Построение защищенной корпоративной сети ГК "АвтоМир"

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление (специальность) Информационная безопасность

телекоммуникационных систем

Кафедра Мультисервисных сетей и информационной безопасности

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

(ДИПЛОМНАЯ РАБОТА)

Построение защищенной корпоративной сети ГК «АвтоМир»

Утверждаю зав.кафедрой д.т.н., проф. В.Г.Карташевский

Руководитель доцент к.т.н., доцент В.В. Пугин

Н. контролер доцент к.т.н. Н.М. Бельская

Разработал ИБТС-12 С.Ю.Карпеев

Самара 2017



Содержание

Задание

Отзыв руководителя

Показатели качества ВКР

Рецензия

Реферат

Введение

1 Корпоративная сеть ГК «АвтоМир»

1.1 Виртуальная частная сеть VPN

1.2 Архитектура корпоративной сети ГК «АвтоМир»

1.3 Описание оборудования

2. Защита информации на рабочем месте

2.1 Создание зашифрованного файлового контейнера

2.2 Шифрование системного диска и операционной системы (ОС)

2.3 Создание скрытой ОС

2.4 Дешифрация

2.5 TrueCrypt и виртуальные машины

2.6 Требования безопасности, меры предосторожности, утечки данных

3. Защищенное межсетевое взаимодействие

3.1 Взаимодействие c банковскими структурами

3.2 Взаимодействие c ПФР, ФНС, ФСС

4. Оценка безопасности системы

4.1 Оценка безопасности услуги VPN

4.2 Расчет риска услуги VPN

Заключение

Список использованных источников

Приложение А - Акт внедрения результатов ВКР на предприятии

Приложение Б - Презентационный материал



Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

ЗАДАНИЕ

по подготовке выпускной квалификационной работы

Студента Карпеева Сергея Юрьевича

1 Тема ВКР

Построение защищенной корпоративной сети ГК «АвтоМир»

Утверждена приказом по университету от 28.10.2016 № 265-2

2 Срок сдачи студентом законченной ВКР 28.1.2017

3 Исходные данные и постановка задачи

1. Рассмотреть технологиюVPN для организации корпоративной сети

2. Выбрать оптимальный способ реализации данной технологии

3. Обеспечить криптозащиту данных на рабочих станциях и ноутбуках в рамках корпоративной сети

4. Рассмотреть вопросы защищенного межсетевого взаимодействия с внешними организациями

5. Произвести оценку безопасности услуги VPN

4. Перечень подлежащих разработке в ВКР вопросов или краткое содержание ВКР. Сроки исполнения 28.01.2017

1. Виртуальная частная сеть VPN

2. Архитектура корпоративной сети ГК «АвтоМир»

3. Межсетевое взаимодействие свнешними организациями

4. Защита информации на рабочем месте

5. Требования безопасности

6. Оценка безопасности системы

5. Перечень графического материала. Сроки исполнения 28.01.2017

Приложение - презентационный материал

6. Дата выдачи задания « 28 » октября 2016 г.

Кафедра Мультисервисных сетей и информационной безопасности

Утверждаю зав. кафедрой д.т.н., проф. 28.10.2016 В.Г.Карташевский

Руководитель доцент к.т.н., доцент 28.10.2016 В.В. Пугин

Задание принял к исполнению ИБТС-12 28.10.2016 С.Ю. Карпеев

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

ПОКАЗАТЕЛИ КАЧЕСТВА ВКР

По ВКР студента Карпеева Сергея Юрьевича

На тему Построение защищенной корпоративной сети ГК «АвтоМир»

1 Работа выполнена :
- по теме, предложенной студентом
- по заявке предприятия		ООО «Автомир Богемия»
		наименование предприятия
- в области фундаментальных и поисковых научных исследований
		указать область исследований
2 Результаты ВКР:
- рекомендованы к опубликованию
		указать где
- рекомендованы к внедрению
		указать где
- внедрены		ООО «Автомир Богемия»
		акт внедрения
3 ВКР имеет практическую ценность		разработана защищенная корпоративная сеть
		в чем заключается практическая ценность
4 Использование ЭВМ при выполнении ВКР:
(ПО, компьютерное моделирование, компьютерная обработка данных и др.)		MS Office
5. ВКР прошла проверку на объем заимствований		% заимствований Н.И. Козырева
		эл. версия сдана А.А. Вороной

Студент ИБТС-12 С.Ю. Карпеев

Руководитель ВКР доцент к.т.н., доцент В.В. Пугин



Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

РЕФЕРАТ

Название	Построение защищенной корпоративной сети ГК «АвтоМир»
Автор	Карпеев Сергей Юрьевич
Научный руководитель	Пугин Владимир Владимирович
Ключевые слова	Информационная безопасность (ИБ), защита сети, корпоративная сеть, VPN, криптоконтейнер, ИнфоТеКС, TrueCrypt, надежность услуги VPN
Дата публикации	2017
Библиографическое описание	Построение защищенной корпоративной сети ГК «АвтоМир» [Текст]: дипломная работа / С.Ю. Карпеев. Поволжский Государственный Университет Телекоммуникаций и Информатики (ПГУТИ). Факультет телекоммуникаций и радиотехники (ФТР). Кафедра мультисервисных сетей и информационной безопасности (МСИБ): науч. рук. В.В. Пугин - Самара. 2017.
Аннотация	Работа посвящена вопросам защиты информационной системы предприятия от атак. B результате выполнения ВКР были решены следующие задачи: рассмотрена технология VPN для организации корпоративной сети ГК «АвтоМир»; выбран оптимальный способ реализации данной технологии на основе решений компании ИнфоТеКС; обеспечена криптозащита данных на рабочих станциях и ноутбуках в рамках корпоративной сети; рассмотрены вопросы защищенного межсетевого взаимодействия c внешними организациями; произведена оценка безопасности услуги VPN.

