Размещено на http://www.allbest.ru/

Министерство образования и науки Российской федерации

Северо-Кавказский Государственный Технический Университет

Кафедра защиты информации

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к курсовому проекту (работе) по дисциплине

«Технология построения защищённых автоматизированных систем»

На тему: Организация защиты ИВС предприятия на основе нескольких технологий

Автор проекта (работы) Герасимчук В.А.

090105 Комплексное обеспечение информационной

Специальность безопасности автоматизированных систем

Обозначение курсового проекта (работы)

КП - СевКавГТУ - 090105 - ДС - 071041 группа БАС - 071

Руководитель работы Граков В.И.

Ставрополь, 2011

Министерство образования и науки Российской федерации

Северо-Кавказский Государственный Технический Университет

Кафедра защиты информации

ЗАДАНИЕ

ПО КУРСОВОЙ РАБОТЕ

Студент Герасимчук В.А., группа БАС - 071

подпись, дата, инициалы, фамилия

Практическое занятие 1 Тема: Организация защиты ИВС предприятия на основе нескольких технологий

Практическое занятие 2 Исходные данные к проекту:

• Содержание пояснительной записки: введение, анализ модели незащищённой информационно-вычислительной сети предприятия, реализация информационных технологий для построения защищённой информационно-вычислительной сети предприятия, заключение
• Практическое занятие 3 Перечень графического материала 4 рисунка
• Практическое занятие 4 Литература 8 литературных источников
• Практическое занятие 5 Дата выдачи задания « » 2011 г.
• Практическое занятие 6 Срок сдачи готового проекта « » 2011 г.
• Руководитель проекта Граков В.И.
• Задание приняла к исполнению « » 2011 г.

Содержание

Введение

1. АНАЛИЗ МОДЕЛИ НЕЗАЩИЩЕННОЙ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ

1.1 Анализ современных информационно-вычислительных сетей предприятия

1.2 Построение модели незащищённой информационно-вычислительной сети предприятия

1.3 Виды удалённых и локальные атак на информационно-вычислительную сети

1.3.1 Анализ сетевого трафика

1.3.2 Подмена доверенного объекта или субъекта распределённой ВС

1.3.3 Ложный объект распределённой ВС

1.3.4 Внедрение в распределённую ВС ложного объекта путём навязывания ложного маршрута

1.3.5 Внедрение в распределённую ВС ложного объекта путём использования недостатков алгоритмов удалённого поиска

1.3.6 Использование ложного объекта для организации удалённой атаки на распределённую ВС

1.4 Методы защиты информационно-вычислительной сети предприятия

Выводы

2. РЕАЛИЗАЦИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ДЛЯ ПОСТРОЕНИЯ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ

2.1 Реализация информационных технологий защиты продуктом сетевой безопасности Check Point FireWall-1

2.1.1 Компоненты межсетевого экрана Firewall-1

2.1.2 Принципы функционирования межсетевого экрана Firewall-1

2.2 Реализация информационных технологий защиты при помощи технологии OpenVPN

2.3 Syslog как средство мониторинга информационно-вычислительной сети

2.4 Модель защищённой информационно-вычислительной сети

Выводы

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

ВВЕДЕНИЕ

Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Интернет со стороны частных лиц и различных организаций. Многие организации принимают решения по интеграции своих локальных и корпоративных сетей в Интернет. Использование Интернета в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечёт за собой необходимость построения эффективной системы защиты данных. Использование глобальной сети Интернет обладает неоспоримыми достоинствами, но, как и многие другие новые технологии, имеет и свои недостатки. Развитие глобальных сетей привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключённые к Интернету. Ежегодные потери из-за недостаточного уровня защищённости компьютеров оцениваются десятками миллионов долларов. Поэтому при подключении к Интернету локальной или корпоративной сети необходимо позаботиться об обеспечении её информационной безопасности.

Целью организации защиты ИВС предприятия несколькими технологиями является обеспечение предоставления надёжного и защищённого доступа к конфиденциальной информации для пользователей информационных ресурсов организации на территории любого предприятия, входящего в её состав, в соответствии с предоставленными пользователю полномочиями.

Основными задачами, которые должны быть решены в результате написания курсовой работы, являются:

· создание защищённой среды для надёжного и безопасного функционирования информационно-вычислительной сети в рамках предприятия;

· обеспечение безопасного информационного взаимодействия между подразделениями предприятия;

· организация защиты информационных ресурсов предприятия, как от атак извне (Интернет), так и изнутри компании.

