Размещено на http://www.allbest.ru/

Содержание

Введение

Глава 1. Теоретические аспекты информационной безопасности в корпоративных сетях передачи данных

1.1 Принцип многоуровневой защиты в построении архитектур информационной безопасности

1.2 Модульная архитектура безопасности корпоративной сети передачи данных

1.3 Классификация сетевых атак и основные методы защиты от них

1.4 Основные сетевые уязвимости и методы их устранения

1.5 Безопасное управление и сбор информации с сетевых устройств

1.6 Основные методы обеспечение безопасности в беспроводных сетях

Глава 2. Модель безопасной корпоративной сети передачи данных

2.1 Инфраструктура центрального офиса

2.2 Периферийная инфраструктура

2.3 Варианты упрощения модульной архитектуры

Глава 3. Анализ рисков информационной безопасности на предприятии

3.1 Описание объекта исследования

3.2 Бизнес-процессы верхнего уровня рассматриваемого предприятия

3.3 Основные этапы построения систем защиты информации

3.4 Конфиденциальная информация предприятия

3.5 Описание ИТ-инфраструктуры предприятия

3.6 Организационные аспекты информационной безопасности предприятия

3.7 Основные понятия менеджмента ИБ

3.8 Угрозы корпоративной сети предприятия

3.9 Анализ рисков информационной безопасности предприятия с помощью средства оценки безопасности Microsoft Security Assessment Tool

Глава 4. Рекомендации по повышению эффективности защиты информации в корпоративной сети передачи данных

4.1 Инфраструктура

4.2 Приложения

4.3 Операции

4.4 Персонал

4.5 Эффективность рекомендуемых мер защиты

Заключение

Список использованной литературы

Список используемых сокращений и аббревиатур

Приложения



Введение

В настоящее время невозможно представить себе серьезную компанию, не использующую в своей работе современные информационные технологии для ведения бизнеса. Одной из непременных составляющих данных технологий является объединение вычислительных ресурсов компании в единую распределенную корпоративную сеть.

Проблема информационной безопасности в корпоративных сетях передачи данных сегодня очень остро стоит перед компаниями любого уровня. Утечка критически важной корпоративной информации, рост объемов паразитного трафика, вымогательство, шантаж и заказные атаки на информационные ресурсы стали в последнее время частым явлением.

Все это обуславливает актуальность темы данной магистерской диссертации, практическое значение которой заключается в разработке конкретных рекомендаций по повышению эффективности защиты информации в распределенной корпоративной сети производственного предприятия.

Объектом диссертации является корпоративная сеть передачи данных научно-производственного холдинга НПО «Ассоциация К».

Предметом диссертации являются методы и средства повышения эффективности защиты информации в распределенной сетевой инфраструктуре.

Цель работы -- сформировать перечень конкретных рекомендаций, реализация которых позволит повысить уровень информационной безопасности исследуемого предприятия.

Для достижения поставленной цели в работе должны быть решены следующие задачи:

ѕ раскрытие теоретических аспектов, понятий и методов, специфики защиты информации в корпоративных сетях передачи данных;

ѕ построение модели безопасной корпоративной сетевой инфраструктуры;

ѕ исследование существующей ИТ-инфраструктуры предприятия, используемых средств и методов ее защиты;

ѕ проведение анализа рисков информационной безопасности;

ѕ разработка рекомендацию по повышению уровня защищенности корпоративной сети и оценка их эффективности.

Для решения вышеупомянутых задач следует полагаться на литературу известных специалистов в области информационной безопасности, а также на рекомендации по построению защищенных инфраструктур мировых производителей сетевого оборудования и программного обеспечения.

Диссертация состоит из введения, четырех глав, имеющих подразделы, заключения и приложения, представляющего собой полный отчет MSAT.



Глава 1. Теоретические аспекты информационной безопасности в корпоративных сетях передачи данных

1.1 Принцип многоуровневой защиты в построении архитектур информационной безопасности

Непрерывно изменяющаяся ситуация в сфере информационной безопасности постоянно ставит перед организациями новые задачи. Быстрое распространение вирусов и шпионских программ, постоянное усложнение сетевых атак, тревожащий рост организованной киберпреступности и шпионажа с использованием Интернета, хищение персональных данных и конфиденциальной информации, более сложные способы инсайдерских атак, развитие новых форм угроз для мобильных систем -- вот лишь несколько примеров многообразия и сложности реальных угроз, формирующих современный ландшафт безопасности.

Поскольку сети являются ключевым механизмом ведения бизнеса, при их проектировании и реализации необходимо учитывать проблемы безопасности, чтобы гарантировать конфиденциальность, целостность и доступность данных и системных ресурсов, поддерживающих основные бизнес-процессы компании.

В наши дни для достижения приемлемого уровня безопасности уже не достаточно развернуть точечные продукты на периметре сети. Сложность и изощренность современных угроз требует внедрения интеллектуальных совместно работающих механизмов безопасности во все элементы распределенной инфраструктуры. С учетом этих соображений все чаще используется подход глубокой многоуровневой (эшелонированной) защиты, согласно которому множество уровней защиты распределены по стратегически важным элементам по всей сети и действуют в рамках унифицированной стратегии [9]. Информация о событиях и состоянии систем согласованно используется различными элементами системы информационной безопасности, что позволяет обеспечить более надежный контроль состояния ИТ-инфраструктуры, а ответные действия координируются в рамках общей стратегии управления.

Этот подход предусматривает модульный принцип построения системы информационной безопасности, что позволяет ускорить развертывание и способствует внедрению новых решений и технологий по мере развития потребностей бизнеса. Такая модульность расширяет срок использования имеющегося оборудования и обеспечивает защиту произведенных капитальных вложений. В то же время предусмотрен набор инструментальных средств, упрощающих повседневную эксплуатацию и обеспечивающих снижение совокупных эксплуатационных расходов.

