Проект обеспечения инженерно-технической защиты объекта офиса для усиления его информационной безопасности

Решение проблемы нехватки IP-адресов. Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP-сетей, Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP-адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и не транслируемых адресов, позволяя использовать как адресное пространство частной IP-сети, так и зарегистрированные IP-адреса. В настоящее время пользователям Firewall предлагаются следующие модели аппаратно-программных межсетевых экранов Cisco Secure PIX Firewall -- PIX 501, 506E, 515E, 525 и 535.

Сравнительные характеристики CISCO PIX FIREWALL приводятся в таблице 2.2

Таблица 2.2 Сравнительные характеристики маршрутизаторов компании Cisco

	Pix 501	Pix 506E	Pix 515	Pix 525	Pix 535
Производительность, Мбит/сек	60	100	190	330	1667
Максимальное число соединений	7500	25 000	130 000	280 000	500 000
Количество одновременно поддерживаемых сессий	19 500	53 000	176 000	625 000	1 000 000
Поддерживаемые физические интерфейсы	1х10/100 Ethernet и 4-портовый коммутатор 10/100	2х10/100 Ethernet	До 6х10/100 Ethernet	До 8х10/100 Ethernet	До 10х10/100 Ethernet
Поддерживаемые логические интерфейсы VLAN 802.1q	0	0	8	10	24
Производительность VPN (Triple DES / AES-128), Мбит/сек	3/4,5	16/30	135*/130*	145*/135*	425*/495*
Максимальное число VPN-туннелей	10	25	2000*	2000*	2000*

Основные возможности CISCO PIX FIREWALL:

- строгая система защиты от несанкционированного доступа на уровне соединения обеспечивает безопасность ресурсов внутренней сети;

- технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколов безопасности, как Terminal Access Controller Access Control System (TACACS+ или Remote Access Dial-In User Service (RADIUS);

- до шести сетевых интерфейсов для применения расширенных правил защиты. Графический интерфейс администратора Security Manager предназначен для настройки до 100 межсетевых экранов PIX Firewall с единой консоли;

- динамическая и статическая трансляция адресов. Поддержка протокола сетевого управления SNMP;

- учетная информация с использованием ведения журнала системных событий (syslog);

- прозрачная поддержка всех основных сетевых услуг, таких как World Wide Web (WWW), File Transfer Protocol (FTP), Telnet, Archie, Gopher.

Поддержка приложений мультимедиа, включая Progressive Networks RealAudio & ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow и VXtreme Web Theater;

- поддержка взаимодействий Microsoft Networking сервер -- клиент, Oracle SQL Net сервер - клиент;

- безопасная встроенная операционная система реального времени;

- нет необходимости обновления ПО на рабочих станциях и маршрутизаторах;

- полный доступ к ресурсам сети Интернет для зарегистрированных пользователей внутренней сети;

- совместимость с маршрутизаторами, работающими под управлением Cisco IO;

- поддержка видеоконференций по протоколу Н.323, включая Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point;

- несколько возможных вариантов программной и аппаратной комплектации;

- средства централизованного администрирования;

- оповещение о важных событиях на пейджер или по электронной почте;

- поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI;

- поддержка виртуальных частных сетей (Virtual Private Network) с использованием стандартной технологии IPSec;

- высокая производительность;

- интеграция с другими решениями компании Cisco, например, с сервером идентификации пользователей Cisco Secure ACS;

Еще одним классом маршрутизаторов, которые я рассматриваю в свой работе для внедрения в существующую сеть являются маршрутизаторы Cisco 2800 Series ISR, которые предоставляют наивысший уровень производительности, обеспечивая возможность развития даже самого требовательного бизнеса.

Маршрутизаторы с интегрированными сервисами Cisco 2800 Series предоставляют широкий спектр функций:

- встроенная система безопасности: межсетевой экран, шифрование и защита от взломщиков;

- встроенный резервный разъем питания на большинстве моделей для повышения защиты;

- интеграция с приложением Cisco Unified Communications Manager Express для поддержки обработки вызовов до 96 пользователей;

- интеграция с Cisco Survivable Remote Site Telephony (SRST) для обслуживания локальных голосовых сервисов в случае потери соединения;

- повышенная надежность и гибкость, что позволяет выставлять приоритеты для передачи голоса и обмена данными, согласовывая предоставление информации с потребностями бизнеса;

- поддержка подключений к виртуальным частным сетям для соединения с партнерами и удаленными офисами;

- поддержка беспроводных локальных сетей с покрытием всей зоны офиса, надежной защитой, возможностью гостевого доступа и соответствием всем современным стандартам беспроводной связи IEEE 802.11a/b/g/n;

- широкий спектр вариантов подключения к обычным и широкополосным сетям;

- варианты для обеспечения питания сетевых устройств посредством соединения Ethernet, что сокращает затраты на кабели.

Основные параметры маршрутизаторов Cisco серии 2800 в стандартном исполнении приведены в таблице 2.3.

Таблица 2.3 Характеристики маршрутизаторов семейства 2800

Модель маршрутизатора	Cisco 2801	Cisco 2811	Cisco 2821	Cisco 2851
DRAM	128Mb(384Mb)	256Mb(768Mb)	256Mb(1Gb)	256Mb(1Gb)
Compact Flash	64Mb(128Mb)	64Mb(256Mb)	64Mb(256Mb)	64Mb(256Mb)
USB 1.1 Ports	1	2	2	2
Интегрированные LAN порты	2-10/100	2-10/100	2-10/100/1000	2-10/100/1000
Слоты для сетевых модулей	0	1 NME	1 NME or NME-X	1 NME, NMD, NME-X or NME-XD
Слоты для интерфейсных карт	4 slots; 2 slots support HWIC, WIC, VIC, or VWIC type modules 1 slot supports WIC, VIC, or VWIC type modules 1 slot supports VIC or VWIC type modules	4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modules	4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modules	4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modules
Слот для голосового модуля расширения	0	0	1	1
Форм фактор	1U	1U	2U	2U

Управление маршрутизаторами может осуществляться через WEB-интерфейс или на базе Cisco IOS Software - интерфейса командной строки, в том числе удаленно. Имеется набор предустановленных сценариев настройки, облегчающий администрирование.

