Стратегія адміністрування й керування, Моделювання комп'ютерної мережі - Оптимізація виробничих процесів комп'ютерної мережі підприємства

Загальні положення захисту інформації у мережі

Мережеві атаки настільки ж різноманітні, як і системи, проти яких вони спрямовані. Деякі атаки відрізняються великою складністю, інші - здатні здійснити звичайний користувач, який навіть не припускає, які наслідку може мати його діяльність. При здійсненні атаки, зловмисник, звичайно, ставить перед собою наступні цілі:

    - порушення конфіденційності переданої інформації; - порушення цілісності й вірогідності переданої інформації; - порушення працездатності системи в цілому або окремих її частинах.

З огляду на безпеку, розподілені системи характеризуються насамперед наявністю вилучених атак, оскільки компоненти розподілених систем звичайно використовують відкриті канали передачі даних тому порушник може модифікувати переданий трафік (активний вплив). І якщо активний вплив на трафік може бути зафіксовано, то пасивний вплив практично не піддається виявленню. Також в ході функціонування розподілених систем обмін службовою інформацією між компонентами системи здійснюється теж по відкритих каналах передачі даних, тобто службова інформація стає таким же об'єктом атаки, як і дані користувача. Безпека локальної мережі відрізняється від безпеки міжмережевої взаємодії тим, що в цьому випадку на перше, по значимості, місце виходить порушення зареєстрованих користувачів, оскільки в основному канали передачі локальної мережі перебувають на контрольованій території, захист від несанкціонованого підключення до яких реалізується адміністративними методами.

Розглянемо деякий перелік можливих загроз для проектованої КМ :

1. Sniffing (підслуховування). Оскільки дані по комп'ютерних мережах передаються в незахищеному форматі, то при одержанні доступу до лінії передачі даних, зловмисник може підслухувати трафік. В основному використовують прикладну програму, що називається сніффером. Дана програма перехоплює всі мережеві пакети, передані через певний домен. У цей час, сніффери працюють у мережах на цілком законних підставах. Однак, через те, що де які мережеві додатки передають дані відкритим текстом (наприклад Telnet, SMTP, FTP, POP3 ...), за допомогою сніффера можна довідатися корисну інформацію.

Запобігти загрозі сніффенга пакетів можна за допомогою наступних дій і засобів:

    - застосування для аутентифікації однократних паролів; - установка апаратних або програмних засобів, що розпізнають сніфферы; - застосування криптографічного захисту каналів зв'язку. 2. IP spoofing (підміна довіреного суб'єкта). Велика частина мереж і операційних систем використовують IP-Адресу комп'ютера для того, щоб визначити його достовірність при обслуговуванні. У деяких випадках можливо некоректне присвоєння IP-Адреси (підміна IP-Адреси відправника іншою адресою) - такий спосіб атаки називають фальсифікацією адреси (IP spoofing).

Даний вид атаки має місце, коли зловмисник, що перебуває усередині корпорації або поза нею, видає себе за законного користувача. Зловмисник може використати локальну IP-Адресу, або авторизовану зовнішню адресу, якій дозволено доступ до певних мережевих ресурсів. Ще один спосіб для проведення атаки даного типу - використовувати спеціальні програми, що формують IP-Пакети таким чином, щоб вони мали вигляд, як вихідні з дозволених внутрішніх адрес корпоративної мережі. Звичайно IP-Спуфінг обмежується вставкою модифікованої інформації у звичайний потік даних, переданих між клієнтським і серверним додатком.

Погрозу спуфінга можна послабити (не усунути) за допомогою наступних дій:

    - правильне настроювання керування доступом із зовнішньої мережі; - блокування спроб спуфінга чужих мереж користувачами своєї мережі.

Слід зазначити, що дана атака може бути здійснена за умови, що аутентифікація користувачів проводиться на базі IP-Адрес, тому введення додаткових методів аутентифікації користувачів (на основі одноразових чи паролів інших методів криптографії) дозволяє запобігти атакам IP-Спуфінга.

3. Session hijacking (перехоплення сеансу). По закінченні початкової процедури аутентифікації з'єднання, установлене законним користувачем, наприклад, з поштовим сервером, проводиться заміна адреси хоста зловмисником, а вихідному серверу надходить команда розірвати з'єднання. У результаті "співрозмовник" законного користувача виявляється непомітно підмінним.

Після одержання доступу до мережі в зловмисника з'являються більші можливості:

    - він може посилати некоректні дані додаткам і мережевим службам, що приводить до аварійного завершення програми або неправильному функціонуванню; - він може також завантажити комп'ютер або всю мережу трафіком, поки не відбудеться зупинка системи у зв'язку з перевантаженням каналів; - нарешті, той хто атакує може блокувати трафік, що приведе до втрати доступу авторизованих користувачів до мережевих ресурсів. 4. Denial of Service (DoS - відмова в обслуговування). Даний тип атаки не націлений на одержання доступу до мережі або на добування з мережі якої-небудь конфіденційної інформації (хоча, у деяких випадках, за допомогою даної атаки можна проникнути в мережу використовуючи вразливі місця в операційній системі). Атака DoS робить мережу недоступною для звичайного використання за рахунок перевищення припустимих меж функціонування мережі, операційної системи або додатка. По суті, ця атака позбавляє звичайних користувачів доступу до ресурсів мережі.