Вышеописанный модульный подход удобно рассмотреть на примере архитектуры безопасности корпоративных сетей -- Security Architecture for Enterprise Networks (SAFE), разработанной компанией Cisco -- крупнейшим производителем сетевого оборудования [10, 12]. Эта архитектура основана на концепции Cisco Security Framework (CSF), которая обуславливает выбор продуктов и функций, обеспечивающих максимальный уровень безопасности, контроля и управления ИТ-инфраструктурой. Данная концепция предусматривает способы выявления текущих направлений угроз, а также отслеживания новых и развивающихся угроз за счет следования лучшим практическим рекомендациям и использования комплексных решений.

Согласно концепции CSF, необходимо по результатам анализа угроз и рисков разработать такие политики безопасности, которые будут способствовать достижению организацией поставленных бизнес-целей и плановых показателей. Алгоритм разработки таких политик следующий:

1) определить бизнес-цели и задачи организации;

2) выявить возможные угрозы для выделенных целей и задач (пример такого соответствия представлен в таблице 1);

3) выполнить более глубокий анализ угроз и рисков для определения важности ресурсов, используемых в среде;

4) проанализировать возможные риски безопасности для этих ресурсов;

5) оценить возможное действие нарушений безопасности на бизнес.

Таблица 1. Бизнес-цели, задачи и возможные угрозы

Защита источников дохода	Прерывание бизнеса вследствие нарушения безопасности может повлечь за собой немедленные и долговременные потери доходов.
Соответствие требованиям заказчиков	Несоответствие ожиданиям заказчиков в части конфиденциальности, безопасности и уровней обслуживания может привести к серьезным убыткам.
Защита корпоративной идентификационной информации и бренда	Раскрытие конфиденциальных данных может разрушить тщательно спланированные маркетинговые кампании и повредить репутации бренда.
Соблюдение требований нормативных документов и стандартов	Недостаточное соответствие нормативно-правовым требованиям может привести к отзыву лицензий, потере бизнеса, денежным взысканиям и к более серьезным юридическим последствиям.

Результатом этих шагов является создание политик безопасности и формулирование принципов, которыми определяется приемлемое и безопасное использование каждого сервиса, устройства и системы в рамках ИТ-инфраструктуры организации. В свою очередь, политики безопасности определяют процессы и процедуры, необходимые для достижения бизнес-целей и выполнения задач. Совокупность процессов и процедур определяет операции по обеспечению безопасности.

Политики безопасности будут настолько эффективны, насколько они улучшают контроль и управление (безопасность -- есть функция контроля и управления): без контроля невозможно управление, а без управления нет безопасности. На практике это выражается в выборе условий и методов развертывания платформ и функций для достижения требуемого уровня контроля и управления. В таблице 2 представлены шесть мер обеспечения безопасности, которые обеспечивают выполнение политик безопасности и расширяют возможности по контролю и управлению.

Таблица 2. Меры обеспечения безопасности

Контроль	Идентификация	Идентификация и классификация пользователей, сервисов, трафика и оконечных устройств.
	Мониторинг	Мониторинг производительности, поведения, шаблонов использования, событий и соответствия политике.
	Выявление взаимозависимостей	Сбор, анализ и выявление взаимозависимостей событий в масштабе системы.
Управление	Повышение устойчивости	Повышение устойчивости оконечных устройств, сервисов, приложений и инфраструктуры.
	Изоляция	Изоляция пользователей, систем и сервисов для сдерживания и защиты.
	Обеспечение выполнения	Обеспечение выполнения политики разграничения доступа, политик безопасности и противодействие угрозам безопасности.

Вышеописанную концепцию следует использовать при создании каждого сегмента сети [4]. При этом определяются наиболее подходящие для конкретной среды технологии и практические рекомендации, чтобы можно было выполнить каждую из шести ключевых мер. Эти технологии и функции в масштабах всей сети обеспечивают контроль сетевых операций, реализуют сетевую политику и решают проблемы аномального трафика. Средствами мониторинга и обеспечения выполнения политик являются стандартные элементы сетевой инфраструктуры, такие как маршрутизаторы и коммутаторы.

1.2 Модульная архитектура безопасности корпоративной сети передачи данных

Рассматриваемый модульный подход позволяет разделить все пространство сети на отдельные модули и исследовать безопасность каждого модуля по отдельности. При этом в случае невозможности такого разделения по тем или иным причинам, ориентация средств защиты на модульную классификацию сетей значительно облегчает внедрение систем безопасности.

На рисунке 2 схематически изображен пример модульного деления верхнего уровня.

Каждый модуль на схеме -- отдельная функциональная зона. Несмотря на то, что модуль провайдера находится за пределами предприятия, он включается в общую схему, поскольку участвует в обеспечении информационной безопасности предприятия посредством обеспечения тех или иных запрашиваемых функций.

Рисунок 2. Модульная архитектура верхнего уровня

На практике для построения систем защиты используются различные комбинации вышеописанных модулей.

Рисунок 3. Блок-схема корпоративной сети

На рисунке 3 представлена декомпозиция архитектуры верхнего уровня на функциональные модули внутри каждой группы. Каждый модуль выполняет в сети определенную роль и имеет собственные потребности в защите информации. Размеры объектов на схеме могут не соответствовать масштабам в реальной сети. Например, модуль центрального офиса может содержать до 70% всех сетевых устройств.



1.3 Классификация сетевых атак и основные методы защиты от них

Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 3). В реальной ситуации некоторые шаги могут быть пропущены.