Архитектура маршрутизаторов с интегрированными услугами семейства Cisco 2800 базируется на архитектуре мощных мультисервисных маршрутизаторов доступа серии Cisco 2600, предлагая дополнительно встроенные функции безопасности, существенно улучшенную производительность и расширенный объем памяти, а также новые интерфейсы высокой плотности. Благодаря достигнутым показателям производительности, доступности и надежности маршрутизаторы серии Cisco 3800 оказываются незаменимыми для критически важных бизнес-приложений, используемых в наиболее сложных рабочих условиях.

Показатели производительности и плотности портов маршрутизаторов с интегрированными услугами серии Cisco 2800 отвечают требованиям, предъявляемым предприятиями среднего размера, а также малыми и средними филиалами крупных предприятий к защищенным, одновременно предоставляемым услугам, а также требованиям к управляемым услугам, предъявляемым операторами связи - без ущерба для производительности маршрутизатора.
Работая под управлением программного обеспечения Cisco IOS, маршрутизаторы серии Cisco 2800 поддерживают концепцию сети с возможностями самозащиты Cisco Self-Defending Network - благодаря улучшенным функциям безопасности и возможностям управления, таким как аппаратная акселерация шифрования, поддержка IPSec VPN (с использованием алгоритмов шифрования AES, 3DES, DES), межсетевой экран, система предотвращения вторжений (IPS), контроль за доступом к сети (NAC) и фильтрация по URL. Предустановленная на всех маршрутизаторах серии Cisco 2800, интуитивно-понятная система управления с Web-интерфейсом Cisco Router and Security Device Manager (SDM) существенно упрощает управление и конфигурирование маршрутизатора.

Команды настройки маршрутризатора, использованные мной для, внедрения и функционирования маршрутизатора в составе системы информационной безопасности приведены в приложении А.

Таким образом, на основе полученных данных в результате мониторинга сети данных и основываясь на анализе маршрутизаторов компании Cisco, я модернизирую систему передачи данных, описанную в главе 2.2, до модели, показанной на рисунке 2.7.



Рисунок 2.7 Измененная структура сети передачи данных

Внедрение в систему безопасности таких элементов как маршрутизаторы компании Cisco сери 2800, позволят обеспечить максимальный уровень защищенности с использованием аппаратных средств защиты информации. Интегрированные в маршрутизатор сервисы безопасности позволят решить ряд серьезных проблем защиты информации в системе:

- разграничить рабочую сеть на отдельные сегменты, с возможностью контроля трафика обеих сторон;

- контролировать входящую и исходящую информацию;

- оптимизировать работу системы и снизить нагрузку на коммутаторы;

2.6 Защита данных средствами защиты информации и специального ПО

Программная защита информации позволяет воспрепятствовать несанкционированному доступу и изменениям персональной и коммерческой информации. Программа защиты информации и её концепция нацелены на обеспечение защиты данных, хранящихся на жестких дисках и магнитных лентах. Разработчики ведущих компаний предлагают свои программы защиты информации на серверах и магнитных лентах. Программная защита информации реализует контроль доступа к внешним и внутренним устройствам компьютера. Программа защиты информации предлагает большой выбор для защиты данных при хранении, а так же при аутенфикации пользователей. Немаловажная роль в разработке программы защиты информации отводится созданию защитного барьера от взлома. Только при правильной реализации всех методов достигается наивысший уровень защиты.

В данном дипломном проекте для программной защиты информации мною будет использованы встроенные в операционные системы функции защиты, а так же внедрение в сеть передачи данных программных средств межсетевых экранов. В совокупности с описанными выше мерами для защиты информации будет образована комплексная система управления информационной безопасности объекта.

Брандмауэр этп специальная прпграмма, кптпрая ппвышает безппаснпсть кпмпьютера при ппдключении егп к интернет. Эта прпграмма разрабптана таким пбразпм, чтп умеет птслеживать несанкципнирпванные ппдключения прпграмм извне, в тпм числе вирусы и другие вредпнпсные прпграммы.

Брандмауэр делает этп ппстпяннп, а не пт случая к случаю и не прппустит мпмент пппытпк внедрения чужерпдных прпграмм, и этп значительнп ппвышает безппаснпсть кпмпьютера. Брандмауэр как бы фильтрует весь трафик, разделяя инфпрмацию на пплезную и вредную, первую прппускает, а втпрую нет. Чтп прппускать, а чтп нет задается в параметрах брандмауэра при настрпйке. Настраивать мпжнп в любпе время, ппстпяннп ппвышая безппаснпсть. В Microsoft Windows XP брандмауэр включен пп умплчанию, тп-есть начинает рабптать сразу ппсле устанпвки системы.

Существует мнпгп брандмауэрпв, пдни слпжны в настрпйке, нп настрпйки пчень гибкие, другие имеют минимум настрпек, третьи чтп-тп среднее. Мпжнп ппрабптать с нескплькими прпграммами и выбрать себе самую удпбную, приентируясь в первую пчередь на безппаснпсть кпмпьютера.

Брандмауэр встрпенный в Windows устраивает бпльшинствп ппльзпвателей, а некптпрые даже и не ппдпзревают, чтп такпй страж пхраняет их кпмпьютер пт прпникнпвения агрессивных прпграмм из интернет. Брандмауэр дпбрпспвестнп блпкирует все несанкципнирпванные запрпсы, если на кпмпьютере устанпвлены такие прпграммы, кптпрым непбхпдимп принимать инфпрмацию, брандмауэр запрашивает у ппльзпвателя разрешение на ппдключение такпй прпграммы. Тем не менее в дипломном проекте использован брандмауэр стороннего разработчика Outpost Firewall Pro.

