Автор работы: Пользователь скрыл имя, 17 Января 2015 в 00:16, курсовая работа
Применение вычислительных средств в системе управления государственных и коммерческих структур требует наличия мощных систем обработки и передачи данных. Решение этой задачи привело к созданию единой инфраструктуры. Ее использование позволило людям, имеющим компьютер, получить доступ к информации крупнейших библиотек и баз, данных мира, оперативно выполнять сложнейшие расчеты, быстро обмениваться информацией с другими респондентами сети независимо от расстояния и страны проживания.
ВВЕДЕНИЕ
3
1 Анализ угроз информационной безопасности в корпаративных сетях
5
1.1 Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях
5
1.2 Угрозы информации. Способы их воздействия на объекты защиты информации
8
2 методы и средства защиты информации в корпаративных сетях
13
2.1 Внедрение технологии VLAN для разграничения доступа к ресурсам локальной сети
13
2.1.1 Реализация технологии VLAN в Cisco
20
2.2 Обзор технологии VPN, как средства защиты информации, передаваемой по открытым сетям
23
2.3 Организационные меры защиты информации в корпоративных сетях
30
ЗАКЛЮЧЕНИЕ
33
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
Device |
Interface |
IP Address |
Subnet Mask |
Default Gateway |
S1 |
VLAN 99 |
192.168.99.11 |
255.255.255.0 |
N/A |
S2 |
VLAN 99 |
192.168.99.12 |
255.255.255.0 |
N/A |
S3 |
VLAN 99 |
192.168.99.13 |
255.255.255.0 |
N/A |
PC1 |
NIC |
192.168.10.21 |
255.255.255.0 |
192.168.10.1 |
PC2 |
NIC |
192.168.20.22 |
255.255.255.0 |
192.168.20.1 |
PC3 |
NIC |
192.168.30.23 |
255.255.255.0 |
192.168.30.1 |
PC4 |
NIC |
192.168.10.24 |
255.255.255.0 |
192.168.10.1 |
PC5 |
NIC |
192.168.20.25 |
255.255.255.0 |
192.168.20.1 |
PC6 |
NIC |
192.168.30.26 |
255.255.255.0 |
192.168.30.1 |
Port |
Assignment |
Network |
Fa0/1 – 0/5 |
802.1q Trunks (Native VLAN 99) |
192.168.99.0 /24 |
Fa0/6 – 0/10 |
VLAN 30 |
192.168.30.0 /24 |
Fa0/11 – 0/17 |
VLAN 10 |
192.168.10.0 /24 |
Fa0/18 – 0/24 |
VLAN 20 |
192.168.20.0 /24 |
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S1
S1(config)#enable secret class
S1(config)#no ip domain-lookup
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#end
%SYS-5-CONFIG_I: Configured from console by console
S1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
S2(config)#interface range fa0/6, fa0/11, fa0/18
S2(config-if-range)#switchport mode access
S2(config-if-range)#no shutdown
S3(config)#interface range fa0/6, fa0/11, fa0/18
S3(config-if-range)#switchport mode access
S3(config-if-range)#no shutdown
Пример настройки коммутатора S1:
S1(config)#vlan 99
S1(config-vlan)#name management
S1(config-vlan)#exit
S1(config)#vlan 10
S1(config-vlan)#name Green
S1(config-vlan)#exit
S1(config)#vlan 20
S1(config-vlan)#name Amber
S1(config-vlan)#exit
S1(config)#vlan 30
S1(config-vlan)#name Red
S1(config-vlan)#exit
S3(config)#interface range fa0/6-10
S3(config-if-range)#switchport access vlan 30
S3(config-if-range)#interface range fa0/11-17
S3(config-if-range)#switchport access vlan 10
S3(config-if-range)#interface range fa0/18-24
S3(config-if-range)#switchport access vlan 20
S3(config-if-range)#end
S3#copy running-config startup-config
Destination filename [startup-config]? [enter]
Building configuration...
[OK]
S1(config)#interface vlan 99
S1(config-if)#ip address 192.168.99.11 255.255.255.0
S1(config-if)#no shutdown
S2(config)#interface vlan 99
S2(config-if)#ip address 192.168.99.12 255.255.255.0
S2(config-if)#no shutdown
S3(config)#interface vlan 99
S3(config-if)#ip address 192.168.99.13 255.255.255.0
S1(config)#interface range fa0/1-5
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#no shutdown
S1(config-if-range)#end
S2(config)# interface range fa0/1-5
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#no shutdown
S2(config-if-range)#end
S3(config)# interface range fa0/1-5
S3(config-if-range)#switchport mode trunk
S3(config-if-range)#switchport trunk native vlan 99
S3(config-if-range)#no shutdown
S3(config-if-range)#end
Проведя все вышеперечисленные настройки, получим три виртуальные подсети, каждая из которых находится в соответствующем VLAN, что эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу, обеспечить высокую степень защищенности информации.
2.2 Обзор технологии VPN, как средства защиты информации, передаваемой по открытым сетям.
Исторически сложилось так, что для защиты передаваемой на большие расстояния информации компании прокладывали собственные линии связи. Этот способ имеет ряд существенных недостатков - не гарантирует надежной защиты коммуникаций, значительно ограничен в применении и требует больших затрат средств и времени.
Конечно, существует большое количество открытых коммуникационных каналов, которые можно арендовать у провайдеров связи или Интернета. Но они также не обеспечивают защиту информации, ее конфиденциальность, аутентичность, целостность, что неприемлемо для реального бизнеса.