Таблица 3. Основные классы сетевых атак

Класс сетевой атаки	Описание класса
1. Исследование	Получение общей информации о компьютерной системе (КС)
1.1 Социотехника	Получение информации посредством вежливого втирания в доверие по телефону, электронной почте и т.п.
1.2 Непосредственное вторжение	Получение информации посредством физического доступа к оборудованию сети
1.3 Разгребание мусора	Получение информации из мусорных корзин или архивов
1.4 Поиск в WEB	Получение информации из интернета посредством общедоступных поисковых систем
1.5 Изучение WHOIS	Получение информации из регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем
1.6 Изучение DNS зон	Получение информации посредством использования сервиса доменных имен
2. Сканирование	Получение информации об инфраструктуре и внутреннем устройстве КС
2.1 Поиск активных устройств	Получение информации об активных устройствах КС
2.2 Трассировка маршрутов	Определение топологии КС
2.3 Сканирование портов	Получение информации об активных сервисах, функционирующих в КС
3. Получение доступа	Получение привилегированных прав на управление узлами КС
3.1 Переполнение стека	Выполнение произвольного кода в результате вызванного злоумышленником сбоя в программном обеспечении
3.2 Атака на пароли	Подбор паролей из списка стандартных или по специально сгенерированному словарю, перехват паролей
3.3 Атаки на WEB - приложения	Получение доступа в результате эксплуатации уязвимостей в открытых WEB-приложениях КС
3.4 Сниффинг	Получение доступа посредством пассивного (прослушивание) и активного (подмена адресатов) перехвата трафика КС
3.5 Перехват сеанса связи	Получение доступа вследствие перехвата авторизационных данных текущих сеансов пользователей КС
4. Полезная нагрузка	Эксплуатация полученных прав для достижения целей взлома
4.1 Поддержание доступа	Установка систем удаленного администрирования
4.2 DOS-атаки	Вывод из строя устройств и отдельных сервисов КС
4.3 Обработка конфиденциальной информации	Перехват, копирование и/или уничтожение информации
5. Заметание следов	Сокрытие факта проникновения в КС от систем защиты
5.1 Стирание системных логов	Удаление данных архивов приложений и сервисов КС
5.2 Сокрытие признаков присутствия в сети	Туннелирование внутри стандартных протоколов (HTTP, ICMP, заголовков TCP и т.п.)

Рассмотрим основные способы и средства защиты от перечисленных сетевых угроз [3, 5, 7, 9].

Социотехника. Наилучший метод защиты от социотехники -- осведомленность пользователя. Необходимо сообщить всем сотрудникам о существовании социотехники и четко определить те виды информации, которые ни под каким предлогом нельзя разглашать по телефону. Если в организации предусмотрены варианты предоставления какой-либо информации по телефону (номеров телефонов, идентификационных данных и др.), то следует четко регламентировать данные процедуры, например, используя методы проверки подлинности звонящего.

Непосредственное вторжение:

ѕ контрольно-пропускной режим (системы контроля доступа, журнал посетителей, бейджи и др.);

ѕ физическая безопасность оборудования (механические, электронные замки);

ѕ блокировка компьютера, хранители экрана;

ѕ шифрование файловой системы.

Разгребание мусора. Хорошо известная всем бумагорезательная машина (шредер) -- самая лучшая защита против тех, кто роется в мусорных корзинах. У сотрудников должен быть беспрепятственный доступ к таким машинам, чтобы они могли уничтожить всю сколько-нибудь ценную информацию. Другой вариант: каждому пользователю предоставляется отдельная урна для бумаг, содержащих важные сведения, откуда каждую ночь документы поступают на бумагорезательную машину. Сотрудники должны быть четко информированы о том, как обращаться с конфиденциальной информацией.

Поиск в WEB. Основной способ защиты -- неразглашение информации. Нужно сделать необходимым и достаточным перечень информации, подлежащей размещению на публичных ресурсах в сети интернет. Избыточные данные о компании могут «помочь» злоумышленнику в реализации его намерений. Сотрудники должны нести ответственность за распространение конфиденциальной информации. Периодически следует проводить проверку публичной информации собственными силами или с привлечением сторонних компаний.

Изучение WHOIS. Не существует общих способов защиты от получения регистрационных данных злоумышленником. Существуют рекомендации, согласно которым информация в соответствующих базах должна быть как можно более точной и правдоподобной. Это позволяет администраторам различных компаний беспрепятственно связываться друг с другом и способствовать поиску злоумышленников.

Изучение DNS-зон. В первую очередь необходимо проверить, что на DNS-сервере нет утечки данных, которая возникает за счет наличия там лишних сведений. Такими сведениями могут быть имена, содержащие название операционных систем, записи типа HINFO или TXT. Во-вторых, необходимо корректно настроить DNS-сервер, чтобы ограничить передачу зоны. В-третьих, необходимо настроить граничный маршрутизатор таким образом, чтобы доступ к 53-му порту (TCP и UDP) имели только резервные серверы DNS, производящие синхронизацию с центральным сервером. Также следует использовать разделение внешнего и внутреннего DNS-серверов. Внутренний сервер настраивается таким образом, чтобы он мог разрешать имена только внутренней сети, а для разрешения имен внешней сети используются правила пересылки. То есть внешний DNS-сервер не должен ничего «знать» про внутреннюю сеть.

Поиск активных устройств и трассировка маршрутов. Способ защиты -- установка и настройка межсетевых экранов на фильтрацию пакетов таким образом, чтобы отсеивать запросы программ, используемых злоумышленником. Например, блокировка ICMP запросов от ненадежных источников сильно затруднит трассировку.

Сканирование портов. Первое и самое важное -- закрытие всех неиспользуемых портов. Например, если вы не используете TELNET, то необходимо закрыть соответствующий порт. При развертывании новой системы, необходимо заранее выяснить используемые ей порты и открывать их по мере необходимости. В особенно важных системах рекомендуется удалить программы, соответствующие ненужным сервисам. Лучшей считается такая настройка систем, в которой число установленных сервисов и инструментов минимально. Второе -- необходимо самостоятельно тестировать собственную систему на проникновение, тем самым предопределяя действия нарушителя. Для защиты от более совершенных сканеров рекомендуется применять пакетные фильтры с контролем состояния системы. Такие фильтры исследуют пакеты протоколов и пропускают только те из них, которые соответствуют установленным сессиям.