Основными характеристиками данного программного продукта являются: - предотвращение попыток любых приложений получить контроль над другими приложениями.Пользователи могут настраивать список приложений, которым разрешается совершать исходящую передачу данных, что позволяет предотвратить скрытые попытки доступа вредоносными процессами, замаскированными под легитимные приложения;

- подавление попыток запуска браузера с параметрами командной строки.

Многие приложения могут запускать окно браузера, когда пользователь щелкает по ссылке (Outlook, Microsoft Office, ICQ и многие другие). Чтобы избежать нежелательных запусков вредоносными процессами, пользователь имеет возможность настроить список программ, которым разрешается открывать окно браузера;

- контроль памяти приложений. Пользователь имеет возможность определять список доверенных приложений, чтобы избежать использования адресного пространства легитимных приложений вредоносными процессами с целью выполнения зловредного кода;

- контроль Active Desktop.Компоненты Active Desktop могут содержать зловредный код, способный передать конфиденциальные данные от лица Windows Explorer. Outpost предотвращает попытки установки и выполнения такого кода;

- предотвращение попыток контроля окон других приложений. Вредоносные программы могут моделировать нажатия клавиш пользователем в других окнах и совершать несанкционированный обмен данными между этими окнами. Outpost предотвращает такие попытки, проверяет приложения на легитимность и блокирует все несанкционированные попытки передачи данных;

- предотвращение попыток изменения критических значений реестра. Реестр содержит настройки всех программ. Пользователь имеет возможность определять список приложений, которым разрешается производить изменения в реестре;

- двойной контроль разрешения DNS-имен. Изощренные хакерские методы позволяют совершить кражу данных с помощью DNS-запросов, которые теперь успешно блокируются;

- контроль низкоуровневого сетевого доступа. Установленный в системе вредоносный код может имитировать обычную активность системы и таким образом установить исходящее соединение. Outpost обнаруживает такие попытки, предупреждая пользователя и запрашивая его решение;

- улучшенная производительность. Реализован новый метод сравнения программ с базой spyware-сигнатур, позволяющий существенно ускорить процесс сканирования;

- дополнительная защита с помощью параметра «сканировать перед запуском». Все без исключения приложения проверяются на легитимность перед запуском. Для этого Outpost моделирует запуск программы и проверяет ее перед тем, как дать разрешение на выполнение или блокировать ее настоящий запуск. Производительность системы при этом не страдает;

- новый анализатор spyware-сигнатур. Еще более точный алгоритм обнаружения увеличивает защиту пользователя от известных и неизвестных вредоносных программ.

3. Реализация модели сети объекта средствами программы Packet Tracer

3.1 Описание программы настройки маршрутизаторов Cisco

Для описания процесс и параметров настройки маршрутизаторов компании Cisco, мною было принято решение спроектировать модель сети в программе моделирования работы сети Cisco Packer Tracer, основное окно которой приведено на рисунке 3.1.

Рисунок 3.1 Рабочая область Cisco Packet Tracer

На рисунке представлена собранная и модернизированная в плане безопасности сеть. В ключевых местах системы передачи данных установлены маршрутизаторы компании Cisco.

К параметрам конфигурации рабочей станции относятся параметы указания IP-адреса и маски подсети, если не задан режим динамического распределения адресов. Параметры конфигурации рабочей станции показаны на рисунке 3.2 и 3.3.



Рисунок 3.2 Статичное задание адресации

Рисунок 3.3 Динамическое распределение адресов в сети

Процесс настройки коммутаторов и портов коммутаторов сводится к настройке виртуализации сетей.

Настройку можно проводить как через расширенный интерфейс пользователя, так и через командную строку терминала обслуживания системы IOS коммутатора. На рисунке 3.4 приведен пример настройки сетевого соединения между коммутатором и хостом, входящим в сеть обслуживания данного коммутатора.



Рисунок 3.4 Настройка работы коммутатора

На рисунке 3.5 производится проверка состояния соединения посредством команды ping.

Рисунок 3.5 Проверка состояния соединения

3.2 Описание настройки специального программного обеспечения защиты данных

Включение и выключение защиты

По умолчанию, Outpost Firewall Pro автоматически загружается при запуске системы, обеспечивая защиту на самой ранней стадии ее работы. О загрузке Outpost Firewall Pro символизирует значок в виде белого знака вопроса на голубом щите , значок продукта по умолчанию, отображаемый в системном лотке в правом нижнем углу панели задач Windows. Если вы видите этот значок, это означает, что Outpost Firewall Pro работает и защищает вашу систему.

Дважды щелкните значок, чтобы открыть главное окно Outpost Firewall Pro. Чтобы закрыть главное окно, щелкните крестик в правом верхнем углу. Обратите внимание на то, что при этом вы не выключаете программу. Главное окно сворачивается в значок, который сигнализирует о том, что Outpost Firewall Pro работает и обеспечивает безопасность вашей системы.

Чтобы полностью отключить работу продукта (при этом Outpost Firewall Pro перестанет защищать вашу систему), щелкните правой кнопкой мыши значок продукта в системном лотке, щелкните Выход, выберите из списка Выйти из Outpost Firewall Pro и остановить службу и щелкните OK.

Режим загрузки

Outpost Security Suite Pro позволяет вам задать режим своей загрузки во время загрузки всей системы. Чтобы выбрать один из доступных режимов, щелкните Настройки на панели инструментов. На странице Общие в группе Параметры работы доступны следующие режимы загрузки:

- обычный. Режим загрузки по умолчанию. Outpost Firewall Pro загружается автоматически при запуске системы, значок продукта отображается в трее;

- фоновый. При работе в Фоновом режиме загрузки, Outpost Firewall Pro работает невидимо, не отображая ни значок в системном лотке, ни диалоговые окна. Это делает продукт совершенно невидимым для пользователя, позволяя, таким образом, родителям или системному администратору незаметно для пользователя блокировать нежелательный трафик или содержимое страниц. Еще одна причина выбрать Фоновый режим - экономия системных ресурсов.

