Корпоративная сеть предприятия

Эффективное применение информационных технологий - общепризнанный стратегический фактор роста конкурентоспособности компании. Электронный бизнес как способ взаимодействия деловых партнеров, сотрудников и клиентов. Защита от несанкционированного доступа.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 25.05.2014
Размер файла 667,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

КУРСОВАЯ РАБОТА

КОРПОРАТИВНАЯ СЕТЬ ПРЕДПРИЯТИЯ

Введение

В современном мире информация и ее обработка играют ключевую роль в управлении и функционировании предприятий. Реалии современного мира таковы, что эффективность работы любой компании напрямую зависит от качества и оперативности управления бизнес-процессами. Имея доступ к нужной информации, можно правильно оценить текущую ситуацию, принять своевременные решения.

Конкуренция вынуждает каждую компанию становиться все более открытой для своего окружения, все более чувствительной к постоянно меняющейся внешней среде. Установить четкие границы для любого бизнеса сегодня практически невозможно - информация выходит за пределы корпорации к ее клиентам, поставщикам и партнерам, за пределы границ различных сетевых сред.

Общепризнанным стратегическим фактором роста конкурентоспособности компании является эффективное применение информационных технологий. Новые технологические возможности облегчают распространение информации, повышают эффективность производственных процессов, способствуют расширению деловых операций в сфере бизнеса. Одним из главных инструментов управления являются корпоративные информационные системы. Предприятия нового типа - это разветвленная сеть распределенных подразделений, филиалов и групп, взаимодействующих друг с другом. Распределенные корпоративные информационные системы становятся сегодня важнейшим средством производства современной компании, они позволяют преобразовать традиционные формы бизнеса в электронный бизнес.

Электронный бизнес - это новый способ взаимодействия деловых партнеров, сотрудников и клиентов. Он является исключительно перспективным и потенциально может принести большие доходы. Электронный бизнес использует глобальную сеть Internet и современные информационные для повышения эффективности всех сторон деловых отношений, включая продажи, маркетинг, платежи, финансовый анализ, поиск сотрудников, поддержке клиентов и партнерских отношений.

Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности. Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба из-за потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.

В дипломной работе рассматривается корпоративная сеть предприятия ООО «Эклор», которая специализируется на производстве детских игрушек из пластмассы в широком ассортименте и цветовой гамме, а так же в производстве офисной мебели и комплектующих. Сеть ООО «Эклор» состоит из центрального офиса в г. Екатеринбург и двух филиалов в Н-Новгороде и Ростове-на-Дону (Приложение А).

Использование Internet в качестве глобальной публичной сети означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Поэтому информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно.

Следует отметить, что средства взлома компьютерных сетей и хищения информации развиваются так же быстро, как и все высокотехнологичные компьютерные отрасли. Без знания и квалифицированного применения современных технологий, стандартов, протоколов и средств защиты информации невозможно достичь требуемого уровня информационной безопасности корпоративных систем и сетей. В этих условиях обеспечение информационной безопасности корпоративной информационной системы является приоритетной задачей для руководства компании, поскольку от сохранения конфиденциальности, целостности и доступности корпоративных информационных ресурсов во многом зависит качество и оперативность принятия стратегических решений, и эффективность их реализации.

Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности. Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба из-за потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.

1. Защищенные виртуальные частные сети VPN

1.1 Концепция построения защищенных виртуальных частных сетей VPN

В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.

Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств, поскольку в рассматриваемой ситуации компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных intranet/extranet сетей и использовать для этого де Internet-каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступают выделенным линиям.

Очевидная экономическая эффективность от внедрения VPN-технологии активно стимулирует предприятия к скорейшему ее внедрению.

Исторически техническая реализация виртуальных туннелей шла по двум направлениям:

- построение совокупности соединений (Frame Relay или АТМ) между двумя точками единой инфраструктуры сети, изолированными от других пользователей, путем применения встроенных механизмов организации виртуальных каналов;

- применения технологии туннелирования, согласно которой каждый IP- построение виртуального IP-туннеля между двумя узлами сети путем пакет шифруется и помещается в поле данных нового пакета специального вида.

Однако скоро VPN-технология стала четко ассоциироваться со средствами защиты информации, и направление создания защищенных виртуальных сетей VPN постепенно вышло на первый план.

1.1.1 Функции и компоненты сети VPN

Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:

- несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;

- несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть.

Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через Internet, возможно при эффективном решении задач защиты:

- информации в процессе ее передачи по открытым каналам связи;

- подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

- аутентификации взаимодействующих сторон;

- криптографическом закрытии (шифровании) передаваемых данных;

- проверке подлинности и целостности доставленной информации.

Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации, эффективность которой обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем.

Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны (брандмауэры), поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным.

Виртуальная частная сеть VPN формируется на основе каналов связи открытой сети. Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой используется Internet, и более медленные общедоступные каналы связи, в качестве которых обычно применяются каналы телефонной сети. Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи.

