Значимость внедрения межсетевого экрана нового поколения в информационную инфраструктуру крупной компании

Размещено на http://www.allbest.ru/

ОГЛАВЛЕНИЕ

межсетевой экранирование информационный безопасность

• Введение
• Глава 1. Сетевая инфраструктура как один из важнейших ресурсов современной компании
• 1.1 Проблема, угрозы, статистика
• 1.2 О технологии межсетевого экранирования и применяемых программно-аппаратных средствах
• Глава 2. Описание структуры обеспечения информационной безопасности информационной системы
• 2.1 Описание информационной сети предприятия и используемых систем защиты информации
• 2.2 Описание угроз безопасности данным
• Глава 3. Сравнение межсетевых экранов нового поколения и выявление тенденций их развития3.1 Check Point Next Generation Firewall
• 3.2 Fortinet FortiGate
• 3.3 Traffic Inspector Next Generation
• 3.4 Positive Technologies PT Application Firewall
• 3.5 Выбор и внедрение NGFW-решения
• 3.6 Экономическое обоснование предложенных мер
• 3.7 Обзор недостатков и выявление тенденций развития существующих NGFW-решений
• Заключение
• Список использованных источников
• 
• Введение
• В настоящее время подавляющее большинство экспертов в области информационной безопасности отмечают, что только комплексный подход позволяет поддерживать достаточный уровень защиты инфраструктуры сети от различных угроз. При этом межсетевой экран является, пожалуй, одним из важнейших элементов при построении системы защиты информации предприятия - именно он устанавливается на границе между внешней и внутренней сетью, является первым рубежом обороны инфраструктуры сети. Перечень угроз, который может купировать межсетевой экран, очень велик - это защита от сетевых атак, активности вредоносных приложений, утечки конфиденциальных данных, нецелевого использования вычислительных ресурсов и многого другого.
• Важно отметить, что первые коммерческие межсетевые экраны начали появляться в конце 1980-х годов - это были простые пакетные фильтры и аппаратные маршрутизаторы с функцией экранирования, и тем не менее, тогда их функций более чем хватало для полноценной защиты сети. Со временем к стандартным возможностям межсетевых экранов добавилась трансляция адресов, пакетная фильтрация, инспекция пакетов с хранением состояния, механизмы обнаружения и предотвращения вторжений, реализации виртуальных частных сетей.
• Однако согласно глобальному исследованию компании Fortinet около 85% организаций в 2017 году столкнулось с компрометацией корпоративной сети в том или ином объёме [1], при этом в данных организациях в большинстве случае был установлен и грамотно настроен классический межсетевой экран. Сейчас очевидно, что атаки на сети становятся многоаспектными, в них прослеживается “контекстность”, которую классические межсетевые экраны анализировать не могут.
• Одним из средств защиты от таких угроз являются межсетевые экраны нового поколения (Next Generation Firewall, NGFW) - термин, введённый аналитической компанией Gartner как описание нового класса продуктов в сфере информационной безопасности. Главной отличительной особенностью таких межсетевых экранов является возможность работы с сетевым трафиком на разных уровнях модели OSI, в том числе и на уровне приложений. При этом классические межсетевые экраны работают с более низкими уровнями OSI, предоставляя возможность фильтрации на уровне протоколов и портов, но не обладают возможностью разбора трафика отдельных приложений, тем самым не понимают “контекст” проходящих через них запросов и ответов.
• Цель и задачи исследования. Целью данной магистерской диссертации является определение значимости внедрения межсетевого экрана нового поколения в информационную инфраструктуру крупной компании. межсетевой экранирование информационный безопасность
• Для достижения заявленной цели необходимо решить следующие задачи:

· Построить структуру системы обеспечения информационной безопасности информационной системы;

· Построить модели угроз и нарушителя сетевой информационной безопасности;

· Выделить основные NGFW-решения на российском рынке, а также их достоинства и недостатки;

· Провести сравнение выделенных NGFW-решений, выбрать оптимальное для применения в информационной системе;

· Сформулировать возможные направления дальнейшего развития и совершенствования межсетевых экранов нового поколения.

Объектом исследования выступает сетевая информационная безопасность информационной системы.

Предметом исследования является целесообразность внедрения NGFW-решения в структуру системы информационной безопасности компании.

Практическая значимость исследования. Значимость полученных результатов заключается в практической ориентации выбора NGFW-решения для рассматриваемой информационной системы.



ГЛАВА 1. СЕТЕВАЯ ИНФРАСТРУКТУРА КАК ОДИН ИЗ ВАЖНЕЙШИХ РЕСУРСОВ СОВРЕМЕННОЙ КОМПАНИИ

В современном представлении система защиты информации является не просто разрозненными направлениями защиты, но системой, состоящей из совокупности организационно-правовых, инженерно-технических и программно-аппаратных мер и средств. При этом, если мы рассматриваем комплекс программно-аппаратных мер и средств защиты, то в настоящее время наиболее эффективным считается эшелонированный подход к защите инфраструктуры сети, и первым “эшелоном обороны” выступает межсетевой экран.

В данной главе рассматривается проблематика защиты информационной инфраструктуры предприятия от деструктивных воздействий нарушителя, а также общие принципы функционирования межсетевых экранов.

1.1 Проблема, угрозы, статистика

В настоящее время практически любая компания располагает своей информационной инфраструктурой, включающей в себя автоматизированные рабочие места, серверы, сетевые многофункциональные устройства, по которой может передаваться огромный поток различной информации, в том числе имеющей конфиденциальный характер. В случае, если компания распределена на некоторой территории, то есть имеет несколько удалённых друг от друга офисов (по статистике 68% компаний в России из 500 крупнейших [2]), сетевая инфраструктура многократно увеличивается, усложняется, требуются новые компоненты и сервисы для поддержания её функционирования, в соответствии с этим увеличивается и количество возможных уязвимостей сетевого периметра. При этом потеря информации, циркулирующей в сетевой инфраструктуре, реализовывает большие как материальные, так и репутационные риски для бизнеса, кроме того, в современных реалиях нестабильность сетевой инфраструктуры ставит под вопрос существование некоторых видов предпринимательской активности.

