Забезпечення інформаційної безпеки мультисервісної мережі коворкінг-центру 'Репортер'

КУРСОВА РОБОТА

Забезпечення інформаційної безпеки мультисервісної мережі коворкінг-центру "Репортер"

ВСТУП

Ково́ркінг (англ. <#"792267.files/image001.gif">

Рис. 1.1 Cisco Security Wheel

У основі цього представлення лежить корпоративна політика безпеки (Corporate Security Policy), на яку спираються чотири складові :

·     Secure (Забезпечення безпеки) - реалізація спроектованих процесів і технологій, спрямованих на забезпечення безпеки.

·              Monitor (Моніторинг) - процеси і технології безпеки потребують моніторингу з метою оцінювання працездатності і ефективності системи безпеки, виявлення і фіксації порушень і вторгнень.

·              Test (Перевірка) - фаза тестування включає перевірку процесів на адекватність, стійкість і передбачуваність. Завжди краще самому виявити слабкості у своїй системі безпеки, ніж дозволити це іншим.

·              Improve (Поліпшення системи) - розробка нового дизайну мережі, впровадження нових технологій, оновлення устаткування, його ПЗ і конфігурацій.

Згідно [4], перш ніж проектувати реальну схему захисту мережі, слід виробити адекватну політику безпеки, що визначає ряд моментів :

·     План придбань і реалізацій по забезпеченню безпеки;

·              Допустимі і заборонені технології;

·              План дій на випадок інцидентів;

·              Допустима поведінка персоналу;

·              Санкції на порушення;

·              Ієрархію відповідальності за реалізацію, підтримку, аудит, моніторинг;

·              Напрям подальшого розвитку системи безпеки.

Політика безпеки - цей формальний виклад правил, яким повинні підкорятися особи, що дістають доступ до корпоративної технології і інформації [4], це ухвалений документ, що є результатом компромісу між безпекою і простотою використання, безпекою і послугами, що надаються, і, нарешті, між ціною системи і ризиками втрат[8].

Сам документ розбивається на частини - субполітики - схеми безпеки, що описують окремі елементи, такі, наприклад, як:

·     Віддалений доступ (Remote Access Policy);

·              Аутентифікацію (Authentication Policy);

·              Антивірусні засоби (Antivirus Policy);

·              Парольна політика (Password Policy) і багато що інше.

Об'єктами захисту є:

·     Устаткування - сервера, робочі станції, маршрутизатори, комутатори, IP - телефони і так далі;

·              Програмне забезпечення - наприклад, операційна система на сервері або робочій станції;

·              Дані, що представляють комерційну цінність для компанії.

Абсолютної безпеки добитися неможливо. Безпека і доступність - в асимптотиці речі обернено пропорційні. Завжди є причини, що викликають труднощі в захисті. Їх можна класифікувати на 3 групи.

·     Технологічні вразливості - спочатку TCP/IP винаходився без урахування будь-яких вимог безпеки. Усі операційні системи містять вразливі місця, які постійно виявляються і усуваються. Уразливість ОС несе загрозу ресурсам, якими вона управляє.

·              Слабкість політики безпеки - сюди можна віднести недолік моніторингу системи, відсутність плану відновлення у разі збою, або ж відсутність політики безпеки як такої.

·              Неправильне налаштування устаткування - використання паролів за умовчанням або ж взагалі їх відсутність, залишення непотрібних послуг і портів включеними.

1.3 Мережеві атаки

.3.1 Загрози

Загроза - це ризик втрати в результаті настання ряду подій завдяки випадку або ж чиїх - те умисних дій.

Зняття ризиків втрат від випадковості здійснюється за допомогою надмірності схеми мережі. Надмірність досягається за рахунок додавання додаткового устаткування, що призводить до збільшення ціни проекту.

