Защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и координаторами на них
Выявление структуры и свойств незащищённой сети, основных угроз безопасности и видов сетевых атак на систему. Формирование требований защиты. Классификация, построение и методы реализации VPN. Настройка фильтров координатора в сети с Proxy-серверами.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 21.06.2011 |
| Размер файла | 92,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
При работе с прокси-сервером выполняем следующее:
Не разрешаем прокси принимать подключения из общественных интерфейсов.
Для всех сервисов включаем протоколирование данных.
Устанавливаем обязательную аутенфикацию для всех поддерживаемых сервисов.
Устанавливаем современное ПО.
3.1 Анализ режимов безопасности сетевых интерфейсов Координатора
Правила, в соответствии с которыми производится фильтрация трафика, задаются в окнах защищенной сети, открытой сети и туннелируемых ресурсов.
Действия над защищенным трафиком между одним узлом и другими защищенными узлами полностью определяются в окне Защищенная сеть.
Открытый транзитный трафик, который не попал под действие ни одного из заданных в окне Открытая сеть фильтров, всегда блокируется.
Для локального открытого трафика, для которого не определены правила фильтрации в окне Открытая сеть, можно определить правила выбором режима (2 или 3 режим) на некотором интерфейсе.
Кроме того выбором режима на интерфейсе можно независимо от фильтров блокировать любой открытый трафик (1 режим) или пропустить любой открытый локальный трафик (4 режим).
С учетом сказанного возможны следующие режимы работы:
1 режим (Блокировать IP-пакеты всех соединений) блокирует на сетевом интерфейсе любые открытые IP-пакеты, в том числе туннелируемые. Поэтому такой режим следует использовать на интерфейсах, где открытые IP-пакеты пропускаться не должны.
2 и 3 режимы действуют только на открытый локальный и широковещательный трафик, и определяют действие - запретить или разрешить создание соединений, правила обработки которых, не заданы в локальных и широковещательных фильтрах открытой сети.
* 2 режим (Блокировать все соединения кроме разрешенных) блокирует создание любых таких соединений (установлен по умолчанию).
* 3 режим (Пропускать все исходящие соединения кроме запрещенных) пропускает исходящие и блокирует входящие соединения.
4 режим (Пропускать все соединения) также действует только на локальный трафик. Это тестовый режим, в котором разрешается создание любых локальных соединений. Компьютер в этом режиме открыт для несанкционированного доступа, в связи с чем этот режим может использоваться только для кратковременного включения.
5 режим (Пропускать IP-пакеты на всех интерфейсах без обработки) на всех интерфейсах прекращает обработку любого трафика (открытого и закрытого) модулем ViPNet. Прекращаются шифрование и расшифрования трафика, любая фильтрация трафика, трансляция IP-адресов. Информация в канале, компьютер и защищаемые сети в этом режиме открыты для несанкционированного доступа. В связи с чем этот режим также может использоваться только для кратковременного тестового включения.
По умолчанию на всех сетевых интерфейсах координатора устанавливается 2-й режим.
С целью исключения снижения уровня безопасности координатора, обслуживающего защищенную сеть, необходимо избегать установки на координатор любых служб, особенно серверов, требующих взаимодействия с открытыми ресурсами, как локальных, так и внешних сетей.
При выполнении данной рекомендации целесообразно:
на всех интерфейсах координатора защищенной сети устанавливать 2-й режим, который задан по умолчанию,
не добавлять никаких локальных и широковещательных фильтров,
при необходимости, следует задать фильтры в разделе Транзитных фильтров для разрешения создания транзитных открытых соединений в нужном направлении для требуемых типов трафика между сетями, подключенными к разным интерфейсам координатора.
Если все же требуется взаимодействие координатора с некоторыми службами в открытой сети, то в локальных фильтрах следует стремиться задавать фильтры только для исходящих соединений для конкретных протоколов с конкретными IP-адресами.
Третий режим, разрешающий исходящий локальный трафик, рекомендуется использовать только на координаторах, не обслуживающих защищенную сеть, а используемых для организации доступа из локальной сети в Интернет.
