Информационная защита локальных сетей с Proxy-серверами и координаторами внутри сети
Организация частной сети. Структура незащищенной сети и виды угроз информации. Типовые удаленные и локальные атаки, механизмы их реализации. Выбор средств защиты для сети. Схема защищенной сети с Proxy-сервером и координатором внутри локальных сетей.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 23.06.2011 |
Размер файла | 2,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Министерство образования и науки Российской федерации
Северо-Кавказский Государственный Технический Университет
Кафедра защиты информации
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к курсовой работе по дисциплине
"Технология построения защищенных автоматизированных систем"
На тему:
Информационная защита локальных сетей с Proxy-серверами и координаторами внутри сети
Автор проекта (работы) И. Ваплер
Специальность: 090105 Комплексное обеспечение информационной
шифр, наименование: безопасности автоматизированных систем
Руководитель работы.И. Граков
Ставрополь, 2011
Содержание
- Введение
- Глава 1. Организация частных сетей
- 1.1 Вариант организации частной сети небольшой компанией с 2 филиалами
- 1.2 Вариант организации сети учреждения с филиалами с использованием виртуальных частных сетей
- Глава 2. Изучение структуры незащищенной сети и видов угроз информации
- 2.2 Изучение незащищенной сети и требований защиты
- 2.2 Типовые удаленные и локальные атаки. Механизмы их реализации
- 2.2.1 Анализ сетевого трафика
- 2.2.2 Подмена доверенного объекта или субъекта распределенной ВС
- 2.2.3 Ложный объект распределенной ВС
- 2.2.3.1 Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута
- 2.2.3.2 Внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска
- 2.2.3.3 Использование ложного объекта для организации удаленной атаки на распределенную ВС
- Глава 3. Разработка защищенной сети
- 3.1 Выбор средств защиты
- 3.2 Общие принципы взаимодействия узлов в виртуальной сети
- 3.3 Работа узлов с использованием типа Firewall "ViPNet-координатор"
- 3.4 Формирование защищенной сети
- 3.4.1 Серверное программное обеспечение для организации защищенной сети
- 3.4.2 Схема защищенной сети с Proxy-сервером и Координатором внутри локальных сетей
- Заключение
- Список используемой литературы
Введение
Администраторы локальных сетей все чаще сталкиваются с проблемами защиты информации. Особенно важно это становится в сетях, в которых приходится работать с информацией, требующей дополнительной защиты. Это сети государственных учреждений, предприятий, связанных с выпуском определенной продукции, иных организаций, которым раскрытие внутренней информации может принести серьезный экономический ущерб. Тем более важное значение приобретает проблема в тех случаях, когда локальные сети должны быть доступны из Глобальной сети, когда к ним должны подключаться мобильные пользователи или сотрудники удаленных подразделений либо когда пользователи локальной сети" должны иметь доступ к Глобальной сети. Одним из решений этой проблемы является создание виртуальных частных сетей (Virtual Private Network - VPN). Для их создания может использоваться специальное программное обеспечение.
Исходя из информации об исходной схеме сети и необходимых мероприятиях по защите необходимо правильно выбрать средства и методы защиты информации. В нашем случае для этих целей подходит программый продукт "Vip-Net" фирмы "Инфотекс" (Москва).
Технология ViPNet предназначена для создания защищенных виртуальных сетей (VPN) в глобальных и локальных IP-сетях. В отличие от других технологий VPN, технология ViPNet обеспечивает прозрачное взаимодействие защищаемых компьютеров, независимо от способа и места подключения этих компьютеров к сети, а также типа выделяемого адреса.
При этом обеспечивается не только гарантированная защита трафика, передаваемого между компьютерами, включенными в VPN, от перехвата и модификации, путем его шифрования, но также защита самих компьютеров от сетевых атак из любой точки сети за счет интегрированных в технологию ViPNet персональных и межсетевых экранов.
Глава 1. Организация частных сетей
1.1 Вариант организации частной сети небольшой компанией с 2 филиалами
В современных условиях развития информационных технологий, преимущества создания виртуальных частных сетей неоспоримы. Но прежде чем перечислить наиболее очевидные и полезные способы организации виртуальных частных сетей, необходимо определиться с самим понятием.