Проте це неминуче, якщо ми хочемо добитися високої надійності системи. Наприклад, може буде потрібно забезпечити середній час між збоями (MTBF - mean time between fail) рівне 99.999% [12]. Це приблизно 1 година простою на 11 років роботи.

РОЗДІЛ 2. ТЕОРЕТИЧНА ЧАСТИНА

2.1 Технології безпеки даних

.1.1 Технології аутентифікації

Система S/Key, визначена в RFC 1760, є схемою генерування одноразових паролів на основі стандартів MD4 і MD5 для боротьби з перехопленням паролів. Протокол S/Key заснований на технології клієнт / сервер, де клієнтом зазвичай є персональний комп'ютер, а сервером - сервер аутентифікації. Спочатку і клієнта, і сервер треба настроїти на єдину парольну фразу і рахунок ітерації.

2.2 Безпечний дизайн Cisco SAFE

.2.1 Огляд архітектури

SAFE є архітектурою безпеки, яка покликана запобігти нанесенню хакерами серйозного збитку цінним мережевим ресурсам. Цей підхід до проектування корпоративних мереж є стійким і масштабованим. Стійкість досягається за рахунок надмірності на фізичному рівні, а масштабованість забезпечується ієрархічним підходом. Принцип модульності дозволяє враховувати політики безпеки, мережі, що складаються між різними функціональними блоками. [1,4,5].

Рис. 2.1. Модульна схема корпоративної системи SAFE

.2.2 Корпоративний кампус

Модуль управління.

Головна мета цього модуля полягає в забезпеченні безпечного управління усіма пристроями в корпоративній архітектурі SAFE. Хости управління приймають потоки звітності і інформації для лог - файлів і відправляють оновлення конфігурації і ПЗ.

Основні пристрої:

1.      Хост управління SNMP - підтримує функції управління пристроями по протоколу SNMP

2.      Хост NIDS - збирає сигнали тривоги по усіх пристроях NIDS в мережі

.        Хост(и) Syslog - отримують інформацію від міжмережевого екрану і хостів NIDS

.        Сервер контролю доступу - забезпечує аутентифікацію доступу до мережевих пристроїв за допомогою одноразових паролів

.        Сервер одноразових паролів - авторизує інформацію по одноразових паролях, що поступає з сервера контролю доступу

.        Хост системного адміністратора - забезпечує зміну конфігурації пристроїв і їх ПЗ

.        Пристрій NIDS - дозволяє моніторити потоки трафіку між хостами управління і керованими пристроями

.        Комутатор Рівня 2 - забезпечує передачу даних з керованих пристроїв тільки на маршрутизатор з функціями міжмережевого екрану.

Рис. 2.2 Модуль управління

Корпоративна мережа управління має два мережеві сегменти, які розділені маршрутизатором, що виконує роль міжмережевого екрану і пристрою термінування VPN. Сегмент, що знаходиться із зовнішнього боку, з'єднується з усіма пристроями, що потребують управління. Сегмент, що знаходиться з внутрішньої сторони, включає хости управління і маршрутизатори, які виступають термінальними серверами. Інший інтерфейс підключається до виробничої мережі, але лише для передачі захищеного засобами IPSec трафіку управління із заздалегідь визначених хостів.

Модуль ядра.

Завдання модуля ядра полягає в маршрутизації і комутації міжмережевого трафіку з як можна вищою швидкістю. Основним пристроєм є комутатор рівня 3. Архітектура SAFE не висуває ніяких особливих вимог до цього модуля. Украй важливим є правильне налаштування устаткування, але не на шкоду продуктивності.\

Рис. 2.3 Модуль ядра (розподільний модуль, модуль периферійного розподілу)

Модуль розподілу.

Цей модуль надає послуги доступу комутаторам будівлі, що включають маршрутизацію, підтримку QoS і контроль доступу. Запити про надання даних поступають на комутатори і далі у базову мережу (ядро). Трафік у відповідь слідує тим же маршруту у зворотному напрямі.