Например, небольшая распределённая компания, занимающаяся поставкой офисной техники, имеет центральный офис в городе Москве, а также удалённый офис в городе Чехове. Такая компания располагает своей базой данных клиентов и первичных поставщиков, товарно-складских запасов, которая хранится на сервере в Москве, и недоступность которой для работников из Чехова приведёт к локальной остановке бизнеса и, как следствие, финансовым потерям. Но если мы рассматриваем большие распределённые банковские или государственные информационные системы, которые хранят, обрабатывают и передают огромное количество информации, то в них приостановка функционирования сетевой инфраструктуры, перебои в её работе, могут привести к куда более глобальным последствиям и рискам чем в фирме, торгующей офисной техникой.

Согласно исследованию “Сколько стоит безопасность. Анализ процессов обеспечения ИБ в российских компаниях” фирмы Positive Technologies в 2017 году день простоя среднего российского банка мог обойтись его руководству в 50 миллионов рублей. Согласно всё тому же отчёту доля компаний, для которых потеря контроля над сетевым оборудованием является критически опасной угрозой информационной безопасности, составляет 62%, при этом нарушение работы сети критично для 71% компаний (рисунок 1).



Рисунок 1. Доля компаний, для которых определённая угроза информационной безопасности является критически опасной

В результате реализации подобных угроз во многих случаях злоумышленникам удаётся получить полный контроль над информационной инфраструктурой как от лица внешнего нарушителя, так и от лица нарушителя внутреннего (недобросовестный работник или подрядчик). Полный контроль означает не только доступ к компьютерам, серверам и сетевому оборудованию, но и к критически важным системам - финансовой отчётности, почтовым серверам и серверам документооборота, процессинговым центрам и центрам управления банкоматами.

Вместе с тем, по данным ежегодного исследования [3] крупнейшей телекоммуникационной компании США Verizon, количество обнаруженных уязвимостей программного и аппаратного обеспечения различной сложности, которые могут быть использованы для обхода защиты на сетевом периметре, неуклонно возрастает (рисунок 2).

Рисунок 2. Количество выявленных уязвимостей



Более того, в отчёте приводится информация, согласно которой 99% успешных атак использовали уязвимости, информация о которых была доступна более года назад и количество таких уязвимостей на “живых” сетевых периметрах весьма велико. Очевидно, что чем дольше известно об уязвимости, тем больше времени могло быть потрачено на разработку средств её эксплуатации. Фактически если для уязвимости существует реализация, то она будет проэксплуатирована с вероятностью 50% в первый месяц появления соответствующего эксплойта, и с вероятностью 99% в первый год его существования.

Интересно, что сами компании склонны недооценивать ущерб от простоя корпоративной инфраструктуры, например четверть из них утверждает, что от остановки в работе всех систем на сутки потеряют не более 500 тысяч рублей [2] (рисунок 3), хотя предполагаемый ущерб, который нанёс вирус-шифровальщик WannaCry по всему миру превысил миллиард долларов США, а заражение сетевой инфраструктуры вирусом-шифровальщиком NotPetya обошлось только логистической компании Moller-Maersk в 250-300 миллионов долларов США [4].

Рисунок 3. Оценка потерь компании от отказа всей корпоративной инфраструктуры на сутки



Другой проблемой в построении защищённого периметра корпоративной информационной инфраструктуры становится то, что методы и принципы работы с информацией, сценарии поведения работников в последние несколько лет изменились, и классические межсетевые экраны оказались к этому не готовы. Всё больше компаний становятся “открытыми”, и сейчас уже трудно найти организацию, в которой работникам заблокирован доступ в сеть Интернет. Вместе со сценариями использования меняются и приложения для работы с сетью. Например, 18.5% используют динамические TCP/UDP порты, 18% умеют туннелировать другие приложения, 37% используют шифрование трафика для сокрытия контента [5]. Классические межсетевые экраны придерживаются старой парадигмы использования сети Интернет и опираются в основном на контроль протоколов TCP/UDP/ICMP, портов TCP/UDP и IP-адресов. В итоге, классический межсетевой экран в современной информационной инфраструктуре “видит” много трафика по нескольким портам, однако “не видит”, что за этим трафиком скрывается около 250 различных приложений, и каждое из этих приложений по отдельности может как способствовать распространению угрозы, так и само по себе быть угрозой информационной безопасности.

При этом, как это часто и бывает, вместе с новыми угрозами безопасности появляются и технологии, способные купировать такие угрозы. Наиболее перспективной и действенной технологией, первым рубежом защиты сетевого периметра организации, на данный момент являются межсетевые экраны нового поколения (Next Generation Firewalls, NGFW) - логическое развитие классических межсетевых экранов. Если опираться на исследование “Magic Quadrant for Enterprise Network Firewalls”, проведённое компанией Gartner (от 10 июля 2017 года) [6], в прошлом году все основные игроки рынка корпоративных межсетевых экранов выпустили свои решения с внедрёнными NGFW-функциями, а к 2020 году около 50% инсталляций межсетевых экранов в мире будет обладать функциями “нового поколения” (сейчас лишь 10%), кроме того, рынок корпоративных межсетевых экранов является крупнейшим в области продуктов безопасности и оценивается в 9.27 миллиардов долларов США, и, очевидно, будет увеличиваться со скоростью около 7% в год как минимум до 2021 года.

В рамках исследований компания Gartner каждый год составляет так называемый “Магический квадрат” - квадрат мировых лидеров Enterprise Network Firewalls-рынка (рисунок 4).