Настройки режимов безопасности производятся в окне Свойства сетевых интерфейсов на вкладке Режим. Для вызова окна Свойства сетевых интерфейсов выберите сетевой интерфейс в окне Сетевые интерфейсы и воспользуйтесь пунктом главного меню Действия -> Сетевые интерфейсы (или контекстным меню Свойства…).
Для изменения режима безопасности выберете нужный режим в списке Режим интерфейса.
Для отключения обработки трафика (открытого и закрытого) модулем ViPNet необходимо установить флажок Пропускать IP-пакеты на всех интерфейсах без обработки.
3.2 Выбор режима для сетевых интерфейсов и настройки правил фильтрации
Рассмотрим некоторые простейшие варианты использования ViPNet Coordinator:
1. Требуется обеспечить возможность взаимодействия любых компьютеров локальной сети, в том числе туннелируемых, с открытыми ресурсами Интернета, а также взаимодействие туннелируемых ресурсов с защищенными узлами.
В этом случае на всех интерфейсах следует установить 2 режим.
В окне Открытая сеть следует создать транзитное правило для диапазона адресов локальной сети на соответствующем интерфейсе (устройства 1) и всех адресов на внешнем интерфейсе (устройства 2). Для этого правила создать фильтр Все протоколы, в котором задать направление соединения от устройств 1 к устройствам 2.
Для работы туннелируемых устройств никаких дополнительных правил создавать не надо, поскольку правило по умолчанию в окне Туннелируемые ресурсы разрешает работу туннелируемых устройств (если их адреса заданы на координаторе в качестве туннелируемых) со всеми защищенными узлами, с которыми связан Ваш координатор. При таких настройках:
* координатор полностью защищен от любых видов атак из открытой внешней сети (Интернет) и из локальной сети;
* осуществляется защищенное взаимодействие с сетевыми узлами из окна
Защищенная сеть и туннелируемыми ресурсами координаторов;
* все компьютеры (туннелируемые и нетуннелируемые) внутренней (локальной) сети смогут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;
* соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут невозможны.
2. Если требуется установить какие-либо ограничения на работу пользователей локальной сети с ресурсами внешней сети (например, Интернет), то следует воспользоваться следующими рекомендациями:
Если ViPNet Coordinator используется для организации взаимодействия только защищенных компьютеров (с ПО ViPNet), то устанавливаем для всех сетевых интерфейсов 1 режим работы.
Если ViPNet Coordinator осуществляет туннелирование незащищенных компьютеров локальной сети и при этом должна быть исключена возможность работы этих и других открытых компьютеров локальной сети с открытыми ресурсами во внешней сети, то для внешних сетевых интерфейсов, устанавливаем 1 режим работы, а для внутренних - 2 режим.
Если требуются какие-либо ограничения для туннелируемых компьютеров при их взаимодействии с внешними сетевыми узлами, то в окне Туннелируемые ресурсы можно задать частные (пропускающие или блокирующие) фильтры между туннелируемыми IP-адресами и сетевыми узлами.
3. Если ViPNet Coordinator используется для организации доступа из внешней сети со стороны открытых источников к отдельным открытым ресурсам, расположенным в демилитаризованной зоне - ДМЗ (за отдельным интерфейсом координатора), то:
На всех интерфейсах следует установить 2 режим.
В транзитных фильтрах добавьте правило для всех адресов со стороны внешних интерфейсов (Устройства 1) и конкретных адресов серверов со стороны интерфейса ДМЗ. В этом правиле создайте фильтры для пропуска конкретных протоколов и портов с направлением соединения от устройств 1 к устройствам 2. Например, чтобы разрешить работу с FTP-сервером в ДМЗ достаточно задать пропускающий фильтр для TCP- протокола на 21 порт.