Виртуальная частная сеть или просто VPN (Virtual Private Network) - это технология, при которой происходит обмен информацией с удаленной локальной сетью по виртуальному каналу через сеть общего пользования с имитацией частного подключения "точка-точка". Под сетью общего пользования можно подразумевать как Интернет, так и другую интрасеть.
Организовывая безопасные каналы передачи информации в учреждениях несправедливо не рассмотреть вариант организации полноценной частной сети.
Рисунок 1 - Организация частной сети небольшой компанией с 2 филиалами
Доступ во внешнюю сеть может осуществляться как через центральный офис, так и децентрализовано. Данная организация сети обладает следующими неоспоримыми преимуществами:
· высокая скорость передачи информации, фактически скорость при таком соединении будет равна скорости локальной сети предприятия;
· безопасность, передаваемые данные не попадают в сеть общего пользования;
· за пользование организованной сетью ни кому не надо платить, действительно капитальные вложения будут только на стадии изготовления сети.
1.2 Вариант организации сети учреждения с филиалами с использованием виртуальных частных сетей
Рисунок 2 - Организация сети учреждения с филиалами с использованием виртуальных частных сетей
В данном случае преимущества, приведенные для частных сетей, оборачиваются недостатками для виртуальных частных сетей:
· скорость передачи данных. Провайдеры могут обеспечить достаточно высокоскоростной доступ в Интернет, однако с локальной, проверенной временем 100 Мбит сетью он все равно не сравнится. Для доступа к локальному сайту предприятия, пересылки электронного письма с документом вполне достаточно скорости, которой могут обеспечить Интернет-провайдеры;
· безопасность передаваемых данных. При организации VPN передаваемая информация попадает во внешнюю сеть, поэтому об организации безопасности придется позаботиться заранее. Но уже сегодня существуют достаточно стойкие к атакам алгоритмы шифрования информации, которые позволяют владельцам передаваемых данных не беспокоиться за безопасность;
· за организованную сеть никому не надо платить. Достаточно спорное преимущество, поскольку в противовес дешевизне пользования сетью стоят большие капитальные затраты на ее создание, которые могут оказаться неподъемными для небольшого учреждения. В то же время плата за использование Интернет в наши дни сама по себе достаточно демократичная, а гибкие тарифы позволяю выбрать каждому оптимальный пакет.
Теперь разберемся с наиболее очевидными преимуществами VPN:
· масштабируемость системы. При открытии нового филиала или добавления сотрудника, которому позволено пользоваться удаленным доступом не нужно никаких дополнительных затрат на коммуникации.
· гибкость системы. Для VPN не важно, откуда вы осуществляете доступ. Отдельно взятый сотрудник может работать из дома, а может во время чтения почты из корпоративного почтового ящика фирмы пребывать в командировке в абсолютно другом государстве. Также стало возможным использовать так называемые мобильные офисы, где нет привязки к определенной местности.
· из предыдущего вытекает, что для организации своего рабочего места человек географически неограничен, что при использовании частной сети практически невозможно.
Отдельным пунктом можно выделить создание не проводных частных сетей, а беспроводных. При таком подходе можно даже рассмотреть вариант со своим спутником. Однако в этом случае начальные затраты достигают астрономических высот, скорость снижается фактически до скорости пользования всемирной паутиной, а для надежного обеспечения безопасности необходимо применять опять таки шифрование. И в итоге получаем туже виртуальную частную сеть, только с неимоверно высокими начальными затратами и затратами на поддержание в рабочем состоянии всего оборудования.
Выводы:
1. Виртуальная частная сеть или просто VPN (Virtual Private Network) - это технология, при которой происходит обмен информацией с удаленной локальной сетью по виртуальному каналу через сеть общего пользования с имитацией частного подключения "точка-точка".
2. При организации VPN передаваемая информация попадает во внешнюю сеть, поэтому об организации безопасности необходимо позаботиться заранее. Но уже сегодня существуют достаточно стойкие к атакам алгоритмы шифрования информации, которые позволяют владельцам передаваемых данных не беспокоиться за безопасность
3. VPN обладает рядом преимуществ, таких как:
· масштабируемость системы. При открытии нового филиала или добавления сотрудника, которому позволено пользоваться удаленным доступом не нужно никаких дополнительных затрат на коммуникации;
· гибкость системы. Для VPN не важно, откуда вы осуществляете доступ;
· для организации своего рабочего места человек географически неограничен, что при использовании частной сети практически невозможно.