В прошлом году в числе мировых лидеров рынка оказалось три компании, разрабатывающих NGFW-решения - Palo Alto Networks (устройства серий PA-200, PA-220, PA-500, PA-800, PA-3000, PA-5000, PA-5200 и PA-7000), Check Point Software Technologies (устройства серий 1000, 3000, 5000, 15000, 23000, 41000 и 61000) и Fortinet (устройства FortiGate). При этом существуют и российские продукты класса NGFW, которые пока не попали даже в число “нишевых компаний” - это, например, программно-аппаратное решение Traffic Inspector Next Generation компании Smart-Soft.

Рисунок 4. “Магический квадрат” Enterprise Network Firewalls-решений



В следующем разделе своего исследования я более подробно опишу технологии и принципы работы классических межсетевых экранов и межсетевых экранов нового поколения.

1.2 О технологии межсетевого экранирования и применяемых программно-аппаратных средствах

Межсетевой экран (сетевой экран, брандмауэр, файрвол) - программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами [7]. Таким образом, брандмауэры являются системами, управляющими потоком трафика между сетями с различными уровнями и требованиями к безопасности. Чаще всего межсетевые экраны рассматривают в контексте разграничения внутренней корпоративной сети от сети Интернет, и, следовательно, использования стека протоколов TCP/IP, однако если мы рассматриваем организации, обладающие критичной информацией, то в таком случае файрволы могут использоваться и для сегментирования внутренней локальной вычислительной сети на стыке областей информации различного уровня чувствительности. Устанавливая межсетевой экран на границах таких сегментов возможно предотвратить неавторизованный доступ, тем самым обеспечив дополнительный уровень безопасности.

Среди классических сетевых экранов выделяют несколько типов исходя из уровней сетевой модели OSI (open systems interconnection basic reference model, базовая эталонная модель взаимодействия открытых систем), который данный экран может анализировать [8]. OSI представляет собой модель стека сетевых протоколов, согласно которой различные сетевые устройства могут взаимодействовать друг с другом, при этом вводится несколько различных уровней, а каждый уровень выполняет определённые функции при взаимодействии. Структура стека протоколов OSI выглядит так, как показано в Таблице 1.

Таблица 1. Стек протоколов модели OSI

Модель OSI
Уровень	Тип данных	Функции	Примеры протоколов
7) Прикладной	Поток	Доступ к сетевым службам	HTTP, SMTP, DHCP, FTP
6) Представительский		Шифрование и представление данных	SSL, MIME
5) Сеансовый		Управление сеансом связи	netBIOS
4) Транспортный	Сегменты	Прямая связь между конечными пунктами, контроль передачи данных	UDP, TCP
3) Сетевой	Пакеты	Логическая адресация, определение маршрута	IP, ICMP
2) Канальный	Кадры	Физическая адресация	Ethernet, PPP, DSL, L2TP
1) Физический	Биты	Работа с двоичными данными, сигналами и средой передачи	Витая пара, оптический/коаксиальный кабель, USB

Физический уровень представляет собой нижний уровень модели OSI, в нём определяется метод передачи информации, представленной в двоичном виде, от одного сетевого устройства к другому. На данном уровне работают повторители сигналов, концентраторы, а также медиаконвертеры, хотя функции уровня реализуются на всех устройствах, в которых есть возможность подключения к сети. Например, со стороны автоматизированного рабочего места такие функции выполняются последовательным портом или сетевым адаптером, при этом задействуются стандартные сетевые интерфейсы, такие как RJ-11, RJ-45, RS-232. На рисунке 5 представлен концентратор NETGear EN104TP с четырьмя RJ-45 портами.

Канальный уровень - уровень взаимодействия между узлами, находящимися в одном сегменте локальной вычислительной сети. На этом уровне данные представлены в виде кадров, заголовки которых содержат аппаратные MAC-адреса (Media Access Control) получателя и отправителя, таким образом возможно понять, какое устройство отправило кадр, а какое должно его принять и обработать. MAC-адрес присваивается каждому сетевому интерфейсу, таким образом канальный уровень является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельное сетевое устройство. На данном уровне функционируют мосты и коммутаторы, в качестве примеров протоколов, работающих на втором уровне, можно привести Point-to-Point Protocol (PPP) и Ethernet.

Рисунок 5. Концентратор NETGear EN104TP

На сетевом уровне модели OSI происходит определение кратчайшего пути передачи данных, трансляция логических имён и адресов в физические, маршрутизация и коммутация. На данном уровне функционируют маршрутизаторы, при этом в сети Интернет адреса третьего уровня называются IP-адресами.

Четвёртый уровень сетевой модели OSI - транспортный - предназначен для доставки данных. Представленный уровень предоставляет механизм передачи и не влияет на тип передаваемой информации, а также адресацию. На этом уровне пакеты данных разделаются на сегменты (фрагменты), размер которых зависит от используемого протокола. Протоколы, функционирующие на четвёртом уровне, предназначены для взаимодействия типа точка-точка, примерами таких протоколов являются UDP и TCP. Кроме того, транспортный уровень идентифицирует конкретное сетевое приложение, сессию (в дополнение к ранее определённому сетевому адресу), а также порты, которые рассматриваются как начальные и конечные точки сессии. Следующие уровни модели OSI (пятый, шестой и седьмой) представляют системы и приложения конечного пользователя.

Сеансовый уровень управляет сеансами связи, тем самым позволяя приложениям взаимодействовать между собой длительное время. В перечень задач данного уровня входит обмен информацией, определение права передачи данных, создание и завершение сеанса, синхронизация задач и поддержка сеанса в моменты неактивности приложений. Уровень определяет контрольные точки, которые помещаются в поток данных, тем самым обеспечивая синхронизацию передачи данных - при разрыве взаимодействия (сеанса) процесс начнётся с последней контрольной точки. В качестве примеров протоколов, функционирующих на пятом уровне модели OSI, можно привести netBIOS и H.245.