ГЛАВА 1. АНАЛИЗ МОДЕЛИ НЕЗАЩИЩЕННОЙ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ

1.1 Анализ современных информационно-вычислительных сетей предприятия

Проблема обеспечения информационной безопасности предприятия является центральной для информационно-вычислительных сетей. Обеспечение безопасности ИВС предприятия предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования ИВС, а также попыткам модификации, хищения, вывода из строя или разрушения её компонентов, то есть защиту всех компонентов ИВС - аппаратных средств, программного обеспечения, данных и персонала.

Информация, обрабатываемая в ИВС предприятия, является особенно уязвимой, чему способствуют:

· увеличение объёмов обрабатываемой, передаваемой и хранимой в компьютерах информации;

· сосредоточение в базах данных информации различного уровня важности и конфиденциальности;

· расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;

· увеличение числа удалённых рабочих мест;

· широкое использование глобальной сети Internet и различных каналов связи;

· автоматизация обмена информацией между компьютерами пользователей.

Под угрозой информационной безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты, наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализацию угрозы принято называть атакой.

Реализация той или иной угрозы информационной безопасности предприятия может преследовать следующие цели:

· нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в ИВС, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

· нарушение целостности информации. Потеря целостности информации - угроза близкая к её раскрытию. Ценная информация может быть утрачена или обесценена путём её несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,

· нарушение (частичное или полное) работоспособности ИВС (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов сети, их модификация или подмена могут привести к получению неверных результатов, отказу компьютерной системы от потока информации или отказам при обслуживании.

Применение информационных технологий (ИТ) требует повышенного внимания к вопросам информационной безопасности. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение ИТ может оказаться экономически невыгодным в результате значительных потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.

Поэтому обеспечение информационной безопасности компьютерных систем и сетей предприятия является одним из ведущих направлений развития информационных технологий.

Реализация решений, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации в организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах предприятия.

1.2 Построение модели незащищённой информационно-вычислительной сети предприятия

Основным свойством, отличающим ИВС от автономных компьютеров, является наличие обмена информацией между сетевыми узлами, связанными линиями передачи данных.

Объединение компьютеров в компьютерные сети предприятия позволяет значительно повысить эффективность использования компьютерной системы в целом. Повышение эффективности при этом достигается за счёт возможности обмена информацией между компьютерами сети, а также за счёт возможности использования на каждом компьютере общих сетевых ресурсов (информации, внешней памяти, программных приложений, внешних устройств).

Одним из основных признаков ИВС предприятия является применение глобальных связей для объединения отдельных локальных сетей филиалов предприятия и компьютеров его удалённых сотрудников с центральной локальной сетью.

Исходя из этого, модель незащищённой информационно-вычислительной сети предприятия можно представить следующим образом (рисунок 1)



Рисунок 1 - Модель незащищённой информационно-вычислительной сети предприятия

1.3 Виды удалённых и локальные атак на информационно-вычислительную сеть

1.3.1 Анализ сетевого трафика

Анализ сетевого трафика позволяет, во-первых, изучить логику работы распределённой ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу её объектами, в момент появления этих событий. Это достигается путём перехвата и анализа пакетов обмена на канальном уровне.

Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределённой ВС. Таким образом, удалённая атака данного типа заключается в получении на удалённом объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Однако, при этом отсутствует возможность модификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удалённой атаки информации могут служить имя и пароль пользователя, пересылаемые в не зашифрованном виде по сети.

1.3.2 Подмена доверенного объекта или субъекта распределённой ВС

Одной из проблем безопасности распределённой ВС является недостаточная идентификация и аутентификация её удалённых друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия.

Для адресации сообщений в распределённых ВС используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI - это аппаратный адрес сетевого адаптера, на сетевом уровне - адрес определяется в зависимости от используемого протокола сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов ВС. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо.

Для служебных сообщений в распределённых ВС часто используется передача одиночных сообщений, не требующих подтверждения, то есть не требуется создание виртуального соединения. Атака без установленного виртуального соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов.

Посылка ложных управляющих сообщений может привести к серьёзным нарушениям работы распределённой ВС.