Руководитель ВКР _________ ___________ _______________________



Введение

Группа компаний «АвтоМир», основанная в 1993 году - один из самых крупных игроков на российском авторынке. B ее дилерском портфеле - 18 автомобильных брендов: Nissan, Volkswagen, ЉKODA, Toyota, Infiniti и др.

Основные направления деятельности ГК «АвтоМир»: продажа новых автомобилей и моделей c пробегом; гарантийное и сервисное обслуживание; слесарный и кузовной ремонт любой сложности; розничная и оптовая продажа запчастей и аксессуаров; тюнинг, установка охранных устройств и дополнительного оборудования; обмен (trade-in) и выкуп подержанных автомобилей; прокат автомобилей, техническая помощь на дорогах, эвакуация автомобилей; предоставление услуг по автострахованию совместно со страховыми компаниями; предоставление кредитных и лизинговых программ совместно c банками-партнерами.

На сегодняшний день компания объединяет 48 автосалонов: 19 в Москве, 26 в регионах Российской Федерации (Санкт-Петербург, Брянск, Воронеж, Самара, Ярославль, Челябинск, Екатеринбург, Новосибирск, Архангельск, Сургут, Новокузнецк, Краснодар, Саратов, Нижний Новгород) и 3 в Казахстане (Астана, Караганда и Алматы).

ГК «АвтоМир» занимает одну из ведущих позиций на российском автомобильном рынке, удерживая лидерство в сфере продаж новых автомобилей. Выручка по итогам 2015 года достигла показателя 60,3 млрд рублей [1].

Максимальное использование современных информационных и сетевых технологий является одной из приоритетных задач для любой компании. Разработка и внедрение коммерческих проектов, используя территориально разнесенные филиалы и представительства по всему миру, освоение новых рынков и открытие новых представительств невозможно без надежной и хорошо продуманной корпоративной сети.

Все вышесказанное определило актуальность темы работы.

Целью дипломной работы является обеспечение безопасности корпоративной сети и защита информации на рабочих местах.

Для достижения поставленной цели необходимо решить следующие основные задачи:

- рассмотреть технологию VPN для организации корпоративной сети предприятия;

- выбрать оптимальный способ реализации данной технологии;

- обеспечить криптозащиту данных на рабочих станциях и ноутбуках в рамках корпоративной сети;

- организовать защищенное межсетевое взаимодействие c внешними организациями;

- произвести оценку безопасности услуги VPN.

Объектом исследования является группа компаний «АвтоМир».

Предметом исследования является корпоративная сеть ГК «АвтоМир».

Основными источниками информации для написания работы послужили труды Филимонова А.В., Молдовяна А.А., Молдовян Н.А., Зимы В.М..

Цель и задачи написания работы определили ее структуру, которая состоит из введения, трех глав, заключения, списка используемых источников и приложений.

Во введении обосновывается актуальность работы, цель, задачи, объект и предмет исследования.

Первая глава раскрывает информацию о принципах построения виртуальных частных сетей, архитектуре корпоративной сети ГК «АвтоМир», описана структура взаимодействия филиалов компании с банковскими структурами, а так же с такими государственными органами, как пенсионный фонд, налоговая служба, фонд социального страхования.

Вторая глава раскрывает принципы защиты информации на рабочих станциях сотрудников организации: создание зашифрованного файлового контейнера, шифрование системного диска и создание скрытой ОС.

В третьей главе произведена оценка безопасности системы, а именно оценка безопасности услуги VPN, а так же расчет риска этой услуги.

В заключении сделаны основные выводы и результаты по проделанной работе.



1. Корпоративная сеть ГК «АвтоМир»

1.1 Виртуальная частная сеть VPN

VPN (Virtual Private Network - виртуальная частная сеть) - на данный момент одна из самых быстро развивающихся и актуальных систем построения корпоративных сетей. Защищая информацию, передаваемую по незащищенным каналам связи c помощью технологии VPN, можно построить защищенную виртуальную частную сетей (VPN) внутри любой публичной сети (рис 1.1). Информация передаваемая по VPN-каналам будет не доступна другим пользователям публичной сети. С помощью технологии VPN информация остается конфиденциальной, как будто она не выходит за пределы локальной вычислительной сети [2].

Виртуальная частная сеть (VPN) представляет собой подключение типа «точка-точка» в частной или общедоступной сети, например в Интернете. VPN-клиенты используют специальные TCP/IP-протоколы, называемые туннельными протоколами, обеспечивающие установление защищенного канала обмена данными между двумя компьютерами. С точки зрения взаимодействующих компьютеров между ними организуется выделенный канал типа «точка-точка», хотя в действительности соответствующие данные передаются через Интернет, как и любые другие пакеты. При обычной реализации VPN клиент инициирует виртуальное подключение типа «точка-точка» к серверу удаленного доступа через Интернет. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности вызывающей стороны и передает данные между VPN-клиентом и частной сетью организации.

Для эмуляции канала типа «точка-точка» к данным добавляется заголовок (выполняется инкапсуляция). Этот заголовок содержит сведения о маршрутизации, которые обеспечивают прохождение данных по общей или публичной сети до конечной точки. Для эмуляции частного канала и сохранения конфиденциальности передаваемые данные шифруются.

Рис 1.1 - Виртуальная частная сеть

Существует два типа VPN-подключений:

- VPN-подключение удаленного доступа дает пользователям возможность работать дома или в дороге, получая доступ к серверу частной сети посредством инфраструктуры общедоступной сети, например Интернета. С точки зрения пользователя VPN-подключение представляет собой подключение типа «точка-точка» между клиентским компьютером и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения, поскольку данные передаются подобно тому, как если бы они передавались по выделенному частному каналу;

- VPN-подключение типа «сеть-сеть» (иногда называется VPN-подключением типа «маршрутизатор-маршрутизатор») предназначено для маршрутизации подключений между различными филиалами организации, а также между организациями через общедоступную сеть, обеспечивая при этом защиту подключений. Если сети соединены через Интернет, как показано на следующем рисунке, маршрутизатор c поддержкой VPN пересылает пакеты другому такому маршрутизатору через VPN-подключение. С точки зрения маршрутизаторов VPN-подключение на логическом уровне функционирует как выделенный канал уровня передачи данных.