Общие рекомендации против сканирования -- своевременное применение пакетов безопасности, использование для сети и для хостов систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), своевременное их обновление.

Переполнение стека. Способы защиты от данного типа атак можно разделить на две категории.

1. Методы, которые применяют системные администраторы и сотрудники службы безопасности при эксплуатации, настройке и сопровождении систем: своевременное применение патчей к системам, отслеживание обновлений установленных продуктов, сервис-паков для них, удаление лишних программ и сервисов, контроль и фильтрация входящего/исходящего трафика, настройка неисполняемого стека. Многие IDS способны обнаруживать атаки переполнения памяти по сигнатурам.

2. Методы, используемые разработчиками программного обеспечения в процессе создания программ: устранение ошибок программирования, путем проверки пространства доступной памяти, объема проходящей вводимой информации через приложение. Воздержание от использования проблемных функций с точки зрения безопасности; компиляция программ специальными средствами.

Вышеописанные методы помогают минимизировать количество атак на переполнение стековой памяти, но не гарантирует полную безопасность системы.

Атаки на пароли. Первое и самое главное -- «сильные» пароли. Это пароли длиной не менее 9-и знаков и содержащие специальные символы. Далее -- регулярная смена паролей. Чтобы это все корректно работало, рекомендуется выработать адаптированную под конкретную организацию политику паролей и довести ее содержание до всех пользователей. Не лишним будет предоставить сотрудникам конкретные рекомендации по созданию паролей. Второе -- рекомендуется использовать системы со встроенной проверкой на «слабость» паролей. Если такой проверки нет, то следует развернуть дополнительное программное обеспечение, выполняющее имеющее схожий функционал. Самый эффективный способ -- отказ от паролей и использование систем аутентификации (смарт-карты и др.). Рекомендуется регулярно производить тестовые «взломы» собственных паролей. Хорошей практикой является защита файлов с хешированными паролями, а также их теневых копий.

Атаки на WEB-приложения. Для того чтобы защититься от похищения учетных записей, необходимо выводить на экран одну и ту же ошибку при неправильном вводе логина или пароля. Это затруднит злоумышленнику перебор вашего ID или пароля. Лучшая защита от атак, отслеживающих соединение -- хеширование передаваемой информации о соединении, динамическая смена сеансового ID, завершение неактивного сеанса. Самые опасные атаки -- внедрение SQL-кода в приложение. Защита от них -- разработка WEB-приложений таким образом, чтобы они могли тщательно фильтровать указанные пользователем данные. Приложение не должно слепо доверять вводимой информации, поскольку в ней могут содержаться символы, с помощью которых модифицируются SQL-команды. Приложение должно удалять специальные символы, прежде чем обработать запрос пользователя.

Следует отметить, что на сегодняшний день активно развивается направление WAF (Web Application Firewall) -- файервол уровня приложений, предоставляющий комплексные методы защиты WEB-ресурсов. К сожалению, эти решения ввиду высокой стоимости доступны в основном только крупным компаниям.

Сниффинг. Первое -- шифрование данных, передаваемых по сети. Для этого используются протоколы -- HTTPS, SSH, PGP, IPSEC. Второе -- внимательное обращение с сертификатами безопасности, игнорирование сомнительных сертификатов. Использование современных коммутаторов, позволяющих настроить MAC-фильтрацию на портах, реализовать статическую ARP-таблицу. Использовать VLAN-ы.

IP-спуфинг. Данную угрозу можно минимизировать следующими мерами.

1. Контроль доступа. На границе сети устанавливаются пакетные фильтры, позволяющие отсеивать весь трафик внешней сети, где в пакетах исходным адресом указан один из адресов внутренней сети.

2. Фильтрация RFC2827. Она заключается в отсечении исходящего трафика внутренней сети, в котором исходным адресом не обозначен ни один из IP-адресов вашей организации.

3. Внедрение дополнительных видов аутентификации (двухфакторной) и криптографического шифрования делает такие атаки абсолютно неэффективными.

Перехват сеанса связи. Эффективно бороться с этим видом атак можно только с помощью криптографии. Это может быть SSL-протокол, VPN-сети и др. Для наиболее критичных систем целесообразно использовать шифрование и во внутренних сетях. Атакующий, перехвативший трафик зашифрованной сессии не сможет получить из него какой-либо ценной информации.

DOS-атаки. Для описания средств защиты от DOS-атак рассмотрим их классификацию. Эти атаки, как правило, разделяются на две категории: прекращение сервисов и истощение ресурсов (таблица 5). Прекращение сервисов -- сбой или отключение конкретного сервера, используемого в сети. Истощение ресурсов -- расходование компьютерных или сетевых ресурсов с целью помешать пользователям в получении атакуемого сервиса. Оба вида атак могут проводиться как локально, так и дистанционно (через сеть).

Таблица 5. Категории DOS-атак

Категория атаки Тип атаки	Прекращение сервисов	Истощение ресурсов
Локальная	ѕ прекращение процессов ѕ реконфигурация системы ѕ крушение процессов	ѕ расщепление процессов для заполнения таблицы процессов ѕ заполнение всей файловой системы
Дистанционная	ѕ атаки битыми пакетами	ѕ пакетные наводнения, ѕ DDoS-атаки

Защита против прекращения локальных сервисов: актуальные патчи безопасности локальных систем, регулярное исправление ошибок, разграничение прав доступа, применение программ проверки целостности файлов.

Защита против локального истощения ресурсов: применение принципа наименьшего количества привилегий при назначении прав доступа, увеличение системных ресурсов (память, скорость процессора, пропускная способность каналов связи и т.д.), применение IDS.

Защита против дистанционного прекращения сервисов: применение патчей, быстрое реагирование.

Лучшей защитой от дистанционного истощения ресурсов является быстрое реагирование на атаку. В этом могут помочь современные IDS-системы, сотрудничество с провайдером. Как и в предыдущих пунктах, следует своевременно обновлять и исправлять системы. Использовать функции анти-спуфинга. Ограничивать объем трафика со стороны провайдера. Для наиболее критичных систем необходимо иметь адекватную пропускную способность и избыточные линии связи.