Більшість атак DoS основане не на програмних помилках або вразливих місцях в системі безпеки, а на загальні недоліки системної архітектури. У випадку використання серверних додатків (таких, як WEB - або FTP-Сервер),

Атака DoS може полягати в тому, щоб зайняти всі з'єднання, доступні для цих додатків, і тримати їх у зайнятому стані, не допускаючи обслуговування звичайних користувачів. Деякі атаки DoS зводять до нуля продуктивність мережі, переповняючи її небажаними пакетами або повідомляючи помилкову інформацію про поточний стан мережевих ресурсів. Подібний тип атак важко блокувати, тому що для цього потрібна координація дій із провайдером. Якщо трафік, призначений для переповнення, не зупинити в провайдера, то на вході в мережу зупинити його вже не вдасться, тому що вся смуга пропускання мережі буде зайнята.

5. Парольні атаки. Метою даної атаки є заволодіння даними облікового запису законного користувача. Для здійснення атаки даного типу, зловмисники використовують уже відомі методи, такі як прямий перебір - brute force attack. Для цієї атаки використовується спеціальна програма, що намагається одержати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті зловмисникові вдається підібрати пароль, він одержує доступ до ресурсів на правах звичайного користувача.

Інший метод заволодіння паролем - "Троянський кінь", - програма, що виглядає як корисна програма, а насправді, виконує роль злодія в системі, що краде паролі й іншу необхідну інформацію, яка відправляється зловмисникові.

Захист інформації це комплекс заходів, направлених на забезпечення інформаційної безпеки. На практиці під цим розуміється підтримка цілісності, доступності і, якщо необхідно, конфіденційності інформації і ресурсів, використовуваних для введення, зберігання, обробки і передачі даних. Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідне поєднання законодавчих, організаційних і програмно - технічних заходів.

Аналізуючи проблемі безпеки, можна виділити три основні рівні захисту:

Рівень 1. Мінімальний рівень безпеки.

    - Модернізація наявного програмного забезпечення. - Використання єдиних налаштувань (політик) для всіх серверів. - Видалення зайвих застосувань.

Рівень 2. Опір вторгненню.

    - Установка зовнішнього міжмережевого екрану. - Видалене адміністрування систем безпеки. - Обмеження на використання скриптів. - Захист Web-серверів, використовуючи фільтрацію пакетів. - Навчання персоналу і розмежування прав доступу. - Використання рішень, перерахованих в рівні 1.

Рівень 3. Виявлення атак і ослаблення їх дії.

    - Розділення привілеїв. - Апаратні системи захисту. - Внутрішній міжмережевий екран. - Мережеві системи виявлення вторгнень. - Системи виявлення вторгнень, що розміщуються на серверах (хостах). - Використання рішень, перерахованих в рівні 2.

Для даної організації в цілях безпеки будуть використовуватися наступні рішення:

1) Розподіл привілеїв

Розділення привілеїв являє собою ефективний спосіб для перешкоджання доступу до всіх даних (в разі якщо зловмисник зміг проникнути в мережу). Кожен користувач може запускати лише певні програми відповідно до прав доступу.

2) Використання програмного мережного файрвола.

Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).Використовуємо стандартний інструмент IpTables.

Права користувачів та рівні доступу до інформаційних ресурсів мережі привласнює мережевий адміністратор. Оскільки проектована мережа має п'ятдесят користувачів, найбільш ефективним способом вирішення цієї задачі є створення групи користувачів. Такі групи створюються адміністраторами на сервері і визначають спільні функціональні особливості, які об'єднують користувачів.

Спочатку адміністратор оцінює, які права необхідні кожному користувачеві, а потім включає користувачів у відповідні групи. Цей метод призначення набагато зручніший, ніж привласнення окремих прав кожному користувачеві

Моделювання комп'ютерної мережі

Для наглядного відображення функціонування спроектованої комп'ютерної мережі підприємства, було змодельовано засобами Cisco Packet Traser окремо адміністративний та промисловий сегменти централізованої КМ (рис. 4.7 та рис 4.8)).

логічна структура промислового сегменту мережі в cisco packet tracer

Рисунок. 4.7 - Логічна структура промислового сегменту мережі в Cisco Packet Tracer

Під час тестування роботи комп'ютерів користувачів, серверів та відповідних підключень було визначено що спроектована мережа працює успішно передає пакети в підмережах.

Похожие статьи




Стратегія адміністрування й керування, Моделювання комп'ютерної мережі - Оптимізація виробничих процесів комп'ютерної мережі підприємства

Предыдущая | Следующая