Вы всегда можете запустить Outpost Firewall Pro вручную, щелкнув Пуск > Программы > Agnitum > Outpost Firewall Pro и выбрав Outpost Firewall Pro. Окно настроек межсетевого экрана показано на рисунке 3.6.

Рисунок 3.6 Основное окно настроек

Outpost Firewall Pro позволяет вам временно приостанавливать защиту на определенный промежуток времени. Это может быть удобно, если вы не хотите полностью останавливать работу продукта, но вам необходимо приостановить защиту системы на короткий период времени во избежание всплывающих окон, например, при установке доверенного программного обеспечения сторонних производителей, проверки каких-либо приложений или выполнении низко-уровневых действий, которые могут быть приняты продуктом за подозрительные.

При приостановке защиты Outpost Firewall Pro перестают контролировать какую-либо деятельность; при возобновлении защиты применяется конфигурация, использовавшаяся до приостановки.

Чтобы приостановить защиту, щелкните правой кнопкой мыши значок продукта в системном лотке и выберите Приостановить защиту как показано на рисунке 3.7. Вам будет предложено выбрать период времени, по окончании которого защита будет возобновлена. Выберите необходимый период и щелкните OK для выключения защиты:



Рисунок 3.7 Настройки таймера защиты

Вы можете возобновить защиту в любое время, щелкнув правой клавишей значок продукта в системном лотке и выбрав параметр Возобновить защиту.

Вместо выключения всей защиты Outpost Firewall Pro, вы можете отключить его отдельные компоненты для выполнения необходимых вам задач: - чтобы отключить брандмауэр, щелкните Настройки на панели инструментов, выберите страницу Брандмауэр и уберите флажок напротив параметра Включить брандмауэр. Отключение брандмауэра отключает также функционирование компонента Детектор_атак;

- чтобы отключить компонент Детектор атак, щелкните Настройки на панели инструментов, выберите страницу Детектор атак и уберите флажок напроти параметра Включить детектор атак;

- чтобы отключить компонент Локальная безопасность, щелкните Настройки на панели инструментов, выберите страницу Локальная безопасность и уберите флажок напротив параметра Включить Локальную безопасность;

- чтобы отключить постоянную защиту от вредоносного ПО, щелкните Настройки на панели инструментов, выберите страницу Антишпион и уберите флажок напротив параметра Включить постоянную защиту;

- чтобы отключить компонент Веб-контроль, щелкните Настройки на панели инструментов, выберите страницу Веб-контроль и уберите флажок напротив параметра Включить веб-контроль;

- чтобы отключить внутреннюю защиту Outpost Firewall Pro, щелкните Настройки на панели инструментов и уберите флажок напротив параметра Включить внутреннюю защиту.

Обычно настройки локальной сети вашего компьютера устанавливаются автоматически во время установки Outpost Firewall Pro. Однако, вы можете запустить функцию обнаружения сети в любое время, чтобы нормально общаться с остальными компьютерами. Чтобы просмотреть список сетей, в которые входит ваш компьютер, щелкните Настройки на панели управления и выберите страницу Настройки LAN показаны на рисунке 3.8:

Рисунок 3.8 Настройка сетевой защиты

На странице Настройки LAN щелкните кнопку Определить и Outpost Firewall Pro автоматически обнаружит сети, в которые входит ваш компьютер, и выдаст список их IP-адресов с указанием уровней доступа по умолчанию. Далее вы можете задать нужный уровень доступа для каждой из сетей. Для того, чтобы Outpost Firewall Pro мог автоматически находить новые сети и вам не пришлось бы добавлять их вручную, поставьте флажок напротив параметра Определять новые сети автоматически и щелкните OK, чтобы сохранить настройки. В случае, если вы хотите добавить в список новую сеть или удаленный узел с тем, чтобы задать особый уровень доступа, или если по какой-либо причине Outpost Firewall Pro не обнаружил вашу сеть автоматически, вы можете сделать это вручную. Для этого на странице Настройки LAN щелкните кнопку Добавить и в появившемся диалоговом окне Выбор адреса задайте формат, который вы будете использовать для ввода адреса. Доступны следующие варианты, как показано на рисунке 3.9.

Рисунок 3.9 Задание адресации

Имя домена. Например, http://www.agnitum.com. В этом случае требуется подключение к сети Интернет, поскольку IP-адреса разрешаются через Интернет. IP-адрес

запоминается наряду с заданным вами именем домена, и именно этот IP-адрес будет использоваться Outpost Firewall Pro в большинстве случаев. IP-адрес. Например, 216.12.219.12 Подсеть (IP-адрес и маска подсети). Например, 216.12.219.1 - 216.12.219.255

IPv6-адрес. Например, 2002::a00:1.

Введите требуемый адрес в том формате, который вы выбрали (можно использовать маски) и щелкните Добавить. Подобным образом вы можете последовательно добавить несколько адресов. Щелкните OK, чтобы они добавились в список в диалоговом окне. Задайте нужный уровень доступа для каждой из сетей и щелкните OK для сохранения настроек.

Каждый компьютер в локальной сети может получить один из трех уровней доступа к вашему компьютеру:

- NetBIOS. Разрешает разделение доступа к файлам и принтерам между компьютером из локальной сети и вашим компьютером. Чтобы установить этот уровень, отметьте соответствующий флажок NetBIOS для этого адреса;

- доверенные. Все соединения к и из этой сети разрешены. Чтобы установить этот уровень, отметьте флажок Доверенные для этого адреса;

- зона NAT. Отметьте этот параметр, если вы используете программу InternetConnection Sharing и другие компьютерные сети получают доступ в Интернет через ваш компьютер;

- ограниченный доступ к LAN. NetBIOS соединения блокируются, все остальные соединения обрабатываются согласно глобальным правилам и правилам для приложений;

Чтобы установить этот уровень, уберите оба флажка NetBIOS и Доверенные для этого адреса. Важно помнить, что узел, относящийся к числу Доверенных, имеет наивысший приоритет. С таким узлом могут соединяться даже запрещенные приложения.