Представительский уровень (уровень представления) является шестым уровнем модели OSI и предназначен для кодирования и декодирования данных, а также преобразования различных протоколов. Таким образом на представительском уровне данные, полученные с сеансового уровня, преобразуются к виду, понятному конечным приложениям, находящимся на последнем, седьмом уровне, а данные, полученные от приложений преобразуются в формат для передачи по сети. Кроме того, на данном уровне осуществляется шифрование, расшифрование и сжатие данных.

Самый верхний, седьмой уровень модели OSI, обеспечивает взаимодействие пользователя и сети. Прикладной уровень позволяет конечным приложениям получать доступ к файлам, сетевым службам, электронной почте, информации об ошибках при передаче данных. На этом уровне функционирует огромное число протоколов, в качестве примеров можно назвать HTTP, FTP, DNS, SMTP, POP3.

Классические межсетевые экраны могут, в зависимости от своего типа, функционировать на канальном уровне, сетевом, а также транспортном, однако им недоступен седьмой (прикладной) уровень (исключение - посредники прикладного уровня, которые анализируют только последний уровень и устанавливаются на конечные точки). Также очевидно, что межсетевой экран, способный анализировать наибольшее число уровней при прочих равных является более совершенным и эффективным, а также предоставляет дополнительные инструменты администрирования.

В настоящее время не существует общепризнанной классификации межсетевых экранов, однако чаще всего на практике для систематизации применяется привязка к анализируемому уровню модели OSI. Учитывая данное обстоятельство можно выделить следующие типы классических межсетевых экранов: управляемые коммутаторы, пакетные фильтры, шлюзы сеансового уровня, а также посредники прикладного уровня [9].

Управляемые коммутаторы функционируют на канальном уровне, осуществляя фильтрацию трафика между сетями либо узлами сети, однако исключительно в рамках одной локальной вычислительной сети. Таким образом их невозможно использовать для обработки трафика из сторонних сетей, таких как Интернет. Являются хорошим решением для сегментирования корпоративной вычислительной сети крупной организации, так как дёшевы и выполняют фильтрацию с очень высокой скоростью. Управляемые коммутаторы производят многие компании, разрабатывающие сетевое оборудование, например, D-Link (модель DGS-1210-28/ME, представлена на рисунке 6), Huawei (модель S5700-52C-PWR-SI 02354135 2354135) или NETGear (модель XSM4316S-100NES).



Рисунок 6. Управляемый коммутатор D-Link DGS-1210-28/ME

Пакетные фильтры являются основным (наиболее популярным) типом межсетевых экранов и функционируют на сетевом уровне (некоторые поддерживают и транспортный). Контролируют трафик на основе заголовков пакетов, а именно анализируют адрес и порт отправителя пакета, адрес и порт получателя пакета, тип сессии. К плюсам таких межсетевых экранов можно отнести высокую скорость, а также прозрачность для серверов и клиентов. В качестве недостатков выделяют сильные ограничения в сборе логов, подверженность к уязвимостям и атакам на TCP/IP (например, подделки сетевого адреса) и сложность их конфигурации. Многие современные серверные операционные системы в своём составе уже имеют программные пакетные фильтры, например Packet Filter (OpenBSD), IPFilter (FreeBSD), IPFW (Solaris), NETFilter (Debian).

Межсетевые экраны сеансового уровня действуют в качестве посредника между узлом, расположенным в локальной вычислительной сети, и внешним хостом, таким образом исключая их прямое взаимодействие. Главная особенность межсетевых экранов такого типа - проверка пакета на допустимость исходя из текущей фазы соединения, то есть достигается гарантия того, что пакет будет пропущен только в том случае, если он принадлежит ранее установленному соединению, дополнительной фильтрации при этом не проводится. В качестве достоинств таких экранов относят невозможность определения топологии защищаемой локальной вычислительной сети, а также способность предотвращения атак типа “Отказ в обслуживании” (DoS, DDoS), однако данный тип межсетевых экранов не умеет проверять содержание поля данных, что серьёзно ограничивает его применение в современных условиях.

Посредники прикладного уровня, аналогично межсетевым экранам сеансового уровня, исключают прямое взаимодействие между узлом внутри сети и узлом, находящимся снаружи, но, функцинируя на последнем уровне модели OSI (прикладном), способны проверять содержание поля данных, тем самым понимая “контекст” передаваемого трафика, его принадлежность к определённому приложению. Это позволяет, например, блокировать конкретное сообщение, полученное по электронной почте, содержащее опасное вложение, либо определённую команду приложения, при этом все команды, кроме запрещённой, будут корректно обрабатываться. В качестве недостатков такого типа экранов указывают высокие требования к вычислительной мощности, а также сложность реализации, так как для каждого нового протокола и приложения необходимо разрабатывать дополнительное расширение (дополнение). Чаще всего межсетевые экраны указанного типа устанавливаются в составе комплексных решений защиты на конечные хосты локальной сети (пакет Kaspersky Endpoint Security, пакет Symantec Endpoint Protection (интерфейс настройки показан на рисунке 7)).

Каждый из всех вышеназванных типов имеет свои достоинства и недостатки, но логичным продолжением развития межсетевых экранов является совмещение устройств, работающих на разных уровнях модели OSI, в единое целое. Инспекторы состояния как раз реализовывают данную идею, позволяя осуществлять фильтрацию трафика начиная с сетевого уровня и заканчивая прикладным. При этом в составе такого экрана есть две таблицы - таблица состояния (контроль сессий) и таблица правил (контроль пакетов) - а также дополнения для “понимания” протоколов и приложений. К достоинствам межсетевых экранов данного типа относят высокую скорость (так как фильтрация осуществляется по принципу шлюзов сеансового уровня), прозрачность соединения, а кроме того гибкость в конфигурации, масштабировании и развитии (благодаря подключаемым расширениям). К недостаткам причисляют более низкий уровень защищённости по сравнению с посредниками прикладного уровня.

