программное или аппаратное средство, которое
осуществляет мониторинг сети или компьютерной системы в реальном времени с
целью выявления, предотвращения или блокировки вредоносной активности. В целом
IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит
в том, что они функционируют в реальном времени и могут в автоматическом режиме
блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS. Как уже было
сказано выше, правильное размещение систем IDS/IPS в сети не оказывает влияния
на её топологию, но зато имеет огромное значение для оптимального мониторинга и
достижения максимального эффекта от её защиты.
После проверки системы IDS/IPS
Интернет трафик из сервера ЛВС поступает на маршрутизатор. Маршрутизатор или
роутер - сетевое устройство, на основании информации о топологии сети и
определённых правил, принимающее решения о пересылке пакетов сетевого уровня
между различными сегментами сети. Обычно маршрутизатор использует адрес
получателя, указанный в пакетах данных, и определяет по таблице маршрутизации
путь, по которому следует передать данные [2]. В роутере обязательно будет
межсетевой экран, который и будет ещё одним и самым главным препятствием
несанкционированных атак как извне, так и внутри ИС. Так же МЭ будет защитой от
различных вредоносных программ.
Основной задачей сетевого экрана является защита
компьютерных сетей или отдельных узлов от несанкционированного доступа. Также
сетевые экраны часто называют фильтрами, так как их основная задача -
фильтровать (не пропускать) пакеты, не подходящие под критерии, определённые в
конфигурации [2]. Более подробное описание МЭ было написано в первой главе, в
пункте 1.2.
Так же в маршрутизаторе должен быть встроенный VPN-сервер.
VPN (Virtual Private
Network
- виртуальная частная сеть) - обобщённое название технологий, позволяющих
обеспечить одно или несколько сетевых соединений (логическую сеть) поверх
другой сети (например, Интернет). Несмотря на то, что коммуникации
осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по
публичным сетям), уровень доверия к построенной логической сети не зависит от
уровня доверия к базовым сетям благодаря использованию средств криптографии
(шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для
защиты от повторов и изменения передаваемых по логической сети сообщений).
При должном уровне реализации и использовании
специального программного обеспечения сеть VPN может обеспечить высокий уровень
шифрования передаваемой информации. При правильной настройке всех компонентов
технология VPN обеспечивает анонимность в Сети. Существуют реализации
виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день
наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное
большинство VPN решений поддерживает именно его [2].
Выше указанная сетевая конфигурация позволит
провести ряд занятий по защите от вредоносных программ из вне, а так же
обеспечит безопасную работу проведения лабораторных работ в лаборатории ПАЗИ.
В нашей системе защиты лаборатории будет
использоваться маршрутизатор свыше указанными функциями. Межсетевой экран
является надежным решением для обеспечения безопасности, позволяющим защитить
офисы от различных сетевых угроз. Межсетевой экран должен поддерживать
трансляцию сетевых адресов (NAT), виртуальные частные сети (VPN),
активную сетевую безопасность, систему предотвращении вторжений (IPS),
фильтрацию Web-содержимого, антивирусную защиту и управление полосой
пропускания - и весь этот функционал реализован в едином компактном настольном
корпусе. При этом устройство может легко интегрироваться в существующую сеть.
МЭ должен обеспечивать законченное решение для
управления, мониторинга и обслуживания безопасной сети. Среди функций
управления: удаленное управление, политики управления полосой пропускания,
блокировка по URL/ключевым словам, политики доступа. Также поддерживаются такие
функции сетевого мониторинга, как уведомление по e-mail, системный журнал,
проверка устойчивости и статистика в реальном времени. МЭ должен быть оснащен
системой обнаружения и предотвращения вторжений (IDP/IPS), внутренним
антивирусом и фильтрацией Web-содержимого для проверки и защиты содержимого на
высоком уровне. Используя в устройстве, аппаратный ускоритель увеличивает
производительность IPS и антивируса, управляющей базы поиска в Web, содержащей
миллионы URL для фильтрации Web-содержимого. Сервисы обновления IPS, антивируса
и базы данных URL защищают сеть от вторжений, червей, вредоносных кодов и
удовлетворяют потребностям, учёбы по управлению доступом студентов к Интернет.
Для обеспечения эффективной защиты от угроз из Интернет необходимо, чтобы все
три базы данных, используемых МЭ, поддерживались в актуальном состоянии. В
связи с этим должна быть возможность на обновления сигнатур для каждого из
сервисов МЭ: IPS, антивирус и фильтрацию Web-содержимого. Это позволяет
обеспечить точность и актуальность баз данных МЭ.
Межсетевой экран для защиты сети должен
используют уникальную технологию IPS - компонентные сигнатуры, которые позволяют
распознавать и обеспечивать защиту, как против известных, так и против новых
атак. В результате устройство помогает при атаках (реальных или потенциальных)
значительно снизить влияние на такие важные аспекты, как полезная нагрузка,
закрытая информация, а также предотвратить распространение инфекций и
компьютерные вторжения. База данных IPS включает информацию о глобальных атак и
вторжениях, собранную на публичных сайтах. МЭ должен обеспечивать высокую
эффективность сигнатур IPS, постоянно создавая и оптимизируя сигнатуры. Эти
сигнатуры обеспечивают высокую точность обнаружения при минимальном количестве
ошибочных срабатываний.