Поддержание доступа. Вирусы и «троянские кони». Лучшая защита -- эффективное антивирусное программное обеспечение (ПО), работающее как на пользовательском уровне, так и на уровне сети. Для обеспечения высокого уровня безопасностей от этих угроз требуется регулярное обновление антивирусного ПО и сигнатур известных вирусов. Вторым шагом является получение актуальных обновлений операционных систем, настройка политик безопасности приложений в соответствии с актуальными рекомендациями их разработчиков. Необходимо обучить пользователей навыкам «безопасной» работы в Интернете и с электронной почтой. Защита от «ROOTKIT» обеспечивается политиками разграничения доступа, антивирусным программным обеспечением, применением обманок и системами обнаружения вторжений.

Заметание следов. После атаки злоумышленник, как правило, пытается избежать ее обнаружения администраторами безопасности. Для этих целей он производит изменение или удаление лог-файлов, хранивших историю действий нарушителя. Создание эффективной защиты, предотвращающей изменение лог-файлов злоумышленником, является важнейшим условием безопасности. Количество усилий, которые необходимо затратить на защиту регистрационной информации данной системы, зависит от ее ценности. Первым шагом для обеспечения целостности и полноценности лог-файлов является включение регистрации в особо важных системах. Чтоб избежать ситуации, когда в случае форс-мажора оказывается, что журналы отключены, необходимо создать политику безопасности, в которой бы регламентировались процедуры ведения журналов. Рекомендуется регулярно проводить проверки систем на соответствие данной политики. Другой необходимой мерой защиты лог-файлов является разграничение прав доступа на эти файлы. Эффективным приемом защиты регистрационной информации является установка выделенного сервера регистрации событий, обеспечив соответствующий уровень безопасности. Также хороши такие способы защиты как шифрование лог-файлов и разрешение на запись только в конец файла. Использование систем IDS. Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.

Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.

1.4 Основные сетевые уязвимости и методы их устранения

Маршрутизаторы. Они разграничивают доступ между различными сетями, определяя, кто может получить доступ в ту или иную сеть. Поэтому маршрутизатор -- потенциальная уязвимость. Безопасность маршрутизаторов является ключевым элементом любой системы сетевой безопасности. Поскольку основной функцией маршрутизаторов является предоставление доступа, их защита должна быть такой, чтобы предотвратить возможность прямого взлома. Безопасность маршрутизаторов обеспечивается следующими базовыми действиями [12]:

ѕ разграничение прав доступа к маршрутизатору;

ѕ отключение неиспользуемых сервисов;

ѕ аутентификация обновлений маршрутов;

ѕ блокировка доступа к маршрутизатору из посторонних сетей;

ѕ и др.

Коммутаторы. Для обеспечения безопасности коммутаторов предпринимаются те же самые действия, что и для маршрутизаторов. Помимо этого необходимо использовать следующие меры защиты:

ѕ порты коммутатора, не являющиеся транк-портами, должны переводиться из состояния «авто» в состояние «выключено», чтобы хосты не смогли получать информацию, передаваемую по транкам;

ѕ транк-порты должны иметь уникальный для конкретного коммутатора номер VLAN;

ѕ неиспользуемые порты коммутатора должны быть отключены, или, по крайней мере, переведены в отдельный VLAN;

ѕ в критичной среде с высоким уровнем требований к безопасности следует использовать дополнительные к VLAN методы защиты, например, такие как виртуальные частные локальные сети (PRIVATE VLAN). Эти сети обеспечивают безопасностей сегментов сети в пределах конкретной VLAN.

Хосты. Хост является самой проблемной точкой обеспечения безопасности и наиболее вероятной целью атаки злоумышленника. В отличие от сетевого оборудования хосты всегда видно в сети, поэтому, как правило, через них и производятся попытки несанкционированного доступа к ресурсам. Защита хостов осложняется разнообразием аппаратных платформ, операционных систем и приложений, которые при этом постоянно модернизируются и обновляются. Чем выше сложность системы, тем выше вероятность ее отказов и сбоев. Обеспечение безопасности хостов требует пристального внимания за всеми компонентами системы. Эти компоненты всегда должны быть актуальными и со свежими заплатками и обновлениями. Необходимо уделять особое внимание установке новых модулей и компонентов системы, производить их проверку в тестовой среде перед интеграцией в рабочую платформу.

Сеть. Одна из самых опасных атак, которая была описана выше -- «распределенный отказ в обслуживании» (DDoS). В случае профессионального ее исполнения, от нее невозможно защититься даже такими средствами как межсетевыми экранами, системой обнаружения вторжений, системами авторизации и активного мониторинга. Защиту от таких атак можно обеспечить только с помощью провайдера Интернета, который может определить пороговые значения для трафика, передаваемого в корпоративную сеть. Поскольку атаки этого типа в основном используют средства переполнения протоколов ICMP, UDP и TCP-SYN, то также окажется полезным фильтрация нежелательного трафика этих протоколов на маршрутизаторе, подключенном к Интернету. Это поможет предотвратить попытки несанкционированного доступа в корпоративную сеть. Целесообразно следовать рекомендациям RFC1918 и RFC2827 по защите корпоративных сетей, в частности не допускать вообще никакую связь с Интернетом для особо критичных сетей.