Рисунок 7. Настройка сетевого экрана в Symantec Endpoint Protection

Кроме стандартной функции фильтрации трафика, которая, в конечном итоге, заключается в двух операциях - пропустить пакет дальше либо отклонить пакет (согласно установленным правилам взаимодействия), многие современные межсетевые экраны имеют дополнительные сервисы и возможности [10]:

1) Поддержка протокола DHCP (автоматическая настройка хоста, позволяет клиентам получать необходимые параметры для работы в сети TCP/IP сразу при подключении, без необходимости дополнительных настроек);

2) Поддержка механизма NAT (преобразование IP-адресов транзитных пакетов, позволяет ограничить либо запретить обращение внешних пользователей к внутренним хостам сети);

3) Поддержка технологии VPN (обеспечение логической сети поверх другой сети, позволяет, благодаря средствам криптографии, строить безопасные логические сети (например, между головным офисом и филиалом организации) вне зависимости от доверия к базовой сети (чаще всего Интернет));

4) Поддержка антивирусной защиты (обнаружение в проходящем трафике компьютерных вирусов, нежелательных файлов, позволяет предотвратить выполнение вредоносного программного обеспечения на хостах внутренней сети);

5) Поддержка IDS/IPS (системы обнаружения и предотвращения вторжений, позволяет отслеживать и блокировать опасные потоки данных, тем самым предотвращая несанкционированное управление сетью или неавторизованный доступ в сеть);

6) Поддержка организации DMZ-зоны (специальный сегмент сети, отделяющий частные сервисы от общедоступных, позволяет безопасно разместить внешний сервис (например, веб-сайт) организации на сервере, который физически находится в локальной вычислительной сети организации);

7) Поддержка публикации внутренних ресурсов, таких как Outlook Web Access, SharePoint и Lync (позволяет удалённым работникам, использующим личные устройства, безопасно использовать информационные ресурсы организации - электронную почту, голосовую и видео-телефонию, внутренние корпоративные порталы);

8) Поддержка балансировки нагрузки (позволяет сократить время обслуживания запросов, а также обеспечить отказоустойчивость путём динамического распределения заданий между несколькими установленными межсетевыми экранами).

Дальнейшим развитием рынка межсетевых экранов становится появление межсетевых экранов нового поколения (Next Generation Firewall, NGFW). Этот термин ввела американская консалтинговая компания Gartner исследованием Defining the Next-Generation Firewall, опубликованном в 2009 году [11]. Стоит отметить, что к тому времени многие производители начали “перерастать” по функциям инспекторы состояния, а Gartner лишь основываясь на полученном опыте классифицировала требования к новому типу межсетевых экранов. Главной функцией NGFW становится возможность работы на разных уровнях модели OSI, включая уровень приложений, при этом, благодаря повышению производительности оборудования, а также новым алгоритмам и сервисам, обеспечивается недостижимое ранее соотношение уровня защиты к скорости фильтрации трафика. Кроме стандартных функций межсетевых экранов, которые я перечислил ранее (DHCP, NAT, VPN, IPS, IDS, DMZ), Gartner ввела следующие дополнительные требования к NGFW:

1) Возможность регулярного обновления через сеть Интернет встроенного системного и прикладного программного обеспечения для поддержания уровня защиты (например антивирусных баз, сигнатур атак);

2) Возможность установки в локальной вычислительной сети любой сложности и конфигурации без нарушения её топологии и связности;

3) Возможность полной инспекции HTTPS-трафика (позволяет межсетевому экрану, путём встраивания в трафик своего промежуточного сертификата, расшифровывать и проверять на наличие угроз проходящий зашифрованный трафик);

4) Возможность использования внешних источников данных для реализации функции фильтрации. Позволяет реализовать персональную фильтрацию для каждого конкретного пользователя сети, необходимо лишь настроить взаимодействие межсетевого экрана с корпоративным каталогом Active Directory;

5) Возможность реализации сетевых политик безопасности на уровне протоколов приложений. Данная функция позволяет, например, разрешать телефонные звонки посредством программы Skype, но одновременно блокировать отправку файлов в этой программе. При этом правила должны работать независимо от сетевых настроек, то есть межсетевому экрану не важно, какой порт использует программа.

В настоящий момент многие компании (Check Point Software Technologies, Fortinet, Smart-soft) имеют в своём портфеле продукты класса NGFW, и очевидно, что через несколько лет, благодаря хорошему сочетанию безопасности и производительности, подавляющее большинство покупаемых и устанавливаемых межсетевых экранов будут относиться именно к этому классу. На рисунке 8 изображён внешний вид программно-аппаратного комплекса класса NGFW Palo Alto PA-3050.

Рисунок 8. Palo Alto PA-3050

В первой главе исследования мною была рассмотрена проблематика защиты сетевого периметра организации от современных угроз информационной безопасности, а также описаны основные классы, функции и принципы работы межсетевых экранов.



ГЛАВА 2. ОПИСАНИЕ СТРУКТУРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Современная система обеспечения информационной безопасности должна строиться на основе комплекса разнообразных мер защиты и опираться на методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации. Результаты анализа и моделирования угроз предназначены для выбора адекватных, а также оптимальных мер и методов парирования угроз.