С помощью VPN-подключений можно соединить две частные сети (рис 1.2). VPN-сервер обеспечивает маршрутизируемое подключение к сети, к которой присоединен VPN-сервер. Вызывающий маршрутизатор проходит проверку подлинности на отвечающем маршрутизаторе, и в целях взаимной проверки подлинности отвечающий маршрутизатор проходит проверку подлинности на вызывающем маршрутизаторе. При VPN-подключении типа «сеть-сеть» пакеты, отправляемые c любого из маршрутизаторов через VPN-подключение, обычно формируются не на маршрутизаторах.

Рис 1.2 - VPN-подключение между двумя удаленными сетями



Инкапсуляция. Обеспечивается инкапсуляция частных данных c использованием заголовка, содержащего сведения о маршрутизации для передачи этих данных по транзитной сети.

Проверка подлинности. Существует три различные формы проверки подлинности для VPN-подключений:

1) проверка подлинности на уровне пользователя по протоколу PPP. Для установления VPN-подключения VPN-сервер выполняет проверку подлинности VPN-клиента, пытающегося установить подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли VPN-клиент соответствующие разрешения на доступ. При взаимной проверке подлинности VPN-клиент также выполняет проверку подлинности VPN-сервера, что гарантирует защиту от компьютеров, выдающих себя за VPN-серверы;

2) проверка подлинности на уровне компьютера по протоколу IKE. Чтобы установить сопоставление безопасности IPSec, VPN-клиент и VPN-сервер используют протокол IKE для обмена сертификатами компьютеров или предварительным ключом. B обоих случая VPN-клиент и VPN-сервер выполняют взаимную проверку подлинности на уровне компьютера. Проверка подлинности на основе сертификата компьютера является одним из самых надежных способов и рекомендуется к применению. При проверке подлинности на уровне компьютера используются подключения по протоколам L2TP/IPSec или IKE версии 2;

3) проверка подлинности источника данных и обеспечение целостности данных. Чтобы убедиться в том, что источником отправленных по VPN-подключению данных является другая сторона VPN-подключения и что они переданы в неизмененном виде, в данные включается контрольная сумма шифрования, основанная на ключе шифрования, который известен только отправителю и получателю. Функции проверки подлинности источника данных и обеспечения целостности данных доступны для подключений по протоколам L2TP/IPsec и IKE версии 2.

Шифрование данных. Для обеспечения конфиденциальности данных при передаче по общей или публичной транзитной сети они шифруются отправителем и расшифровываются получателем. Успешность процессов шифрования и расшифровки гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования.

Содержание перехваченных пакетов, отправленных по VPN-подключению в транзитной сети, понятно только владельцам общего ключа. Одним из важнейших параметров безопасности является длина ключа шифрования. Для определения ключа шифрования можно использовать различные методики вычислений.

Однако при возрастании размера ключа шифрования использование подобных методик требует большей вычислительной мощности и большего времени для выполнения этих вычислений. Поэтому для обеспечения конфиденциальности данных рекомендуется использовать ключ максимально возможной длины.

Технология виртуальной частной сети должна обеспечивать:

? защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;

? контроль доступа к ресурсам корпоративной сети;

? безопасный доступ сотрудником организации к сетям общего пользования;

?централизованное управление политикой безопасности корпоративной сети.

Корпоративные сети на основе VPN подразделяются (рис. 1.3):

По способу реализации:

? B виде специального программно-аппаратного обеспечения.

Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

? B виде программного решения.

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

? Интегрированное решение.

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Рис. 1.3 - Классификация VPN

По назначению:

? Intranet VPN (рис. 1.4).

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Рис. 1.4 - Intranet VPN

? Remote Access VPN (рис. 1.5).

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам c домашнего компьютера, корпоративного ноутбука, смартфона и т.п.



Рис. 1.5 - Remote Access VPN

? Extranet VPN (рис. 1.6).

Предназначен для подключения внешних пользователей, уровень доверия которых ниже, чем у сотрудников. По этому требуется соблюдение необходимых норм, и построение рубежей защиты.



Рис. 1.6 - Extranet VPN

? Internet VPN.

Используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях. L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит.

? Client/Server VPN.

Он обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола: существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735.

По уровню сетевого протокола: по уровню сетевого протокола на основе сопоставления c уровнями эталонной сетевой модели ISO/OSI [3] .

1.2 Архитектура корпоративной сети ГК «АвтоМир»

На рис. 1.7 представлена обобщенная схема корпоративной сети ГК «АвтоМир» на основе технологии VPN.



Рис 1.7 - Корпоративная сеть ГК «АвтоМир»

Компанией Cisco Systems был представлен модуль NME - RVPN (Russia VPN Network Module) для маршрутизаторов серии Cisco^® 2800 и 3800 Integrated Services Routers. На аппаратном уровне модуль представляет собой инновационное решение, интегрированное c маршрутизаторами Cisco и специально разработанное для обеспечения российского рынка высокотехнологичным решением VPN c передовыми технологиями Cisco и удовлетворяющим современным требованиям эффективной защиты всех видов сетевых взаимодействий [4].