Глава 2. Изучение структуры незащищенной сети и видов угроз информации
2.1Изучение незащищенной сети и требований защиты
Рисунок 3 - Схема не защищенной сети
Информация об исходной схеме сети
• Адреса в локальных сетях частные.
• На входах в локальные сети стоят компьютеры PROXY с реальными адресами.
• Локальных сетей может быть сколько угодно.
Требуемая защита
• Требуется защита информационного обмена при прохождении через открытый Интернет.
• Требуется защита информационного обмена внутри локальных сетей.
proxy сервер координатор сеть
• Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.
• Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.
• Требуется исключить необходимость установки ПО ViPNet [Координатор] на шлюзы ЛВС.
2.2 Типовые удаленные и локальные атаки. Механизмы их реализации
2.2.1 Анализ сетевого трафика
Представленную на рис.3 схему можно считать распределенной вычислительной системой (далее РВС). Основной особенностью РВС является то, что ее объекты распределены в пространстве и связь между ними физически осуществляется по сетевым соединениям и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами РВС, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных ВС типового удаленного воздействия, заключающегося в прослушивании канала связи. Назовем данное типовое удаленное воздействие анализом сетевого трафика (или, сокращенно, сетевым анализом).
Анализ сетевого трафика позволяет, во-первых, изучить логику работы распределенной ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне.
Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределенной ВС. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Однако, при этом отсутствует возможность модификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.
2.2.2 Подмена доверенного объекта или субъекта распределенной ВС
Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация ее удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия.
Для адресации сообщений в распределенных ВС используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI - это аппаратный адрес сетевого адаптера, на сетевом уровне - адрес определяется в зависимости от используемого протокола сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов распределенной ВС. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо. Для служебных сообщений в распределенных ВС часто используется передача одиночных сообщений, не требующих подтверждения, то есть не требуется создание виртуального соединения. Атака без установленного виртуального соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы распределенной ВС (например, к изменению ее конфигурации).
2.2.3 Ложный объект распределенной ВС
В том случае, если в распределенной ВС недостаточно надежно решены проблемы идентификации сетевых управляющих устройств (например, маршрутизаторов), возникающие при взаимодействии последних с объектами системы, то подобная распределенная система может подвергнуться типовой удаленной атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. В том случае, если инфраструктура сети такова, что для взаимодействия объектов необходимо использование алгоритмов удаленного поиска, то это также позволяет внедрить в систему ложный объект. Итак, существуют две принципиально разные причины, обуславливающие появление типовой удаленной атаки "Ложный объект РВС".
2.2.3.1 Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута
Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные передаются от источника к приемнику. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Отметим, что таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в распределенных ВС применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте - ICMP (Internet Control Message Protocol), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Важно отметить, что все описанные выше протоколы позволяют удаленно изменять маршрутизацию в сети Internet, то есть являются протоколами управления сетью.
Основная цель атаки, связанной с навязыванием ложного маршрута, состоит в том, чтобы изменить исходную маршрутизацию на объекте распределенной ВС так, чтобы новый маршрут проходил через ложный объект - хост атакующего.
Для изменения маршрутизации атакующему необходимо послать по сети определенные данными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (например, маршрутизаторов). В результате успешного изменения маршрута атакующий получит полныйконтроль над потоком информации, которой обмениваются два объекта распределенной ВС, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов РВС.
2.2.3.2 Внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска
В распределенной ВС часто оказывается, что ее удаленные объекты изначально не имеют достаточно информации, необходимой для адресации сообщений. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические (IP-адрес, например) адреса объектов РВС. Для получения подобной информации в распределенных ВС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, и в ожидании ответов на запрос с искомой информацией.
В случае использования распределенной ВС механизмов удаленного поиска существует возможность на атакующем объекте перехватить посланный запрос и послать на него ложный ответ, где указать данные, использование которых приведет к адресации на атакующий ложный объект. В дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.
Другой вариант внедрения в РВС ложного объекта использует недостатки алгоритма удаленного поиска и состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. Атакующему для того, чтобы послать ложный ответ, не всегда обязательно дожидаться приема запроса (он может, в принципе, не иметь подобной возможности перехвата запроса).