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых туннелями VPN. Туннель VPN обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Internet. Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети [1].

Туннелирование широко используется для безопасной передачи данных через открытые сети. С помощью этой методики пакеты данных передаются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных (вместе со служебными полями) в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что туннелирование само по себе не защищает данные от несанкционированного доступа или искажения, но обеспечивает возможность полной криптографической защиты инкапсулируемых исходных пакетов.

Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым IP-заголовком и отправляет по транзитной сети (рисунок 1.1).

Рисунок 1.1 Пример пакета, приготовленного для туннелирования

Особенность туннелирования заключается в том, что эта технология позволяет зашифровать исходный пакет целиком вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети - данные о количестве подсетей и узлов и их IP-адресах. Злоумышленник получает шанс использовать такую информацию при организации атак на корпоративную сеть.

Исходный пакет с зашифрованным заголовком нельзя использовать для организации транспортировки по сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирование. Исходный пакет зашифровывают полностью вместе с заголовком, а затем помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.

Рисунок 1.2 Схема виртуального туннеля

По прибытии в конечную точку защищенного канала из внешнего пакета извлекают и расшифровывают внутренний исходный пакет и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети (рисунок 1.2).

Туннелирование может быть использовано для обеспечения не только конфиденциальности содержимого пакета, но и его целостности и аутентичности; при этом электронную цифровую подпись можно распространить на все поля пакета.

В дополнение к сокрытию сетевой структуры между двумя точками туннелирование может также предотвратить возможный конфликт адресов между двумя локальными сетями.

Механизм туннелирования широко применяется в различных протоколах формирования защищенного канала.

Обычно туннель создается только на участке открытой сети, где существует угроза нарушения конфиденциальности и целостности данных, например между точками входа в открытую сеть Internet и в корпоративную сеть. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в двух названных точках, а внутренние адреса конечных узлов содержатся во внутренних исходных пакетах в защищенном виде.

Следует отметить, что сам механизм туннелирования не зависит от того, с какой целью оно применяется. Туннелирование может использоваться не только для обеспечения конфиденциальности и целостности всей передаваемой порции данных, но и для организации перехода между сетями с разными протоколами (например, IPv4 и IPv6). Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования. Например, в качестве протокола-«пассажира» может быть использован транспортный протокол IPX, переносящий данные в локальных сетях филиалов одного предприятия. Реализацию механизма туннелирования можно представить как результат работы протоколов трех типов: протокола-«пассажира», несущего протокола и протокола туннелирования.

1.2.1 Основные варианты VPN-решений

Можно выделить три основных вида VPN-решений:

- интегрированные;

- специализированные;

- программные.

Интегрированные VPN-решения включают функции межсетевого экрана, маршрутизации и коммутации. Главное преимущество такого подхода состоит в централизации управления компонентами. Для компаний, которым не требуется высокая производительность корпоративной сети, а задача снижения расходов на сетевое оборудование является одной из приоритетных, наиболее эффективным будет интегрированное решение, позволяющее сосредоточить все функции в одном устройстве. При этом все же следует сказать, что чем больше функций исполняется одним устройством, тем чаще становятся заметными потери в производительности.

Специализированные VPN-решения. Высокая производительность - самое главное преимущество специализированных VPN-устройств. Более высокое быстродействие подобных систем обусловлено тем, что шифрование в них осуществляется специализированными микросхемами.

Объем вычислений, которые необходимо выполнить при обработке VPN-пакета, в 50 - 100 раз превышает тот, который требуется для обработки обычного пакета. Если в корпоративной сети проводятся различные мероприятия, требующие обмена большим трафиком данных, то для эффективной обработки VPN-пакетов целесообразно использовать специализированную аппаратуру. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако обладают высокой стоимостью.

Программные VPN-решения. VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPNВ настоящее время существует несколько типов физических реализаций VPN-технологий, каждая из которых характеризуется определенным набором функциональных требований. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики, поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненными достоинствами программных продуктов являются гибкость и удобство в применении, а также относительно невысокая стоимость.

Внутрикорпоративная сеть (intranet-VPN) обеспечивает создание безопасных соединений между внутренними отделами компании и ее филиалами. Для нее характерны следующие свойства:

- применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;

- надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и управления базами данных;

- гибкость управления для более эффективного размещения быстро возрастающего количества пользователей, новых офисов и программных приложений.

Сети VPN с удаленным доступом (Internet-VPN) обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники-надомники и т.д.). Для Internet-VPN характерны следующие основные свойства:

- мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;

- эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества пользователей, работающих с VPN.

Межкорпоративная сеть (extranet-VPN) обеспечивает эффективное взаимодействие и защищенный обмен информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Для extranet-VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.

Иногда выделяют в отдельную группу локальный вариант сети VPN.