Основними пристроями також є комутатори 3 рівні.

Розподільний модуль є першою лінією оборони і запобігання атакам, джерело яких знаходиться усередині корпорації. За допомогою засобів контролю доступу знижується вірогідність отримання одним відділом конфіденційної інформації з сервера іншого відділу.

Рис. 2.4. Модуль доступу

Модуль доступу.

Головна мета цього модуля полягає в наданні послуг кінцевим користувачам.

1.      Комутатор Рівня 2

2.      Призначена для користувача робоча станція

.        IР - телефон

На робочих станціях здійснюється сканування програм на наявність вірусів. На комутаторах реалізуються вимоги по безпеці 2 - го рівня (port - security, правильне налаштування режимів роботи портів і так далі).

Серверний модуль.

Основне завдання серверного модуля полягає в наданні прикладних послуг пристроям і кінцевим користувачам. Потоки трафіку в перевіряються засобами IDS, вбудованими в комутатори Рівня 3. Основні пристрої:

1.      Комутатор Рівня 3

2.      CallManager - виконує функції маршрутизації викликів для пристроїв IP- телефонії, встановлених на підприємстві.

.        Корпоративні сервери і сервери відділів - роблять робочим станціям послуги з обробки файлів, послуги друку і DNS.

.        Сервер електронної пошти - робить корпоративним користувачам послуги SMTP і POP3.

Надійний захист дає поєднання систем HIDS, NIDS, приватних віртуальних локальних мереж (PVLAN), засобів контролю доступу і ефективних процедур системного адміністрування (включаючи установку найсвіжіших версій ПЗ і коректувальних модулів).

Рис. 2.5. Серверний модуль

Оскільки системи NIDS можуть аналізувати обмежений об'єм трафіку, дуже важливо відправляти для аналізу лише той, який найбільшою мірою схильний до хакерських атак. У різних мережах цей трафік може бути різним, але, як правило, він включає SMTP, Telnet, FTP і WWW.

Модуль периферійного розподілу.

Завдання цього модуля полягає в агрегації з'єднань різних елементів на мережевій периферії. Трафік фільтрується і спрямовується з периферійних модулів у базову мережу. Основні пристрої: Комутатори Рівня 3 - агрегують периферійні з'єднання і надають просунуті послуги.

По своїй загальній функціональності периферійний розподільний модуль схожий на розподільний модуль будівлі. Обидва модулі користуються засобами контролю доступу для фільтрації трафіку, хоча ряд можливостей мережевої периферії дозволяє периферійному розподільному модулю підтримувати додаткові функції безпеки. Для підтримки високої продуктивності обидва модулі користуються комутацією Рівня 3, але периферійний розподільний модуль має додаткові можливості в області безпеки, оскільки на мережевій периферії вимоги до продуктивності не такі високі. Периферійний розподільний модуль є останньою лінією оборони для усього трафіку, який передається з периферійного модуля на кампусний модуль. Ця лінія повинна припиняти спроби передачі пакетів з помилкових адрес і несанкціонованої зміни маршрутів, а також забезпечувати контроль доступу на рівні мережі.

аутентифікація віддалений доступ мультисервісний

РОЗДІЛ 3. ПРАКТИЧНА ЧАСТИНА

3.1 Розробка схеми мультисервісної мережі

Вимоги до мережі коворкінг-центру - забезпечення:

·     до 30 стаціонарних робочих станцій;

·              можливості безпровідного (WiFi) підключення ноутбуків до ЛОМ і Internet;

·              кабельного і безпровідного телефонного зв'язку зі збереженням їх робочих телефонних номерів;

·              резерву кабельних підключень для ноутбуків на випадок конфлікту устаткування або відсутності мережевих карт 802.11;

·              простоти і зручності підключення нових хостів;

·              високої надійності і продуктивності мережі.