2.2.3.3 Использование ложного объекта для организации удаленной атаки на распределенную ВС
Получив контроль над проходящим потоком информации между объектами, ложный объект РВС может применять различные методы воздействия на перехваченную информацию:
селекция потока информации и сохранение ее на ложном объекте распределенной ВС;
модификация информации;
подмена информации;
отказ в обслуживании;
Простейший способ селекции - это сохранение в файле всех получаемых ложным объектом пакетов обмена. Но данный способ перехвата информации оказывается недостаточно информативным. В пакетах обмена кроме полей данных существуют служебные поля, не представляющие в данном случае для атакующего непосредственного интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном объекте динамический семантический анализ потока информации для его селекции.
Рассмотрим два вида модификации информации:
модификация передаваемых данных;
модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект", является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.
Другим видом модификации может быть модификация передаваемого кода. Ложный объект, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код.
Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. Если модификация информации приводит к ее частичному искажению, то подмена - к ее полному изменению. Если в распределенной ВС не предусмотрено средств аутентификации адреса отправителя, то есть инфраструктура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов. Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС - отказ в обслуживании.
Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.
Выводы:
1. Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения.
2. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием. Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.
3. Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая атака "Отказ в обслуживании".
Глава 3. Разработка защищенной сети
3.1 Выбор средств защиты
Сегодня даже в небольших компаниях есть несколько персональных компьютеров, где содержится конфиденциальная информация (сведения о партнерах и конкурентах, договоры, бухгалтерские отчеты и т.п.). Как правило, они объединены в локальную сеть и подключены к Интернету. Однако выход из локальной в глобальную сеть подразумевает и обратный процесс: вход из глобальной сети в локальную. В результате секретная информация, хранящаяся в компьютерах компании, становится уязвимой, появляется возможность для несанкционированного доступа к ней. Существует даже решение Государственной технической комиссии при Президенте РФ №61, предусматривающее запрет на "подключение к международным информационным системам, включая сеть Интернет, технических средств, которые обрабатывают составляющие государственную тайну сведения. до тех пор, пока не будут решены технические и организационные вопросы, гарантирующие надежность защиты этих средств" (пункты 2 и 3).
Одним словом, весьма актуальна проблема защиты информации от "любителей" подбирать пароли, портить программное обеспечение, искажать данные в локальных сетях и на отдельных компьютерах, уничтожать конфиденциальную информацию, подбрасывать вирусы, производить информационное блокирование серверов.
Один из лидеров в области программного обеспечения для защиты данных - компания "Инфотекс", которая выпустила серию программных продуктов под торговой маркой ViPNet: ViPNet CUSTOM, ViPNet CORPORATE, ViPNet OFFICE, ViPNet TUNNEL, ViPNet DESK.
В основе решений ViPNet - пакет программ, являющийся универсальным программным средством для создания виртуальных защищенных сетей (VPN) любой конфигурации, интегрированных с системой распределенных персональных и межсетевых экранов (МЭ).
Виртуальная сеть строится путем установки на компьютеры (сетевые узлы) двух типов программного обеспечения: ViPNet-клиента и ViPNet-координатора. ViPNet-клиент обеспечивает сетевую защиту и включение в VPN отдельных компьютеров. Компьютер с ViPNet-координатором обычно устанавливается на границах локальных сетей и их сегментов, обеспечивает включение в VPN открытых и защищенных компьютеров, находящихся в этих локальных сетях или их сегментах независимо от типа адреса, выделяемого им, разделение и защиту сетей от сетевых атак, а также оповещение ViPNet-клиента о состоянии других сетевых узлов, связанных с ним.
Пакет программ ViPNet реализован для операционных систем Windows, Linux, Solaris. Управление виртуальной сетью, допустимыми связями и распределением ключевой информации между узлами обеспечивается из Центра управления сетью (ЦУС).
3.2 Общие принципы взаимодействия узлов в виртуальной сети
Сетевые узлы (абонентские пункты и координаторы) сети ViPNet могут работать в глобальной сети как автономно, то есть не устанавливаться ни за какие типы межсетевых экранов (Firewall), так и могут устанавливаться за различные типы Firewall и другие устройства, выполняющие функции преобразования адресов (NAT). Выбор того или иного режима работы модуля ViPNet определяется местом и способом подключения узла ViPNet к сети.