Локальная сеть (localnet-VPN) обеспечивает защиту информационных потоков, циркулирующих внутри локальных сетей компании (как правило, центрального офиса) от несанкционированного доступа со стороны «излишне любопытных» сотрудников компании.

Несмотря на наличие проработанных основных вариантов VPN-решений построение VPN для распределенных компаний даже с небольшим количеством удаленных (5-10) подразделений (филиалов), как правило, является достаточно трудоемкой задачей, сложность которой обусловлена следующими основными причинами:

- значительная гетерогенность существующих в российских компаниях технических решений, которая заключается не только в большом разнообразии и малой совместимости используемых аппаратных платформ, программного обеспечения, сетевых операционных систем, качественно различных каналах связи между подразделениями компании, но и в многообразии практически аналогичных решений у существующих и потенциальных партнеров и заказчиков, с которыми необходимо строить защищенные extranet-VPN;

- разнообразие применяемых для построения корпоративной VPN частных технический решений;

- необходимость построения централизованной системы управления всей корпоративной VPN из центрального офиса компании для обеспечения высокого уровня безопасности и управляемости VPN, особенно системой распределения криптографических ключей и сертификатов, а также из-за отсутствия квалифицированного обслуживающего персонала в региональных подразделениях и т.д.;

- узкая полоса пропускания и относительно плохое качество существующих каналов связи, особенно с региональными подразделениями, и т.д.

Указанные сложности построения корпоративных VPN усугубляется еще и тем, что, как правило, предъявляются достаточно жесткие требования в отношении:

- масштабируемости применяемых технических решений;

- интегрируемости с уже существующими в подразделениях компании средствами защиты информации, а также прозрачности работы VPN для всех работающих внутрикорпоративных приложений (системы документооборота, аудита и управления компьютерными сетями, IP-телефонии и т.д.);

- легальности общего решения, то есть применяемые для построения VPN-средства должны отвечать национальным стандартам и требованиям;

- пропускной способности защищаемой сети, то есть VPN-устройства не должны вносить существенные задержки в процесс обработки и передачи информации, а также заметно суживать полосу пропускания канала связи;

- стойкости применяемых криптоалгоритмов, благодаря которой корпоративная информация была бы надежно защищена от криптоаналитических атак злоумышленников и недобросовестных конкурентов;

- обеспечение целостности передаваемой по сетям информации и надежной аутентификации пользователей VPN;

- унифицируемости VPN-решения, позволяющей данной компании в будущем без особых технических и организационных проблем устанавливать защищенные соединения с новыми партнерами по бизнесу;

- общей совокупной стоимости построения корпоративной VPN, которая может варьироваться практически от нуля до нескольких сотен тысяч долларов.

Нетрудно заметить, что многие из перечисленных выше требований находятся в определенном противоречии друг с другом, что в большинстве случаев не позволяет предложить какое-то общее оптимальное по всем критериям техническое решение. Поэтому, как правило, на практике приходится либо пренебрегать некоторыми из перечисленных требований, либо строить комбинированные VPN на базе существующих решений:

- сетевых операционных систем;

- маршрутизаторов;

- межсетевых экранов;

- специализированного программного обеспечения.

1.2.2 VPN на базе сетевых операционных систем

Построение VPN на базе сетевой операционной системы - достаточно удобный и, главное, дешевый способ создания инфраструктуры защищенных виртуальных каналов. Сегодня в России наибольшее распространение среди сетевых операционных систем, позволяющих строить VPN штатными средствами самой операционной системы, получила Windows NT. Данное решение оказалось популярным, прежде всего, благодаря общей распространенности данной ОС [4].

Для построения виртуальных защищенных туннелей в IP-сетях Windows NT использует разработанный фирмой Microsoft протокол РРТР, который является расширением хорошо известного протокола РРР (Point-to-Point Protocol). Туннелирование трафика происходит за счет инкапсуляции и последующего шифрования (криптоалгоритм RSA RC4 с ключом 40 бит) стандартных РРР-фреймов в IР-датаграммы, которые и передаются по открытым IP-сетям. С точки зрения обеспечения безопасности соединения протокол РРТР унаследовал практически все качества протокола РРР.

По мнению специалистов, данное решение является оптимальным для построения VPN внутри локальных сетей или домена Windows NT, а также для построения intranet- и extranet-VPN для небольших компаний с целью защиты некритичной для их бизнеса информации. В то же время крупный бизнес вряд ли доверит свои секреты этому решению, поскольку многочисленные испытания VPN, построенных на базе Windows NT, показали, что протокол РРТР достаточно уязвим с точки зрения безопасности.

1.2.3 VPN на базе маршрутизаторов

Сегодня практически все ведущие производители маршрутизаторов и других сетевых устройств заявляют о поддержке в своих продуктах различных VPN-протоколов. В России безусловным лидером на этом рынке является компания Cisco Systems, поэтому построение корпоративных VPN целесообразнее всего продемонстрировать на решениях именно этой компании.