Приложения. На обнаружение ошибок приложений нацелены системы обнаружения вторжений (IDS). В случае обнаружения подозрительных действий, эти системы могут предпринимать какое-либо действие, либо предупреждать ответственных сотрудников об этом. Некоторые IDS обладают эффективными средствами обнаружения и отражения атак. IDS, работающие на хостах (HIDS) способны перехватывать вызовы операционных систем и приложений на отдельном хосте, а затем анализировать журналы событий. Первое способствует предотвращению атак, а второе является пассивным средством реагирования. В отличие от HIDS, сетевые IDS (NIDS) не способны предупредить атаку и реагируют только после ее обнаружения, но плюсом таких систем является их общесетевой охват. Совмещение двух типов систем обнаружения вторжений позволит создать полномасштабную систему обнаружения атак. При настройке систем IDS необходимо настроить ее таким образом, чтобы минимизировать число ложных срабатываний и сконфигурировать ее для конкретных действий по ликвидации угроз. Именно на уровне хостов системы обнаружения вторжений работают наиболее эффективно. Как правило, IDS могут работать в двух вариантах: полная блокировка нежелательного трафика и сброс TCP-сессий. Первый вариант рекомендуется использовать только в случае реальных угроз и при минимальных вариантах ложного срабатывания, а также для внутренних угроз. Второй -- для более гибкой фильтрации и только для трафика TCP, поскольку он требует большей производительности.

1.5 Безопасное управление и сбор информации с сетевых устройств

Как правило, в корпоративной сети имеется большое количество устройств, которыми нужно управлять и с которых требуется собирать информацию. Но ведь нельзя забывать о том, что эти процедуры тоже требуют обеспечения должного уровня безопасности [4]. Чтобы обеспечить этот уровень, для управления сетевыми устройствами выделяется отдельная сеть -- сеть управления (management network). По этой сети не передается корпоративный трафик, а подключение устройств осуществляется либо напрямую (локально), либо через зашифрованную сеть (например, VPN). На каждом сетевом устройстве выделяются отдельные порты для подключения к данной сети, а доступ из других сетей возможен только через маршрутизатор на третьем уровне модели OSI.

По сети управления идет передача системных данных от сетевых устройств на выделенные хосты управления для последующего их анализа. Передаваемые данные при этом помечаются для корректной идентификации устройств. Для правильного отображения информации необходимо производить синхронизацию системного времени на всех используемых в сети устройствах. Сеть управления позволяет передавать данные управления на устройства от системных администраторов в безопасной защищенной среде. При этом в любом случае для повышения уровня безопасности рекомендуется производить настройку оборудования через безопасные протоколы, такие как SSH или SSL. Для обеспечения безопасности помимо вышеописанной сети управления также очень важно уделять внимание управлению изменениями конфигураций оборудования. План таких изменений должен быть составной частью политики безопасности.

1.6 Основные методы обеспечение безопасности в беспроводных сетях

Современную организацию уже невозможно представить без развернутой беспроводной сети Wi-Fi. Огромное количество беспроводных устройств используемых сотрудниками ставит перед компаниями задачу по интеграции их в локальную сеть предприятия. При этом возникают дополнительные проблемы, связанные с безопасностью корпоративных данных. Даже если организация не планирует развертывать беспроводную сеть, защита от беспроводных угроз, таких как неавторизованные точки доступа и клиенты, остается чрезвычайно важным. Эти угрозы создают дополнительные лазейки для злоумышленников, что в свою очередь может повлечь за собой утечку конфиденциальной информации и привести к репутационным, финансовым или иным проблемам. Для построения Wi-Fi сетей с учетом потребностей информационной безопасности, необходимо следовать нижеперечисленным методикам [11].

1. Создать политику безопасности беспроводной сети.

2. Обеспечить безопасность беспроводной сети:

1) необходимо всегда изменять SSID по умолчанию, при этом желательно либо выбирать SSID, отличный от названия компании или косвенно указывающий на нее, либо отключать рассылку SSID вообще;

2) необходимо использовать стойкие алгоритмы шифрования;

3) обеспечить взаимную аутентификацию между клиентом и точкой доступа;

4) использовать фильтрацию по MAC-адресам, туннелирование VPN;

5) использовать сегментацию пользователей между соответствующими ресурсами посредством VLAN, методы сетевой идентификации;

6) обеспечить безопасность портов управления;

7) использовать решения на основе «облегченных» точек доступа;

8) необходимо располагать точки доступа в недоступных от физических проникновений местах;

9) необходимо производить мониторинг физической активности в местах расположения точек доступа.

3. Обеспечить безопасность корпоративной сети от беспроводных угроз:

1) развернуть системы обнаружения и предотвращения вторжений;

2) использовать поиск неавторизованных беспроводных устройств.

4. Защитить организацию от внешних угроз:

1) на мобильных устройствах нужно устанавливать те же сервисы безопасности, что и в корпоративной среде (межсетевой экран, антивирус, VPN);

2) обеспечить соблюдения политики безопасности беспроводной сети.

5. Необходимо обучить сотрудников минимальным навыкам по защите корпоративной сети.



Глава 2. Модель безопасной корпоративной сети передачи данных

В главе 1 был описан модульный принцип построения систем информационной безопасности, рассмотрены основные классы сетевых угроз и уязвимостей, способы защиты от них. В этой главе мне бы хотелось описать модель построения защищенной сетевой инфраструктуры предприятия, используя для каждого ее модуля те или иные средства обеспечения безопасности [1, 4, 8, 12].

Рассмотрим организацию, состоящую из центрального офиса и периферии. Каждая из этих областей делится на модули, определяющие детали их функционирования (рисунок 3).

Основные угрозы корпоративной сети:

1) угроза инсайда, по статистике большая часть угроз приходит изнутри корпоративной сети;

2) угроза публичным ресурсам предприятия, доступным через Интернет;

3) угроза хостам сети, имеющим выход в интернет, через которые можно получить доступ к внутренним ресурсам.

Более подробный перечень угроз был рассмотрен в главе 1 (раздел 1.3).

2.1 Инфраструктура центрального офиса

Рассмотрим подробно каждый модуль, расположенный в центральном офисе (рисунок 4).



Рисунок 4. Подробная схема центрального офиса

Модуль управления

Основная цель модуля управления -- обеспечение безопасного управления всеми устройствами корпоративной сети. Регистрационная информация поступает на хосты модуля управления от устройств, а в обратном направлении передаются данные управления и изменения конфигураций.

