Методы и средства защиты информации в корпаративных сетях

- стихийные бедствия и  катастрофы.

Внутренними источниками являются:

- противозаконная деятельность  политических, экономических и криминальных  структур и отдельных лиц в  области формирования, распространения  и использования информации, направленная  в т.ч. и на нанесение экономического  ущерба государству;

- неправомерные действия  различных структур и ведомств, приводящие к нарушению законных  прав работников в информационной  сфере;

- нарушения установленных  регламентов сбора, обработки и  передачи информации;

- преднамеренные действия  и непреднамеренные ошибки персонала  автоматизированных систем, приводящие  к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному  копированию информации;

- отказы технических средств  и сбои программного обеспечения  в информационных и телекоммуникационных  системах;

- каналы побочных электромагнитных  излучений и наводок технических  средств обработки информации.

Способы воздействия угроз на объекты защиты информации подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые.

К информационным способам относятся:

- нарушение адресности  и своевременности информационного  обмена;

- несанкционированный доступ  к информационным ресурсам;

- незаконное копирование  данных в информационных системах;

- хищение информации из  банков и баз данных;

- нарушение технологии  обработки информации.

Аппаратно-программные способы включают:

- внедрение компьютерных  вирусов;

- установку программных  и аппаратных закладных устройств;

- уничтожение или модификацию  данных в информационных системах.

Физические способы включают:

- уничтожение или разрушение  средств обработки информации  и связи;

- уничтожение, разрушение  или хищение машинных или других  оригиналов носителей информации;

- хищение аппаратных или  программных ключей и средств  криптографической защиты информации;

- воздействие на персонал;

- поставку "зараженных" компонентов информационных систем.

Радиоэлектронными способами являются:

- перехват информации  в технических каналах ее утечки;

- внедрение электронных  устройств перехвата информации  в технические средства передачи  информации и помещения;

- перехват, дешифрование  и внедрение ложной информации  в сетях передачи данных и  линиях связи;

- воздействие на парольно-ключевые  системы;

- радиоэлектронное подавление  линий связи и систем управления.

Организационно-правовые способы включают:

- закупки  несовершенных  или устаревших информационных  технологий и компьютерных средств;

- невыполнение требований  законодательства Российской Федерации  в информационной сфере;

- неправомерное ограничение  доступа к документам, содержащим  важную для граждан и органов  информацию.

Таким образом, надежная защита телекоммуникационных сетей от различного вида угроз возможна только на основе построения комплексной системы безопасности информации на всех этапах разработки, ввода в действие, модернизации аппаратно-программных средств телекоммуникаций, а также при обработке, хранении и передаче по каналам связи информации с широким применением современных средств криптографической защиты, которая бы включала в себя взаимоувязанные меры различных уровней: нормативно-правового; организационного (административного); программно-аппаратного; технического.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

методы и средства защиты информации в корпаративных сетях

 

2.1 Внедрение технологии VLAN для разграничения доступа к ресурсам локальной сети

В данном разделе рассматривается локальная сеть как базовая составляющая информационной системы. Рассмотрены варианты реализации разграничения доступа к ресурсам сети, приведена таблица для сравнения двух различных способов, рассмотрена технология VLAN и её ответвление - Asymmetric VLAN, которая позволяет наиболее эффективно в экономическом и временном плане организовывать независимые подсети в одной физической локальной сети. При развитии локальной сети очень часто возникает проблема разграничения доступа к её ресурсам пользователей различных категорий, а также объединения работников разных отделов в изолированные группы для решения определенных задач. При уже построенной и функционирующей сети становится довольно проблематичной организация новых точек подключения к компьютерам. В связи с этим рационально использовать технологию виртуальной локальной сети (Virtual Local Area Network - VLAN), разработанную Институтом инженеров электротехники и электроники (IEEE). Внедрение технологии VLAN позволяет эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу сетевого оборудования различных производителей и обеспечить высокую степень безопасности. При этом пакеты следуют между портами в пределах локальной сети. При внедрении технологии нет необходимости менять кабельную структуру сети и клиентские устройства доступа, следует заменить только активное оборудование, коммутирующее трафик.

VLAN обладают следующими преимуществами.

- Гибкое разделение устройств на группы.

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения.

• Уменьшение количества широковещательного трафика в сети .

Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе с лишь одним VLAN находятся в одном широковещательном домене. Создание дополнительных VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN настроен на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.

- Увеличение безопасности и управляемости сети.

Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие доступ из VLAN в VLAN.

В таблице представлено сравнение плюсов и минусов реализации раздельного доступа на физическом уровне и с помощью виртуальных локальных сетей VLAN.

Сравнение реализации разделения ресурсов

Физическая		VLAN
Плюсы	Минусы	Плюсы	Минусы
Надежность – при физическом отключении одного сегмента сети, остальные продолжают работать	Необходимость прокладки новых кабелей.	Необходимо заменить только активное коммутирующие оборудование	Зависимость от физической среды передачи информации.
	Необходимость закупки дополнительного оборудования	Возможность оперативно изменить топологию сети, не прибегая к материальным затратам
	Сложности изменения, при  необходимости, топологии сети.	Простота управления
	Увеличение потребления физических ресурсов.	Масштабируемость
		Приоретизация

Таблица 1.