МЭ должен позволять сканировать файлы любого
размера, используя технологию потокового сканирования. Данный метод
сканирования увеличивает производительность проверки, сокращая так называемые
«узкие места» в сети. Межсетевой экран должен используть сигнатуры вирусов от
известных надежных антивирусных компаний, например, Kaspersky Labs, при этом
существует возможность обновления сигнатур. В результате вирусы и вредоносные
программы могут быть эффективно заблокированы до того, как они достигнут
настольных или мобильных устройств.
Фильтрация Web-содержимого помогает
работодателям осуществлять мониторинг, управление и контроль использования
сотрудниками предоставленного им доступа к Интернет. МЭ должен поддерживать
несколько серверов глобальных индексов с миллионами URL и информацией в
реальном времени о Web-сайтах, что позволяет увеличить производительность и
обеспечить максимальную доступность сервиса. В межсетевом экране должны
используються политики с множеством параметров, а также белые и черные списки,
что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для
любой комбинации пользователей, интерфейсов и IP-сетей. Эти устройства также
позволяют обходить потенциально опасные объекты, включая Java-апплеты,
Java-скрипты/VBS-скрипты, объекты ActiveX и cookies, активно обрабатывая
содержимое Интернет.
Так же для полной безопасности рабочий станций,
на каждом ПК установлен антивирус. Таким образом при правильной настройке и
работы всех защитных компонентов, и правильной созданной политики безопасности,
мы получим максимально эффективную систему защиты лаборатории ПАЗИ.
При помощи созданной системы защиты можно
получить также полезную систему в учебном назначении, т.е создание виртуального
сервера, который будет необходим для выполнения различных лабораторных работ, а
также обучению студентов программе ПАЗИ. VPS (Virtual
Private
Server)
- услуга, в рамках которой пользователю предоставляется так называемый
Виртуальный выделенный сервер. В плане управления операционной системой по
большей части она соответствует физическому выделенному серверу. В частности: admin/root-доступ,
собственные IP-адреса, порты, правила фильтрования и таблицы маршрутизации.
Внутри виртуального сервера можно создавать собственные версии системных
библиотек или изменять существующие, владелец VPS может удалять, добавлять,
изменять любые файлы, включая файлы в корневой и других служебных директориях,
а также устанавливать собственные приложения или настраивать/изменять любое
доступное ему прикладное программное обеспечение. В некоторых системах
виртуализации (к примеру - VMWare и Xen) также доступны для редактирования
настройки ядра операционной системы и драйверов устройств. Виртуальный
выделенный сервер эмулирует работу отдельного физического сервера. На одной
машине может быть запущено множество виртуальных серверов. Помимо некоторых
очевидных ограничений, каждый виртуальный сервер предоставляет полный и
независимый контроль и управление, как предоставляет его обычный выделенный
сервер.
Каждый виртуальный сервер имеет свои процессы,
ресурсы, конфигурацию и отдельное администрирование. Обычно, в качестве
виртуального сервера используются свободно распространяемые версии операционных
систем UNIX и Windows
[2].
В учебном процессе лаборатории ПАЗИ будут
проводиться занятия (лабораторные работы) на темы:
· уязвимость компьютерных систем;
· политика безопасности в компьютерных
системах. Оценка защищенности;
· взаимная проверка подлинности
пользователей;
· использование виртуальных машин для
изучения операционных систем;
· анализ защищенности компьютерных
систем на основе ОС Windows 2003/XP;
· центр обеспечения безопасности
(Windows Security Center) в операционной системе Windows;
· защита от вредоносного программного
обеспечения на примере Windows Defender;
Будет проводиться занятия на изучение
антивирусных программ, практики по биометрии, сканеров безопасности, работы с
межсетевым экраном, криптографических средств защиты, защиты электронной почты
и входящего трафика, программно-аппартных комплексов, резервного копирования и
защиты от сбоев электропитания.
Тем самым все выше перечисленные занятия
необходимо будет проводить на виртуальном сервере, чтобы обезопасить ИС и
сервер, не причиняя вред ПК. Для большинства занятий потребуется межсетевой
экран, который создаёт защиту от вредоносных объектов и выполнение работ в
лаборатории ПАЗИ.
На рисунке 7 показана схема защиты периметра
лаборатории ПАЗИ при помощи средств межсетевого экранирования:
Рис.7. Схема защиты периметра лаборатории «ПАЗИ»
Выводы по второй главе
Во второй главе данной работы было проведено
обоснование требований к системе защиты периметра (лаборатории ПАЗИ) с точки
зрения обеспечения безопасности информационной сети и сточки зрения обеспечения
безопасности учебного процесса при помощи межсетевого экранирования. Мною был
произведён анализ требований к системе защиты информации, была описана модель
информационной системы лаборатории, в общем, и самое главное было разработана
уникальная система защиты для лаборатории "ПАЗИ". Также были
оптимизированы характеристики аппаратного МЭ, применяемого для построения
системы защиты периметра.
При анализе требований к защите информации были
определены общие требования к системам защиты периметра ИС путем анализа
различных подходов к реализации таких систем, в том числе сложности, которые
могут возникнуть при организации данной защиты, а так же выбрана комплексная
система защиты периметра ИС межсетевой экран.
При рассмотрении модели информационной системы
лаборатории были описаны ЛВС самой лаборатории, её структура, технические
данные, предоставляемые ИВЦ МЭИ (ТУ) и функционирование Интернета в ИС
лаборатории. Так же были рассмотрены описание оборудования ЭВМ лаборатории, их
характеристики и программное обеспечение.
Была создана система защиты лаборатории ПАЗИ, в
которой подробно описана работа каждого оборудования и программного
обеспечения. При разработке системы защиты был задействован межсетевой экран с
конкретными характеристиками, который необходим для создания защиты ИС
лаборатории при прямом назначении и при учебном процессе студентов. Для
обеспечения учебного процесса необходимо создание виртуального сервера, а для
безопасности, как внутри ИС, так извне, будет использоваться межсетевой экран,
удовлетворяющий конкретным характеристикам, описанным выше.
Глава 3. Организация использования средств
межсетевого экранирования в лаборатории
В этом разделе производится сравнительный анализ
и выбор средств межсетевого экранирования, с подходящими характеристиками,
описанными выше для внедрения в лабораторию ПАЗИ. Также в этой главе будут
разработаны рекомендации по использованию средств межсетевого экранирования по
прямому назначению и в учебном процессе. В рамках подготовки рекомендаций по
использованию средств межсетевого экранирования во второй главе приводились
основные сведения о нем, состав аппаратных средств. Все это позволит объяснить,
почему имеет смысл рассматривать возможность организации системы защиты. Так же
в данном разделе будет проводится оценка затрат на организацию системы защиты
лаборатории ПАЗИ.
.1 Сравнительный анализ и выбор средств
межсетевого экранирования
В рамках работы рассматриваются аппаратные
средства межсетевого экранирования ведущих компаний производителей. Средства
сравниваются по основным показателям и критериям выбора, рассмотренным в второй
главе данной работы с использованием метода выбора не худших систем.
Основной идеей метода выбора не худших систем
заключается в иерархическом положении критериев выбора начиная от самого
важного, заканчивая менее важным. Двигаясь в выборе от важных показателей к
менее важным, производится отбор на основе выделения явно не подходящих под
критерий показателей и исключение их из дальнейшего сравнения.
В качестве МЭ для лаборатории ПАЗИ будут
рассматриваться последние разработки следующих компаний-производителей
аппаратных средств защиты периметра:
· IBM;
· D-link;
· Cisco.
В результате выбора среди продуктов от каждой
фирмы можно выделить продукты D-link
DFL-260, IBM
Proventia
Network IPS
и Cisco 1801/K9. Стоит
отметить, что в выборе участвовал показатель «Цена», потому что необходимо
экономическое обоснование выбора того или иного продукта. Данное значение этого
показателя учитывается в итоговом подсчете преимуществ. С этой целью приводится
сравнительная таблица 1 по основным характеристикам 3-х отобранных МЭ.
Как видно из таблицы высокая цена продукта
компании IBM обоснована
высоким качеством, пропускной способностью, в данном случае рассматривается
мало пропускаемая, т.е. самая дешёвая - 10Mbps
и функциональной полнотой их продуктов. Однако наилучшим продуктом в
соотношении цена/качество является продукт компании D-link,
продукт оптимизирован для работы в сетях различной архитектуры, что является
положительном фактором в широте использования данного продукта для ХС с
классической архитектурой.
Таблица 1 Результаты сравнительного анализа
средств межсетевого экранирования
|
Характеристика
|
D-link
DFL-260
|
IBM Proventia
Network
IPS
|
Cisco 1801/K9
|
|
Класс
отказоустойчивости
|
1
класс
|
нет
|
1
класс
|
|
Контроль
на прикладном уровне с учетом состояния
|
Нет
|
Да
|
Да
|
|
Контроль
прикладного протокола
|
Да
|
Да
|
Да
|
|
Прозрачная
аутентификация Windows
|
Да
|
Да
|
Да
|
|
Пропускная
способность
|
80Mbps
|
10Mbps
|
100Mbps
|
|
Wi-Fi
|
Нет
|
Нет
|
Да
|
|
Интерфейсы
|
Ethernet 10/100BaseT (WAN)
Ethernet 10/100BaseT (DMZ) 4 x Ethernet 10/100BaseT (ЛВС)
|
2 x Ethernet 10/100BaseT (WAN)
Ethernet 10/100BaseT (DMZ) 8 x Ethernet 10/100BaseT (ЛВС)
|
ADSL (WAN)) 8 x Ethernet
10/100BaseT (LAN) ISDN BRI
|
|
Протоколирование
всех имен пользователей и приложений Web и Winsock
|
Да
|
Да
|
Нет
|
|
Поддержка
Exchange
|
Да
|
Да
|
Да
|
|
Демилитаризованная
зона
|
Да
|
Да
|
Нет
|
|
Контроль
шлюзового и клиентского трафика VPN на прикладном уровне
|
Нет
|
Да
|
Да
|
|
Обнаружение
и предотвращение несанкционированного доступа
|
Да
|
Да
|
Да
|
|
Сервер
удаленного доступа VPN и шлюз VPN
|
Да
|
Да
|
Да
|
|
VPN-клиент
|
Да
|
Да
|
Да
|
|
100-Мбит/с
порты ЛВС
|
4
|
8
|
8
|
|
Число
одновременных подключений
|
12000
|
10000
|
18000
|
|
Передача
функций отказавшего МЭ исправному устройству
|
Нет
|
Нет
|
Да
|
|
Переключение
Интернет-провайдера и объединение полосы пропускания
|
Нет
|
Да
|
Нет
|
|
Конфигурирование
Web-интерфейс
|
Да
|
Да
|
|
Web-кэширование
и proxy
|
Да
|
Нет
|
Да
|
|
Цена
|
22.000 руб.
|
150.000 руб.
|
36.000
руб.
|
|
Общее
количество недостатков систем
|
3
|
4
|
3
|
Условные обозначения:
недостатки
Без выделения - преимущества
Таким образом, для лаборатории «ПАЗИ» наиболее
приемлемым средством защиты периметра является МЭ D-link
DFL-260, однако, если
компания действительно большая и информация, которая в ней циркулирует в
защищаемой сети является жизненно важной для самой организации и ее цена
достаточно высока можно обратиться к продукту IBM
Proventia
Network IPS,
основываясь на его качестве и защищаемых способностях, но его высокая цена не
позволяет рекомендовать его широкому кругу компаний. Подробные технические
характеристики и цена МЭ D-link
DFL-260 представлены в
приложении 2.
.2 Разработка рекомендаций по использованию
средств межсетевого экранирования по прямому назначению и в учебном процессе
Защита лаборатории ПАЗИ является комплексной
проблемой и поэтому для оценки эффективности работы МЭ необходимо использовать
ряд мер по дополнительной защите, таких, как:
· система обнаружения вторжения;
· система мониторинга информационной
безопасности.
Эти меры также помогут в проведении занятий с
использование МЭ.
Системы обнаружения вторжений используются для
обнаружения некоторых типов вредоносной активности, которое может нарушить
безопасность компьютерной системы. В моей работе также рассматривается польза
данной системы, в том что можно на виртуальной ИС производить мониторинг
искусственно созданных атак. К вредоносной активности относятся сетевые атаки
против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный
доступ к важным файлам, а также действия вредоносного программного обеспечения
(компьютерных вирусов, троянских коней и червей)
Обычно архитектура IDS
включает:
· подсистему, предназначенную для
сбора событий, связанных с безопасностью защищаемой системы;
· подсистему анализа, предназначенную
для выявления атак и подозрительных действий на основе сенсоров атаки;
· хранилище, обеспечивающее накопление
первичных событий и результатов анализа;
· консоль управления, позволяющая
конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ,
просматривать выявленные подсистемой анализа инциденты.
В то же время оценку эффективности эксплуатации
межсетевого экрана проводят с помощью специализированного программного средства
- сканера безопасности, который предназначен для удаленного или локального
диагностирования элементов сети на предмет выявления в них уязвимостей. Сканеры
безопасности облегчают работу специалистов, автоматизируя процесс такого
поиска.
Сканер безопасности позволяет обнаруживать активность
программ закладок, слабые пароли пользователей, обнаруживать открытые порты,
неверную настройку межсетевых экранов, ошибки в сетевом ПО и опасные настройки
сетевых элементов. Сканер безопасности также поможет для проведения занятий в
лаборатории. Он наглядно покажет все уязвимые места виртуальной сети, созданной
студентами.
Мониторинг информационной безопасности с помощью
сканера безопасности, как и межсетевое экранирование, должен носить непрерывный
характер и сосредоточиваться на ключевых объектах сети.
Сканером безопасности можно проводить полное
сканирование сети по полному диапазону портов, с проведением тестов на
проникновение, что позволит наиболее полно провести оценку защищенности сети и
качество работы средства межсетевого экранирования.
Поэтому, чрезвычайно важно после внедрения
системы защиты корпоративной сети лаборатории ПАЗИ провести полную ее проверку
сканером безопасности. Это позволит выявить ошибки в настройках политик
безопасности межсетевого экрана и объективно оценить эффективность работы
данной системы.
В учебном процессе лаборатория ПАЗИ - это то
место, где существуют дополнительные угрозы (эмуляция). Эмуляция -
воспроизведение программными или аппаратными средствами либо их комбинацией
работы других программ или устройств. При помощи виртуального сервера, чтобы не
навредить реальной ИС студенты на своём примере смогут создать (эмулировать)
угрозы информационной сети, а при помощи средств межсетевого экранирования -
защитить информацию. Данные лабораторные практические работы наглядно покажут,
каким образом и где происходит защита сети, а так же увидят уязвимые места.
Также в лаборатории ПАЗИ будут проходить лабораторные работы на темы, которые
указаны в п.
Политика безопасности МЭ выражается в виде базы
правил и свойств. База правил - это упорядоченный набор правил, с помощью
которых проверяется каждое соединение. Если источник соединения, назначение и
тип сервиса соответствуют правилу, с соединением будет выполнено действие,
описанное в правиле. Если соединение не соответствует ни одному из правил, оно
блокируется в соответствии с принципом «Что специально не разрешено, всегда
запрещено». МЭ позволяет администратору определять политику безопасности для
каждого пользователя, где не только источник соединения, назначения и сервис может
быть аутентифицирован. Более того, соединения могут быть разрешены или
запрещены исходя из их содержания. К примеру, почта для (или от) определенных
адресов может быть запрещена или перенаправлена, доступ может быть запрещен к
заданным URL’s и включена антивирусная проверка над передаваемыми файлами.
Антивирусная проверка является составной частью такого свойства МЭ, как
проверка содержимого потоков данных, и значительно снижает уязвимость
защищенных машин.
Проверка всех передаваемых файлов производится с
использованием встроенного антивирусного модуля. Конфигурация этого механизма
(какие файлы проверять, что делать с зараженными) полностью интегрирована в
политику безопасности (базу правил). Как только соединение установлено, МЭ
добавляет его во внутреннюю таблицу соединений. Из соображений эффективности
последующие пакеты соединения проверяются по таблице соединений, а не по базе
правил. Пакету разрешается быть переданным, только если соединение имеется в
таблице соединений.
МЭ выступает сегодня как наиболее действенное
средство управления безопасностью. При многократно возросшем трафике данных
очень важно, чтобы никакой вредоносный объект не проник в сеть компании под
видом корпоративных данных. Безусловно, нельзя уповать только на МЭ, но и
строить сетевое решение без межсетевых экранов крайне опасно. Можно без
преувеличения сказать, что МЭ сегодня - необходимое средство управления
безопасностью.
Необходимо помнить, что данные проверки нужно
проводить регулярно для поддержания системы, также необходимо проводить
регулярно проверки антивирусами на ПК. Это поможет сохранить данные и ИС
систему в безопасности. Работа с антивирусами будет также использована и в
учебном процессе для обеспечения защиты операционной системы на виртуальном
сервере и мониторинга безопасности сети.
.3 Структура и оценка затрат на организацию
системы защиты лаборатории «ПАЗИ»
Цель системы защиты лаборатории ПАЗИ на основе
МЭ, является своевременное реагирование на попытки доступа к ресурсам сети,
выявлении попыток НСД и запись в журнал событий о произошедшем инциденте.
Система защиты периметра состоит из следующих
основополагающих компонентов:
· персонал (сотрудники, студенты);
· программное обеспечение;
· аппаратное обеспечение;
· технологии взаимодействия.
На персонал (сотрудников) возлагаются задачи
планирования при внедрении системы защиты лаборатории, с учетом
аппаратно-программных средств, закупка этих средств, внедрение системы, ее
эксплуатация и поддержка. Поэтому важно организовать обучение персонала,
назначить специалистам высокого уровня достойную зарплату.
Программное обеспечение в системе защиты
периметра включает в себя:
· операционную систему ЭВМ
администратора безопасности;
· средства его антивирусной защиты;
· средства разграничения доступа к
терминалу;
· утилиты для настройки ЭВМ
администратора безопасности;
· программные средства межсетевого
экранирования.
Аппаратное обеспечение системы защиты
лаборатории ПАЗИ представляет собой выделенную ЭВМ (сервер), для использования
в качестве терминала, аппаратные средства межсетевого экранирования, а так же
необходимые сетевые компоненты для внедрения терминала и МЭ (дополнительные
роутеры, маршрутизаторы и т.п.) Компьютерный терминал электронное или
электромеханическое устройство, используемое для взаимодействия пользователя с
компьютером или компьютерной системой, его основные функции заключаются в
отображении и вводе данных [2].
Технологии взаимодействия элементов системы
защиты лаборатории это совокупность методов и инструментов для достижения
состояния защищенности периметра. Без знания технологии взаимодействия
элементов системы невозможно построить правильно работающую систему.
Затраты на организацию системы защиты
лаборатории ПАЗИ складываются из:
· стоимости программно-аппаратных
частей системы;
· затрат на обучение и выплату зарплат
сотрудникам;
· затрат на поддержание системы.
Для расчета затрат на организацию системы защиты
лаборатории ПАЗИ на основе использования МЭ необходимо воспользоваться
методикой расчета совокупной стоимости владения (TCO, Total Cost of Ownership)
т.е. суммы прямых и косвенных затрат, которые несет владелец системы за период
ее жизненного цикла. Затраты на содержание системы защиты периметра
подразделяются на единовременные и периодические. Единовременными затратами
являются затраты на закупку и настройку необходимых программно-аппаратных
частей системы. Периодические же затраты это зарплата сотрудников, работающих с
системой, а так же затраты на техническую поддержку.
Совокупная стоимость владения в общем виде
представляется в виде следующей формулы:
· совокупная стоимость владения системой защиты;
· стоимость программно-аппаратных
средств;
· кадровые издержки (оплата труда,
плата за обучение, премии, штрафы);
· затраты на техническую поддержку.
В свою очередь каждый элемент, рассмотренный в
формуле совокупной стоимости владения так же разделяется на сумму более мелких
издержек.
Например, стоимость программно-аппаратных
средств выражается как:
- стоимость ЭВМ администратора
безопасности;
- стоимость межсетевого экрана;
- стоимость лицензии на МЭ.
Величина кадровых издержек вычисляется
как сумма:
- заработная плата сотрудников;
- стоимость обучения сотрудников.
Рассчитаем совокупную стоимость
владения за первый год эксплуатации одним МЭ для защиты сегмента сети. Для
расчетов возьмем следующие показатели:
1. Стоимость ЭВМ (сервер) администратора
безопасности.
Необходимо использовать защищенный
компьютер, сертифицированный для работы с информацией ограниченного
распространения, например, на базе компьютеров Dell с
процессором Intel в
соответствии с требованиями производится ЭВМ со встроенными средствами защиты
информации. В частности, рабочие станции поставляются с аппаратно-программными
системами защиты от несанкционированного доступа (Брандмауэр Windows). В
комплект так же входит ОС на выбор заказчика, а так же набор прикладных
программ. Сервер оснащён Windows Server 2008, а
рабочие станции - Windows XP SP3. Стоимость
базовой модели такого защищенного сервера с пакетом основных программ
составляет 46.554рублей. А значит = 46.554руб. (сервер уже был
закуплен).
2. Стоимость межсетевого экрана.
Выбранный ранее межсетевой экран D-link DFL-260 без
учета стоимости лицензии стоит 22.000руб. Значит = 22.000руб
3. Стоимость годовой лицензии.
На свой продукт компания D -link установила
годовую лицензию в размере 5.000 руб. на 1 МЭ. Поэтому =5.000руб.
4. Заработная плата сотрудников.
В качестве администратора
безопасности необходимо назначить специалиста с высшим технически образованием,
опытом работы в области информационной безопасности не менее 5 лет на должности
инженера по защите информации. Средняя заработная плата таких специалистов
составляет от 23000 до 34000 рублей. Среднее значение =28.500р. В качестве помощника и
сотрудника, обеспечивающего техническую поддержку - лаборант. Заработная плата
лаборанта составляет 9.000р. Итого:
=37.500р
5. Обучение сотрудников.
Обучение администратора безопасности работе с
новым средством защиты периметра по специальности «Безопасность сетей на базе
устройств D-link
в учебном центре компании «Информзащита»
Стоимость обучения
40.000руб. = 40.000руб
6. Оплата труда службы технической
поддержки.
В данном примере обязанности по восстановлению
системы лежат на администраторе безопасности, а значит, данный показатель уже учтен.
Таким образом совокупная стоимость владения
системой защиты периметра с применением демилитаризованной зоны и защищенной
подсетью на основе использования межсетевого экрана D-link DFL-260
используемый по прямому назначению и в учебном процессе:
.000 + 5.000 + 37.500*12 + 40.000 = 517.000руб.
в первый год эксплуатации
Заключение
Защита периметра информационной сети лаборатории
ПАЗИ является первоочередной задачей, поскольку наибольшее количество угроз
безопасности находится во внешней незащищенной сети. Целью данной работы
являлась - организация использования средств межсетевого экранирования в
информационной системе ИББ и анализ их эффективности.
Для достижения цели в дипломной работе решались
следующие задачи:
· анализ роли и места средств межсетевого
экранирования в общей СЗИ;
· провести моделирование
информационной системы лаборатории «ПАЗИ»;
· провести анализ, классификацию и
выбор МЭ;
· разработать рекомендации по
использованию средств межсетевого экранирования в СЗИ лаборатории;
· обосновать затраты на систему защиты
лаборатории «ПАЗИ».
В результате выполнения поставленной цели в
рамках работы были выполнены следующие задачи.
В первой главе проводился анализ характеристики
угроз безопасности информационной системы ВУЗа, в данном случае Института
безопасности бизнеса. Были идентифицированы основные типы угроз, факторов,
способствующих их проявлению (уязвимостей) на информационные ресурсы сети, как
внешние, так и внутренние. Анализ угроз ИБ является одним из ключевых моментов
политики безопасности любой ИС. Так же в первой главе были рассмотрены роль и
место, выполняемые функции и проанализировано использование средств межсетевого
экранирования в СЗИ. Это позволит организовать внутреннюю политику безопасности
сети ХС. В соответствии с политикой реализации межсетевых экранов определяются
правила доступа к ресурсам внутренней сети. Так же были рассмотрены различные
категории, виды МЭ и требования к ним.
Задачи, которые были описаны в первой главе,
показывают, что необходимо разработать комплекс мер по защите от проникновения
нарушителя извне и по защите от внутренних угроз.
Во второй главе данной работы было проведено
обоснование требований к системе защиты периметра (лаборатории ПАЗИ) с точки
зрения обеспечения безопасности информационной сети и сточки зрения обеспечения
безопасности учебного процесса при помощи межсетевого экранирования. Мною был
произведён анализ требований к системе защиты информации, была описана модель
информационной системы лаборатории, в общем, и самое главное было разработана
уникальная система защиты для лаборатории "ПАЗИ". Также были
оптимизированы характеристики аппаратного МЭ, применяемого для построения
системы защиты периметра.
В третьей главе проведена классификация МЭ по
способу применения, по технологии построения, а так же по методу их реализации.
Произведен выбор показателей и критериев сравнения межсетевых экранов. Для
сравнения были отобраны межсетевые экраны ведущих фирм-производителей. С
помощью метода выбора не худших систем были отобраны продукты, наиболее полно
отвечающие требованиям к защите лаборатории ПАЗИ, которые были подвержены
сравнительному анализу с целью выявления аппаратного межсетевого экрана,
удовлетворяющего наибольшему количеству требований. В результате был выбран
межсетевой экран, наиболее полно отвечающий требованиям организации защиты
лаборатории - D-link DFL-260.
Также были разработаны рекомендации по настройке межсетевого экрана, проведены
структура и оценка затрат на организацию защиты лаборатории. Так же приведены
рекомендации по оценке эффективности работы системы защиты.
Таким образом, при реализации средств
межсетевого экранирования, мы приобретаем универсальную технологию, которая
будет обеспечивать функции защиты ресурсов лаборатории от внутренних и внешних
угроз, а кроме этого это программно-техническое средство обучения.
Таким образом, рекомендации в данной работе
носят практический характер и могут быть использованы сотрудниками ЦП ИББ при
выборе и конфигурации системы защиты лаборатории ПАЗИ.
Список используемых источников
1.
Руководящий документ Государственной Технической Комиссии «Средства
вычислительной техники. Межсетевые экраны. Защита от несанкционированного
доступа к информации. Показатели защищенности от несанкционированного доступа к
информации» от 25 июля 1997 г.;
.
Лунгу М. «Угрозы безопасности для информационной системы Высшего Учебного
Заведения»; Молдавская Экономическая Академия, 2003;
.
Невский А.Ю., Баронов О.Р. «Система обеспечения информационной безопасности
хозяйствующего субъекта»;
.
Максимов В. «Межсетевые экраны. Способы организации защиты»; М.: Журнал
"КомпьютерПресс" №3, 2003;
.
William S.
Davis, David
C. Yen.
The Information
System Consultant's
Handbook: Systems
Analysis
and Design;
.
Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об
информации, информационных технологиях и о защите информации»;
.
Глоссарий.ru [Электронный документ] (http://www.glossary.ru/);
.
Яндекс.Словари [Электронный документ], (http://slovari.yandex.ru/);
.
Олгтри Т. «Firewalls. Практическое применение межсетевых экранов»; М.: ДМК
пресс, 2001;
.
ИВЦ МЭИ (ТУ), (http://icc.mpei.ru/);
.
NetConfig, «Сетевые
технологии», (http://www.netconfig.ru/server/ids-ips/);
.
Официальный сайт D-link,
(http://www.dlink.ru/);
.
А.С.Минзов, А.Ю.Невский, Н.В.Унижаев. Методика выполнения дипломных работ:
Учебное пособие/под ред. Л.М.Кунбутаева. - М.: Изд-во МЭИ, 2007г.;
.
К. Шварц. Как снизить затраты на поддержку сетей [Электронный документ] (http://www.osp.ru/cio/2008/11/5546245/).
Приложение 1
Описание оборудования персональных компьютеров и
сервера лаборатории ПАЗИ ИББ.
Рабочая станция:
Системный блок.
Корпус системного блока:
Формат корпуса: Miditower ATX
Мощность блока питания: 350W
Разъемы на лицевой панели: USB 2.0 - 2шт / Audio
out / Mic in
Дисковод: FDD 3,5"
Процессор:
Процессор: Intel®
Pentium® Dual
Core E2200
2,20 GHz/1MB-800MHz
Набор микросхем:
Intel® 945GC + Intel® ICH7
Материнская плата:
Видео: Intel®
Graphics Media Accelerator 950
Аудио: 6 -Channel
High-Definition Audio кодек
Сетевой адаптер: Интегрирован 10/100
Оперативная память:
(2X1024Mb DDR2, 800Mhz)
Жёсткий диск:
Gb 7200rpm SATAII
Оптический привод:
DVD±R/RW-CD-R/RW
Монитор
TFT Acer V193wbm black (1440*900,
160°/160°, 300кд/м,
2000:1, 5ms, spk) TCO03
Тип монитора: TFT
Диагональ, дюймы: 19"
Размер пикселя, мм: 0,284
Максимальное разрешение: 1440 x 900
Частота горизонтальной развертки: 30 - 80 КГц
Частота вертикальной развертки: 55 - 75 Гц
Соответствие стандартам: TCO03
Колонки: Есть
Контрастность: 2000:1
Яркость, cd/кв.м: 300
Время отклика, мс: 5
Угол обзора: 160° по горизонтали, 160° по
вертикали
Интерфейс: 15pin D-Sub
Вес, кг: 4,3
МышьM-SBF96
Black Optical Wheel OEM, PS/2 (953688-0600/1600)
Клавиатура Сlassic
black PS/2
ПО
Программное обеспечение: Без предустановленного
ПО
Цена: 19.703р.
