Отчет по третей производственной практике Безопасность корпоративных сетей Исполнитель: студент 2 курса

Министерство образования и науки Украины

Донецкий национальный университет

Кафедра компьютерных технологий

Отчет

по третей производственной практике

Безопасность корпоративных сетей

Исполнитель:

студент 2 курса

специальности ИСПР

Кропачёв А.А.

Руководитель от базы практики:

Ломонос Я.Г.

Руководитель от ОАО «УКртелеком»:

Киреев Сергей Борисович
Донецк, 2007
СОДЕРЖАНИЕ

Введение

1. 
   Типы угроз. Общие принципы защиты от угроз.
   
   1. 
      Сетевой экран.
      
   2. 
      Антивирус.
      
2. 
   Схемы защиты от угроз в корпоративных сетях.
   

Выводы

Список ссылок

ВВЕДЕНИЕ

На период практики в ОАО «Укртелеком» передо мной стояла задача изучения методов зашиты корпоративных сетей от основных угроз, таких как, проникновение и несанкционированный доступ, утечка и порча информации, блокировка работы сети. Нынешние информационные технологии предлагают множество систем решения данной проблемы, но моей задачей было изучение и разбор схем и принципов работы наиболее лучших и отлаженных систем.

1. Типы угроз. Общие принципы защиты от угроз.

Угроза безопасности компьютерной системы - это потенциально возможное происшествие, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы.

Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости.

Исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".

Угроза целостности включает в себя любое умышленное изменение данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

В локальных вычислительных системах (ВС) наиболее частыми являются угрозы раскрытия и целостности, а в глобальных на первое место выходит угроза отказа в обслуживании.

Основной особенностью любой сетевой системы является то, что её компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удалённые) атаки (remote или network attacks). Они характеризуются, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удалённые атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удалённым атакам приобретает первостепенное значение.

Системы обнаружения атак сетевого уровня используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, IDS сетевого уровня используют сетевой адаптер, функционирующий в режиме "прослушивания " (promiscuous), и анализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети. Модуль распознавания атак использует четыре широко известных метода для распознавания сигнатуры атаки:

- Соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих об атаке или подозрительном действии;

- Контроль частоты событий или превышение пороговой величины;

- Корреляция нескольких событий с низким приоритетом;

- Обнаружение статистических аномалий.

Как только атака обнаружена, модуль реагирования предоставляет широкий набор вариантов уведомления, выдачи сигнала тревоги и реализации контрмер в ответ на атаку. Эти варианты изменяются от системы к системе, но, как правило, включают в себя: уведомление администратора через консоль или по электронной почте, завершение соединения с атакующим узлом и/или запись сессии для последующего анализа и сбора доказательств.

В начале 80-х годов, еще до того, как сети получили свое развитие, наиболее распространенная практика обнаружения атак заключалась в просмотре журналов регистрации на предмет наличия в них событий, свидетельствующих о подозрительной активности. Современные системы обнаружения атак системного уровня остаются мощным инструментом для понимания уже осуществленных атак и определения соответствующих методов для устранения возможностей их будущего применения. Современные IDS системного уровня по-прежнему используют журналы регистрации, но они стали более автоматизированными и включают сложнейшие методы обнаружения, основанные на новейших исследованиях в области математики. Как правило, IDS системного уровня контролируют систему, события и журналы регистрации событий безопасности (security log или syslog) в сетях, работающих под управлением Windows NT или Unix. Когда какой-либо из этих файлов изменяется, IDS сравнивает новые записи с сигнатурами атак, чтобы проверить, есть ли соответствие. Если такое соответствие найдено, то система посылает администратору сигнал тревоги или приводит в действие другие заданные механизмы реагирования.

IDS системного уровня постоянно развиваются, постепенно включая все новые и новые методы обнаружения. Один их таких популярных методов заключается в проверке контрольных сумм ключевых системных и исполняемых файлов через регулярные интервалы времени на предмет несанкционированных изменений. Своевременность реагирования непосредственно связана с частотой опроса. Некоторые продукты прослушивают активные порты и уведомляют администратора, когда кто-то пытается получить к ним доступ. Такой тип обнаружения вносит в операционную среду элементарный уровень обнаружения атак на сетевом уровне.

Систем защиты сетей реализуются с помощью программных и аппаратных средств защиты. К программным средствам относятся сетевые экраны и антивирусные программы. Аппаратными средствами защиты обладает мощное сетевое оборудование, такое как, например маршрутизаторы Cisco. Данные средства защиты, по сути, тоже являются неким программным продуктом, но установлены в оборудование прямо на заводе-изготовителе и поэтому считаются аппаратными средствами. Остановимся подробнее на программных средствах защиты.

1.1. СЕТЕВОЙ ЭКРАН.