Преимуществами выбранного модуля являются:

- Поддержка работы с внешними устройствами (токенами) для создания и хранения ключей и сертификатов с использованием интерфейса PKCS#11. Данная функция облегчает интеграцию новых устройств с ViPNet CSP 4;

- возможность экспорта и импорта ключей в формате PKCS#12, что повышает совместимость форматов ключей с решениями других производителей;

- поддержка вызова криптографических функций CSP сторонними приложениями через API PKCS#11, Microsoft CryptoAPI и Microsoft CNG;

- выделенное множество функций API позволяет клиентским приложениям ограничивать объемы сертификационных испытаний только проведением оценки влияния (согласно требованиям ФСБ).

Учитывая высокий рейтинг и распространенность на российском рынке программных решений защиты информации ViPNet производства компании «ИнфоТеКС», Cisco Systems санкционировала разработку и выпуск программно-аппаратного решения, объединяющего все преимущества аппаратных решений Cisco Systems и программных решений «ИнфоТеКС». При этом в качестве программного обеспечения, реализующего функции криптографического шлюза и межсетевого экрана, используется программное обеспечение ViPNet Coordinator.

Интеграцией ПО ViPNet Coordinator и модуля NME - RVPN на основании OEM-лицензии компании «ИнфоТеКС» занимается технологический партнер Cisco, компания ЗАО «С-Терра СиЭсПи». Новый программно-аппаратный комплекс (ПАК) получил название NME - RVPN ViPNet. Защищенная сеть на основе данного продукта представлена на рис. 1.8.



Рис. 1.8 - Защищенная корпоративная сеть ГК «АвтоМир»

Сертифицированное программное обеспечение, работающее на базе модуля NME-RVPN, может применяться как в коммерческих структурах, так и в государственных органах. В частности, согласно Специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) модуль NME-RVPN со встроенным шлюзом CSP VPN Gate может быть использован для защиты конфиденциальной информации при ее передаче по каналам связи в автоматизированных системах класса 1Г.
Компания «С-Терра СиЭсПи» является производителем аппаратно-программных комплексов “Модуль NME-RVPN” и “Модуль NME-RVPN ViPNet” (по лицензионному соглашению на ПО ViPNet Coordinator компании «Инфотекс») а также разработчиком ПО CSP VPN Gate для модуля NME-RVPN. Компания обладает необходимыми лицензиями ФСБ и ФСТЭК России.

Данная корпоративная сеть может предоставлять для сотрудников предприятия все виды телекоммуникационных услуг и ее можно считать мультисервисной, так как и трафик данных и голосовой трафик передаются по шифрованному VPN каналу.

B корпоративной сети компании необходима демилитаризованная зона (DMZ), в которой будут находиться сервера общего доступа:

- прокси сервер;

- почтовый сервер;

- веб-сервер.

B DMZ стоят также Cisco МАRS сервер и система обнаружения и предотвращения вторжений IPS\IDS (рис 1.9) Cisco МАRS сервер - это система мониторинга и контроля защищенности корпоративной сети, которая собирает статистику со всех сетевых устройств. IDS\IPS -система сетевой и компьютерной безопасности, фиксирующая и блокирующая НСД из сети Интернет. DMZ и LAN разделяет многофункциональный брандмауэр Cisco серии 5500 [5].

Рис 1.9 - Демилитаризованная зона

1.3 Описание оборудования

Сложность сетевой инфраструктуры влечет за собой увеличение количества средств защиты - этими устройствами могут быть отдельные межсетевые экраны, маршрутизаторы с определенным функционалом программного обеспечения, коммутаторы, различные системы IPS, IDS, HIPS-системы, а также различные антивирусные системы, почтовые прокси-серверы, web-прокси и другие подобные системы. Большое количество средств защиты рождает проблемы управления, так как возрастает количество контрольных точек, растет количество регистрируемых событий и как следствие увеличивается время необходимое для принятия решений.

В связи с этим для предприятия возникает необходимость в системе более высокого уровня, способной оценить существующий уровень информационной безопасности, произведя регистрацию и корреляцию поступивших в систему событий. Система мониторинга и реагирования Cisco MARS обеспечивает выполнение данных функций.

Cisco MARS представляет собой программно-аппаратное решение в серверном исполнении. Программное обеспечение системы базируется на операционной системе Linux (ядро 2.6). Основным компонентом системы является база данных Oracle, использующаяся для хранения информации. Cisco MARS имеет возможность сбора информации с различных устройств по протоколам Syslog, SNMP, NetFlow, а также имеет возможность принимать системные лог-файлы. MARS поддерживает оборудование различных вендоров таких как Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape и других. Логика работы системы Cisco MARS базируется на запросах к базе данных. Можно выбирать информацию и уточнять её по IP-адресу источника, IP-адресу приемника, портам, типам событий, устройствам, по ключевым словам и так далее. На базе запросов базируются определенные правила, которые группируются в системе. В базе Cisco MARS содержит более 2000 правил. Можно создавать свои правила, тем самым гибко адаптировать систему к конкретным видам предполагаемых угроз. После сохранения правила и обнаружения информации, удовлетворяющей ему - формируется инцидент.

При этом события выглядят следующим образом:

- Cisco Security Agent зафиксировал подозрительную активность;

- информация об этом попала на менеджмент центр системы Cisco Security Agent, который в свою очередь отправил сообщение на MARS;

- MARS произвел синтаксический разбор и нормализацию полученного сообщения к единому виду, предусмотренному базой данных MARS;

- MARS произвел корреляцию сессий;

- данное событие было проверено при помощи правил, настроенных на MARS с целью регистрации инцидентов информационной безопасности; Произведена проверка на ложное срабатывание;

- сформирован инцидент и выведена информация администратору.

Cisco MARS уже имеет большое количество предустановленных правил, что позволяет максимально быстро ввести систему в эксплуатацию и получать актуальные сведения о состоянии информационной безопасности.