Из таблицы 1. можно сделать вывод, что применение виртуального разделения сети экономически целесообразно.

На (Рис.1) Представлена типовая схема реализации разделения пользователей с помощью технологии VLAN

Рис. 1

На коммутаторе запрограммирована возможность пересылки пакетов между портами 1, 3 и 6, портами 4, 7, 8, а также между 5 и 2. Пакет из порта 1 никогда не попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель  разделяется на три независимых виртуальных переключателя, принадлежащих различным виртуальным сетям. Управление матрицей переключения возможно через подключаемый извне терминал или удаленным образом с использованием протокола SNMP или WEB

Однако при этом возникает проблема доступа к одному какому-либо общему для всех пользователей физической сети ресурсу, например, шлюзу доступа в глобальную сеть интернет. Если следовать рассмотренной концепции, то для обеспечения работы во всех сегментах сети серверу необходимо иметь столько сетевых интерфейсов и задействовать столько портов коммутатора, сколько в сети запрограммировано виртуальных подсетей. Это нецелесообразно ни в экономическом, ни в ресурсном отношении при реализации системы. Такая задача может быть решена с помощью асимметричных VLAN, построенных на основе меток в дополнительном поле пакета - стандарт IEEE 802.1q. Для определения разрешения проходимости пакета в тот или иной VLAN коммутатор заранее составляет таблицу маршрутизации пакетов на основе ARP и IP.

На (Рис. 2) представлена схема реализации асимметричной виртуальной локальной сети, где VLAN1 - общие локальные ресурсы. VLAN2 - группа пользователей 1. VLAN3 - группа пользователей 2. VLAN2 и VLAN3 могут обмениваться данными с VLAN1, но не могут между собой. При этом пользователи и сервера с ресурсами находятся в одной подсети, но в разных широковещательных доменах.

Рис. 2

На (Рис. 3) компьютеры от A до U не могут обмениваться друг с другом информацией и находятся в разных VLAN, а серверы принадлежат ко всем VLAN одновременно, при этом обмен трафиком между коммутаторами  происходит через тегированные порты.   

Рис. 3

Основное различие между базовым стандартом 802.lq VLAN или симметричными VLAN и асимметричными VLAN заключается в том: как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, т.е. не существует пересечения адресов между VLAN - ами.  Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении.

В примере, рассмотренном выше. VLAN1, созданная для порта, имела в своем распоряжении полную таблицу адресов, т.е. любой адрес мог быть отображен на ее порт (PVID).

Основными достоинствами рассмотренного варианта построения ЛВС являются следующие.

- Обеспечение высокой степени защищенности информации от несанкционированного доступа за счет создания для каждого подразделения предприятия (или отдельного пользователя) виртуальных локальных сетей (VLAN), ограничивающих трафик в пределах отдельного VLAN.

- Возможность размещения всех основных: вычислительных ресурсов (серверов) в одной аппаратной (серверной) позволяет обеспечить требуемый уровень их защищенности от внешних воздействий и удобство обслуживания.

- Возможность предоставления доступа к любым из имеющихся сетевых ресурсов (серверов, систем хранения информации Internet и т.п.) на каждом коммутаторе уровня распределения без проведения работ по прокладке дополнительных кабельных линий.

- Структурная гибкость сети, позволяющая быстро менять строение сети, наращивая или подстраивая ее под изменяющуюся структуру предприятия без проведения работ по прокладке дополнительных кабельных линий.

- Масштабируемость сети, что дает возможность легко наращивать вычислительные ресурсы сети простым подключением дополнительных серверов и других сетевых элементов к стеку коммутаторов «ядра».

- Возможность подключения локальных средств архивизации в любой удобной точке сети, что позволяет расположить устройства архивизации как с учетом минимизации нагрузки на сеть, так и в месте, наиболее защищенном от пожара, затопления и т.п.

- Невысокая стоимость решения и оптимальное соотношение показателя цена/качество. позволяет при малом бюджете развертывать гибкую, высокозащищенную информационную инфраструктуру.

Дальнейшее развитие рассмотренной архитектуры и методологии должно предусматривать наращивание защищенности информационной инфраструктуры. Вполне очевидно, что для этого требуется наличие дублирующих маршрутов в сети. т.е. сеть рассматривается как граф, причем его связность не должна нарушаться при недоступности какого-либо ребра (при отказе информационного канала) или узла.

 

 

 

 

 

1. Реализация технологии VLAN в Cisco

Реализацию технологии VLAN в Cisco рассмотрим на примере двух небольших офиса, где необходимо выделить три виртуальные подсети, в рамках одной физической, например, отдел кадров (VLAN10), бухгалтерия (VLAN20) и технический отдел (VLAN30) в каждом из офисов (Рис. 4).

Рис. 4

1. Используем следующий план адресации: