Безопасность корпоративных сетей

Министерство образования и науки Российской Федерации

Уфимский Государственный Авиационный Технический Университет

Кафедра: Вычислительной техники и защиты информации

Отчет по производственной практике

на тему: Безопасность корпоративных сетей

Выполнил:

ст. гр.ЗИ-433

Ефимов И.Ю.

Проверил:

Кутдусов Ф.Х.

Уфа - 2012

Введение

В период с 28 мая по 7 июля 2012 года я проходил практику в ОАО "УМПО". За мной практически сразу была закреплена тема защиты корпоративных сетей. После ознакомления с международными и российскими стандартами безопасности, я приступил к изучению корпоративных сетей и получил достаточные знания для самостоятельного моделирования сети с использованием сетевых средств защиты.

Построение современных систем обеспечения безопасности информационных ресурсов корпоративных сетей основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности. В тоже время комплексный подход, используемый в современных концепциях информационной безопасности, основывается на практическом опыте компаний, специализирующихся на предоставлении услуг по защите информации.

Для достижения наибольшей эффективности средства защиты должны адекватно защищать информацию, в соответствии с ее ценностью в корпорации. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации телекоммуникационных сетей и информационных технологий.

1. Сведения о структуре корпоративной сети

На рисунке 1 проиллюстрирован общий случай, отличающийся тем, что структуры основного и удаленного фрагментов совпадают (по функциям они различны - в основном фрагменте реализуется централизованное управление сетью связи). Как правило, данные фрагменты имеют различную сложность. При этом следует отметить, что упрощение структуры сети состоит в части уменьшения сложности удаленных фрагментов, с переносом соответствующих функций на элементы основного фрагмента, (соответственно с его усложнением), что, прежде всего, имеет место для следующих элементов:

• информационные серверы (с точки зрения обеспечения безопасности сети имеет смысл сконцентрировать все информационные серверы, обеспечивая для них необходимую защиту организационными и техническими мероприятиями);

• администрирование всеми функциональными подсистемами для корпоративных сетей, использующих ограниченное число дополнительных средств реализации функциональных подсистем (например, маршрутизаторов) может быть сконцентрировано в основном фрагменте;

• подключение к общедоступным сервисам (сеть Интернет) осуществляется с выделенных рабочих мест основного фрагмента (здесь используются соответствующие средства защиты, подключения к глобальным сетям в общем случае отличные от остальных).

Рисунок 1 - Обобщенная структура корпоративной сети

С учетом сказанного, из рисунка 1 имеем упрощенную структуру корпоративной сети, структура которой приведена на рисунке 2.

Рисунок 2 - Система управления корпоративной сетью

Замечание

Именно структура корпоративной сети, приведенная на рисунке 2, может быть рекомендована как типовая для большинства мелких и средних корпораций (структура сети, приведенная на рисунке 1 предполагает реализацию сети для очень разветвленной инфраструктуры корпорации).

2. Практическая часть

В ходе изучения корпоративных сетей, была использована архитектура SAFE компании CISCO, которая рассматривает вопросы безопасности корпоративных сетей. Главная цель архитектуры Cisco для безопасности корпоративных сетей (SAFE) состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания защищенных сетей. SAFE призвана помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. SAFE исходит из принципа глубоко эшелонированной обороны сетей от внешних атак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается на продуктах компании Cisco и ее партнеров. Вначале мы рассмотрим саму архитектуру SAFE. Затем следует подробное описание модулей, из которых состоит реальная сеть, как крупного предприятия, так и малых сетей, в том числе сетей филиалов предприятий, средних сетей и сетей удаленных и мобильных пользователей. Дизайны малых и средних сетей применяются в двух возможных вариантах. Во-первых, это может быть дизайн основной сети предприятия, которая имеет соединения с другими офисами подобных предприятий. Например, крупное юридическое агентство может построить главную сеть на основе дизайна среднего предприятия, а сети филиалов - на основе малого. Во-вторых, дизайн может быть разработан как сеть филиала, т. е. как часть сети крупного предприятия. В этом случае примером может служить крупная автомобильная компания, где дизайн крупной сети используется в штаб-квартирах, а для прочих подразделений - от филиалов до удаленных работников - применяются дизайны средних и малых предприятий.с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:

• безопасность и борьба с атаками на основе политики;

• внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);

• безопасное управление и отчетность;

• аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;

• обнаружение атак на критически важные ресурсы и подсети;

• поддержка новых сетевых приложений.

Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети - и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система обеспечения сетевой безопасности.

Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде. Тем не менее, на всем протяжении этого документа мы рассматриваем возможности ограничения сложности дизайна.

Принцип модульности

Хотя по мере роста требований большинство сетей развивается, архитектура SAFE использует открытый модульный подход. Такой подход имеет два основных преимущества: во-первых, он описывает дизайн с точки зрения защиты взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщику оценивать защищенность каждого модуля по отдельности, а не только всей системы в целом. Защищенный дизайн каждого модуля можно описать и реализовать по отдельности, а оценить в рамках всей системы.

Хотя многие сети нельзя четко разграничить на отдельные модули, такой подход дает ориентиры при внедрении в сети функций защиты. Сетевым инженерам не предлагается строить свои сети в строгом соответствии с SAFE, но рекомендуется комбинировать описанные здесь модули и использовать их в имеющихся сетях. На рисунке 3 показан первый уровень модульности SAFE. Каждый блок представляет определенную функциональную зону.

Рисунок 3 - Первый уровень модульности

Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общую схему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности.

Второй уровень модульности, показанный на рисунке 4, демонстрирует модули в каждой функциональной области. Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного модуля на схеме не обязательно соответствует его масштабу в реальной сети. Так, например, "модуль здания", представляющий устройства конечных пользователей, может включать в себя до 80% всех сетевых устройств. Дизайн безопасности каждого модуля описывается отдельно, но проверяется в комплексе, т. е. в составе всей корпоративной системы.

Рисунок 4 - Блок схема корпоративной системы SAFE

Хотя большинство существующих корпоративных сетей нелегко разделить на отдельные модули, этот подход позволяет реализовать разные функции безопасности по всей сети. Авторы не думают, что сетевые инженеры будут проектировать сети, идентичные схеме SAFE. Скорее всего они будут пользоваться сочетанием описанных модулей, интегрированных в существующую сеть.

Цель - маршрутизаторы

Маршрутизаторы контролируют доступ из любой сети к любой сети. Они рекламируют сети и определяют тех, кто может получать к ним доступ. Поэтому потенциально маршрутизатор - это "лучший друг хакера". Безопасность маршрутизаторов является критически важным элементом любой системы сетевой безопасности. Основной функцией маршрутизаторов является предоставление доступа, и поэтому маршрутизаторы нужно обязательно защищать, чтобы исключить возможность прямого взлома. Вы можете обратиться и к другим документам, где описана защита маршрутизаторов. Эти документы более детально рассматривают следующие вопросы:

• блокировка доступа к маршрутизатору из сетей связи общего доступа;

• блокировка доступа к маршрутизатору через протокол SNMP;

• управление доступом к маршрутизатору через TACACS+;

• отключение ненужных услуг;

• вход в систему на определенных уровнях;

• аутентификация обновлений маршрутов.

Цель - коммутаторы

Коммутаторы (обычные и многоуровневые), как и маршрутизаторы, имеют свои требования к безопасности. Однако данные об угрозах для безопасности коммутаторов и о смягчении этих угроз распространены гораздо меньше, чем аналогичные данные для маршрутизаторов. Большинство соображений, приведенных в предыдущем разделе для маршрутизаторов, годятся и для коммутаторов. Кроме того, в случае с коммутаторами вы должны предпринимать следующие меры предосторожности:

• Если порт не должен подключаться к транку, то параметры транковых соединений на нем должны не устанавливаться в положение "auto", а отключаться (off). В результате хост не сможет стать транковым портом и получать трафик, который обычно поступает на такой порт.

• Убедитесь в том, что транковые порты используют уникальный номер VLAN (виртуальной локальной сети), который не используется ни в каком другом месте этого коммутатора. В результате пакеты, имеющие метку с тем же номером, будут передаваться в другую сеть VLAN только через устройство

• Объедините все неиспользуемые порты коммутатора в сеть VLAN, которая не имеет выхода на Уровень 3. Будет еще лучше, если вы вообще отключите все порты, которые реально не используются. В результате хакеры не смогут подключаться к таким портам и через них получать доступ к другим сетевым ресурсам.

• Старайтесь не использовать технологию VLAN в качестве единственного способа защиты доступа между двумя подсетями. Постоянно присутствующая вероятность ошибок, а также тот факт, что сети VLAN и протоколы маркирования VLAN разрабатывались без учета требований безопасности, - все это не позволяет рекомендовать применение этих технологий в чувствительной среде. Если вы все-таки используете сети VLAN в защищенной среде, обратите особое внимание на конфигурации и рекомендации, перечисленные выше.

В существующей сети VLAN дополнительную защиту для некоторых сетевых приложений могут дать виртуальные частные локальные сети (private VLAN). Основной принцип их работы состоит в том, что они ограничивают число портов, которым разрешается связываться с другими портами в пределах одной и той же сети VLAN. Порты, которые относятся к определенному сообществу, могут сообщаться только с другими портами того же сообщества и портами общего доступа (promiscuous ports). Порты общего доступа могут связываться с любым портом. Это позволяет минимизировать ущерб от хакерского проникновения на один из хостов. Рассмотрим в качестве примера стандартный сетевой сегмент, состоящий из web-сервера, сервера FTP и сервера доменных имен (DNS). Если хакер проник на сервер DNS, для работы с двумя другими серверами ему уже не нужно преодолевать межсетевой экран. Но если у вас имеются виртуальные локальные частные сети, то в случае проникновения хакера на одну из систем она не сможет связываться с другими системами. Единственными целями для хакера остаются хосты, находящиеся по другую сторону межсетевого экрана.

Цель - хосты

Хост является наиболее вероятной целью хакерской атаки. Кроме того, хост создает самые сложные проблемы для обеспечения безопасности. Существует множество аппаратных платформ, операционных систем и приложений - и все это периодически обновляется, модернизируется и корректируется, причем в разные сроки. Поскольку хосты предоставляют другим хостам услуги по требованию, их очень хорошо видно в сети. К примеру, многие посещали сайт Белого Дома #"564517.files/image005.gif">

Рисунок 5 - Пробная схема корпоративного кампуса

Модуль управления на рисунке 5 и 6 поддерживает управление конфигурацией практически всех сетевых устройств с помощью двух базовых технологий: маршрутизаторов Cisco IOS, действующих в качестве терминальных серверов, и сетевого сегмента, специально выделенного для управления. Маршрутизаторы выполняют функцию reverse-telnet для доступа к консольным портам на устройствах Cisco по всей корпорации. Более широкие функции управления (изменения ПО, обновления содержания, обобщение лог-данных и сигналов тревоги, управление SNMP) поддерживаются с помощью выделенного сегмента сетевого управления. Все остающиеся неуправляемые устройства и хосты (а их остается крайне мало) управляются через туннели IPSec, которые идут от маршрутизатора управления.

SSH - (англ. Secure SHell - "безопасная оболочка") - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений/- стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в компьютерных сетях, работающих по протоколу IP.

Intrusion Detection System (IDS) - Система обнаружения вторжений

AAA (от англ. Authentication, Authorization, Accounting) - используется для описания процесса предоставления доступа и контроля за ним.

Cisco IOS (от англ. Internetwork Operating System - Межсетевая Операционная Система) - программное обеспечение, используемое в маршрутизаторах Cisco, и некоторых сетевых коммутаторах. Cisco IOS - многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных.(сокращение от IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.

Корпоративный модуль Интернет

Корпоративный модуль Интернет на рисунке 7 и 8 предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Трафик с этого модуля передается в виртуальные частные сети (VPN) и на модуль удаленного доступа, где происходит терминирование VPN. Этот модуль не предназначен для поддержки приложений электронной коммерции. Более подробная информация об электронной коммерции содержится в разделе "Модуль электронной коммерции".

Основные устройства:

• Сервер SMTP - служит мостом между Интернет и серверами Интернет-почты • проверяет содержание.

• Сервер DNS - служит внешним сервером DNS для предприятия, передает в Интернет запросы внутренних пользователей.

• Сервер FTP/HTTP - предоставляет открытую информацию об организации.

• Межсетевой экран - защищает ресурсы на уровне сети и производит фильтрацию трафика.

• Устройство NIDS - поддерживает мониторинг ключевых сетевых сегментов модуля на Уровнях 4-7.

• Сервер фильтрации URL - отфильтровывает несанкционированные запросы URL, исходящие от предприятия.

Предотвращаемые угрозы

• Несанкционированный доступ - угроза ликвидируется с помощью фильтрации на уровне провайдера (ISP), периферийного маршрутизатора и корпоративного межсетевого экрана.

• Атаки на уровне приложений - ликвидируются с помощью IDS на уровне хоста и сети.

• Вирусы и "троянские кони" - ликвидируются с помощью фильтрации содержания электронной почты и системы HIDS.

• Атаки на пароли - ограничение возможностей смены паролей, контролируемых средствами операционной системы и IDS.

• Отказ в обслуживании (DoS) - борьба с этой угрозой проводится с помощью CAR на периферии ISP

и с помощью контроля установлений сессий TCP на межсетевом экране.

• IP-спуфинг - фильтрация RFC 2827 и 1918 на периферии ISP и корпоративном периферийном маршрутизаторе.

• Сниффинг пакетов - коммутируемая инфраструктура и система HIDS снижают эффективность сниффинга.