4. Если все же используются на координаторе какие-либо сетевые службы, которые должны работать с открытыми ресурсами локальной или внешней сети, то в этом случае:
Можно установить на соответствующем интерфейсе 3 режим, который разрешит все исходящие соединения этой службы на координаторе с открытыми ресурсами соответствующей сети. Но лучше оставить интерфейсы во 2 режиме и настроить в локальных фильтрах правила для исходящих соединений по конкретным протоколам данной службы.
3.3 Настройка фильтров координатора в сети с Proxy-серверами
На координаторе "Открытого Интернета" для сетевого интерфейса со стороны локальной сети устанавливается 1 режим (в этом режиме блокируется любой открытый трафик, как снаружи, так и изнутри локальной сети). Для сетевого интерфейса со стороны Интернет режим выбирается в зависимости от варианта установки Proxy-сервера.
Данный вариант более предпочтителен, поскольку открытый трафик Интернет на координатор не попадает. И компьютерам из нашей локальной сети запрещается доступ к Интернет-ресурсам, что и требуется в задании. Тем самым обеспечивается полная безопасность координатора.
При любом варианте:
Любой открытый пакет, поступивший снаружи сети, при его передаче внутрь сети, шифруется и инкапсулируется в единый UDP-формат IP-пакета (IP/241 или UDP). Данный пакет может быть восстановлен в исходный вид только узлом с ViPNet Client, которому он предназначен.
Поступивший изнутри сети инкапсулированный программой ViPNet Client IP-пакет Интернет-приложения преобразуется Координатором в исходный вид, поступает на Proxy- сервер и отправляется им в Интернет.
То есть при любых атаках ни один пакет из Интернета в незашифрованном виде на другие компьютеры попасть не может, а, следовательно, не может нанести и вреда.
Выводы
В данной главе была сформирована структура защищённой сети, а также произведена настройка Координатора в соответствии с предъявленными требованиями.
Для настройки Координатора потребовалось проанализировать режимы безопасности сетевых интерфейсов - правила, в соответствии с которыми производится фильтрация трафика.
Мною были выбраны подходящие настройки интерфейса и правила фильтрации для исходной незащищенной сети.
И, в самом конце рассмотрели тонкости взаимодействия Proxy-сервера и Координатора и выбрали возможные режимы работы, которые, при необходимости, можно менять.
Таким образом, в данной главе было завершено формирование защищённого туннеля для наших сетей.
Заключение
В заключении рассмотрим соответствие требованиям, поставленным в первой главе и выполнение их:
Требуется защита информационного обмена при прохождении через открытый Интернет.
Требуется защита информационного обмена внутри локальных сетей.
Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.
Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.
Для реализации предъявленных требований, действительно, достаточно установки программного обеспечения ViPNet [Координатор] только на шлюзы ЛВС, потому что весь трафик будет проходить через эти шлюзы и контролироваться.
Для выполнения предъявленных требовании необходимо установить 2 режим фильтрации трафика, при котором все соединения, кроме разрешенных, блокируются, и настроить диапазон адресов локальной сети на соответствующем интерфейсе и всех адресов на внешнем интерфейсе.
В результате этого:
координатор полностью защищен от любых видов атак из открытой внешней сети и из локальной сети;
осуществляется защищенное взаимодействие с сетевыми узлами из окна Защищенная сеть и туннелируемыми ресурсами координаторов;
все компьютеры внутренней (локальной) сети не могут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;
соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут невозможны.
соединения извне с защищенных мобильных компьютеров на компьютеры локальной сети будет возможно.
В результате, в трёх главах данной работы мы проанализировали схему незащищенной сети, выявили значимые свойства данной системы, определили основные угрозы безопасности, от которых мы будем защищать нашу систему, а также требования, которым должна соответствовать защищённая нами система и в конце сформировали модель защищаемой сети.
По итогам анализа полученной защищенной системы можно сказать, что предъявленные требования были выполнены, и организована защита нескольких локальных сетей, связанных через Internet, c Proxy-серверами и Координаторами на них, что соответствует цели данной работы.
Список литературы
1. Конев И.Р., Беляев А.В. Информационная безопасность предприятия - СПб: БХВ - Петербург 2007. - 752с.: ил.