1.3.3 Ложный объект распределённой ВС

В том случае, если в распределённой ВС недостаточно надёжно решены проблемы идентификации сетевых управляющих устройств (например, маршрутизаторов), возникающие при взаимодействии последних с объектами системы, то подобная распределённая система может подвергнуться типовой удалённой атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. В том случае, если инфраструктура сети такова, что для взаимодействия объектов необходимо использование алгоритмов удалённого поиска, то это также позволяет внедрить в систему ложный объект. Итак, существуют две принципиально разные причины, обуславливающие появление типовой удалённой атаки "Ложный объект РВС".

1.3.4 Внедрение в распределённую ВС ложного объекта путём навязывания ложного маршрута

Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные передаются от источника к приёмнику. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Отметим, что таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в распределенных ВС применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте - ICMP (Internet Control Message Protocol), удалённо управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Важно отметить, что все описанные выше протоколы позволяют удалённо изменять маршрутизацию в сети Internet, то есть являются протоколами управления сетью.

Основная цель атаки, связанной с навязыванием ложного маршрута, состоит в том, чтобы изменить исходную маршрутизацию на объекте распределённой ВС так, чтобы новый маршрут проходил через ложный объект - хост атакующего.

Для изменения маршрутизации атакующему необходимо послать по сети определённые данными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (например, маршрутизаторов). В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются два объекта распределённой ВС, и атака перейдёт во вторую стадию, связанную с приёмом, анализом и передачей сообщений, получаемых от дезинформированных объектов РВС.

1.3.5 Внедрение в распределённую ВС ложного объекта путём использования недостатков алгоритмов удалённого поиска

В распределённой ВС часто оказывается, что её удалённые объекты изначально не имеют достаточно информации, необходимой для адресации сообщений. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические (IP-адрес, например) адреса объектов РВС. Для получения подобной информации в распределённых ВС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, и в ожидании ответов на запрос с искомой информацией.

В случае использования распределённой ВС механизмов удалённого поиска существует возможность на атакующем объекте перехватить посланный запрос и послать на него ложный ответ, где указать данные, использование которых приведёт к адресации на атакующий ложный объект. В дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.

Другой вариант внедрения в РВС ложного объекта использует недостатки алгоритма удалённого поиска и состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. Атакующему для того, чтобы послать ложный ответ, не всегда обязательно дожидаться приёма запроса (он может, в принципе, не иметь подобной возможности перехвата запроса).

1.3.6 Использование ложного объекта для организации удалённой атаки на распределённую ВС

Получив контроль над проходящим потоком информации между объектами, ложный объект РВС может применять различные методы воздействия на перехваченную информацию:

· селекция потока информации и сохранение ее на ложном объекте распределённой ВС;

· модификация информации;

· подмена информации;

· отказ в обслуживании;

Простейший способ селекции - это сохранение в файле всех получаемых ложным объектом пакетов обмена. Но данный способ перехвата информации оказывается недостаточно информативным. В пакетах обмена кроме полей данных существуют служебные поля, не представляющие в данном случае для атакующего непосредственного интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном объекте динамический семантический анализ потока информации для его селекции.

Рассмотрим два вида модификации информации:

· модификация передаваемых данных;

· модификация передаваемого кода.

Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект", является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.

Другим видом модификации может быть модификация передаваемого кода. Ложный объект, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код.

Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. Если модификация информации приводит к ее частичному искажению, то подмена - к ее полному изменению. Если в распределённой ВС не предусмотрено средств аутентификации адреса отправителя, то есть инфраструктура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов. Результат применения этой удалённой атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удалённого доступа, то есть невозможность получения удалённого доступа с других объектов РВС - отказ в обслуживании.

Вторая разновидность этой типовой удалённой атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.

1.4 Методы защиты информационно-вычислительной сети предприятия

Для того чтобы обеспечить надёжную защиту ИВС предприятия, в системе информационной безопасности должны быть реализованы самые прогрессивные и перспективные технологии информационной защиты. К ним относятся:

1. Криптографическая защита данных для обеспечения конфиденциальности, целостности и подлинности информации.

Криптография является методологической основой современных систем обеспечения безопасности информации в компьютерных системах и сетях. Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные, сделав их бесполезными для незаконных пользователей. Такие преобразования обеспечивают решение трех главных проблем защиты данных: обеспечение конфиденциальности, целостности и подлинности передаваемых или сохраняемых данных. Для реализации указанных функций используются криптографические технологии шифрования, цифровой подписи и аутентификации.