Рекомендуется помещать в список Доверенных только СОВЕРШЕННО БЕЗОПАСНЫЕ компьютеры. Если вам нужно только разделение доступа к файлам и принтерам, лучше использовать уровень NetBIOS, а не Доверенные.

Если вы не хотите засорять журналы информацией о широковещательных пакетах NetBIOS, вы можете выключить регистрацию этих данных для каждого обнаруженного узла или сети. Выберите адрес в списке и снимите флажок Регистрировать широковещательные сообщения NetBIOS. Это позволит более наглядно представлять информацию в Журнале событий и может улучшить производительность компьютера.

Во время создания конфигурации Outpost Firewall Pro обнаруживаются все установленные приложения и создаются правила для известных приложений согласно предварительно заданным настройкам. Чтобы просмотреть список обнаруженных приложений, щелкните кнопку Настройки на панели инструментов и выберите страницу Правила для приложений приведены на рисунке 3.10.



Рисунок 3.10 Настройка правил приложений

Для каждого приложения отображаются два столбца со значками, обозначающими тип правил, применяющихся к приложению брандмауэром (Сетевые) и модулем Локальная безопасность (Anti-Leak). Зеленый цвет значка означает, что соответствующим компонентом к данному приложению применяются только разрешающие правила; красный символизирует только запрещающие правила; желтый говорит о том, что доступ для этого приложения определяется обоими типами правил; отсутствие значка означает отсутствие правил, применяемых к данному приложению соответствующим компонентом.

Также вы можете управлять списком приложений, добавляя приложения вручную и удаляя их. Для того, чтобы добавить приложение, щелкните кнопку Добавить. Вам будет предложено найти исполняемый файл приложения в появившемся окне. Найдите его и щелкните Открыть, после чего файл появится в списке. Чтобы назначить на новое приложение индивидуальные правила, выберите его и щелкните Редактировать. В диалоге Редактор правил укажите правила и щелкните OK. Более подробную информацию о том, как создавать и редактировать правила для приложений, см. в разделе Настройка правил для приложений. Чтобы удалить приложение из списка, щелкните кнопку Удалить.

Чтобы увидеть список существующих правил для приложения, щелкните Настройки на панели инструментов и выберите страницу Сетевые правила. Выберите приложение и щелкните его два раза левой клавишей мыши. Выберите вкладку Сетевые правила. Добавление нового правила Чтобы создать новое правило, щелкните Новое как показано на рисунке 3.11.

Рисунок 3.11 Создание правил для приложений

В редакторе правил вам нужно будет задать следующие параметры:

Вы можете выбрать следующие критерии:

- где направление - входящее или исходящее;

- где удаленный адрес - IP-адрес или имя DNS;

- где удаленный порт - определенный порт на удаленном компьютере, который будет использоваться для соединения;

- где локальный порт - определенный порт на вашем компьютере, который будет использоваться для соединения;

- где локальный порт совпадает с удаленным - оба компьютера используют одинаковый порт для соединения. Если указаны значения диапазонов удаленного и локального портов, правило будет срабатывать для всех портов из области их пересечения. Если область пересечения пуста, правило не будет срабатывать;

Выберите критерий для события и задайте нужные настройки, щелкнув подчеркнутое значение в поле Описание правила. Укажите параметры правила

Вы можете выбрать следующие действия:

- оповещать - Уведомляет, когда правило сработало;

- активировать динамическую фильтрацию - Включает «динамическую фильтрацию» для этого приложения (после того, как приложение установит соединение с удаленным сервером, все входящие данные с сервера на открытый приложением порт будут разрешены или блокированы согласно установленному правилу);

- не регистрировать данную активность - выключает регистрацию активности для этого правила. Если флажок выбран, то при срабатывании этого правила данные не будут записываться в журнал.

При выборе действий в предыдущих полях соответствующие сообщения появятся в поле Расшифровка правила. Под указанными критериями для правила вам необходимо будет определить, разрешить или запретить указанное соединение, щелкнув ссылку со значением по умолчанию Разрешать. Убедитесь, что в поле Расшифровка правила не осталось неопределенных параметров. Outpost Firewall Pro автоматически сгенерирует Имя правила на основе заданных параметров. Щелкните OK, чтобы сохранить правило. Правило отобразится в списке. Расшифровка выбранного правила отображается в нижней части окна диалога.

Для того, чтобы изменить уже существующее правило, выделите его в списке и щелкните Изменить. Внесите требуемые изменения, следуя приведенной выше инструкции, и щелкните OK, чтобы сохранить изменения. Выбранные правила активны (включены) и обрабатываются продуктом. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз.

Глобальные правила Outpost Firewall Pro применяются ко всем процессам и приложениям на вашем компьютере, которые запрашивают доступ в сеть. Например, создав соответствующие правила, вы можете блокировать весь трафик, идущий по данному протоколу или с данного удаленного узла. Некоторые из установок глобальных правил, подобранные оптимальным образом, Outpost Firewall Pro задает по умолчанию. Для того, чтобы просмотреть список глобальных правил, щелкните на панели инструментов кнопку Настройки, выберите страницу Сетевые правила и щелкните кнопку Системные Правила показаны на рисунке 3.12.

Рисунок 3.12 Настройка системных правил

Выбранные правила активны (включены) и обрабатываются системой безопасности. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок.

Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз. Обратите внимание на то, что вы можете задать применение брандмауэром глобальных правил как до, так и после применения правил для приложений, поместив их в соответствующую группу.

Outpost Firewall Pro позволяет контролировать системный трафик, передаваемый драйверами протоколов, использующими IP протоколы, отличные от TCP и UDP, транзитные пакеты и другие данные, не относящиеся к приложениям, которые невозможно контролировать на уровне приложений.

Чтобы просмотреть список низкоуровневых правил, щелкните Настройки > Сетевые правила > Системные правила и выберите вкладку Низкоуровневые правила. Вы можете добавлять, изменять и удалять низкоуровневые правила так же, как и правила для приложений. Отличиями в управлении правилами являются следующие:

- критерии для правила содержат тип IP-протокола, направление, удаленный и локальный адрес;

- параметр Пометить правило как Правило с высоким приоритетом позволяет низкоуровневому правилу превалировать над правилами для приложений и глобальными правилами, имеющими более высокий приоритет по умолчанию;

Выбранные правила активны (включены) и обрабатываются системой безопасности. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие.