Сервер
Общие
Производитель.……Dell
Физические
Тип шасси………..Tower
Габаритные размеры
,6 х 21,0 х 61,0 см
Вес
,4 кг
Электротехнические
Тип блока питания
блок питания 528 Вт
Резервирование по питанию
До 2-х блоков питания с горячей заменой
Процессор
Тип процессора
Четырехъядерный Intel® Xeon® X3323
Частота процессора………….2,5 ГГц
Количество процессоров, шт. - 1
Чипсет……………Intel® 5100
Внутренняя кэш-память, Мб - 2х3
Системная шина………….1333 МГц
Видеоподсистема
Видео………….ATI ES1000 (32MB)
Оперативная память
Тип памяти -5300 DDR2 SDRAM FBD ECC (667
МГц)
Количество слотов оперативной памяти, шт. - 6
Макс. размер оперативной памяти, Гб - 24
Объём памяти, Гб - 2x1024MB
Средства защиты памяти
Внутреннее устройство хранения……….нет
…………"4x250 (7,2К) 3,5"" SATA " контроллер……….SAS 6/iR
Внутренние дисковые отсеки
До 4 дисков 3,5'' SAS/SATA
Оптический привод…………16xDVD-ROM
Сетевой интерфейс
встроенных адаптера Broadcom® GbE NIC
Элементы отказоустойчивости
Горячая замена: жесткие диски. Резервирование:
блоки питания
Средства управления
"BMC с поддержкой IPMI 2.0; Dell™
OpenManage. Опционально: DRAC 5
Средства индикации
ЖК-экран, светодиоды
Слоты расширения
слотов: 2 х PCIe x4, 2 х PCIe x8, 1 х PCI-X
(64/133)
Порты ввода-вывода
х USB 2.0, 2 х RJ-45, 1 последовательный, 2
видеопорта
Цена: 46.554р.
Приложение 2
Описание маршрутизатора D-Link DFL-260.
Характеристика и цена оборудования
Характеристики:
Интерфейсы
· 1 порт 10/100Base-TX WAN
· 1 порт 10/100Base-TX DMZ2
· 4 порта 10/100Base-TX LAN
· Производительность3
· Производительность межсетевого
экрана 80 Мбит/с
· Количество параллельных сессий 12
000
· Политики 500
· Функции межсетевого экрана
· Прозрачный режим
· NAT, PAT
· H.323 NAT Traversal
· Политики по расписанию
· Application
Layer Gateway (ALG)
· Сетевые
функции
· DHCP клиент/север
· DHCP relay
· Маршрутизация на основе политик
· IEEE 802.1Q VLAN: до 8
· IP Multicast: IGMP v1-v3, IGMP
Snooping
· Виртуальные частные сети
· Шифрование (DES)
· Сервер PPTP/L2TP
· Hub and Spoke
· IPSec NAT Traversal
· Балансировка нагрузки
· Балансировка исходящего трафика
· Перенаправление трафика при обрыве
канала (Fail-over)
· Управление полосой пропускания
· Traffic Shaping на основе политик
· Гарантированная полоса пропускания
· Максимальная полоса пропускания
· Полоса пропускания на основе
приоритета
· Динамическое распределение полосы
пропускания
· Отказоустойчивость
· Резервирование
канала
WAN (WAN Fail-over)4
· Intrusion
Prevention (IPS)
· Автоматическое обновление шаблонов
· Защита от атак DoS, DDoS
· Предупреждение об атаках по
электронной почте
· Расширенная подписка IDP/IPS
· Фильтрация содержимого
· Тип HTTP6: URL, ключевые
слова
· Тип скриптов:
Java Cookie, ActiveX, VB
· Тип e-mail5: «Черный»
список, ключевые слова
· Внешняя база данных фильтрации
содержимого
· Антивирусная защита
· Антивирусное сканирование в реальном
времени
· Неограниченный размер файла
· Антивирусная защита
· Поддержка сжатых файлов
· Поставщик сигнатур: Kaspersky
· Автоматическое обновление шаблонов
Физические параметры
Питание
· 5В/3А, внешний адаптер питания
· Размеры
· 235 х 162 х 36 мм, настольный размер
· Рабочая температура
· От 0º
до 40ºС
· Температура хранения
· От -20º
до 70º
С
· Рабочая влажность
· От 5% до 95% без образования
конденсата
· MTBF
· 21 571ч
· Электромагнитная совместимость
· FCC Class A
· CE Class A
· C-Tick
· Сертификаты безопасности
· UL
· LVD (EN60950-1)
· 2DMZ-порт
настраивается пользователем.
· 3Максимальная
производительность на основе RFC 2544 (для межсетевых экранов). Фактическая
производительность зависит от условий в сети и актививрованных сервисов.
· 4Доступно,
когда DMZ-порт настроен как WAN-порт.
· 5Доступно
только для протокола SMTP.
· 6Доступно
только для протокола HTTP.
Цена: Средняя цена: 22
000 руб. от 15 403 до
24 000 руб.