• Сетевая разведка - IDS обнаруживает попытки ведения разведки, а фильтрация на уровне протоколов снижает ее эффективность.

• Злоупотребление доверием - эта угроза снижается с помощью строгой модели доверия и за счет использования частных сетей VLAN.

• Переадресация портов - эта угроза снижается с помощью строгой фильтрации и системы HIDS.

HIDS - англ. Host-based intrusion detection system - Хостовая система обнаружения вторжений - это система обнаружения вторжений, которая ведет наблюдение и анализ событий, происходящих внутри системы.

Уровни модели OSI

.1 Прикладной уровень

.2 Представительский уровень

.3 Сеансовый уровень

.4 Транспортный уровень

.5 Сетевой уровень

.6 Канальный уровень

.7 Физический уровень- поставщик интернет-услуги - Интернет-прова́йдер

Рисунок 7 - Корпоративный модуль Интернет

Рисунок 8 - Борьба с угрозами с помощью корпоративного модуля Интернет

Условные обозначения

ДМЗ-зона и межсетевые экраны в реализации собственной архитектуры

При разработке собственной архитектуры безопасности корпоративной сети были учтена так же и демилитаризованная зона (ДМЗ) для общедоступных сервисов.

В целях обеспечения безопасности и контроля общедоступные сервисы обычно размещаются в демилитаризованной зоне (ДМЗ). ДМЗ выступает в роли промежуточной области между Интернетом и закрытыми ресурсами организации и предотвращает доступ внешних пользователей к внутренним серверам и данным. Как показано на рисунке 9, сервисы, развернутые в ДМЗ, часто включают web-сайт организации, портал для доступа партнеров, сервер электронной почты, FTP-сервер, DNS-сервер и прочие сетевые сервисы.

корпоративный сеть хакерский взлом

Рисунок 9 - Топология ДМЗ

Ниже перечислены некоторые ключевые характеристики безопасности, которые должна обеспечивать структура сети ДМЗ:

• доступность и отказоустойчивость сервисов;

• предотвращение вторжений, атак типа "отказ в обслуживании", утечек данных и мошенничества;

• обеспечение конфиденциальности пользователей, целостности и доступности данных;

• защита серверов и приложений;

• сегментация серверов и приложений.

В проекте была применена схема с раздельной защитой закрытой и открытой подсетей

Данная схема подключения, на рисунке 10, обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети. Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone).

Рисунок 10 - Схема с раздельной защитой закрытой и открытой подсетей

При проектировании корпоративной сети весь процесс разработки разбивают на три части в соответствии с предложенным фирмой Cisco Systems подходом. Компьютерные сети удобно представлять в виде трехуровневой иерархической модели, которая содержит следующие уровни:

)        уровень ядра;

)        уровень распределения;

)        уровень доступа.

Уровень ядра предназначен для высокоскоростной передачи сетевого трафика и скоростной коммутации пакетов. Поэтому на сетевых устройствах этого уровня не вводятся дополнительные технологии, отвечающие за фильтрацию или маршрутизацию пакетов, такие как списки доступа или маршрутизация по правилам. В данном курсовом проекте уровень ядра представлен маршрутизаторами уровня ядра (рисунок 1.1), которые располагаются в центральных офисах организации. Офисы разделены между и находятся в разных городах, поэтому маршрутизаторы ядра объединены между собой с помощью технологии глобальных сетей MPLS. К узловым маршрутизаторам регионов через коммутаторы подключены маршрутизаторы доступа в интернет, образуя демилитаризованную зону, через которую осуществляется выход в Интернет.

МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. МЭ основное название, определенное в РД Гостехкомиссии РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand - пожар, mauer - стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара.

МЭ выполняет подобную функцию для компьютерных сетей.

По определению МЭ служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации.

Рисунок 11 - Типовое размещение МЭ в корпоративной сети

МЭ, как контрольного пункта, являются:

• Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть

• Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети

Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение - пропустить дальше, перебросить за экран, блокировать или преобразовать данные.

Рисунок 12 - Схема фильтрации в МЭ

Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ.

Заключение

Список использованных источников

. Биячуев Т.А. / под ред. Л.Г.Осовецкого / Безопасность корпоративных сетей. - СПб: СПб ГУ ИТМО, 2004.- 161 с.

. Решения компании Cisco Systems по обеспечению безопасности корпоративных сетей (издание II) /Cisco sistems; Сост. М. Кадер - Inc. in the U.S. and certain other countries.- 100 с.

. Обзор архитектуры безопасности /Cisco systems - Inc. in the U.S. and certain other countries.- 35 с.

Приложение A