Для более глубокой настройки требуется в соответствии с прогнозируемыми моделями угроз составлять свои правила, которые будут анализировать поступающую информацию. При наличии всех необходимых условий, прописанных в правиле, создается инцидент, который можно увидеть на главной панели системы. Также возможна отправка уведомления на электронную почту персонала, обслуживающего Cisco MARS. Таким образом, Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая используется для устранения нарушений безопасности при помощи уже существующего в сети оборудования.

Контроллер беспроводной сети Cisco 5500 (рис. 1.10) -- это масштабируемая и гибкая платформа, которая обеспечивает работу системных служб для критически важных беспроводных сетей на предприятиях среднего и крупного размера и в средах комплексов зданий. Разработанная для поддержки производительности и максимальной масштабируемости стандарта 802.11n, серия Cisco 5500 увеличивает время безотказной работы с возможностью одновременного управления 500 точками доступа, обеспечивает доступность и защиту радиосреды, предоставляет высокопроизводительные, надежные средства потоковой передачи видео и возможности голосовой связи превосходного качества, а также улучшенное восстановление после сбоев для согласованной работы мобильных приложений в средах с наиболее жесткими требованиями.

Рис. 1.10 - Cisco 5510

Оптимизированные для работы в высокопроизводительных беспроводных сетях, контроллеры Cisco 5500 обеспечивают повышенную мобильность и подготавливают организации к появлению нового поколения мобильных устройств и приложений. Контроллеры Cisco 5500 поддерживают более высокую плотность клиентов и обеспечивают более эффективный роуминг, обладая при этом пропускной способностью не менее чем в девять раз выше по сравнению с существующими сетями стандарта 802.11a/g.

Cisco 5500 автоматизирует функции настройки и управления беспроводной сетью и обеспечивают администраторам сети визуальное представление и контроль сети, которые необходимы для экономичного управления, защиты и оптимизации беспроводных сетей. Благодаря встроенной технологии CleanAir, контроллеры Cisco 5500 защищают производительность сети 802.11n, обеспечивая доступ из любой точки сети к данным в реальном времени и хронологическим данным о радиопомехах для быстрой диагностики и устранения неполадок. Будучи компонентом унифицированной беспроводной сети, этот контроллер поддерживает обмен данными в реальном времени с точками доступа Cisco Aironet®, системой управления беспроводными сетями (Cisco Wireless Control System) (WCS) и Сервером мобильных сервисов для реализации централизованных политик безопасности, возможностей системы предотвращения вторжений (IPS) в беспроводной сети, получившего признание управления радиочастотами и функции качества обслуживания (QoS).

Intrusion detection system (IDS) или Intrusion prevention system (IPS) - это программные и аппаратные средства для обнаружения и предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

IDS/IPS используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например:

попытки использования уязвимостей ПО;

попытки повешение привилегий;

несанкционированный доступ к конфиденциальным данным;

активность вредоносных программ и т.д.

Рассмотренная комплексная система, решает широкий круг задач, позволяя администраторам в максимально короткие сроки выявлять и устранять нарушения политик безопасности компании. Использованные продукты, являются целостными системами и способны работать в отдельности друг от друга, но в объединении данных систем лежит стратегия самозащищающейся сети, способной противостоять новейшим угрозам безопасности.



2. Защита информации на рабочем месте

2.1 Шифрование данных с помощью TrueCrypt

виртуальный корпоративный безопасность шифрование

Несанкционированный доступ к файлам и конфиденциальной информации должностными лицами, а также лицами, которые занимаются неправомерными или противозаконными действиями, может привести к крайне нежелательным и опасным последствиям, поэтому специалисты в области цифровой безопасности рекомендуют прибегать к помощи специальных программ, которые позволяют шифровать особо важную информацию.

Cистема защиты информации TrueCrypt дает возможность любому пользователю зашифровать информацию как частично (то есть отдельные файлы, папки и документы) на своих стационарных компьютерах и ноутбуках, так и целиком все виды носителей информации (например, жесткие диски и флеш-накопители).

Защита информации от несанкционированного доступа необходима в случаях, если есть вероятность возникновения сбоев в конфигурациях (правах доступа и файерволах), установлена слабая защита средств авторизации (например, доступ лиц к оборудованию, которое находится под охраной, кража паролей доступа и смарт-карт, а также возможность доступа к персональным компьютерам во время отсутствия владельца). Данная проблема особенно актуальна для служебных структур, где утечка информации посредством злоупотребления служебными полномочиями (к примеру, копирование информации и вынос ее за пределы компании или кража резервных копий) может привести к фатальным последствиям: утечке конфиденциальных сведений о проектах и делах компании, служебной корреспонденции, даже государственной тайны.

Также вследствие получения несанкционированного доступа третьими лицами возникает вероятность полного или частичного отказа системы безопасности.

Система защиты информации TrueCrypt выполняет следующие функции:

- позволяет создавать виртуальный зашифрованный диск, который выгляди как файл-контейнер, монтирующийся в операционной системе в виде обычного логического диска;

- позволяет выполнить шифрование целого раздела, флеш-накопителя и всего жесткого диска компьютера;

- может мгновенно закодировать операционную систему Windows с последующей подзагрузочной аутентификацией; поддерживает скрытые и неидентифицируемые тома. Это значит, что тот, кто попытается получить несанкционированный доступ к информации, не сможет отличить закодированные файлы от набора случайных данных;

- поддерживает множество вариантов алгоритма кодирования и выполняет каскадную шифровку разными алгоритмами шифроования.

Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.

В 2013 году начался сбор средств для проведения независимого аудита TrueCrypt, толчком к которому послужила в том числе полученная от бывшего сотрудника АНБ Эдварда Сноудена информация о намеренном ослаблении спецслужбами средств шифрования. Планировалось, что в ходе проверки будет проведён анализ совместимости лицензии TrueCrypt с другими открытыми лицензиями, будет произведён криптографический анализ и будет разработана технология, позволяющая делать компиляцию исходного кода программы с одинаковым результатом на разных компьютерах.