Благодаря развитию криптографических технологий появился способ преодолеть эти ограничения - использовать технологию защищенных виртуальных частных сетей (Virtual Private Network - VPN), надежно шифрующих информацию, передаваемую по дешевым открытым сетям, включая Интернет.
Маркетинговая трактовка товара подразумевает, как минимум, две его сущности: потребительскую и физическую.
Потребительская сущность VPN - "виртуальный защищенный туннель, или путь", с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных, Web, FTP и почтовым серверам. Физическая сущность технологии VPN определяется тем, что она может защитить трафик любых информационных интранет- и экстранет-систем, аудио--видеоконференций, систем электронной коммерции и т. п.
При выборе VPN:
- вы получаете защищенные каналы связи и защищенный трафик отдельных приложений по цене доступа в Интернет, что в несколько раз дешевле собственных линий;
- при установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей, т. е. тратить дополнительные средства;
-обеспечивается масштабирование: VPN не создаст проблем роста, что сохранит уже сделанные раньше инвестиции в инфраструктуру безопасности.
Существует три типовых решения, которые последовательно решают основные задачи корпораций по защите передаваемой информации и созданию системы информационной безопасности:
- защита всего трафика между многочисленными офисами корпорации, когда шифрование выполняется только на выходе из офисов во внешние сети; такая топология образует "защищенный периметр" вокруг локальных сетей корпорации (рис. 5);
Рис. 5
- защищенный доступ удаленных пользователей к информационным ресурсам, как правило, через Интернет (рис. 6);
Рис. 6
- защита трафика ряда приложений внутри корпоративных сетей (это также важно, поскольку большинство атак осуществляется из внутренних сетей), при этом образуются отдельные, непересекающиеся VPN для выделенных групп пользователей или приложений (рис. 7).
Рис. 7
Виртуальная частная сеть VPN, как любая распределенная система, в ее "физической сущности" является сложным комплексом, который требует целого ряда дополнительных комплементарных средств и систем защиты. Ее способность шифровать данные является необходимым, но далеко не достаточным условием для построения действительно надежной защиты. Здесь мы рассмотрим, что должна делать "правильная" VPN, каким отвечать требованиям и как интегрироваться с другими средствами защиты информации.
Основная задача VPN - защита трафика. Эта задача исключительно сложна уже на криптографическом уровне, поскольку VPN должна удовлетворять большому числу требований. И в первую очередь обладать надежной криптографией, гарантирующей от прослушивания, изменения, отказа от авторства (это определяется протоколом IPsec), иметь надежную систему управления ключами, защищать от «подыгрывающих» (replay) атак и проверять, "жив" ли абонент в данный момент (это обеспечивается принятым в 1998 году протоколом IKE). Применение стандартных протоколов IPsec/IKE в VPN-системах сегодня практически обязательно. В противном случае ни один заказчик не сможет быть уверенным, что поставщик VPN создал криптографически целостную и надежную систему. Кроме того, в будущем она окажется несовместима с VPN, применяемыми контрагентами корпорации, что в конце концов приведет к проблеме "вавилонской башни".
Следующим требованием является обеспечение масштабируемости конкретной VPN. Многолетний опыт показывает, что наиболее успешно для этого применяются программные VPN-агенты, которые:
- могут обеспечить защиту трафика на всех типах компьютеров -- рабочих станциях, серверах и шлюзах (на выходе из локальных сетей в открытые сети);
- работают на всех популярных ОС.
Вторая составляющая масштабируемости - централизованное, целостное и оперативное управление VPN. Необходимо определиться со значениями этих понятий в данном контексте:
- централизованное - конфигурирование VPN происходит в одном месте на одной рабочей станции;
- целостное - вся VPN создается как единое целое, поскольку совершенно недопустима ситуация, когда разные узлы имеют несовместимую политику безопасности или включаются в VPN не одновременно;
- оперативное - созданная в центре «конфигурация VPN» должна автоматически за считанные секунды быть разослана на все узлы VPN. Для больших систем неприемлемо, чтобы оператор последовательно, пусть и удаленно, конфигурировал все 300 VPN-узлов или передавал им конфигурации на дискетах.
Наличие приведенных составляющих в системе управления VPN действительно обеспечит ее масштабируемость, поскольку при росте числа участников система будет расширяться без коллизий.
Для предоставления удаленного доступа мобильным пользователям центр управления должен допускать подключение компьютеров, IP-адрес которых ему заранее неизвестен. Участники информационного обмена опознаются по их криптографическим сертификатам. Так как криптографический сертификат пользователя является электронным паспортом, он, как и любой паспорт, должен соответствовать определенным стандартам. В криптографии это Х.509.
Требование к поддержке стандарта Х.509 далеко не случайно. Не секрет, что ни одна криптозащита, построенная на открытой криптографии, не может существовать без инфраструктуры открытых ключей - PKI (Public Key Infrastructure), в задачу которой входит:
- создание и подпись сертификатов, что требует наличия иерархической системы нотариусов, так как пользователь VPN должен получать свой сертификат по месту работы, а не ездить за ним, например, в центральный офис или в какую-то иную организацию;
- передача сертификатов на электронный носитель пользователя (смарт-карта, e-token, дискета) и публикация их на сервере сертификатов с тем, чтобы любой участник VPN мог легко получить сертификат своего партнера;
регистрация фактов компрометации и публикация "черных" списков отозванных сертификатов.
Информация о работе Методы и средства защиты информации в корпаративных сетях