Построение VPN-каналов на базе маршрутизаторов компании Cisco осуществляется средствами самой операционной системы, начиная с версии Cisco IOS 12.x. Если на пограничные маршрутизаторы Cisco других отделений компании установлена данная операционная система, то имеется возможность сформировать корпоративную VPN, состоящую из совокупности виртуальных защищенных туннелей типа «точка-точка» от одного маршрутизатора к другому (рисунок 1.3). Как правило, для шифрования данных в канале по умолчанию применяется криптоалгоритм DES с длиной ключа 56 бит.

Рисунок 1.3 Типовая схема построения корпоративной VPN на базе маршрутизаторов Cisco

Сравнительно недавно появился продукт компании - Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internet- и localnet-VPN.

Для организации VPN-туннеля маршрутизаторы компании Cisco в настоящее время используют протокол канального уровня L2TP (созданный на базе фирменных протоколов L2F (Cisco Systems) и PPTP(Microsoft Co.)) и протокол сетевого уровня IPSec, разработанный ассоциацией IETF.

Протокол эстафетной передачи на втором уровне (Layer 2 Forwarding - L2F) был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня с использованием протоколов более высокого уровня, например, IP. С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP по существующей инфраструктуре Интернет. Поддержка таких многопротокольных приложений виртуального удаленного доступа очень выгодна конечным пользователям и независимым поставщикам услуг, поскольку позволяет разделить на всех расходы на средства доступа и базовую инфраструктуру и дает возможность осуществлять доступ через местные линии связи. Кроме того, такой подход защищает инвестиции, сделанные в существующие приложения, работающие не по протоколу IP, предоставляя защищенный доступ к ним и в то же время поддерживая инфраструктуру доступа к Интернет.

Сквозной туннельный протокол Point-to-Point Tunneling Protocol (PPTP) создан корпорацией Microsoft. Он никак не меняет протокол PPP, но предоставляет для него новое транспортное средство. В рамках этого протокола опред Сравнительно недавно появился продукт компании - Cisco VPN client, который позволяет создавать защищенные соединения «точка-точка» между рабочими станциями (в том числе и удаленными) и маршрутизаторами Cisco, что делает возможным построение Internet- и localnet-VPN.

Как видно, протоколы L2F и PPTP имеют сходную функциональность. Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня (Layer 2 Tunneling Protocol -- L2TP).

Протокол L2TP обеспечивает инкапсулирование протоколов сетевого уровня (IP, IPX, NetBEUI и др.) в пакеты канального уровня (PPP), которые и передаются по сетям, поддерживающим доставку датаграмм в каналах «точка-точка». Хотя этот протокол и претендует на решение проблем безопасности в VPN, он никак не специфицирует процедуры шифрования, аутентификации (процедура аутентификации происходит один раз в начале сессии) и проверки целостности каждого передаваемого по открытой сети пакета, а также процедуры управления криптографическими ключами. Основное преимущество L2TP состоит в его независимости от транспортного уровня, что позволяет использовать его в гетерогенных сетях. Достаточно важным качеством L2TP является его поддержка в операционной системе Windows 2000, благодаря чему в принципе можно строить комбинированные VPN на базе продуктов Microsoft и Cisco. Однако «канальная природа» протокола L2TP послужила причиной его существенного недостатка: для гарантированной передачи защищенного пакета через составные сети все промежуточные маршрутизаторы должны поддерживать данный протокол, что, очевидно, весьма трудно гарантировать. Видимо, в связи с этим компания Cisco сегодня обратила более пристальный взгляд на продвижение более современного VPN-протокола - IPSec.

Безопасный протокол IP (IPSec) представляет собой набор стандартов, используемых для защиты данных и для аутентификации на уровне IP. Протокол IPSec также включает криптографические методы, удовлетворяющие потребности управления ключами на сетевом уровне безопасности. Протокол управления ключами Ассоциации безопасности Интернет (Internet Security Association Key Management Protocol -- ISAKMP) создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Стандарт IPSec позволяет поддержать на уровне IP потоки безопасных и аутентичных данных между взаимодействующими устройствами, включая центральные компьютеры, межсетевые экраны (сетевые фильтры) различных типов и маршрутизаторы [4].

На сегодняшний день IPSec - один из самых проработанных и совершенных Internet-протоколов в плане безопасности. В частности, он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета (для управления криптографическими ключами IPSec использует протокол IKE, хорошо зарекомендовавший себя в своей более ранней версии Oakley). Кроме того, работа протокола на сетевом уровне является одним из стратегических преимуществ IPSec, поскольку VPN на его базе работают полностью прозрачно как для всех без исключения приложений и сетевых сервисов, так и для сетей передачи данных канального уровня. Также IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку сохраняет стандартный IP-заголовок, принятый в IPv4. А тот факт, что IPSec включен в качестве неотъемлемой части в будущий Internet-протокол IPv6, делает его еще более привлекательным для организации корпоративных VPN.