2. Технологии аутентификации для проверки подлинности пользователей и объектов сети.

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация - процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть.

Аутентификация - процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет.

После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация - процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы.

3. Технологии межсетевых экранов для защиты ИВС от внешних угроз при подключении к общедоступным сетям связи.

Межсетевой экран (МЭ) - это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. МЭ позволяет разделить общую сеть на две части (или более) и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между локальной сетью предприятия и глобальной сетью Internet.

4. Технологии виртуальных защищённых каналов и сетей VPN для защиты информации, передаваемой по открытым каналам связи.

В основе концепции построения виртуальных сетей VPN лежит следующая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, то между этими двумя узлами необходимо построить виртуальный защищённый туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети; доступ к этому виртуальному туннелю должен быть чрезвычайно затруднён всем возможным активным и пассивным внешним злоумышленниками.

5. Гарантированная идентификация пользователей путём применения токенов (смарт-карт, touch-memory, ключей для USB-портов и т. п.) и других средств аутентификации.

6. Технологии обнаружения вторжений (Intrusion Detection) для активного исследования защищённости информационных ресурсов.

Данные технологии позволяют не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты.

7. Технологии защиты от вирусов с использованием специализированных комплексов антивирусной профилактики и защиты.

Для обнаружения и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать компьютерные вирусы. Такие программы называются антивирусными.

8. Централизованное управление системой информационной безопасности на базе единой политики безопасности предприятия.

Важнейшим компонентом системы управления корпоративной сетью является система информационной безопасности. Эта система должна:

· централизованно и оперативно осуществлять управляющие воздействия на средства сетевой безопасности;

· проводить регулярный аудит и мониторинг, дающие объективную информацию о состоянии информационной безопасности для принятия оперативных решений.

9. Комплексный подход к обеспечению информационной безопасности, реализующий рациональное сочетание технологий и средств информационной защиты.

Выводы

Анализ модели незащищённой ИВС предприятия позволяет показал, что:

· Информация, обрабатываемая в ИВС предприятия, в силу определённых обстоятельств, обладает особой степенью уязвимости.

· Для существенного повышения эффективности всего процесса информатизации в организации необходимо реализовать решения, обеспечивающие безопасность информационных ресурсов предприятия.

· Обеспечение информационной безопасности ИВС предприятия является одним из ведущих направлений развития информационных технологий.

· Для построения эффективно функционирующей системы информационной безопасности на предприятии необходим комплексный подход.

ГЛАВА 2. РЕАЛИЗАЦИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ДЛЯ ПОСТРОЕНИЯ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ

2.1 Реализация информационных технологий защиты продуктом сетевой безопасности Check Point FireWall-1

Check Point Software Technologies предлагает комплексное решение, соответствующее новым и постоянно возрастающим требованиям по обеспечению безопасности ИВС предприятия. Пример организации ИВС предприятия с применением межсетевых экранов показан на рисунке 2.

Рисунок 2 - Пример организации ИВС предприятия с применением межсетевых экранов

Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1, обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удалённого доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций даёт возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций.

Возможности межсетевой экран Check Point Firewall-1:

· защита корпоративных ресурсов от внешних и внутренних злоумышленников;

· аутентификация внешних и внутренних пользователей для доступа к защищаемым ресурсам корпоративной сети и ресурсам Internet;

· поддержка более 150 сетевых сервисов, протоколов и приложений (включая, H.323, VoIP, RealAudio, Oracle SQL и т.д.);

· скрытие сетевой топологии защищаемой сети;

· защита от вирусов, враждебного мобильного кода (Java, ActiveX, ShockWave и т.д.), а также фильтрация содержания Internet-трафика;

· централизованное управление безопасностью удалённых офисов и филиалов;

· поддержка большого числа платформ;

· различные уровни доступа по управлению межсетевым экраном;

· обеспечение высокой доступности и отказоустойчивости;

· управление списками контроля доступа маршрутизаторов и серверов удалённого доступа;

· балансировка нагрузки между несколькими узлами;

· генерация большого числа различных отчётов, имеющих как графическое, так и текстовое представление.

FireWall-1 позволяет предприятию создать единую интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и дополнительные возможности:

· управление списками доступа аппаратных маршрутизаторов,

· балансировка сетевой нагрузки на серверы,

· элементы для построения систем повышенной надёжности, которые также полностью интегрируются в глобальную политику безопасности.