Межсетево́й экра́н или брандма́уэр (жарг. файрво́л или файерво́л от англ. firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также, сетевые экраны часто называют фильтрами, т.к. их основная задача — не пропускать (фильтровать) пакеты не подходящие под критерии, определенные в конфигурации.

Некоторые сетевые экраны, также позволяют делать трансляцию адресов — динамическую замену адресов назначения (редиректы) или источника (мапинг (biNAT), NAT).

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

- обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

- происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

- отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

- традиционный сетевой (или межсетевой) экран — программа (или неотьемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контроллируюшие входящие и исходящие потоки данных между подключенными сетями.

- персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

- сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

- сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соедиений, инъекция данных.

- уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения относимые к сетевым экранам уровня приложения представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация, делает фильтрацию значительно более гибкой чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

- stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

- stateful (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

1.2. Антивирус.

Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом.

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

- Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах

- Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:

- Удалить инфицированный файл.

- Заблокировать доступ к инфицированному файлу.

- Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).

- Попытаться восстановить файл, удалив сам вирус из тела файла.

- В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке

Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные медоды обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS), В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe'n'Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

2. Схемы защиты от угроз в корпоративных сетях.

Рассмотрим методы обеспечения защиты в сетях. Например, необходимо защитить сеть, включающую в себя 100 рабочих станций. Сеть будет использовать почтовые службы, IM-службы обмена мгновенными сообщениями и протокол HTTP для получения различного рода информации с определённых узлов.

Для защиты почты от спама и вирусов достаточно будет установить антивирус, который фильтрует почтовые вложения. Защита по протоколу HTTP от троянских программ обеспечивается также антивирусом и/или файерволом. Ну и последним шагом будет настройка файервола для работы только определённых приложений с определёнными узлами (создание политик и правил).

Приобретение и установка антивирусных программ на каждую рабочую станцию с последующим обеспечением программ свежими антивирусными базами очень дорогостоящий и трудоёмкий процесс. Также если учитывать временной фактор в работе антивирусов и сетевых экранов, то скорость работы внутри сети может заметно уменьшиться.

Поэтому в корпоративных сетях применяются так называемые корпоративные версии тех же антивирусов и файрволов. Для их установки необходимы дополнительные антивирусные сервера, которые будут выполнять всю работу по защите от вторжения из сети Интернет. Устанавливая корпоративные версии защитных программ, предприятие экономит не только время и средства, но также выигрывает в качестве обслуживания. Устанавливая клиентские модули одной общей системы зашиты на каждую рабочую станцию, решается вопрос с обновлением программ. Обновление выполняется всего один раз на сервер, а дальше каждая рабочая станция обновляет свои модули со своего сервера своей сети. Файрволы могут устанавливаться на отдельные сервера. Почтовые службы проверяются отдельными серверами с отдельным ПО. То есть, задачи конкретизируются и распределяются для получения максимальной производительности и минимума затрат времени и средств. Возможны также схемы с несколькими серверами защиты. Например, простейшая схема защиты с сервером защиты, совмещённым с сервером служб:



или же более сложная схема с двумя серверами:



В таком случае на серверы служб вообще нет необходимости устанавливать защитное ПО. Работа серверов будет полностью независима и нагрузка равномерно распределена.

ВЫВОДЫ

Защита корпоративных сетей является актуальным вопросом на сегодняшний день и требует уделения особого внимания данному вопросу как разработчикам, так и клиентам. На примере сетей Укртелекома мной были изучены основные принципы работы служб безопасности. Был прослушан обзорный курс лекций по защите информации в компьютерных сетях, а также рассмотрены наиболее часто используемые системы. В ходе практики мной были выполнены все задачи, поставленные руководителем от предприятия.

СПИСОК ССЫЛОК

1. 
   William Stallings «Network Security Essentials. Applications and Standards First Edition» - Лондон: Вильямс, 2002, 432 с.
   
2. 
   Новиков С.Н. «Защита информации в компьютерных сетях» - К.: Радуга, 2004, 168 с.
   
3. 
   Барынкин И. П. «Теория обеспечения целостности информации» - М: Приор, 2001, 97с.
   
4. 
   статья «Концепция информационной безопасности» http://www.kaspersky.ru/corporatesolutions?chapter=145504889
   
5. 
   статья «Новости Agnitum: Outpost Network Security 2.0: Безопасность для организаций» http://www.agnitum.ru/news/networksecurity.php
   
6. 
   статься «Защита систем доставки сообщений» http://www.symantec.com/ru/ru/smb/products/category.jsp?pcid=mes_sec
   
7. 
   статья «Программно-аппаратный комплекс Symantec™ Network Security» http://www.symantec.com/region/ru/product/SNS_71xx.html