Но IPSec присущи и некоторые недостатки: поддержка только стека TCP/IP и довольно большой объем служебной информации, который может вызвать существенное снижение скорости обмена данными на низкоскоростных каналах связи.

Возвращаясь к построению корпоративных VPN на базе маршрутизаторов, отметим, что в основную задачу этих устройств входит маршрутизация трафика, а значит, криптообработка пакетов является некоторой дополнительной функцией, требующей, очевидно, дополнительных вычислительных ресурсов. Другими словами, если ваш маршрутизатор имеет достаточно большой запас по производительности, то ему вполне можно «поручить» и формирование VPN. Однако если маршрутизатор работает «на пределе», он вряд ли справится с этой задачей, не нарушая общей функциональности своей работы.

В случае построения VPN на базе маршрутизаторов необходимо помнить еще и о том, что сам по себе такой подход не решает проблему обеспечения общей информационной безопасности компании, поскольку все внутренние информационные ресурсы все равно остаются открытыми для атак извне. Для защиты этих ресурсов, как правило, применяются межсетевые экраны, которые располагаются за пограничными маршрутизаторами, а, следовательно, на канале от маршрутизатора к МЭ и далее вся конфиденциальная информация идет в «открытом» виде. Это, в частности, означает, что маршрутизатор необходимо ставить как можно «ближе» к МЭ, желательно в общем охраняемом помещении.

Один из существенных недостатков построения VPN на базе маршрутизаторов состоит в том, что решение единой задачи защиты информационных ресурсов компании от атак извне распределяется по нескольким функционально независимым устройствам (например, маршрутизатор и МЭ). Такой подход может привести к серьезным организационным и техническим проблемам в случаях, например, определения ответственности за нарушение информационной безопасности сети [1].

1.2.4 VPN на базе межсетевых экранов

Ряд специалистов по информационной безопасности считает, что построение VPN на базе межсетевых экранов является единственным оптимальным вариантом с точки зрения обеспечения комплексной безопасности корпоративной информационной системы от атак из открытых сетей. Действительно, объединение функций МЭ и VPN-шлюза в одной точке под контролем единой системы управления и аудита - не только технически грамотное, но и удобное для администрирования решение. В качестве примера рассмотрим типовую схему построения корпоративной VPN на базе популярного в России программного продукта CheckPoint Firewall-1/VPN-1 компании CheckPoint Software Technologies.

Данная компания является одним из лидеров в области производства продуктов комплексного обеспечения информационной безопасности при работе с Internet. Межсетевой экран CheckPoint Firewall-1 позволяет в рамках единого комплекса построить глубокоэшелонированный рубеж обороны для корпоративных информационных ресурсов. В состав такого комплекса входит как сам CheckPoint Firewall-1, так и набор продуктов для построения корпоративной VPN: CheckPoint Firewall-1, средства обнаружения вторжений RealSecure, средства управления полосой пропускания FloodGate и т.д. (рисунок 1.4).

Рисунок 1.4 Типовая схема построения корпоративной VPN на базе CheckPoint Firewall-1/VPN-1

Подсистема построения VPN на базе CheckPoint FW-1 включает в себя программные продукты VPN-1:

- Gateway и VPN-1 Appliance, предназначенные для построения intranet-VPN;

- VPN-1 SecureServer - для защиты выделенных серверов;

- VPN-1 SecuRemote и VPN-1 SecureClient - для построения internet/externet/localnet-VPN.

Для шифрования трафика в каналах CheckPoint Firewall-1 использует известные криптоалгоритмы DES, CAST, IDEA, FWZ и др. [5].

Весь ряд продуктов CheckPoint VPN-1 реализован на базе открытых стандартов (IPSec), имеет развитую систему аутентификации пользователей, поддерживает взаимодействие с внешними системами распределения открытых ключей (PKI), позволяет строить централизованную систему управления и аудита и т.д.

Подводя итоги, можно сказать, что построение VPN на базе МЭ представляется вполне сбалансированным решением. Однако ему тоже присущи некоторые недостатки. Прежде всего, это высокая стоимость в пересчете на одно рабочее место корпоративной сети и достаточно большие требования к производительности МЭ даже при умеренной ширине полосы пропускания выходного канала связи. Очевидно, что вопросу производительности межсетевого экрана должно уделяться повышенное внимание при построении VPN, поскольку фактически вся нагрузка по криптообработке трафика ложится на МЭ [7].

1.2.5 VPN-продукты российских производителей

Всех российских производителей VPN-продуктов можно разделить на две группы: компании, предлагающие VPN-продукты, разработанные на базе известных мировых стандартов, и компании, предлагающие VPN-продукты на основе собственных разработок. Следует отметить, что вторая группа в данное время выглядит более многочисленной.