Работа Check Point FireWall-1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого IP протокола и высокоскоростной технологии передачи данных.

2.1.1 Компоненты межсетевого экрана Firewall-1

Межсетевой экран Check Point Firewall-1 использует трёхуровневую архитектуру и состоит из следующих компонентов (рисунок 3):

1. Firewall Module, который реализует все функции по разграничению доступа, регистрации событий, генерации сигналов тревоги и т.д.

2. Management Server, который управляет всеми подключёнными к нему модулями. При этом Management Server может управлять не только Firewall Module, но и другими компонентами, входящими в семейство решений компании CheckPoint (например, VPN Module, FloodGate Module и т.д.).

3. Консоль управления (GUI), которая реализует графический интерфейс, облегчающий управление всеми модулями, подключёнными к Management Server.

Рисунок 3 - Трёхуровневая архитектура межсетевого экрана Check Point Firewall-1.

2.1.2 Принципы функционирования межсетевого экрана Firewall-1

В зависимости от технологии обработки информации, принятой в организации, может использоваться две схемы применения межсетевого экрана Check Point Firewall-1 & VPN-1:

· локальная

· распределённая.

Первая схема предназначена для тех случаев, когда организация (как правило, небольшого размера) имеет только одну точку выхода в сети открытого доступа, которая и защищается при помощи межсетевого экрана. В этом случае целесообразно применять Firewall Internet Gateway (или VPN-1 Internet Gateway), который включает в себя Firewall (или VPN) Module и Management Server, и устанавливается на выделенном компьютере. Консоль управления (GUI) при этом устанавливается в удобном для администратора месте. В данном случае Management Server управляет только одним Firewall (или VPN) Module.

Вторая схема используется в крупных, территориально-распределённых организациях, и предполагает распределённую установку Firewall (или VPN) Module и Management Server. Модули, отвечающие за разграничение доступа к корпоративным ресурсам и построение VPN, устанавливаются в заранее определённых местах, и управляются с одного сервера управления. Как и в предыдущем случае, консоль (или несколько консолей) управления может быть установлена в любом месте. Данный вариант описывается схемой n * Firewall (VPN) Module + Enterprise Console (где n - число мест установки компонентов, входящих в семейство решений CheckPoint).

Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наивысший уровень безопасности. Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.

Тем самым предприятие выигрывает в производительности и получает возможность гибко наращивать систему, быстро и надёжно защищать новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.

Трансляция сетевых адресов (NAT) используется для организации доступа корпоративных пользователей к узлам общей сети с компьютеров защищаемой сети. Характеристики IP-пакетов, для которых используется трансляция адресов, определяются с помощью правил трансляции. Существуют два типа правил трансляции:

· исходящие;

· входящие.

Исходящие правила трансляции применяются тогда, когда инициатором соединения является абонент защищенной сети. В этом случае в исходящих IP-пакетах истинный IP-адрес отправителя заменяется на указанный в правиле трансляции мнимый IP-адрес, а входящие IP-пакеты перенаправляются отправителю на его истинный IP-адрес.

Входящие правила трансляции применяются тогда, когда инициатором соединения является сторонний абонент, например, пользователь глобальной сети, которому известен только мнимый IP-адрес получателя, заданный исходящим правилом трансляции. В этом случае входящие IP-пакеты перенаправляются получателю на его истинный IP-адрес, а исходящие IP-пакеты содержат его мнимый IP-адрес.

Для каждого исходящего правила трансляции необходимо создать правило фильтрации, разрешающее прохождение входящих IP-пакетов с истинного IP-адреса отправителя на заданные IP-адреса получателей через указанный интерфейс.

Для каждого входящего правила трансляции необходимо создать правило фильтрации, разрешающее прохождение входящих IP-пакетов с заданными параметрами с IP-адресов отправителей на истинный IP-адрес получателя.

Трансляция сетевых адресов выполняется перед применением правил фильтрации. При обработке IP-пакетов блоком криптографической защиты трансляция сетевых адресов не применяется.

Check Point Firewall-1/VPN-1 сертифицирован в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 на соответствие требованиям руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации" по 3 классу защищённости и ТУ 4257-001-47575860-08.

2.2 Реализация информационных технологий защиты при помощи технологии OpenVPN

OpenVPN --свободная реализация технологии виртуальной частной сети(VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.