На аудит было собрано свыше 60 000 долларов. 14 апреля 2014 года завершился первый этап проверки, критических ошибок обнаружено не было.

К началу апреля 2015 года аудит был завершён. Он не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения и показал, что TrueCrypt является хорошо спроектированной криптографической программой.

Скрытые тома TrueCrypt - это один из вариантов сокрытия важной информации. Работает это таким образом: создается простой том, внутрь него помещается скрытый том. Даже в случае обнаружения файлового контейнера у вас есть возможность выдать пароль от простого тома. B который для отвода глаз помещены хоть и конфиденциальные, но не столь критические данные, что расположены в скрытом томе [6].

Для того чтобы создать скрытый том нужно запустить TrueCrypt и выбрать "Создать том". B открывшемся мастере создания томов выбрать "Создать зашифрованный файловый контейнер" (рис. 2.1)

Рис. 2.1 - Мастер создания томов TrueCrypt

На следующем этапе нужно выбрать "Скрытый том TrueCrypt" (рис. 2.2).

Рис. 2.2 - Выбор типа тома TrueCrypt

На этапе "Режим создания тома" (рис. 2.3) программа предлагает два варианта: обычный и прямой. Так как ПО установлено впервые нужно выбрать обычный режим:



Рис. 2.3 - Выбор режима создания тома

Дальше необходимо указать размещение тома, т.е. выбрать файл, который будет играть роль криптоконтейнера (рис. 2.4).

Рис. 2.4 - Размещение тома

На следующем этапе будет необходимо задать параметры для внешнего тома. Для каждого из томов можно задать свои параметры (алгоритмы шифрования и хеширования). Но главное - это то, что для каждого тома необходим свой пароль.

Что касается выбора алгоритмов, то в качестве примера мы будем рассматривать варианты по умолчанию.

На следующем этапе необходимо указать размер тома. Так как сначала создается внешний том, то его размер, естественно, должен быть больше предполагаемого внутреннего.

Далее предлагается выбрать пароль для внешнего тома. Этот пароль можно не делать слишком сложным, но и простым он быть также не должен. Достаточно будет пароля не менее 6 символов, состоящего из букв и цифр (также в качестве пароля можно использовать ключевой файл, или комбинацию пароль плюс файл).

Следующий этап - это форматирование внешнего тома (рис. 2.5). Здесь все также, как и при создании простого тома. Рабочие файлы, как правило, размером не превышают 4 Гб, поэтому лучше оставить файловую систему FAT. Размер кластера также оставляем по умолчанию.



Рис. 2.5 - Форматирование внешнего тома

Когда том будет создан, TrueCrypt уведомит об этом, и предложит поместить в него файлы, которые якобы нужно скрыть, но которые на самом деле не представляют какой-то особой ценности. Например, это могут быть какие-то личные фото, а также финансовые документы, НСД к которым не принесет какого-либо вреда.

Внешний том на этом этапе уже смонтирован. Поэтому необходимо всего лишь его открыть и скопировать в него подобранные файлы. Затем нужно нажать "Далее".

На следующем этапе нужно создать скрытый том (рис. 2.6).



Рис. 2.6 - Создание скрытого тома

Далее процедура аналогична созданию внешнего тома - указываются алгоритмы (или все остается по умолчанию), размер тома (причем TrueCrypt подскажет максимально возможный размер) и пароль.

Далее снова нужно указать файловую систему и размер кластера, и нажать "Разметить". Все аналогично созданию простого тома.

После форматирования скрытого тома, TrueCrypt уведомит об этом предупреждением (рис. 2.7).

Это действительно очень важный момент. Все дело в том, что когда считываются файлы c внешнего контейнера, то никакой угрозы повреждения внутреннего тома нет. Но когда на внешний том будут записываться какие-либо файлы, эта угроза очень существенна. Поэтому необходимо защитить скрытый том (рис. 2.8).



Рис. 2.7 - Защита скрытых томов от повреждений

Рис. 2.8 - Защита скрытых томов от повреждений



Но прежде, чем этот том смонтировать (кнопка "ОК") необходимо нажать на "Параметры". B диалоговом окне "Параметры монтирования" (рис. 2.9) следует отметить галочкой пункт "Защитить скрытый том от повреждения при записи во внешний том", ввести пароль от скрытого тома, и нажать ОК.

Рис. 2.9 - Параметры монтирования

Здесь следует понимать несколько моментов:

- данная процедура является большим подспорьем для правдоподобн го отрицания причастности, поэтому ей лучше не пренебрегать;

- защита скрытого тома действует ровно до того момента, пока том не будет размонтирован, при следующем монтировании, действия по защите тома от повреждений нужно повторять;

- защиту скрытого тома следует использовать только тогда, когда нужно добавить какие-то файлы на внешний том. Поэтому, чтобы избежать лишних процедур, на самом начальном этапе создания внешнего тома было предложено сразу же поместить на него необходимые файлы (которые помещаются для введения недоброжелателя в заблуждение, т.е. те, которые на самом деле не представляют особой ценности).

Затем следует смонтировать скрытый том? Для этого нужно указать наш файл-криптоконтейнер, но указать для него пароль от скрытого тома (если вы указать к этому файлу пароль от внешнего тома, то смонтируется внешний том, если от скрытого, то скрытый).

2.2 Шифрование системного диска и операционной системы (ОС)

ТруКрипт способен полностью шифровать весь диск (или раздел) c операционной системой. Эта функция, в первую очередь, полезна для пользователей ноутбуков. При включении компьютера (ноутбука) до загрузки операционной системы загружается BootLoader (загрузчик TrueCrypt), который расположен в первой дорожке загрузочного диска. И только после ввода пароля TrueCrypt можно будет запустить систему. Эта процедура называется дозагрузочная аутентификация.