Рис. 3.1 Схема мультисервісної мережі коворкінг-центру

Відповідно до наведених вимог була розроблена мережа, схема якої представлена на рис. 3.1. Маршрутизатор виконує функції маршрутизації трафіку між VLAN, відповідає за управління встановленням з'єднання телефонних викликів, є міжмережевим екраном і забезпечує контроль внутрішнього і зовнішнього трафіку. Комутатор здійснює підключення точок прийому, пристроїв рівня доступу (робочі станції і IP-телефони), організовує віртуальні ЛОМ, надає функції QoS, забезпечує безпеку на рівні портів.

Точки прийому здійснюють підключення пристроїв рівня доступу (робочі станції і IP - телефони), надає функції QoS і безпеці.

Відповідно до необхідної функціональності було прийнято рішення використовувати наступне устаткування :

·     маршрутизатор - Cisco 2811 Integrated Services Router;

·              комутатор - Cisco 2960 Catalyst Switch;

·              точки прийому - Cisco Aironet 1231 Access Point;

Cisco 2811 Router:

·     забезпечує продуктивність різних послуг (таких як передача потокового голосу і забезпечення безпеки) на швидкості носія;

·              висока продуктивність системи;

·              підтримка більше 90 існуючих і знову створюваних модулів;

·              2 інтегрованих порти 10/100 Fast Ethernet;

·              опційна підтримка PoE (Power over Ethernet -          живлення по Ethernet);

·              вбудоване шифрування;

·              підтримка SDM (Security Device Manager) для простоти управління;

·              підтримка до 1500 VPN тунелів при використанні модуля AIM - EPII - PLUS;

·              антивірусний захист за допомогою NAC (Network Admission Control);

·              функції виявлення і запобігання вторгненню - система IPS (Intrusion Preventing System);

·              функції програмного міжмережевого екрану (IOS Firewall);

·              підтримка аналогових і цифрових голосових дзвінків;

·              опційна підтримка голосової пошти;

·              опційна підтримка Cisco CME (CallManager Express) для локальної обробки викликів (до 36 IP - телефонів);

·              опційна підтримка SRST (Survivable Remote Site Telephony) для локальної підтримки голосових викликів (до 36 IP - телефонів).

Cisco 2960 Catalyst Switch :

·     інтегрована безпека, включаючи NAC (Network Admission Control);

·              підтримка QoS;

·              48 інтегрованих портів 10/100 Fast Ethernet;

·              2 інтегрованих порти Gigabit Ethernet.

Cisco AiroNet 1231 Access Point :

·     підтримка стандартів IEEE 802.11a/b/g;

·              підтримка живлення по Ethernet;

·              підтримка засобів управління;

·              інтегровані функції безпеки.

Таблиця 3.1 Схема адресації мережі

3.2 ААА і захищений доступ до обладнання

Для аутентифікації доступу користувачів до устаткування, авторизації прав і аудиту дій необхідно спеціальним чином настроювати пристрої.

Існує декілька способів реалізації механізму ААА :

·        У мережі управління встановлюється окремий ACS (access control server) сервер, і усі пристрої проводять функції ААА через нього.

·              На одному з пристроїв (маршрутизаторі, комутаторі, точці доступу) запускається локальний ACS сервер, через який усі пристрої проводять функції ААА.

·              ААА робиться на основі локальної бази даних на кожному пристрої окремо.

ААА на основі локальної БД.

Для реалізації цієї технології потрібне [1]:

·        Включити ААА на пристрої.

·              Додати обліковий запис користувача з відповідними параметрами (ім'я, пароль, рівень привілеїв).

·              Створити листи ААА.

·              Застосувати листи ААА в потрібних місцях.

Router#conf terminal(config)#aaa new - model(config)#username test privilege 15 secret test(config)#aaa authentication login logina1 local(config)#aaa authorization exec execa2 local(config)#line vty 0 4(config - line)#login authentication logina1(config - line)#authorization exec execa2

ВИСНОВКИ

Курсова робота виконана у відповідності до технічного завдання. Її мета - забезпечення інформаційної безпеки мультисервісної мережі коворкінг-центру "Репортер" - досягнута.