Перед построением структуры обеспечения информационной безопасности (проектированием системы защиты) специалист должен изучить состав защищаемой информационной системы, а затем выработать модель угроз и нарушителя под неё. Модель угроз - это математическое, физическое, описательное представление характеристик или свойств угроз безопасности информации [12]. Другими словами, модель угроз - это документ, содержащий систематизированный перечень угроз безопасности данных в информационных системах. Требования к системе защиты определяется моделью угроз безопасности. Без модели угроз невозможно построить адекватную систему защиты информации, обеспечивающую безопасность информации.

Анализ возможностей, которыми может обладать нарушитель, проводится в рамках модели нарушителя. Модель нарушителя представляет собой совокупность сведений о подготовленности, осведомлённости, оснащённости, а также действиях потенциальных нарушителей [13].

Таким образом, во-второй главе своего исследования я опишу выбранную для исследования информационную систему организации, а также построю для неё модель угроз и нарушителя информационной безопасности.



2.1 Описание информационной сети предприятия и используемых систем защиты информации

В своей работе я рассмотрю типовую информационную систему предприятия на примере акционерного общества “Элгаз”.

АО "Элгаз" - крупная специализированная компания газовой отрасли Российской Федерации, которая занимается капитальным ремонтом, техническим обслуживанием, строительно-монтажными и пусконаладочными работами на энергетическом оборудовании, производством электротехнического оборудования, а также проектной деятельностью. В состав организации входят 13 филиалов, расположенных в местах сосредоточения основных объектов газовой отрасли Российской Федерации, в том числе конструкторское бюро и завод-производитель силовых распределительных трансформаторов, с головным офисом в городе Москве. Штатная численность компании составляет около 2500 человек, при этом 800 из них обладают автоматизированными рабочими местами, некоторые работают удалённо с помощью выданных и заранее настроенных корпоративных ноутбуков.

В рамках исполнительного органа развёрнута вычислительная сеть на основе смешанной топологии, подключённая к сети Интернет. При этом сеть разделена на демилитаризованную зону и локальную вычислительную сеть. В демилитаризованной зоне находится внешний почтовый сервер, сервер корпоративного сайта, а также VPN-сервер, организующий защищённый канал связи с удалёнными устройствами (в том числе и филиалами). Локальная вычислительная сеть разделена ещё на три зоны - критичные компьютеры (содержащие чувствительную информацию - руководства, бухгалтерии, отдела безопасности, плюс сетевые принтеры для них), рядовые компьютеры и серверы (сервер контроллера домена Active Directory, сервер печати, сервер резервных копий данных, сервер службы обновлений Windows (WSUS), файловый сервер, сервер для внутренней электронной почты, а также сервер баз данных 1С).

Так как предприятие в своём составе содержит конструкторское бюро, занимающееся проектированием электротехнического оборудования, возникает огромный поток документооборота, в том числе конструкторской документации, проектно-технических решений, чертежей и схем, многие из которых представляют большую ценность как для предприятия, так и для заказчика. Например, разработка новой модели микротурбинной установки может занимать около двух лет и стоить компании десятки миллионов рублей, при этом в случае утечки информации об используемых компонентах, технологиях и решениях компания может понести серьёзные финансовые потери. Кроме того, в случае нарушения функционирования вычислительной сети, в том числе потери связи с филиалами, многие бизнес-процессы в компании будут как минимум сильно замедлены, а как максимум вообще не смогут быть осуществлены, что также несёт финансовые и репутационные риски для организации.

Отметим, что в структуру обеспечения информационной безопасности вычислительной сети уже входят межсетевые экраны Microsoft Forefront Threat Management Gateway 2010 SP2, системы обнаружения и предотвращения вторжений (в составе межсетевых экранов) и комплексное антивирусное Endpoint-решение (в виде Kaspersky Endpoint Security 10 SP2), включающее сервер управления и сбора информации (KSC), а также агенты на каждом автоматизированном рабочем месте и сервере.

Microsoft Forefront Threat Management Gateway (Microsoft TMG) -- прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика, включает в себя комплексный набор программ для обеспечения безопасности в сети, например антивирус и антиспам [14].

Весь интерфейс Microsoft TMG делится на три столбца, каждый столбец содержит чётко определённую информацию. Скриншот панели состояния работы межсетевого экрана представлен на рисунке 9. В левой части мы видим названия разделов (панель, наблюдение, политика межсетевого экрана, политика веб-доступа), по центру указана различная информация о модулях и статистика работы (исходя из выбранного слева раздела), в правом столбце отображаются задачи, которые можно выполнить (обновить), а также кнопка вызова справки.

Далее рассмотрим основные разделы решения. Скриншот раздела “Наблюдение” приведён на рисунке 10 и представляет собой пять вкладок: оповещения, сеансы, средства проверки подключения, службы и конфигурация.

Рисунок 9. Панель состояния работы Microsoft TMG

В подразделе “Оповещения” представлены события, сгруппированные по своему типу, а также критичности (удобное логирование). Подраздел “Сеансы” содержит в себе перечень текущих соединений. Функция проверки подключения позволяет в реальном времени отслеживать и контролировать подключение клиентов к различным сайтам.

Раздел “Политика межсетевого экрана” является “аккумулятором” всех правил межсетевого экрана, в этом разделе собираются воедино политики веб-доступа, электронной почты, системы обнаружения и предотвращения вторжений, а также политики удалённого доступа. На мой взгляд данный раздел является лишним, и при большом количестве правил он быстро становится сложно читаемым, нефункциональным.

В разделе “Политика веб-доступа” (рисунок 11) располагаются все настройки службы веб-прокси, параметры доступа пользователей к ресурсам cети Интернет по различным протоколам, а также параметры конфигурации модуля проверки пользовательского трафика на наличие вредоносного кода. Например, в качестве правила всем пользователем сети запрещено посещать сайты, содержащие насилие, порнографический контент или азартные игры.