Для обеспечения безопасности управляющего канала и потока данных, OpenVPN использует библиотеку OpenSSL. Благодаря этому задействуется весь набор шифров, доступных в данной библиотеке. Также может использоваться пакетная авторизация HMAC, для обеспечения большей безопасности, и аппаратное ускорение для улучшения производительности шифрования. Эта библиотека использует OpenSSL, а точнее протоколы SSLv3/TLSv1. OpenVPN используется на Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX и Microsoft Windows.

OpenVPN предлагает пользователю несколько видов аутентификации:

· Предустановленный ключ, -- самый простой метод.

· Сертификатная аутентификация, -- наиболее гибкий в настройках метод.

· С помощью логина и пароля, -- может использоваться без создания клиентского сертификата (серверный сертификат всё равно нужен).

OpenVPN проводит все сетевые операции через TCP, либо UDP порт (при выборе протокола существуют две точки зрения одна Why TCP Over TCP Is A Bad Idea и другаяTcp Over TCP Is Not So Bad-web). Также возможна работа через большую часть прокси серверов, включая HTTP, через NAT и сетевые фильтры. Сервер может быть настроен на назначение сетевых настроек клиенту. Например: IP адрес, настройки маршрутизации и параметры соединения. OpenVPN предлагает два различных варианта сетевых интерфейсов, используя драйвер TUN/TAP. Возможно создать Layer 3-based IP туннель, называемый TUN, и Layer 2-based Ethernet -- TAP, способный передавать Ethernet трафик. Также возможно использование библиотеки компрессии LZO, для сжатия потока данных. Используемый порт 1194 выделен Internet Assigned Numbers Authority для работы данной программы. Версия 2.0 позволяет контролировать несколько одновременных туннелей, в отличие от версии 1.0, позволявшей создавать только 1 туннель на 1 процесс.

Использование в OpenVPN стандартных протоколов TCP и UDP позволяет ему стать альтернативой Ipsec в ситуациях, когда Интернет-провайдер блокирует некоторые VPN протоколы.

2.3 Syslog как средство мониторинга информационно-вычислительной сети

syslog -- стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в компьютерных сетях, работающих по протоколу IP.

Протокол syslog прост:

· Отправитель посылает короткое текстовое сообщение, размером меньше 1024 байт получателю сообщения.

· Получатель при этом носит имя «syslogd», «syslog daemon», либо же, «syslog server».

Сообщения могут отправляться как по UDP, так и по TCP. Как правило, такое сообщение отсылается в открытом виде. Тем не менее, используя специальные средства (такие, как Stunnel, sslio или sslwrap), возможно шифрование сообщений и отправка их по SSL/TLS.

Syslog используется для удобства администрирования и обеспечения информационной безопасности. Он реализован под множество платформ и используется в множестве устройств. Поэтому, использование syslog позволяет обеспечить сбор информации с разных мест и хранение её в едином репозитории.

информационный вычислительный сеть трафик

2.4 Модель защищённой информационно-вычислительной сети

Используя все три выше рассмотренные технологии защиты ИВС создаём защищённую информационно-вычислительную сеть.

Размещаем сетевой экран Check Point FireWall-1 в каждой организации. Сетевой экран обладает технологией NAT что позволяет «Отрезать» внутреннею сеть организации от внешней. Таким решением решается проблема скрытия локальной сети и в свою очередь данное решение не создаёт помех работе технологии OpenVPN.

Технология OpneVPN предусматривает наличие установленного программного обеспечения сервера и клиентов.

Для организации сети по технологии VPN необходимо на все компьютеры-клиенты пред установить программное обеспечение OpenVPN-клиент.

На компьютер-сервер, располагающимся в головном офисе, устанавливается программное обеспечение OpenVPN-сервер. Затем сервер генерирует все необходимые ключи для клиентских компьютеров (согласно настройкам сервера). Настройка сервера и генерация ключей производится довольно просто. Для каждого клиентского компьютера сервер хранит отдельный файл с настройками.

Следующий шаг -- выделение в каждом представительстве организации отдельного сервера работающего под операционной системой Unix или Linux. На сервере размещается программное обеспечение Syslog. Роль данного программного обеспечение заключается в сборе отчётов о работе всех компьютеров в сети. При сбои работы серверов весь отчёт сохранится на сервере syslog. В свою очередь при взломе некоторых компьютеров в сети, как из локальной сети так и из интернета, злоумышленник сможет очистить журнал событий на взломанных компьютерах но не сможет уничтожить копию журнала на сервере syslog.