Почему шифрование ОС полезно для владельцев ноутбуков - в случае кражи/утери устройства, все данные, хранящиеся на нем, будут 100% не доступны третьим лицам. Без знания пароля расшифровать данные будет невозможно.

Если провести аналогию со штатными методами защиты информации, то можно сказать следующее:

- пароль на учетную запись Windows можно обойти очень просто, поэтому этот способ неэффективен;

- пароль в BIOS - это уже более действенный метод, но у разных производителей ноутбуков и BIOS существуют собственные сервисные пароли (мастер-пароли), c помощью которых можно получить доступ к устройству в случае утери созданного пользователем пароля. И если такие мастер-пароли существуют, то и вероятность их утечки также весьма высока.

B случае же, когда система зашифрована TrueCrypt-ом, третьи лица никогда не получат доступ ни к ней, ни к хранимым в ней данным, не зная пароля.

Данный метод следует использовать на устройствах тех сотрудников, у которых на жестком диске находится очень важная информация (какие-либо проекты, базы данных, доступ к клиент-банку и т.д. и т.п.), и у которых он используется по прямому назначению, т.е. как переносное устройство.

Следующим этапом будет зашифровать диск или раздел c ОС. Для этого нужно в меню "Система" выбрать пункт "Зашифровать системный раздел/диск..." (рис. 2.10)



Рис. 2.10 - Шифрование системного раздела/диска

Запустится «Мастер создания томов». Выбираем обычный тип шифрования системы. Далее выбираем «Зашифровать весь диск».

На следующем этапе будет предложен выбор: шифровать защищенную область или нет.

Следующее окно - это выбор одиночной или мультизагрузки. Если установлена одна операционная система, соответственно нужно выбрать одиночную загрузку. Если же вы планируется загружаться c нескольких ОС, то следует выбирать мультизагрузку.

Далее, как и в случае c простыми и скрытыми томами, следуют настройки шифрования и выбор пароля.

Так как система шифруется из соображений сохранения коммерческой тайны, то необходим надежный пароль (не менее восьми символов, в том числе заглавные и строчные буквы, цифры и спецсимволы).

Следующим этапом будет применение энтропии. Нужно просто перемещать мышкой в области окна, желательно подольше. Это повысит криптоустойчивость ключей шифрования.

После генерации мастер-ключа идет очень важный этап - создание диска восстановления (рис. 2.11) - TrueCrypt Rescue Disk (TRD). TRD необходим в случае возникновения некоторых ситуаций, например, в случае повреждения загрузчика TrueCrypt. Но следует понимать, что TRD без пароля все равно ничем не поможет.

После этого, образ нужно записать на CD/DVD-диск. Именно записать как ISO-образ, а не просто скопировать файл образа на диск. Наличие TRD -обязательный пункт, без которого шифрование системы не будет завершено.

После того, как процедура записи будет закончена, TrueCrypt проверит, правильно ли записан образ.

Рис. 2.11 - Создание диска восстановления



Если проверка пройдет успешно, то следующим этапом будет выбор режима очистки. Здесь опять же нужно руководствоваться целями. Так как данные защищаются от кражи, то достаточно будет оставить все по умолчанию ("Нет").

Если же скрываемая информация несет на себе гриф секретности, следует выбирать 3, 7 или 35 проходов. 35 проходов - это так называемый "метод Гутмана", при котором восстановить затертые данные практически невозможно, даже c помощью магнитно-силовой микроскопии. Следует помнить, что чем больше проходов при затирании, тем дольше будет длиться эта процедура. B случае c "методом Гутмана" - это может занять и более суток (в зависимости от объема жесткого диска и мощности ПК).

Затем последует окончательный этап - предварительный тест. Самое главное - не забыть записать/запомнить пароль к шифруемой системе, иначе к ней не получить доступ. B данном случае, пароль, естественно, должен находиться вне шифруемой системы.

После перезагрузки появится TrueCrypt Boot Loader (рис. 2.12), в котором нужно ввести пароль от зашифрованной системы и нажать Enter.

Рис. 2.12 - TrueCrypt Boot Loader

Это был предварительный тест. Если система загрузилась, то все в порядке. Еще один этап - шифрование диска c ОС.

B окне TrueCrypt появится первое уведомление (также желательно сделать резервную копию важных файлов), следует нажать на кнопку "Шифрация" (будет показано еще одно важное уведомление, которое также не плохо было бы сохранить).

Процесс шифрации может занять довольно длительное время. По окончанию процедуры шифрации, TrueCrypt уведомит очередным информационным окном (рис. 2.13)

Рис. 2.13 - Окончание процедуры шифрации

Следует заметить, что работа c зашифрованной ОС практически ничем не отличается от работы c незашифрованной. Имеется в виду визуальную скорость работы. По крайней мере, при выполнении повседневных задач разницы не замечено. Но скорость работы будет зависеть от выбранных алгоритмов шифрования и ресурсов ПК/ноутбука.

На этом шифрование ОС можно считать оконченным. Осталось перезагрузить систему и проверить, все ли в порядке.

2.3 Создание скрытой ОС

Скрытая операционная система может служить инструментом для сокрытия особо важных данных, и сокрытия работы в ОС вообще. Определить доподлинно ее наличие не представляется возможным (при условии соблюдения всех мер безопасности).

Чтобы создать скрытую ОС, на системном диске должно быть несколько разделов (2 или более). Раздел, в котором будет расположена скрытая операционная система должен следовать сразу же за системным разделом. Обычно системный раздел - это диск C.

Если жесткий диск не разбит на разделы, то необходимо это сделать. Раздел, в который будет установлена скрытая ОС должен быть как минимум на 5% больше, чем системный. Также на жестком диске, где находится системный раздел должна присутствовать неразмеченная область размером как минимум 32 Кбайт - в эту область будет помещен загрузчик TrueCrypt.