2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов - М: Горячая линия - Телеком, 2004 - 280 с. Ил.
3. Биячуев Т.А. под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. - СПб: СПб ГУ ИТМО, 2006 - 161 с
4. Зепченков С.В., Милославкая Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. пособие для вузов. М.: Горячая линия - Телеком, 2003, - 249 с.
5. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. / Под ред. В.Ф. Шаньгина - 2-е изд., перераб. и доп. - М: Радио и связь, 2001.- 376 с.: ил.
6. Браун С. Виртуальные частные сети / С. Браун -- Н.: Лори, 2001 -- 503с.
7. Кульгин М.В. Компьютерные сети. Практика построения. Для профессионалов. 2-е изд. / М.В. Кульгин - СПб.: Питер, 2003 - 462 с.
8. Хелеби С. Принципы маршрутизации в Internet, 2-е изд. / С. Хелеби, Д. Мак-Ферсон -- М.: Издательский дом «Вильяме», 2001. -- 448 с.
9. Чирилло Д. Обнаружение хакерских атак / Д. Чирилло -- СПб.: Питер, 2003 -- 864с.
10. Норткат С. Обнаружение нарушений безопасности в сетях / С. Норткат -- М.: Вильямс, 2003 -- 448с.
11. Оголюк А.А. Технологии построения системы защиты сложных информационных систем / А.А. Оголюк, А.Ю. Щеглов - М.: Экономика и производство 2007 -- 263 с.
Размещено на Allbest.ru
Подобные документы
Структура и свойства незащищенной сети, формирование требований защиты: выявление угроз безопасности и сетевых атак на данную систему. Технологии VPN: классификация, построение, методы реализации. Настройка фильтров координатора в сети с Proxy-серверами.
курсовая работа [297,5 K], добавлен 03.07.2011Организация частной сети. Структура незащищенной сети и виды угроз информации. Типовые удаленные и локальные атаки, механизмы их реализации. Выбор средств защиты для сети. Схема защищенной сети с Proxy-сервером и координатором внутри локальных сетей.
курсовая работа [2,6 M], добавлен 23.06.2011Анализ системы распределенных локальных сетей и информационного обмена между ними через Интернет. Отличительные черты корпоративной сети, определение проблем информационной безопасности в Интернете. Технология построения виртуальной защищенной сети – VPN.
курсовая работа [3,7 M], добавлен 02.07.2011Классификация виртуальной частной сети (VPN) и требования к ее реализации. Угрозы безопасности при передаче информации, способы их исключения технологией VPN. Построение защищенного туннеля между двумя маршрутизаторами с использованием протокола IPSec.
курсовая работа [6,7 M], добавлен 03.07.2011Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.
курсовая работа [762,8 K], добавлен 21.06.2011Выявление структуры и основных свойств незащищённой сети. Основные компоненты защиты системы. Исследование способов противодействия сетевым атакам. Разработка и формирование структуры защищённой сети с использованием технологии "Открытый Интернет".
курсовая работа [1,2 M], добавлен 01.07.2011Анализ структуры незащищенной сети и выявление потенциальных угроз информационной безопасности. Исследование функции туннелирования открытого трафика локальной сети. Характеристика защиты Cisco IP-телефонии между двумя офисами и мобильными компьютерами.
курсовая работа [851,1 K], добавлен 22.06.2011Основные характеристики и особенности использования прокси-сервера в локальной сети. Способы выхода в Интернет из локальных сетей. Методы аутентификации прокси-сервером пользователя клиента, авторизация клиента для доступа к определенному контенту.
курсовая работа [887,9 K], добавлен 21.04.2019Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.
дипломная работа [2,9 M], добавлен 19.06.2014Мета застосування proxy-серверів: забезпечення доступу з комп'ютерів локальної мережі в Інтернет; кешування та стиснення даних; захист локальної мережі; анонімізація та обхід обмежень доступу. Програмний продукт Squid. Настройка Windows клієнтів.
дипломная работа [522,5 K], добавлен 28.01.2014