Изучение журнала syslog позволит определить причину неполадки или предотвратить вторжение на ранней стадии.

Руководствуясь описанными выше механизмами можно построить модель защищённой информационно-вычислительной сети (Рисунок 4)



Рисунок 4. Модель защищённой информационно-вычислительной сети.

Выводы

Из полученных результатов исследования технологий организации защищённой информационно-вычислительной сети предприятия, реализованных в различных средствах защиты следует, что:

1. Для организации защищённой ИВС предприятия необходимо использовать современные средств защиты информации, реализующие самые прогрессивные и перспективные технологии информационной защиты.

2. При построении и реализации системы информационной безопасности следует учитывать особенности одновременного применения различных средств защиты.

3. Для надёжной защиты информационных ресурсов предприятия необходимо реализовать систему обеспечения безопасности межсетевого взаимодействия, как внутри компании, так и с внешними сетями.

ЗАКЛЮЧЕНИЕ

В настоящее время границы информационно-вычислительной сети предприятия не определяются установленным оборудованием. Сейчас эти границы определяются в основном той политикой безопасности, которой придерживаются участники информационного обмена. На большинстве предприятий необходима реализация системы обеспечения безопасности межсетевого взаимодействия, как внутри компании, так и с внешними сетями.

Анализ модели незащищённой ИВС предприятия показал, что информация, обрабатываемая в ИВС предприятия, в силу определённых обстоятельств, обладает особой степенью уязвимости и для построения эффективно функционирующей системы информационной безопасности на предприятии необходим комплексный подход, реализующий самые прогрессивные и перспективные технологии информационной защиты. При этом в ходе построения и реализации системы информационной безопасности следует учитывать особенности одновременного применения различных средств защиты.

В ходе выполнения курсовой работы была разработана модель защищённой ИВС предприятия, включающая в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и её партнёров.

Результатами написания курсовой работы являются: создание среды для надёжного и безопасного функционирования ИВС в рамках предприятия, унифицированная между предприятиями среда информационного взаимодействия и повышение защищённости информации предприятия, как от атак извне (Интернет), так и изнутри компании.

СПИСОК ИСПОЛЬЗОВАНЫХ ИСТОЧНИКОВ

1. Амато, Вито., Основы организации сетей Cisco, том 2., испр. изд.: Пер. с англ. - М.: Издательский дом «Вильяме», 2004. - 464 с.: ил. - Парад, тит. англ., ISBN 5-8459-0561-3 (рус.).

2. Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс: учебное пособие / под ред. Н. И. Синадского. Екатеринбург: УГТУ-УПИ, 2008. 248 с., ISBN 978-5-321-01219

3. Игнатьев В.А., Информационная безопасность современного коммерческого предприятия: Монография. - Старый Оскол: ООО «ТНТ», 2005. - 448 с., ISBN 5-94178-070-2.

4. Инькова Н. А., Современные интернет-технологии в коммерческой деятельности : учеб. пособие - Москва : Издательство «Омега-Л», 2007. - 188 с. - (Библиотека высшей школы), ISBN 5-370-00054-9, - ISBN 978-5-370-00054-6.

5. Платонов В. В., Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей : учеб. пособие для студ. высш. учеб. Заведений - М. : Издательский центр «Академия», 2006. - 240 с., ISBN 5-7695-2706-4.

6. Уэнстром М., Организация защиты сетей Cisco.: Пер. с англ. - М.: Издательский дом «Вильяме», 2005. - 768 с.: ил. - Парал. тит. англ., ISBN 5-8459-0387-4 (рус.).

7. Э. Таненбаум, Компьютерные сети. 4-е изд. / СПб.: Питер, 2003. - 992 с: ил. - (Серия «Классика computer science»), ISBN 5-318-00492-Х.

8. Шаньгин В. Ф., Информационная безопасность компьютерных систем и сетей: учеб. пособие. - М.: ИД «ФОРУМ»: ИНФРА-М, 2008. - 416 с: -ил. - (Профессиональное образование), ISBN 978-5-8199-0331-5 (ИД «ФОРУМ») ISBN 978-5-16-003132-3 (ИНФРА-М).

Размещено на Allbest.ru