Оповещение абонентского пункта о состоянии других узлов сети для взаимодействия с ними осуществляет сервер IP-адресов (функциональная составляющая координатора). По умолчанию функции сервера IP-адресов для абонентского пункта выполняет координатор, на котором этот абонентский пункт был зарегистрирован в ЦУСе. Этот координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с данным абонентским пунктом.
Однако пользователь, при необходимости, может выбрать в качестве сервера IP-адресов и любой другой координатор, доступный ему. В этом случае абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе. Команда о назначении сервера IP-адресов может быть прислана также из ЦУСа. Технология обмена информацией о сетевых настройках узлов в сети ViPNet выполняется на прикладном уровне операционной системы, но здесь подробно не рассматривается. Все основные технические решения, обеспечивающие создание туннельных VPN-соединений и фильтрацию трафика, реализованы в низкоуровневом драйвере модуля ViPNet. Этот драйвер взаимодействует с драйверами сетевых интерфейсов (реальных или их эмулирующих) операционной системы и для него нет принципиального значения, каким способом подключен компьютер к сети. Это может быть сеть Ethernet или PPPoE через XDSL-подключение, PPP через обычный Dial UP или ISDN, сеть сотовой связи GPRS или Wireless-устройства, сети MPLS или VLAN. Модуль ViPNet автоматически поддерживает разнообразные протоколы канального уровня. Для создания туннельных VPN-соединений между узлами используется два типа IP-протокола, в который упаковывается любой другой IP-протокол: IP/241 и IP/UDP (с портом 55777 по умолчанию.)
При взаимодействии абонентских пунктов, доступных друг другу напрямую по реальному адресу узла (т.е. когда между ними отсутствуют устройства с NAT), система автоматически использует более экономичный протокол IP/241 (не имеющий дополнительных UDP-заголовков размером12 байт). Этот же протокол используется при взаимодействии любых узлов, находящихся в одной локальной сети и принимающих друг от друга широковещательные пакеты.
Рисунок 4 - Создания туннельных VPN-соединений между узлами с использованием протокола IP/241
При взаимодействии узлов, недоступных друг другу напрямую по реальному адресу узла (т.е. между ними есть устройства, выполняющие NAT, в том числе координаторы), система автоматически использует протокол UDP, для которого легко обеспечивается прохождение IP-пакетов через любые типы Firewall и другие устройства с NAT.
Рисунок 5 - Создания туннельных VPN-соединений между узлами с использованием протокола UDR
Для обеспечения возможности работы сетевых узлов из любых точек сети модуль ViPNet имеет четыре основных режима работы через Firewal:
1) Автономная работа (без установки за Firewall c NAT);
2) Работа узла, установленного за ViPNet-координатор (тип Firewall "ViPNet-координатор");
3) Работа узла, установленного за Firewall c NAT, на котором возможна настройка статических правил NAT (тип Firewall "Со статическим NAT");
4) Работа узла, установленного за Firewall c NAT, на котором настройка статических правил NAT затруднительна или невозможна (тип Firewall "С динамическим NAT").
Принцип выбора режима работы для конкретного сетевого узла вытекает из особенностей реализации в системе ViPNet технологии оповещения и авторегистрации состояния узлов и их местонахождения в сети, заключающихся в следующем:
• каждый узел при включении в сеть сообщает на свой сервер IP-адресов или другие координаторы (если этот узел сам является координатором), необходимую информацию о своих адресах и способах доступа к ним;
• каждый узел при включении, а также в процессе работы получает от своего сервера IP-адресов или других координаторов (если этот узел сам является координатором), необходимую информацию об адресах других узлов, связанных с ним, и способах доступа к этим адресам.
Следует также отметить, что если узлы находятся в одной локальной сети в области доступности друг другу по широковещательным пакетам, то независимо от выбранного режима работы взаимодействие между ними всегда осуществляется напрямую по IP-адресу узла.
3.3 Работа узлов с использованием типа Firewall "ViPNet-координатор"
Если на границе локальной сети установлен ViPNet-координатор, то узлы, имеющие связь с ним, могут встать за этот координатор, то есть выбрать этот координатор в качестве узла, через который и от имени которого будет осуществляться обмен информацией между узлами, находящимися в разных сетях. В этом случае выбирается режим использования типа Firewall "ViPNet-координатор". По умолчанию в качестве Firewall всегда выбирается координатор (если иное не задано в ЦУСе), на котором данный абонентский пункт зарегистрирован в ЦУСе.