В результаті виконаної роботи були проаналізовані мережеві атаки, методи протидії і захисту. Досліджені технології безпеки даних. Детально вивчена архітектура Cisco SAFE. Проаналізовані існуючі методики діагностики і аналізу мереж передачі даних.

Була запропонована архітектура мультисервісної мережі коворкінг-центру "Репортер".

Для аналізу локальних мереж високої продуктивності (до 1 Gbit/sec) використаний активний сніфер з можливістю детального аналізу захоплених пакетів.

На реальному устаткуванні в ході практичної частини робіт були відпрацьовані налаштування основних механізмів забезпечення інформаційної безпеки, випробувана запропонована методика моніторингу мереж передачі даних.

В розділі "Охорона праці" обґрунтована актуальність питань охорони праці, наводяться правила безпеки під час роботи з комп’ютером, вимоги до пожежної безпеки, електробезпеки, санітарно-гігієнічні вимоги до параметрів виробничого середовища приміщень з комп’ютерною технікою.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1.   CCSP: Cisco Certified Security Professional Certification All - in - One Exam Guide, / Robert E. Larson, Lance Cockcroft, Osborn/McGraw - Hill, 2003

2.      Платонов В. В. Программно-аппаратные средства зашиты информации :учебник для студ. учреждений высш. проф. образования /В. В.Платонов. - М.: Издательский центр «Академия», 2013. - 336 с.

3.      Doyle Jeff Routing TCP/IP (CCIE Professional Development, a detailed examination of interior routing protocols)/ Jeff Doyle, Cisco Press, 1998

4.      Кадер М. Решения компании Cisco Systems по обеспечению безопасности корпоративних сетей/ М. Кадер, Cisco Press, 2004

.        Лукацкий А. Решения Cisco для обеспечения информационной безопасности / А. Лукацкий, Cisco Press, 2005

.        CCNP BCMSN Exam Certification Guide/ David Hucaby (Building Cisco Multilayer Switching Networks), Osborne/McGraw - Hill, 2000

.        CCNP BCRAN Remote Access Study Guide, Osborne/McGraw - Hill, 2000

.        Best Damn Cisco Internetworking Book Period/ Michael E. Flannagan, Ron Fuller, Umer Khan, Wayne A. Lowson II, Keith O'Brien, Martin Walshaw, Syngress, 2003

9.      Боллапрагада Виджэй Структура операционной системы Cisco IOS <http://www.ciscopress.ru/books/Cisco_IOS.html> Inside Cisco IOS. /Виджэй Боллапрагада, Кэртис Мэрфи, Расс Уайт- М.: «Вильямс» <http://ru.wikipedia.org/w/index.php?title=%D0%92%D0%B8%D0%BB%D1%8C%D1%8F%D0%BC%D1%81_%28%D0%B8%D0%B7%D0%B4%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D1%81%D1%82%D0%B2%D0%BE%29&action=edit&redlink=1>, 2009. - С. 208.

10. Норткатт С. Зашита сетевого периметра : пер. с англ. / С.Норткатт и др. - К.:ТИД «ДС», 2010.

11.    Норткатт С. Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу / С. Норткатт, Дж. Новак, Д. Маклахлен. М.: ЛОРИ. 2001.

12.    SAFE Layer 2 Security In - Depth, [Электронный ресурс]: Ido Dubrawsky - Электрон. дан., 2004, - Режим доступа: www.cisco.com.

13.    Cisco IOS Software Configuration Guide for Cisco Aironet Access Points [Электронный ресурс]: - Электрон. дан., 2005, - Режим доступа: www.cisco.com <http://www.cisco.com>.