Как правило, при построении корпоративной VPN более предпочтительным представляется выбор в пользу VPN-продуктов из первой группы, то есть реализующие известные и всесторонне изученные мировые стандарты. Интерес к таким продуктам еще более повышается, если они используют сильные отечественные криптографические алгоритмы, такой, например, как (кстати, совершенно открытый) криптоалгоритм ГОСТ 28147-89 с длиной ключа 256 бит [8].

Среди отечественных производителей VPN-продуктов указанной группы наибольшую известность и распространенность на сегодняшний день приобрели, пожалуй, два: криптографический комплекс «Шифратор IP-пакетов» (ШИП) производства МО ПНИЭИ и линейка программных продуктов серии ЗАСТАВА от компании ООО «ЭЛВИС+». Поскольку указанные продукты являются специализированными VPN-продуктами, набор предоставляемых ими функциональных возможностей в некоторых случаях даже шире, чем у западных конкурентов, а криптостойкость используемых криптоалгоритмов, безусловно, многократно превышает соответствующие параметры поставляемых в Россию западных функциональных аналогов.

2. VPN-продукты ЗАСТАВА

2.1 Состав и преимущества продуктного ряда ЗАСТАВА

Программные продукты ЗАСТАВА, разработанные компанией ЭЛВИС+ на основе современного стандарта IPSec, образуют целостный масштабируемый ряд продуктов для построения защищенных корпоративных сетей VPN.

Рисунок 2.1 Продуктный ряд ЗАСТАВА

Назначение продуктов данной линии в обеспечении гибкого масштабируемого решения для защиты и аутентификации трафика корпоративных сетей и защиты корпоративной сети от несанкционированного доступа.

Комплекс продуктов VPN ЗАСТАВА 5.3 состоит из Центра управления ЗАСТАВА и трех полнофункциональных VPN/FW-агентов: ЗАСТАВА - Клиент, ЗАСТАВА - Сервер и ЗАСТАВА - Офис и предоставляет пользователям полное обеспечение для построения защищенных корпоративных сетей. VPN/FW-агенты ЗАСТАВА 5.3 - обеспечивают защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных частных сетей (Virtual Private Networks- VPN) . Семейство ЗАСТАВА 5.3 включает программные агенты ЗАСТАВА -Клиент и ЗАСТАВА -Офис, которые устанавливаются ,соответственно, на персональные компьютеры и шлюзы защищаемой информационной системы. Третий продукт семейства, ЗАСТАВА-Управление, в удаленном режиме обеспечивает централизованное администрирование и оперативное управление агентами, их политиками безопасности.

Семейство продуктов ЗАСТАВА 5.3 обеспечивает:

- Защиту отдельных компьютеров, в том числе мобильных, от атак из сетей общего пользования и Интернет;

- Защиту корпоративной информациооной системы или ее частей от внешних атак;

- Внутреннее сигментирование иформационной системы для обработки информации разной степени конфиденциальности;

- Организацию доверенных защищенных каналов связи между сегментами, территориально распределенной информационной системы, а так же с мобильными пользователями;

- Ограничения доступа с рабочих станций к внешним информационным ресурсам и интернет - сайтам;

- Соответствие информационной системы Российскому законодательству и нормативным требованиям в сфере информационной безопасности и защиты персональных данных;

- Централизованное в режиме реального времени управления сетевой безопасностью в информационных системах масштабом более 5000 защищенных узлов;

- Высокую производительность и прозрачность для пользователей и приложений;

- Централизованный мониторинг состояния управляемых агентов и событийных журналов сетевой безопасности;

- Автоматическую координацию конфигураций VPN и МЭ для всех управляемых агентов, что снижает риски несанкционированного доступа либо недоступности сервисов КИС возникающие из за ошибок и несогласованностей при раздельном конфигурировании;

- Совместимость с существующими VPN-продуктами работающими на базе стандартов Ipsec, с устройствами и системами аутентификации пользователей, платформами инфраструктуры открытых ключей (PKI) а так же системами сетевого управления.

При построении корпоративных интранет-систем VPN-продукты гарантируют конфиденциальность при работе с информацией в единой корпоративной сети предприятия. Защищая коммуникации между корпорацией, ее партнерами и клиентами, VPN-продукты используются для создания защищенных экстранет-систем. VPN-продукты ЗАСТАВА обладают целым рядом преимуществ, определяющих их эффективность в защите как информации критичных информационных ресурсов корпораций, так и корпоративных инвестиций в информационные технологии.