При необходимости в качестве такого Firewall пользователем (или по команде из ЦУСа) может быть выбран любой доступный данному узлу по прямому адресу координатор. Это дает возможность мобильным пользователям при приезде в другое место, где есть такой координатор, подключившись к локальной сети и получив там адрес, моментально получить доступ ко всем ресурсам, доступным из его собственной локальной сети. При этом в качестве сервера IP-адресов может оставаться его родной координатор, что позволяет одновременно получить полный объем информации для получения доступа к другим узлам, с которыми связан данный пользователь, поскольку чужой координатор может владеть такой информацией не в полном объеме. Команда о назначении другого координатора в качестве Firewall может быть прислана также из ЦУСа.
Возможность выбора для работы в качестве Firewall различных координаторов полезна, например, в случае выхода из строя отдельного оборудования или каналов связи.
Если узел установлен за координатор, то его трафик, предназначенный для других узлов, недоступных по широковещательным пакетам и:
• находящихся со стороны других сетевых интерфейсов координатора;
• не установленных за этот координатор, автоматически маршрутизируется на адрес своего координатора (производится подмена IP и MAC-адреса), который, выполнив подмену адресов, направляет эти пакеты дальше от имени своего адреса. Аналогичным образом трафик следует и в обратную сторону.
Рисунок 6 - Схема маршрутизации трафика при использовании режима типа Firewall "ViPNet-координатор"
Автоматическая маршрутизация зашифрованных пакетов на собственный координатор позволяет не устанавливать шлюз по умолчанию на свой координатор, и тем самым обеспечить возможность маршрутизации открытых пакетов, если это необходимо, на другие шлюзы, и не делать дополнительных настроек на компьютере после установки модуля ViPNet.
Технология ViPNet позволяет значительно упростить администрирование большой локальной сети, разделенной на сегменты различного рода маршрутизаторами и коммутаторами, на которых, как правило, в целях безопасности настраиваются допустимые для пропуска адреса и протоколы. Если узел такой сети установить за ViPNet-координатор, то не потребуется настройка множества допустимых внешних адресов и протоколов. В такой конфигурации будет циркулировать только UDP-трафик с внутренними адресами своего сегмента и внутренним адресом ViPNet-координатора.
Если в локальной сети, на границе которой установлен ViPNet-координатор, требуется обеспечить защиту трафика некоторого внутреннего сегмента сети в целом, то на границе этого сегмента сети может быть также установлен ViPNet-координатор, который устанавливается за внешний ViPNet-координатор (Рисунок 7).
Рисунок 7 - Схема защиты трафика некоторого внутреннего сегмента сети в целом с помощью ViPNet-координатор, установленного за внешний ViPNet-координатор
То есть обеспечивается возможность каскадного включения координаторов с автоматической маршрутизацией трафика от внутреннего сегмента сети, как в локальную, так и внешнюю сеть.
3.4 Формирование защищенной сети
3.4.1 Серверное программное обеспечение для организации защищенной сети
ViPNet Coordinator (Координатор) - это общее название линейки программного обеспечения, выполняющего функции универсального сервера защищенной сети ViPNet. В зависимости от настроек ViPNet Coordinator может выполнять следующие функции:
· Сервера IP-адресов - обеспечивает регистрацию и доступ в реальном времени к информации о состоянии объектов защищенной сети и текущем значении их сетевых настроек (IP - адресов и т.п.);
· Прокси-сервера защищенных соединений - обеспечивает подключение локальной ViPNet сети к другим аналогичным сетям через публичные сети (Интернет);
· Туннельного сервера (криптошлюза) - обеспечивает туннелирование (шифрование) трафика от незащищенных компьютеров и серверов локальной сети для его передачи к другим объектам защищенной сети (в том числе мобильным и удаленным) в зашифрованном виде по открытым каналам публичных сетей. Для мобильных и удаленных объектов защищенной сети туннельный сервер выступает в роли сервера доступа к ресурсам локальной сети;
· Межсетевого экрана - обеспечивает в соответствии с заданной политикой безопасности фильтрацию трафика по множеству параметров (порты, протоколы, диапазоны адресов и др.) между сегментами защищенной и открытой сетей.
Сервера защищенной почты - обеспечивает маршрутизацию почтовых сообщений для сервиса ViPNet Business Mail и служебных рассылок в рамках защищенной сети.
3.4.2 Схема защищенной сети с Proxy-сервером и Координатором внутри локальных сетей
Изучив возможные виды угроз и причины успешных атак на ВС, можно сформировать требования к формированию защищенной сети.
ПО ViPNet [Координатор] устанавливается на один из компьютеров в каждой из объединяемых ЛВС (выбранный для этого компьютер не должен быть шлюзом ЛВС). IP-адреса таких компьютеров должны быть статическими. В составе этой схемы ViPNet [Координатор] выполняет функции:
• Является сервером IP-адресов, то есть является справочным бюро, которое сообщает объектам VPN о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах.
Является сервером для рассылки обновлений (ПО, справочная и ключевая информация).
Является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа "Деловая Почта") и файлов, посылаемых по "файловому обмену" между объектами VPN.
ПО ViPNet [Клиент] устанавливается на все остальные компьютеры всех локальных сетей.
Данное ПО выполняет следующие функции:
• шифрует весь исходящий информационный обмен с другими объектамиVPN;
• расшифровывает весь входящий информационный обмен от других объектов VPN;
• запрещает доступ к ресурсам в открытом Интернете; предоставляет большой набор сервисных возможностей для взаимодействия с другими объектами VPN (отправка онлайновых текстовых сообщений, получение информации о включенности конкретного объекта VPN, отправка почтовых сообщений и файлов, и др.);
• при старте компьютера сообщает своему серверу IP-адресов (компьютер локальной сети с установленным ПО ViPNet [Координатор]) свой текущий IP - адрес;
• при выключении компьютера сообщает своему серверу IP-адресов об этом;
• является Персональным Сетевым Экраном, который запрещает доступ с открытых ресурсов на данный компьютер.
ПО ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). Назначение данного ПО:
1) Создать топологию (логическую конфигурацию) VPN-сети и сгенерировать ключевую информацию для объектов VPN-сети, задать названия объектам VPN-сети и разрешить или запретить связи между ними.
2) Модифицировать (добавить или удалить объекты) VPN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VPN-сети, которых коснулось конкретное изменение.
3) Централизованно обновить установленное ПО (ViPNet [Клиент] и ViPNet [Координатор]) в случае выхода новой версии.
Рисунок 8 - Схема защищенной сети
Выводы:
1. В основе решений ViPNet - пакет программ, являющийся универсальным программным средством для создания виртуальных защищенных сетей (VPN) любой конфигурации, интегрированных с системой распределенных персональных и межсетевых экранов (МЭ).
2. Виртуальная сеть строится путем установки на компьютеры (сетевые узлы) двух типов программного обеспечения: ViPNet-клиента и ViPNet-координатора. ViPNet-клиент обеспечивает сетевую защиту и включение в VPN отдельных компьютеров.
3. Технология ViPNet позволяет значительно упростить администрирование большой локальной сети, разделенной на сегменты различного рода маршрутизаторами и коммутаторами, на которых, как правило, в целях безопасности настраиваются допустимые для пропуска адреса и протоколы.
4. ViPNet Coordinator (Координатор) - это общее название линейки программного обеспечения, выполняющего функции универсального сервера защищенной сети ViPNet. В зависимости от настроек ViPNet Coordinator может выполнять следующие функции:
· Сервера IP-адресов;
· Прокси-сервера защищенных соединений;
· Туннельного сервера (криптошлюза);
· Межсетевого экрана;
· Сервера защищенной почты.
Заключение
Internet создавался как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Более того, защищенный Internet не смог бы стать той системой, которой он сейчас является и не превратился бы в информационный образ мировой культуры, ее прошлого и настоящего. Чтобы избежать подобных неприятностей ведущие производители программного обеспечения для защиты данных разрабатывают надежные способы сохранности информации с помощью самых современных технологий. Это межсетевые экраны (брандмауэр или firewall) и сети VPN (Virtual Private Network - виртуальные защищенные сети). Первые требуются, если компании необходим только доступ в Интернет, вторые - при использовании Интернета в качестве канала связи. Сети VPN обеспечивают 100-процентную защищенность каналов от внешнего воздействия, позволяют организовать автоматическую (в том числе и голосовую) связь между удаленными пользователями и др.
Продукты ViPNet разработанные для государственных учреждений и крупных компаний, используются с целью создания больших защищенных виртуальных сетей как внутри ЛВС, так и в Интернете. Они имеют развитые средства управления и администрирования, могут быть сконфигурированы с учетом требований заказчика.
Список используемой литературы
1. Чефранова А.О., Игнатов В.В., Уривский А.В. Технология построения VPN ViPNet: курс лекций: Учебное пособие. - Москва: Прометей, 2009. - 180 с.
2. Запечников С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учебное пособие для вузов. М.: Горячая линия - Телеком, 2003. - 249 с.
3. Стивен Браун. Виртуальные частные сети. Переводчик Труфанов О. Научный редактор Головко А. Корректор Красненкова И. М.: Издательство "Лори", 2001.
4. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов.4-е изд. - СПб.: Питер, 2010. - 944с.: ил.
5. Кроуз Дж., Росс К. Кмпьютерные сети.2-е изд. - СПб.: Питер, 2004. - 765 с.: ил.
6. VIPNet Администратор: Руководство администратора.
7. VIPNet Координатор: Руководство администратора.
8. Митник К., Саймон В. Искусство вторжения - ДМК пресс, Компания АйТи, 2006 г.
9. www.infotecs.ru
10. www.securitylab.ru
11. www.conect.ru
Размещено на Allbest.ru
Подобные документы
Выявление структуры и свойств незащищённой сети, основных угроз безопасности и видов сетевых атак на систему. Формирование требований защиты. Классификация, построение и методы реализации VPN. Настройка фильтров координатора в сети с Proxy-серверами.
курсовая работа [92,3 K], добавлен 21.06.2011Анализ системы распределенных локальных сетей и информационного обмена между ними через Интернет. Отличительные черты корпоративной сети, определение проблем информационной безопасности в Интернете. Технология построения виртуальной защищенной сети – VPN.
курсовая работа [3,7 M], добавлен 02.07.2011Структура и свойства незащищенной сети, формирование требований защиты: выявление угроз безопасности и сетевых атак на данную систему. Технологии VPN: классификация, построение, методы реализации. Настройка фильтров координатора в сети с Proxy-серверами.
курсовая работа [297,5 K], добавлен 03.07.2011Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.
курсовая работа [762,8 K], добавлен 21.06.2011Назначение и классификация компьютерных сетей. Обобщенная структура компьютерной сети и характеристика процесса передачи данных. Управление взаимодействием устройств в сети. Типовые топологии и методы доступа локальных сетей. Работа в локальной сети.
реферат [1,8 M], добавлен 03.02.2009Понятие и структура компьютерных сетей, их классификация и разновидности. Технологии, применяемые для построения локальных сетей. Безопасность проводных локальных сетей. Беспроводные локальные сети, их характерные свойства и применяемые устройства.
курсовая работа [441,4 K], добавлен 01.01.2011Два типа локальных сетей: одноранговые и сети с выделенным сервером, их преимущества и недостатки. Выбор топологии сети. Спецификация физической среды ETHERNET. Расчет корректности сети - величин PDV и PVV и оценка их с предельно допустимыми в Ethernet.
курсовая работа [569,2 K], добавлен 01.09.2014Основные характеристики и особенности использования прокси-сервера в локальной сети. Способы выхода в Интернет из локальных сетей. Методы аутентификации прокси-сервером пользователя клиента, авторизация клиента для доступа к определенному контенту.
курсовая работа [887,9 K], добавлен 21.04.2019Классификация виртуальной частной сети (VPN) и требования к ее реализации. Угрозы безопасности при передаче информации, способы их исключения технологией VPN. Построение защищенного туннеля между двумя маршрутизаторами с использованием протокола IPSec.
курсовая работа [6,7 M], добавлен 03.07.2011Классификация компьютерных сетей. Назначение и особенности организации локальных вычислительных сетей. Назначение и структура глобальной сети Интернет. Работа с общими ресурсами в локальной сети. Вход и работа в Интернете. Поиск заданной информации.
методичка [378,6 K], добавлен 05.10.2008