Рисунок 10. Раздел “Наблюдение” Microsoft TMG

Как и ранее, в правом углу мы можем наблюдать задачи, выполняемые в данном разделе. В состав Microsoft TMG входит антивирусный компонент, который проверяет трафик на наличие вредоносных объектов - Malware Content Inspection. Данный модуль использует движок Microsoft Antimalware Engine и позволяет инспектировать HTTP и туннелированный FTP-трафик клиентов веб-прокси. Кроме того, есть возможность проверять трафик исходящих HTTPS-соединений. При загрузке файлов большого объёма пользователю демонстрируется информация о процессе проверки загружаемых файлов на наличие опасности.

Microsoft TMG также позволяет организовать фильтрацию электронной почты, выступая в качестве посредника между внутренним сервером электронной почты и внешними серверами.

Forefront TMG включает в себя систему обнаружения вторжений уровня сети (Network based Intrusion Detection System, N-IDS, скриншот раздела представлен на рисунке 12), разработанную Microsoft Research и именуемую GAPA. Сигнатуры сетевых атак для расширения функционала GAPA периодически поставляются в виде пакетов обновлений через службу Microsoft Update. В центральном столбце указаны названия сигнатур сетевых атак и действие, которое будет выполнено по умолчанию. Также в данном узле располагается модуль “Обнаружение поведенческих вторжений”, в нём можно настроить параметры для обнаружения предполагаемых вторжений на основе данных о сетевой активности. В базу данных Microsoft TMG уже входят сигнатуры обнаружения наиболее распространённых сетевых атак, таких как DNS-атака, сканирование портов, UDP-бомб, атака переполнения буфера, flood-атака.

Рисунок 11. Раздел “Политика веб-доступа” Microsoft TMG

В разделе “Политика удалённого доступа” можно настроить и защитить виртуальную частную сеть (VPN), которая даёт возможность двум компьютерам обмениваться данным через общедоступную сеть с имитацией частного подключения типа “точка-точка”. В Forefront TMG реализована поддержка протокола SSTP (Secure Socket Tunneling Protocol), позволяющего туннелировать трафик VPN-сессии внутри обычного протокола HTTP в рамках SSL-сессии. Этот механизм позволяет без проблем устанавливать VPN-соединения вне зависимости от конфигурации межсетевого экрана, веб-прокси сервера или службы трансляции сетевых адресов.

Рисунок 12. Раздел “Система предотвращения вторжений” Microsoft TMG

Kaspersky Endpoint Security 10 для Windows - современный программный продукт (последняя версия SP2 выпущена в 2017 году), обеспечивающий многоуровневую комплексную защиту АРМ под управлением Windows в локальной вычислительной сети организации [15]. Существуют также версии программы для операционных систем Windows Server, Mac OS и Linux. Устанавливается и функционирует непосредственно на каждом АРМ, параметрами защиты можно управлять как с самого АРМ (локально), так и глобально политиками, которые создаются в сопутствующем продукте Kaspersky Security Center 10 (представляет собой единую консоль безопасности домена для продуктов АО “Лаборатория Касперского”). Скриншот главного окна программы KES 10 представлен на рисунке 13.

Программа позволяет контролировать следующие аспекты поведения системы:

1) Запуск программ (продукт отслеживает и регулирует попытки запуска программ пользователями);

2) Активность программ (продукт регистрирует действия, совершаемые прикладным программным обеспечением в операционной системе, и регулирует их деятельность исходя из “группы доверия”);

3) Уязвимости (мониторинг уязвимостей в режиме реального времени проверяет системное и прикладное программное обеспечение на наличие уязвимостей и соответствующих обновлений, при необходимости устанавливает их);

4) Устройства (продукт позволяет установить гибкие ограничения доступа к источникам информации, инструментам передачи информации, принтерам и интерфейсам);

5) Доступ в сеть Интернет (продукт позволяет установить ограничения доступа к веб-ресурсам для разных групп пользователей).

Кроме того, в состав программы входят следующие компоненты, обеспечивающие защиту конечного хоста:

1) Файловый антивирус. Компонент позволяет избежать заражения файловой системы компьютера вредоносным программным обеспечением;

2) Мониторинг системы. Компонент собирает данные о действиях прикладного программного обеспечения на компьютере и предоставляет эту информацию другим компонентам для более эффективной защиты;

3) Почтовый антивирус. Компонент проверяет исходящие и входящие почтовые сообщения на наличие в них вредоносного программного обеспечения, а также других программ, представляющих угрозу;

4) Веб-антивирус. Компонент проверяет трафик, поступающий на компьютер пользователя по протоколам HTTP и FTP, а кроме того устанавливает принадлежность ссылок к вредоносным или фишинговым веб-адресам.

Особое внимание, исходя из темы магистерской работы, я обратил на сетевой экран (функционирует как посредник прикладного уровня), мониторинг сети (компонент предназначен для просмотра в режиме реального времени информации о сетевой активности АРМ), и защиту от хакерских атак (компонент отслеживает по сигнатурам в сетевом трафике активность, характерную для сетевых атак).

Рисунок 13. Главного окно KES 10 SP2

Сетевой экран KES фильтрует всю сетевую активность в соответствии с сетевыми правилами. Настройка сетевых правил позволяет задать нужный уровень защиты автоматизированного рабочего места (от полной блокировки доступа в Интернет для всех программ до разрешения неограниченного доступа). Сетевое правило представляет собой разрешающее или запрещающее действие, которое сетевой экран совершает, обнаружив попытку сетевого соединения. Защиту от сетевых атак различного рода сетевой экран осуществляет на двух уровнях: сетевом и прикладном. Защита на сетевом уровне обеспечивается за счёт применения правил для сетевых пакетов. Защита на прикладном уровне обеспечивается за счёт применения правил использования сетевых ресурсов программами, установленными на компьютере пользователя. Процесс настройки сетевого экрана в KES изображён на рисунке 14.