Технические преимущества VPN-продуктов ЗАСТАВА:

- использование IPSec в качестве базовой технологии безопасности - программные продукты VPN ЗАСТАВА 5.3 реализованы в полном соответствии со спецификациями комплекса протоколов сетевой безопасности IPSec;

- распределенная аутентификация пользователя - VPN ЗАСТАВА 5.3 предлагает комплекс взаимосвязанных механизмов, поддерживающих многофакторную аутентификацию пользователей на сетевом уровне и обслуживающих защищаемую часть информационной системы;

- дружественность к ресурсам ОС - VPN/FW-агенты ЗАСТАВА 5.3 поддерживают многопроцессорную и многопоточную обработку информации на уровне используемых платформ, возможность подключать внешние модули шифрования через открытый криптоинтерфейс Open CryptoAPI на уровне ядра ОС уменьшает затраты на выполнение шифрования/дешифрования трафика для VPN [9].

Функциональные преимущества использования VPN-продуктов ЗАСТАВА:

- централизованное управление в режиме реального времени - VPN/FW-агенты ЗАСТАВА 5.3 централизованно управляются с консоли Центра управления по протоколу управления политиками (РМР) в реальном масштабе времени, при этом процесс управления заключается не в формировании ЛПБ для каждого конкретного агента, а в задании общей логики взаимодействия агентов и необходимого для каждого взаимодействия сервиса безопасности;

- сквозная безопасность соединений - кроме контроля доступа и защиты соединений средствами IPSec (туннелирование и расширенная пакетная фильтрация), со стороны ЗАСТАВА - Сервера и ЗАСТАВА - Клиента действует непосредственный контроль TCP/UDP-соединений, обеспечивающий дополнительную низкоуровневую защиту сетевого доступа, при этом могут быть заданы различные политики безопасности, включая фильтрацию пакетов для каждого соединения;

- распределенный межсетевой экран - VPN/FW-агенты ЗАСТАВА 5.3 содержат встроенный межсетевой экран с расширенной пакетной фильтрацией и контролем TCP/UDP-соединений;

- учет местоположения управляемого объекта - ЗАСТАВА - Клиент 5.3 и ЗАСТАВА - Сервер 5.3 устанавливает безопасные соединения как снаружи, так и изнутри защищенных ЗАСТАВА - Офисом 5.3 периметров сети, при пересечении периметров политика безопасности автоматически перестраивается на новые условия работы.

2.2 Описание продуктного ряда ЗАСТАВА.

Аген - ЗАСТАВА-Офис 5.3, ЗАСТАВА-Клиент 5.3 предназначены для использования в качестве межсетевых экранов с функциями расширенной пакетной фильтрации, и организации

VPN-соединений в сетях связи общего пользования. На их основе строятся территориально распределенные, защищенные корпоративные информационные системы, обеспечивающие конфиденциальность, целостность и аутентичность сетевого трафика на базе стандартных протоколов IPSec. Аутентификация пользователей, а также взаимная аутентификация агентов, производится с использованием сертификатов цифрового ключа.

ЗАСТАВА-Агенты нечувствительны к наличию в сети промежуточных NAT-устройств, обеспечивают «прозрачное» прохождение через них VPN-трафика с помощью стандартных методов протокольной.

Высокая устойчивость ЗАСТАВА-Агентов к отказам VPN-шлюзов обеспечивается поддержкой стандартного протокола DPD (Dead Peer Detection) разработки компании Cisco Systems. С его помощью ЗАСТАВА-Агенты автоматически и в реальном масштабе времени определяют недоступность шлюза на втором конце VPN - канала и создают дублирующие каналы с другими VPN-шлюзами на том же сетевом периметре.

Поддержка приоритезации типов трафика (QoS) позволяет эффективно использовать продукты ЗАСТАВА для защиты приложений, чувствительных к задержкам, например, IP-телефонии и видеоконференций.

При работе по протоколам IPSec ЗАСТАВА-Агенты совместимы с VPN-продуктами сетевой безопасности известных зарубежных и российских производителей: Cisco IOS Router, Cisco PIX Firewall, Check Point VPN-1/FW-1 Gateway, Microsoft 2000/XP/2003 IPSec Agent. В качестве инфраструктуры открытых ключей продукты ЗАСТАВА могут использовать PKI-платформы RSA Keon, SunONE, Microsoft CA, Baltimore UNICERT, Entrust/PKI, КриптоПро, Верба. ЗАСТАВА-Агенты поддерживают многофакторную аутентификацию пользователей с помощью PKCS#11совместимых токенов: Aladdin eToken, Rutoken, Rainbow iKey1000/iKey2000, ActiveCARD Gold, а также программной эмуляции токена на дискете или жестком диске. Кроме того, для аутентификации пользователей удаленных ЗАСТАВА-Клиентов шлюз ЗАСТАВА-Офис может использовать протокол XAUTH и внешние RADIUS-совместимые серверы аутентификации. А VPN-агент ЗАСТАВА-Офис реализует функции прикладного проксирования популярных сетевых сервисов и протоколов (Telnet, FTP, SMTP, HTTP, SOCKS), а также маскирование топологии защищаемой сети в режиме VPN-туннелирования, либо с использованием встроенного централизованно управляемого NAT-сервера.

...