Протокол контроля сообщений Интернет (Internet Control Message Protocol, ICMP) отправляет предупреждающие сообщения и сообщения об ошибках находящимся в сети компьютерам. Outpost Firewall Pro позволяет вам указать типы и направления разрешенных сообщений ICMP. Чтобы задать настройки ICMP, щелкните Настройки на панели инструментов > Сетевые правила и щелкните кнопку Настройки ICMP. В окне диалога Настройки ICMP приводится список основных типов ICMP-сообщений; вы можете разрешить входящие или исходящие сообщения, поставив напротив соответствующий флажок. Если флажка нет, данное соединение блокируется процесс настройки ICMP показан на рисунке 3.13.

Рисунок 3.13 Настройка ICMP сообщений

Помимо блокировки адресов с помощью глобальных правил брандмауэра и правил для приложений, Outpost Firewall Pro предоставляет еще один инструмент для гибкого ограничения нежелательного трафика: Блокировка IP. Этот модуль разработан для фильтрации всех входящих/исходящих интернет-соединений по IP-адресам и является полезным подспорьем в руках продвинутых пользователей, обеспечивая полный контроль над сетевой активностью компьютера путем блокировки указанных адресов.

Модуль блокирует хакеров, вредоносные сайты и рекламные сети с помощью черных списков, содержащих IP-адреса, соответствующие этим угрозам. Вы можете как создавать свои собственные списки вредоносных IP-адресов - указывая даже диапазон адресов, которые, по вашему мнению, являются небезопасными - или использовать доступные в сети бесплатные готовые списки. И вам не нужно тратить время на создание правил.

Модуль Блокировка IP обладает наивысшим приоритетом при обработке трафика, поэтому его приоритет выше даже чем у доверенных приложений и сетей, помеченных как Доверенные. Ни одно приложение, включая саму операционную систему, не может отправлять или принимать данные по протоколу IP или его производным на или с адресов, указанных в списке блокировки.

Для включения блокировки адресов откройте настройки Outpost Firewall Pro, выберите страницу Блокировка IP и выберите флажок Включить блокировку IP. В комплекте с Outpost Firewall Pro не поставляются готовые списки IP-адресов, но вы можете либо загрузить специализированные списки или списки общего назначения из сети, либо создать список вручную. Outpost Firewall Pro поддерживает списки различных форматов. Для импорта загруженного списка щелкните Импорт на странице Блокировка IP, найдите файл со списком адресов и щелкните Открыть. Список сохраняется в конфигурации продукта и может быть загружен или сохранен во внешний файл вместе со всеми вашими настройками при изменении конфигурации. Для сохранения списка в виде отдельного файла, щелкните Экспорт, выберите папку для сохранения и щелкните Сохранить. Для добавления адреса в список вручную, щелкните Редактировать, введите адрес в одном из
возможных форматов, укажите комментарий (для того, чтобы в будущем знать, почему вы добавили этот адрес) и щелкните Добавить. Запись появится в списке. Чтобы удалить запись из списка, выберите ее и щелкните Удалить. Для очистки всего списка щелкните Удалить все.

Вы можете воспользоваться одним из четырех форматов для ввода адреса:

- доменное имя. Например, http://www.agnitum.ru. В этом случае необходимо наличие интернет-соединения для разрешения имени домена в IP-адрес. IP-адрес сохраняется вместе с введенным именем домена и используется Outpost Firewall Pro для блокировки трафика;

- IP-адрес. Например, 216.12.219.12;

- IP-адрес с маской подсети. Например, 216.12.219.1/216.12.219.255;

- диапазон IP-адресов. Например, 203.1.254.0-203.1.254.255.

Одним из важнейших аспектов защиты с помощью системы безопасности является фильтрация входящих пакетов, используемая для контроля входящей активности и блокировки хакеров и вредоносных программ при их попытке атаковать ваш компьютер. Компонент Детектор атак обнаруживает, предотвращает и оповещает вас обо всех возможных

атаках на вашу систему из Интернета и локальной сети, к которой подключен ваш компьютер. Компонент просматривает входящие данные и определяет их законность либо с помощью сравнения контрольных сумм с известными атаками, либо производя анализ поведения. Это позволяет обнаруживать не только известные типы атак, такие как сканирование портов, Отказ от обслуживания (Denial of Service, DoS-атаки), атаки классов 'short fragments' и 'my address' и многие другие, но также и будущие угрозы. Чтобы активировать компонент Детектор атак, щелкните Настройки > Детектор атак и отметьте параметр Включить детектор атак, появится окно показанное на рисунке 3.14.

Рисунок 3.14 Настройки детектора атак

Вы можете определить насколько дотошно Outpost Firewall Pro должен себя вести при обнаружении атак, установив требуемый уровень тревоги. Уровень тревоги определяет количество подозрительных пакетов, обнаруженных до того, как Outpost Firewall Pro сообщает об атаке. Для того, чтобы установить уровень тревоги, щелкните Настройки > Детектор атак и передвиньте ползунок в одно из следующих значений:

- максимальный. Оповещение об атаке отображается даже если обнаружено единичное сканирование одного из ваших портов; обнаруживаются и предотвращаются все атаки как внешней сети, так внутренней;

- оптимальный. Оповещение об атаке отображается если просканировано несколько портов или если просканирован один из портов, которые, по мнению Outpost Firewall Pro, обычно используются для атаки; обнаруживаются все внешние атаки за исключением атак Фрагментированные ICMP-пакеты' и атак типа 'My address';

- низкий. Оповещение об атаке отображается при обнаружении нескольких попыток атакиатаки типа 'Фрагментированные ICMP-пакеты' и 'My address', как и атаки внутренней сети не обнаруживаются.