Состав модуля управления (рисунок 5).

1. Хост управления устройствами по протоколу SNMP (Simple Network Management Protocol).

2. Хост сбора информации от IDS.

3. Хосты Syslog, обеспечивающие сбор регистрационной информации от сетевых устройств.

4. Сервер авторизации, обеспечивающий контроль доступа к сетевым устройствам.

5. Хост системного администратора.

6. IDS-система, инспектирующая весь трафик сети управления.

7. Коммутатор 2-го уровня с поддержкой VLAN, обеспечивающий движение трафика только через межсетевой экран.

8. 

Рисунок 5. Модуль управления с функциями предотвращения атак

Предотвращаемые угрозы.

1. Несанкционированный доступ. Межсетевой экран блокирует весь нелегитимный трафик в обоих направлениях.

2. Атаки типа Man-in-the-Middle. Поскольку управленческая и регистрационная информация передается через VLAN, атаки данного типа затруднены.

3. Разведка сети. VLAN и маршрутизаторы отделяют сеть управления от производственной сети, что затрудняет перехват информации злоумышленником.

4. Атаки на пароли. Сервер авторизации поддерживает мощную двухфакторную аутентификацию.

5. IP-спуфниг. Межсетевой экран производит фильтрацию всего трафика с блокировкой чужих адресов.

6. Сниффинг пакетов. Коммутируемая инфраструктура снижает эффективность сниффинга.

7. Злоупотребление доверием. VLAN-ы препятствуют подмене хостов управления.

Описанная сеть управления имеет два сетевых сегмента, разделенных между собой маршрутизатором с функцией межсетевого экрана и функцией терминации VPN-соединений. Первый сегмент соединен со всеми устройствами, требующими управления, второй -- с хостами управления.

Еще один интерфейс маршрутизатора посредством VPN подключается к производственной сети для управления выборочными устройствами, которые не имеют выделенных портов для подключения к сети управления. Межсетевой экран настраивается на пропускание трафика SYSLOG, SNMP, SSH и другого, используемого для регистрационной информации и управления.

Сеть управления находится в отдельном от производственной сети адресном пространстве. Любой трафик между этими сетями блокируется.

Практически все сетевые устройства подключены через консольные порты к сети управления, все остальные неуправляемые устройства и хосты управляются через VPN-туннели, которые генерирует маршрутизатор управления.

Наличие большого административного трафика в сети управления делает ее привлекательной для злоумышленников, поэтому используется сразу несколько технологий для смягчения подобных рисков. Чтобы не дать возможность атакующему получить доступ к сети управления, на каждом устройстве установлены средства контроля доступа. Даже если будет захвачен один из узлов сети, он не сможет связаться с другими хостами, поскольку весь трафик фильтруется межсетевым экраном. Система IDS настраивается на высокий уровень опасности, что позволяет практически моментально фиксировать аномальную активность.

Для безопасного управления протоколом SNMP используется режим только сбора информации, поэтому все устройства сети настроены на режим «только чтение». Сбор регистрационной информации (SYSLOG) настроен таким образом, чтобы не перегружать сеть и хранилище избыточными данными, при этом ведется запись только критичных с точки зрения безопасности событий.

Стоит отметить, что управление устройствами по отдельным каналам не всегда возможно, поэтому при использовании управления через общую сеть рекомендуется использовать безопасные протоколы передачи данных, такие как IPSec.SSH,SSL.

Модуль ядра сети

Основная задача ядра сети -- высокоскоростная маршрутизация и коммутация трафика.

Этот модуль состоит из коммутаторов 3-го уровня (layer 3), обеспечивающих маршрутизацию и коммутацию между всеми модулями корпоративной сети (рисунок 6).

Рисунок 6. Модуль ядра сети

Предотвращаемые угрозы.

1. Сниффинг пакетов. Коммутируемая инфраструктура снижает эффективность сниффинга.

Для обеспечения должного уровня безопасности модуль ядра сети необходимо принять меры для коммутаторов, подробно описанные в главе 1 (раздел 1.4).

Модуль распределения

Модуль распределения выполняет связующую функцию и функцию агрегации трафика конечных пользователей. Другими словами, этот модуль предоставляет услуги доступа (маршрутизация, коммутация, контроль доступа, QoS -- качество сервиса) коммутаторам модуля доступа. Трафик через этот модуль поступает на модуль ядра сети и обратно.

Этот модуль состоит из коммутаторов 3-го уровня (layer 3), которые агрегируют коммутаторы 2-го уровня в модуль доступа (рисунок 7) с предоставление дополнительных услуг.



Рисунок 7. Модуль распределения с функциями смягчения угроз

Предотвращаемые угрозы.

1. Несанкционированный доступ. Фильтрация подсетей на 3-ем уровне защищает ресурсы серверного модуля.

2. IP-спуфниг. Производится IP-фильтрация всего трафика с блокировкой чужих адресов.

3. Сниффинг пакетов. Коммутируемая инфраструктура снижает эффективность сниффинга.

Как и в модуле ядра, для обеспечения должного уровня безопасности модуля распределения необходимо использовать методы оптимизации коммутаторов, подробно описанные в главе 1 (раздел 1.4).

Модуль распределения не производит распознавание атак, это прерогатива тех модулей, в которых располагаются ресурсы, являющиеся целями злоумышленников. Задача этого модуля -- предотвращение инсайдерских атак. Используя средства контроля доступа, он снижает передачу конфиденциальной информации между различными сетевыми группами (отделами, подразделениями и т.д.). Коммутаторы 3-го уровня позволяют осуществлять контроль доступа на аппаратной платформе с высокой производительностью. Тем самым, потоки данных различных отделов, голосовой трафик, и другой производственный трафик можно разделить по различным VLAN. Это препятствие для пересечения этих потоков.