Подобные документы

  • Проблемы и тенденции развития информационных технологий. Экстранет как информационная среда для взаимодействия с внешним миром. Разграничение доступа к корпоративным ресурсам Экстранета. Эффективность обработки, сортирования и выборки данных в сети.

    контрольная работа [26,0 K], добавлен 28.11.2014

  • Программный модуль, обеспечивающий шифрование и расшифровывание информационных блоков. Защита информации, хранящейся в электронном виде, от несанкционированного доступа. Выбор методов шифрования. Программная реализация. Руководство пользователя.

    курсовая работа [184,0 K], добавлен 09.03.2009

  • Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.

    контрольная работа [107,3 K], добавлен 09.04.2011

  • Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.

    контрольная работа [40,2 K], добавлен 06.08.2010

  • Функциональная направленность использования информационных технологий. Электронные сетевые технологии ведения бизнеса. Электронный бизнес как результат новых качественных изменений, связанных с внедрением информационных технологий, электронная торговля.

    контрольная работа [96,8 K], добавлен 03.10.2010

  • Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.

    реферат [115,1 K], добавлен 16.03.2014

  • Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.

    презентация [525,3 K], добавлен 09.12.2015

  • Причины внедрения корпоративных информационных систем, их классификация. Угрозы нарушения конфиденциальности и целостности информации. Последовательность рубежей защиты данных от несанкционированного доступа, актуальные механизмы его разграничения.

    курсовая работа [72,9 K], добавлен 22.02.2012

  • Защита от несанкционированного доступа. Классификация автоматизированных систем и требования по защите информации. Средство защиты информации от несанкционированного доступа Secret Net 6.0. Разработка интерфейсной части программы, целевых функций.

    дипломная работа [1,2 M], добавлен 20.12.2013

  • Построение целостной системы защиты автоматизированной информационной системы. Особенности систем защиты от несанкционированного доступа на автономных компьютерах и рабочих станциях в локальных вычислительных сетях, защита от несанкционированного доступа.

    курсовая работа [1,5 M], добавлен 28.01.2010

  • Анализ программных средств несанкционированного доступа к информации в сетях ЭВМ и способов защиты. Возможности операционных систем по защите и разграничению доступа к информации и выбор самой защищенной. Планирование сети штаба объединения ВВС и ПВО.

    дипломная работа [1,0 M], добавлен 14.09.2010

  • Виды угроз безопасности в экономических информационных системах: цель, источники, средства реализации. Основные пути несанкционированного доступа к информации. Методы и средства защиты, используемые в АИТ маркетинговой деятельности, их классификация.

    реферат [30,1 K], добавлен 12.03.2011

  • История развития информационных технологий. Компьютерные сети и средства, аппаратное обеспечение связи. Принципы организации автоматизированного рабочего места. Классификация программ в бухгалтерском учете. Особенности российского рынка деловых программ.

    курс лекций [284,1 K], добавлен 12.12.2012

  • Проблема защиты информации. Корпоративная локальная сеть ООО "Диалог ИТ" как объект защиты. Структура системы факторов риска. Алгоритмизация матрицы отношений. Синтез системы защиты информации, оценка их результативности. Основные цели безопасности.

    курсовая работа [3,8 M], добавлен 22.03.2014

  • Биометрические системы защиты от несанкционированного доступа к информации. Система идентификации личности по папиллярному рисунку на пальцах, голосу, радужной оболочке, геометрии лица, сетчатке глаза человека, рисунку вен руки. Пароли на компьютере.

    презентация [395,2 K], добавлен 28.05.2012

  • Использование средств статического и динамического анализа программ. Принципы работы компилятора при генерации кода на примере MS Visual Studio 2003 (C++). Взлом защиты от несанкционированного доступа предоставленной программы разными способами.

    контрольная работа [4,2 M], добавлен 29.06.2010

  • Применение программного обеспечения и технических средств контроля и управления доступом для предупреждения угроз несанкционированного доступа к защищаемой информации. Построение интегрированной системы безопасности "FortNet" и ее составных элементов.

    лабораторная работа [1,3 M], добавлен 14.11.2014

  • Проектирование расширения конфигурации программы "1С: Предприятие" для формирования групп рассылок и автоматического оповещения клиентов информацией с минимальными затратами времени сотрудников. Механизм защиты данных от несанкционированного доступа.

    дипломная работа [4,1 M], добавлен 30.06.2011

  • Характеристика основных способов защиты от несанкционированного доступа. Разработка политики безопасности системы. Проектирование программного обеспечения применения некоторых средств защиты информации в ОС. Содержание основных разделов реестра.

    лабораторная работа [1,9 M], добавлен 17.03.2017

  • Понятие и значение информации и коммуникации в управлении современным предприятием. Изучение тенденций развития информационных технологий. Анализ экономической деятельности предприятия ТОО "Бриз". Проектирование системы автоматизации бизнес-процессов.

    дипломная работа [718,5 K], добавлен 06.07.2015

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.