Измените уровень тревоги в соответствии с риском, которому подвергается ваш компьютер. или. если у вас возникли какие-либо подозрения, установите максимальный уровень. Вы также можете настроить свой собственный уровень безопасности, щелкнув кнопку Настройка. Вкладка Ethernet позволит вам указать настройки для Ethernet-атак, вкладка Дополнительно поможет вам определить список атак, обнаруживаемых брандмауэром, и указать уязвимые порты для более тщательной проверки. После обнаружения атаки Outpost Firewall Pro может изменять свое поведение, чтобы автоматически защитить вас от возможных будущих атак с этого адреса. Для этого установите флажок Блокировать IP-адрес атакующего на и все данные с атакующего компьютера будут блокироваться в течение указанного промежутка времени. По умолчанию это 5 минут.

Также, вы можете блокировать всю подсеть, к которой принадлежит адрес атакующего компьютера, выбрав параметр Блокировать подсеть атакующего.

Для получения визуальных и звуковых оповещений об обнаруженных атаках, установите флажки для параметров Проигрывать звуковое оповещение при обнаружении атаки и Показывать визуальное оповещение при обнаружении атаки соответственно.

Когда данные пересылаются по сети с одного компьютера на другой, исходный компьютер рассылает ARP-запрос для определения MAC-адреса по IP-адресу целевого компьютера. Между временем отправки широковещательного сообщения и ответом с Ethernet-адресом данные могут подвергаться подмене, краже или несанкционированному перенаправлению третьему лицу. Компонент Детектор атак защищает вашу систему также от вторжений со стороны локальной сети. Он обнаруживает и предотвращает некоторые Ethernet-атаки, такие как подделка IP-адреса (IP spoofing), сканирование ARP, ARP-флуд и другие, защищая вашу систему от вторжений из локальной сети. Чтобы указать настройки обнаружения Ethernet-атак, щелкните Настройки > Детектор атак > Настройка Рисунок 3.15.

Рисунок 3.15 Настройка детектора атак

Доступны следующие параметры:

- выключить ARP-фильтрацию предотвращает ARP-спуфинг (ARP spoofing) - ситуации, когда узел посылает большое количество ARP-ответов с разными MAC-адресами в течение небольшого промежутка времени, пытаясь перегрузить сетевое оборудование, пытающееся определить какой из этих адресов является реальным для данного узла. Если включена, Outpost Firewall Pro принимает только те ARP-ответы от других узлов, для которых перед этим был послан запрос. Для каждого запроса принимается только первый ARP-ответ. ARP-фильтрация также защищает от т.н. отравления ARP-кэша (ARP cache poisoning), которое происходит когда кто-то перехватывает Ethernet-трафик, используя поддельные ARP-ответы, с целью замены адреса сетевого адаптера на адрес, который атакующий может контролировать. Кроме того, она также предотвращает ARP-флуд (ARP flood) - ситуации, когда большое количество фиктивных ARP-ответов отправляется на целевой компьютер с целью «повесить» систему;

- обнаруживать подмену IP-адреса и блокировать IP-флуд Обнаруживает подмену IP-адресов (IP spoofing) атакующего и блокирует большой объем трафика, который может перегрузить компьютер. Этот параметр не может предотвратить флуд в сети, но может защитить компьютер от перегрузки;

- предотвращать подмену MAC-адреса шлюза Обнаруживает попытки атакующего связать IP-адрес сетевого адаптера шлюза со своим MAC-адресом, чтобы иметь возможность перехватывать пакеты. Хакер может заменить MAC-адрес своим и перенаправить трафик на контролируемый им компьютер, подменяя ARP-ответы, которые Outpost Firewall Pro обнаружит и заблокирует. Это позволяет ему просматривать пакеты и видеть все передаваемые данные. Также это позволяет перенаправлять трафик на несуществующие компьютеры, вызывая замедления в доставке данных или отказ от обслуживания. Подменяя MACадрес на Интернет-шлюзе, специализированные хакерские утилиты-снифферы могут также перехватывать трафик, включая чат-сессии и прочие частные данные, такие как пароли, имена, адреса и даже зашифрованные файлы;

- защищать мои IP-адреса от ложных сообщений 'IP-адрес уже занят'

Обнаруживает ситуации, когда два или более компьютеров имеют один IP-адрес. Такое может случиться, если атакующий пытается получить доступ к сетевому трафику или заблокировать компьютеру доступ в сеть, но также может происходить и санкционировано, если провайдер использует несколько серверов для распределения нагрузки. При включенном параметре, Outpost Firewall Pro блокирует ARP-ответы с одинаковыми IP-адресами (но разными MAC-адресами) и таким образом защищает компьютер от последствий дублирования IP-адресов;

- блокировать узлы, сканирующие компьютеры в сети ограничивает количество ARP-запросов, перебирающих IP-адреса, с одного MAC-адреса за указанный промежуток времени, что может являться сканированием локальной сети. Некоторые массово распространяющиеся вирусы перебирают узлы для распространения с одного компьютера на другой, заражая их по очереди. Этот метод также используется сканерами сети и анализаторами уязвимостей.

Компонент Outpost Firewall Pro Детектор атак выполняет две независимые функции: блокирует атаки и обнаруживает попытки сканирования портов. В данном контексте под атакой понимается отправка на ваш компьютер вредоносных данных, которые могут привести к ошибкам в системе (падениям, зависаниям и т.д.), или попытка атакующего получить незаконный доступ к данным, хранящимся на вашем компьютере. Сканирование портов - это попытка определить открытые порты в вашей системе до начала атаки. При получении запроса на соединение (короткого сообщения на компьютерном языке, целью которого является установление соединения через один из портов на вашем компьютере), компонент Детектор атак сохраняет «Запрос на соединение» но, во избежание ложных срабатываний, не считает единичный запрос сканированием портов. Если от одного и того же удаленного узла поступают многочисленные запросы на соединение, компонент предупредит вас о «Сканировании портов».