Рисунок 14. Настройка сетевого экрана в KES 10

Фактически программа умеет формировать два типа правил:

1) Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определённым портам выбранного протокола передачи данных;

2) Сетевые правила программ. Используются для ограничения сетевой активности определённой программы. Учитываются не только характеристики сетевого пакета, но и конкретная программа, которой адресован этот сетевой пакет, либо которая инициировала отправку этого сетевого пакета. Такие правила позволяют тонко настраивать фильтрацию сетевой активности, например, когда определённый тип сетевых соединений запрещён для одних программ, но разрешён для других.

Компонент “Защита от сетевых атак” отслеживает во входящем сетевом трафике активность, характерную для сетевых атак. Обнаружив попытку сетевой атаки, KES блокирует сетевую активность атакующего на определённый промежуток времени.

Во время работы KES компоненты веб-антивируса или почтового антивируса контролируют потоки данных, передаваемые по определённым протоколам и проходящие через открытые TCP- и UDP-порты компьютера пользователя. Так, например, веб-антивирус анализирует информацию, передаваемую по протоколам HTTP и FTP, в то время как почтовый антивирус анализирует информацию, передаваемую по SMTP-протоколу.

Kaspersky Endpoint Security подразделяет TCP- и UDP-порты операционной системы на несколько групп в соответствии с вероятностью эксплуатации их хакерами либо вредоносным программным обеспечением. Сетевые порты, отведённые для служб, которые могут быть уязвимы, контролируются более тщательно. Если в сети используются нестандартные службы, либо службы, которым отведены нестандартные сетевые порты, они также могут являться целью для атакующего, в таком случае администратор может задать список таких сетевых портов и служб - на них компоненты KES будут обращать особое внимание во время обработки сетевого трафика.

Мониторинг сети - это инструмент, предназначенный для просмотра информации о сетевой активности компьютера пользователя в реальном времени. Данный инструмент имеет в своём составе четыре информационных поля: сетевая активность, открытые порты, сетевой трафик, а также заблокированные компьютеры.

Таким образом, Kaspersky Endpoint Security 10 является хорошим, актуальным и комплексным продуктом, обеспечивающим безопасность конечных точек сети, в том числе и от сетевых угроз. АО “Лаборатория Касперского” постоянно выпускает новые версии продукта и сигнатуры баз, корпоративным пользователям оказывается быстрая поддержка с помощью различных каналов связи, при этом стоимость продукта относительно невелика и составляет около 950 рублей в год за лицензию на одно устройство.

Итоговая структура информационной системы исполнительного органа и входящая в неё подсистема обеспечения информационной безопасности АО “Элгаз”, смоделированная в эмуляторе сети Cisco Packet Tracer 7.1 [16], представлена на рисунке 15.

Рисунок 15. Структура информационной системы исполнительного органа АО “Элгаз”

2.2 Описание угроз безопасности данным

Под конфиденциальностью информации в АО “Элгаз” понимают обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя. При этом введён в действие Перечень информации, составляющей коммерческую тайну и иной конфиденциальной информации, согласно которому к конфиденциальным данным относятся финансовые (информация об основных фондах, направлениях и объёмах инвестиций, плановые экономические показатели), научно-технические (чертежи, графики, схемы, проектная документация) документы и персональные данные как работников компании, так и её заказчиков.

Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к защищаемой информации (ЗИ), определяет состав и содержание угроз безопасности ЗИ. Свойства среды распространения информативных сигналов, содержащих ЗИ, характеристики информационной системы, возможности источников угроз формируют комплекс таких условий и факторов. В нашем случае под информационной системой мы будем понимать корпоративную ЛВС предприятия с необходимыми и достаточными средствами обеспечения информационной безопасности.

Возникновение угроз безопасности ЗИ можно обусловить целым рядом специфических характеристик информационной системы, таких как её структура, режимы обработки и разграничения прав доступа к ЗИ, размещения технических средств, характеристики подсистемы защиты информации, применяемой в системе, а также наличием подключения системы к локальным или глобальным информационным сетям.

Объединение способов и методов случайного или несанкционированного доступа к ЗИ, в результате которого возможно нарушение целостности (изменение, уничтожение), доступности (блокирование) и конфиденциальности (неправомерное распространение, копирование) ЗИ обуславливают возможности источников угроз безопасности ЗИ.

ЗИ может быть представлена в нескольких формах - выделяют видовую информацию, акустическую и логическую [17]. В нашей системе актуальна информация, обрабатываемая в информационной системе, и представленная в виде логических структур - бит, файлов и IP-протоколов.

По структуре рассматриваемая информационная система относится к классу распределённых, которая подразумевает взаимосвязанный набор автономных автоматизированных рабочих мест и серверов.

Источник угроз ЗИ может быть внешним (действия лиц, не имеющих доступа к системе, которые реализуют угрозы в рамках локальных или глобальных информационных сетей), а может быть внутренним (действия лиц, имеющих доступ к системе (пользователей), которые реализуют угрозы непосредственно в системе).

Угрозы безопасности ЗИ могут реализовываться при подключении системы к глобальным сетям, локальным сетям, или при отсутствии подключения к сетям.

Выделяют несколько видов несанкционированных действий, осуществляемых с ЗИ [17]. Во-первых, это угрозы, реализация которых приводит к изменению или уничтожению ЗИ. Во-вторых, это угрозы, реализация которых приводит к блокированию ЗИ. И в-третьих это угрозы, при реализации которых не осуществляется непосредственное воздействие на ЗИ, вместо этого она несанкционированно копируется или распространяется.

Угрозы безопасности ЗИ делятся по видам каналов их реализации. В нашем случае актуальны угрозы, осуществляемые путём несанкционированного доступа к ЗИ в системе с использованием программного обеспечения, входящего в систему, или специально разрабатываемого программного обеспечения.

...