Создавать скрытую ОС целесообразней сразу же после установки чистой ОС. B ТруКрипт нужно выбрать меню "Система" - "Создать скрытую ОС..." и следовать указаниям мастера.

Во время создания скрытой ОС (по сути она будет создана полным копированием текущей системы) будет нужно заново установить текущую операционную систему (обманную).

Далее следует выбрать вариант загрузки - одиночная или мультизагрузка. Затем создается внешний том в разделе, следующим за системным разделом. Создание такого тома рассмотрено на примере создания скрытых томов. Здесь все аналогично: задать параметры и запустить форматирование.

После создания внешнего тома, поместить в него осмысленные файлы, которые якобы нужно скрыть, но которые на самом деле не представляют особой важности.

Следующим этапом будет создание скрытого тома внутри только что созданного внешнего. И заключительным этапом будет клонирование текущей ОС (рис. 2.14).



Рис. 2.14 - Клонирование ОС

После перезагрузки появится загрузчик ТруКрипт (TrueCrypt Boot Loader), и нужно будет ввести пароль от скрытого тома. Начнется клонирование текущей операционной системы (рис. 2.15).

Рис. 2.15 - TrueCrypt Boot Loader

Этот процесс весьма длительный. После создания клона, TrueCrypt надежно затирает существующую ОС (предлагается несколько вариантов по проходам, чем больше проходов, тем дольше процедура). После чего программа предлагает установить новую ОС, которая и будет обманной. Обманная ОС также будет зашифрованной.

Схема диска c полученным содержимым представлена на рисунке 2.16:

Рис. 2.16 - Схема жесткого диска

Также теперь имеется 3 пароля: от обманной ОС, от внешнего тома и от скрытой операционной системы. Пароли эти, конечно же, должны быть разными и непохожими друг на друга.

2.4 Дешифрация

Если по какой-то причине больше не нужно будет пользоваться шифрованием, то поступить можно несколькими способами.

Если был зашифрован системный раздел, или создана скрытая ОС, то можно произвести полную дешифрацию. Для этого нужно выбрать меню "Система" - "Перманентно расшифровать системный раздел/диск". Процедура дешифрации также достаточно длительная.

Если же использовался файловый криптоконтейнер (простой том), шифрование несистемного раздела или USB-устройства, то процедуры дешифрации, как таковой не существует. B данном случае нужно будет смонтировать необходимый том/устройство и скопировать c него все файлы на обычный незашифрованный раздел/устройство. После чего том можно удалить. Если использовался простой том, то достаточно просто удалить файл, который является криптоконтейнером. Если же использовалось шифрование устройства/раздела, то это самое устройство достаточно будет отформатировать.

2.5 TrueCrypt и виртуальные машины

Использование скрытой ОС несколько неудобно. К тому же, факт использования TrueCrypt сам по себе при определенных обстоятельствах может косвенно свидетельствовать о наличии скрытых томов или скрытой операционной системы.

Поэтому можно применить альтернативный способ, а именно, воспользоваться виртуальными машинами.

Схема довольно проста. Создается простой файловый криптоконтейнер. B него помещается образ для виртуальной машины.

При необходимости запуска такой ОС, достаточно будет смонтировать том, и уже из него запустить систему в виртуальной машине.

Существуют также варианты создания любой другой ОС в виртуальной машине, которая, в свою очередь будет находиться на портативном носителе, который, в свою очередь, будет зашифрован ТруКриптом.

2.6 Требования безопасности, меры предосторожности, утечки данных

B заключительной части раздела кратко обозначены некоторые моменты, которые обязан соблюдать любой пользователь TrueCrypt, который, так или иначе, находится в зоне риска.

Первое - это утечка данных. К сожалению, TrueCrypt не идеален, критические моменты есть и в его работе. Точнее, эти моменты имеются не в самом ТруКрипте, а в операционной системе. Речь идет в первую очередь о том, что Windows постоянно ведет мониторинг и логирование всевозможной информации. B системе могут храниться, например, такие данные, как последние открытые файлы, пути к ним.

Помимо этого, существует еще и другие каналы утечки: файлы дампа памяти, файл подкачки, файл гибернации.

Все дело в том, что существует специальный криминалистический (и хакерский) софт, способный извлекать из этих файлов очень важные данные. К примеру, отечественный разработчик ПО - Elcomsoft, который выпускает "криминалистическое" программное обеспечение. B общем, они выпускают софт для подбора и взлома паролей к Wi-Fi, архивам, документам и тому подобное.

Но еще они выпускают очень узкоспециализированный софт, такой как Elcomsoft iOS Forensic Toolkit или Elcomsoft Forensic Disk Decryptor. Первый предназначен для криминалистической экспертизы ("взлома") устройств на базе iOS. Официально этот продукт доступен для продажи только экспертам правоохранительных органов.

А вот второй инструмент, о котором я упомянул (Elcomsoft Forensic Disk Decryptor) как раз создан для "взлома" шифрованных контейнеров, разделов, устройств. Точнее для извлечения ключей шифрования. И работает он как раз c файлом гибернации и со слепком оперативной памяти. Также софт поддерживает атаку через порт FireWire.

Но чтобы это или подобное ПО дало результат, необходимы несколько ключевых факторов:

- если компьютер "жертвы" выключен, то ключи извлекаются из файла гибернации, но для успешной атаки тома должны быть смонтированными перед выключением ПК, иначе ничего не выйдет;

- если компьютер включен, то снимается слепок оперативной памяти. Но опять же, тома в момент снятия слепка должны быть смонтированы.

B общем, в любом случае в момент каких-то действий тома должны быть смонтированы. Но и способов противостоять этому предостаточно. Это, например, горячие клавиши для экстренного размонтирования томов, системное отключение гибернации и файла подкачки.

Также шифрование системного раздела или же использование скрытой ОС исключает возможность проведения таких атак.

...