Чувствительность Outpost Firewall Pro в обнаружении сканирования портов (т.е. количество запросов на соединение, которые вызывают появление сообщения о «Сканировании портов») определяется на вкладке Дополнительно (Настройки > Детектор атак > Настройка > Дополнительно > Атаки), как показано на рисунке 3.16.

Вы можете указать, какие атаки Outpost Firewall Pro должен обнаруживать и блокировать. По умолчанию, продукт определяет более 25 типов атак и вторжений, но вы можете отменить определение некоторых из них, чтобы снизить потребление ресурсов вашей системы или снизить количество ошибочных или слишком частых сообщений, которые появляются, если, к примеру, доверенная служба в вашей сети была ошибочно принята за источник атаки.

Рисунок 3.16 Настройки детектора атак

Чтобы настроить список определяемых атак, щелкните Настройки > Детектор атак > Настройка и щелкните кнопку Атаки на вкладке Дополнительно, как показано на рисунке 3.17.



Рисунок 3.17 Настройки списка атак

Все выбранные типы атак обнаруживаются брандмауэром. Чтобы исключить какой-либо тип, снимите флажок напротив его названия. Чтобы вернуться к предварительным установкам, щелкните кнопку По умолчанию.

В вашей сети не исключено наличие компьютеров, которым вы полностью доверяете и которые, вы уверены, не могут являться источником опасности.

Также, вы можете быть уверены, что некоторые порты вашей системы не могут являться плацдармом для вторжения. Другими словами, вы полагаете бесполезным слежение за этими узлами и портами и хотите сберечь расходуемые системные ресурсы, перестав следить за ними. Детектор атак позволяет вести списки исключений, в которые вы можете добавить узлы и порты, слежение за которыми вы хотите отключить. Для добавления узла, подсети или порта в список доверенных, щелкните Настройки > Детектор атак > Исключения.

На странице Узлы и сети щелкните кнопку Добавить и в появившемся диалоговом окне Выбор адреса задайте формат, который вы будете использовать для ввода адреса. Доступны следующие варианты:

- имя домена. Например, http://www.agnitum.com. В этом случае требуется подключение к сети Интернет, поскольку IP-адреса разрешаются через Интернет. IP-адрес запоминается наряду с заданным вами именем домена, и именно этот IP-адрес будет использоваться Outpost Firewall Pro в большинстве случаев.

IP-адрес. Например, 216.12.219.12;

- подсеть (IP-адрес и маска подсети). Например, 216.12.219.1 - 216.12.219.255;

- IPv6-адрес. Например, 2002::a00:1;

- макроадрес. Например, LOCAL_NETWORK. Подробнее об использовании макроопределений адресов для задания адресов локальных или удаленных узлов;

Введите требуемый адрес в том формате, который вы выбрали (можно использовать маски) и щелкните Добавить. Подобным образом вы можете последовательно добавить несколько адресов. Щелкните OK, чтобы добавить их в список доверенных. Чтобы удалить адрес из списка, выберите его и щелкните Удалить. Если вы не хотите, чтобы Outpost Firewall Pro обнаруживал атаки, исходящие из сетей, отмеченных на вкладке Настройки LAN как Доверенные, снимите флажок Обнаруживать атаки из доверенных сетей. Чтобы выключить обнаружение атак со шлюзов, снимите флажок Анализировать трафик от шлюзов. Укажите все узлы и подсети, которые вы считаете доверенными, и щелкните OK для сохранения настроек.

Выберите одну из вкладок TCP-порты или UDP-порты в зависимости от того, какой порт вы собираетесь добавить в список доверенных. Вы можете ввести либо номер порта, либо диапазон портов, разделяя их запятыми, или выбрать требуемый порт из списка, дважды щелкнув по нему для добавления в поле. Чтобы удалить порт из списка, просто сотрите его имя или номер в текстовом поле. После указания всех портов, щелкните OK для сохранения настроек.

ЗАКЛЮЧЕНИЕ

В настоящее время информационная безопасность - одна из актуальных проблем, стоящих не только перед коммерческими предприятиями, но и почти перед каждым человеком, который живущим в современном обществе. В наше время повсеместной автоматизации, доступ злоумышленников к некоторым АС может привести поистине к катастрофическим последствиям. Поэтому защите должно уделяться очень большое внимание. К сожалению абсолютной защиты не существует. Обход тех или иных средств защиты вопрос только времени, денег и желания. Поэтому при разработке защиты необходимо учитывать ценность защищаемого объекта. Нельзя также останавливаться на достигнутом. Практически совершенная защита сегодня завтра может превратиться лишь в небольшую помеху на пути злоумышленников. Я разработал систему безопасности для одного из офисов компании. Действуя в соотвеветствии с принципом слабого звена я постарался охватить все аспекты безопасности, но в связи с очень большим объемом работы, я охватил действительно все то что стоит внимания.

В итоге в данном дипломном проекте были рассмотрены основные вопросы обеспечения инженерно-технической защиты объекта, для усиления его информационной безопасности. Рассмотрены системы телекоммуникаций объекта и произведен мониторинг ключевых управляющих элементов системы передачи данных. Произведен анализ защищенности сети, в целях выявления узких мест в области защиты передаваемых данных. На основе полученных в результате анализа объекта и его составляющих данных было произведено проектирование усовершенствованной модели безопасности, составлен технический план поэтапного внедрения в существующую систему безопасности новых элементов и методов, способствующих усилению информационной безопасности. Произведен анализ и подборка современного сетевого оборудования для создания защищенной системы передачи данных. Осуществлено проектирование сетевой модели с применением в ней ключевых управляющих элементов сети от компании Cisco. Построение сетевой модели и настройка маршрутизаторов компании Cisco осуществляется в программе модуляции работы сети - Cisco Packet Tracer.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Ярочкин В. Безопасность информационных систем. - М.: «Ось-89».

2. Большаков А.А., Петpяев А.Б., Платонов В.В., Основы обеспечения безопасности данных в компьютеpных системах и сетях, -РИЦ.: Москва Техносфера. 2005. - c528.