В зависимости от масштабов корпоративной сети и ее производительности модуль распределения может быть объединен с модулем ядра.

Модуль доступа

Основная цель модуля доступ -- предоставление доступа к корпоративной сети конечным пользователям.

Состав модуля доступа (рисунок 8).

1. Коммутаторы 2-го уровня. Обеспечивают коммутацию конечных устройств.

2. Рабочая станция. Точка доступа сотрудников к сети предприятия.

3. IP-телефон.

Рисунок 8. Модуль доступа с функциями защиты

Предотвращаемые угрозы.

1. Сниффинг пакетов. Коммутируемая инфраструктура и VLAN снижают эффективность сниффинга.

2. Вирусы. На рабочих станциях установлено антивирусное ПО, обеспечивающее защиту от вирусов и шпионских программ.

Модуль доступа обеспечивает безопасность корпоративной сети на уровне конечных пользователей. Рабочие станции -- основа сети, поэтому для них огромное значение имеет эффективная политика безопасности.

Серверный модуль

Основная задача серверного модуля -- предоставление ресурсов конечным пользователям. Серверный трафик инспектируется средствами IDS, которые встроены в коммутаторы 3-го уровня.

Основные устройства (рисунок 9).

1. Коммутаторы 3-го уровня. Инспектируют серверный трафик средствами IDS и предоставляют доступ серверам доступ к сети.

2. Телефонная IP-станция (IP PBX). Коммутирует голосовой трафик.

3. Серверы. Предоставляют различные ресурсы.

Рисунок 9. Серверный модуль с функциями защиты

Предотвращаемые угрозы.

1. Несанкционированный доступ. Средства IDS вместе со средствами контроля доступа являются препятствием для злоумышленников.

2. Атаки на приложения. Регламентировано и используется регулярное обновление ПО серверов и конфигураций сетевого оборудования. Установлена IDS.

3. IP-спуфниг. Производится IP фильтрация всего трафика с блокировкой чужих адресов.

4. Сниффинг пакетов. Коммутируемая инфраструктура снижает эффективность сниффинга.

5. Злоупотребление доверием. VLAN-ы обеспечивают разграничение серверного трафика.

6. Атаки на порты. IDS контролирует процесс установки сторонних программ и фиксирует данный типа атак.

Как правило, разработчики систем безопасности недооценивают важность защиты серверного оборудования. Но нужно иметь в виду, что самая ценная информация для злоумышленника находится именно здесь. Для обеспечения защиты этого модуля целесообразно сочетать использование систем обнаружения вторжений, технологии VLAN, средств контроля доступа и грамотного администрирования.

В зависимости от масштабов корпоративной сети и ее производительности серверный модуль может быть объединен с модулем ядра.

Модуль периферийного распределения

Этот модуль агрегирует и фильтрует трафик из периферийных модулей в основную сеть.

Строится на коммутаторах 3-го уровня (рисунок 10).

Предотвращаемые угрозы.

1. Несанкционированный доступ. Достигается фильтрацией потоков трафика от периферийных подсетей к сети центрального офиса.

2. IP-спуфниг. Производится IP-фильтрация всего трафика с блокировкой чужих адресов.

3. Сканирование сети. Ограничивается за счет фильтрации трафика.

4. Сниффинг пакетов. Коммутируемая инфраструктура снижает эффективность сниффинга.

Рисунок 10. Модуль периферийного распределения с функциями защиты

Функционал периферийного модуля распределения схож с функционалом модуля распределения. Поскольку требования к производительности сетевой периферии ниже, чем к центральной сети, в этом модуле можно достичь более высокого уровня безопасности. Здесь располагается своего рода последняя линия обороны между периферией и центральным офисом.

2.2 Периферийная инфраструктура

Рассмотрим модули, которые находятся на периферии корпоративной сети (рисунок 11).

Основные устройства (рисунок 12).

1. SMTP-сервер. Сервер отправки почты.

2. DNS-сервер. Транслирует запросы пользователей в интернет в IP-адреса.

3. WEB-сервер. Предоставляет доступную в интернете информацию об организации.

4. Межсетевой экран. Обеспечивают защиту сетевых ресурсов и фильтрацию трафика.

5. Система обнаружения вторжений IDS. Инспектирует весь трафик прикладных уровней модели OSI.

6. Прокси-сервер, обеспечивающий фильтрацию запросов в интернет.

Рисунок 11. Периферийная инфраструктура

Модуль Интернета

Модуль Интернета предоставляет сотрудникам доступ к ресурсам Интернета. Трафик с этого модуля передается в модуль VPN и удаленного доступа.

Предотвращаемые угрозы.

1. Несанкционированный доступ. Безопасность обеспечивается фильтрацией на уровне провайдера (ISP), граничного маршрутизатора, и центрального межсетевого экрана.

2. Атаки на уровне приложений. Ликвидируются с помощью IDS.

3. Вирусы и шпионские программы. Достигается фильтрацией электронной почты и системами IDS.

4. Атаки на пароли. Ликвидируются средствами операционных систем и системами IDS.

5. DoS-атаки. Защита достигается борьбой с атаками на стороне провайдера и межсетевым экраном.

6. IP-спуфинг. Производится IP-фильтрация всего трафика с блокировкой чужих адресов.

7. Сниффинг пакетов. Коммутируемая инфраструктура вместе с системами IDS снижают эффективность сниффинга.

8. Исследование сети. Эффективность снижается фильтрацией на уровне протоколов и с помощью IDS.

9. Злоупотребление доверием. Угроза снижается с помощью VLAN-ов и контролем доступа.

10. Атаки на порты. Фильтрация и IDS.

Рисунок 12. Модуль Интернета с функциями защиты от атак

Основа интернет-модуля -- два отказоустойчивых межсетевых экрана, защищающие публичные интернет серверы и корпоративных пользователей. Они отбрасывают весь несанкционированный трафик. Большая часть устройств интернет-модуля обеспечивают безопасность сети.

...