.        Catalyst 2960 Switch Configuration Guide [Электронный ресурс]: - Электрон. дан., 2005, - Режим доступа: www.cisco.com <http://www.cisco.com>.

15.    Cisco IOS Security Configuration Guide [Электронный ресурс]: - Электрон. дан., 2012, - Режим доступа:www.cisco.com <http://www.cisco.com>.

16. Белов Е. Б. Основы информационной безопасности / Е. Б. Белов, В. П.Лось, Р. В. Мешеряков, А.А. Шелупанов. - М.: Горячая линия-Теле- ком, 2006.

17.    БилДж. Snort 2.1. Обнаружение вторжений. - 2-е изд. / Бил Дж. и др.; пер. с англ. - М.: Бином-Пресс, 2006.

18. Cisco IOS IPS Configuration” [Электронный ресурс]: - Электрон. дан. - Cisco Systems Inc, 2004. - 1 электрон. опт. диск (CD-ROM)

19.    Cisco IOS TCP Intercept [Электронный ресурс]: - Электрон. дан. - Cisco Systems Inc, 2004. - 1 электрон. опт. диск (CD-ROM)

20.    IP Session Filtering” [Электронный ресурс]: - Электрон. дан., 2005, - Режим доступа:www.cisco.com <http://www.cisco.com/>.

.        Context - Based Access Control [Электронный ресурс]: - Электрон. дан. - Cisco Systems Inc, 2004. - 1 электрон. опт. диск (CD-ROM)

.        Eastlake D., Crocker S., Schiller J. Randomness Recommendations for Security [Электронный ресурс]: - Электрон. дан. - RFC 1750, DEC, Cybercash, MIT, 1994.

23.    Rekhter Y., Moskowitz R., Karrenberg D. Address Allocation for Private Internets [Электронный ресурс]: - Электрон. дан. - RFC, T.J. Watson Research Center, IBM Corp., Chrysler Corp., RIPE NCC, 2012.

24.    White Paper IP Telephony Security: Deploying Secure IP Telephony in the Enterprise Network [Электронный ресурс]: - Электрон. дан. - META Group Inc, 2005. - 1 электрон. опт. диск (CD-ROM)

.        Мельников В. П. Информационная безопасность и защита информации: учеб. пособие для студ. высш. учеб. заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под. ред. С. А. Клейменова. - 3-е изд., стер. - М. : Издательский центр «Академия», 2008. - 336 с.

.        Диагностика и анализ локальних сетей [Электронный ресурс]: - Электрон. дан. - КомпьютерМастер, 2012. - Режим доступа: <http://www.computermaster.ru/articles/landiagnost.html>., свободный.

.        Сети и системы телекоммуникаций: Учебное пособие / В.А. Погонин, С.Б. Путин, А.А. Третьяков, В.А. Шиганцов. М.: "Издательство Машиностроение-1", 2005. 172 с.

.        Цимбал А.А. Технологии создания распределенных систем / А. А. Цимбал, М.Л. Аншина - СПб.: Питер, 2003. - 732 с.: ил.

.        Конахович Г.Ф. Сети передачи пакетных данных. /Г.Ф. Конахович-К.: "МК-Пресс", 2006. -272с., ил.

.        Столингс В. Компьютерные системы передачи данных / В. Столингс. - М.: Вильямс, 2002. - 928 с.: ил.

.        Столингс В. Структурная организация и архитектура компьютерных систем / В. Столингс. - М.: Вильямс, 2010. - 896 с.: ил.

.        Таненбаум Э. Распределенные системы. Принципы и парадигмы. Э. Таненбаум, - СПб.: Питер,2009. - 877с., ил.

33.    Методичний посібник до виконання розділу "Охорона праці" для дипломних робіт студентам Луцького інституту розвитку людини університету "Україна". / В. Є. Караченцев.- Луцьк. Луцький інститут розвитку людини Університету "Україна", 2009.-93с.