Методы и средства защиты информации в корпаративных сетях

Автор работы: Пользователь скрыл имя, 17 Января 2015 в 00:16, курсовая работа

Описание работы

Применение вычислительных средств в системе управления государственных и коммерческих структур требует наличия мощных систем обработки и передачи данных. Решение этой задачи привело к созданию единой инфраструктуры. Ее использование позволило людям, имеющим компьютер, получить доступ к информации крупнейших библиотек и баз, данных мира, оперативно выполнять сложнейшие расчеты, быстро обмениваться информацией с другими респондентами сети независимо от расстояния и страны проживания.

Содержание работы

ВВЕДЕНИЕ
3
1 Анализ угроз информационной безопасности в корпаративных сетях
5
1.1 Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях
5
1.2 Угрозы информации. Способы их воздействия на объекты защиты информации
8
2 методы и средства защиты информации в корпаративных сетях
13
2.1 Внедрение технологии VLAN для разграничения доступа к ресурсам локальной сети
13
2.1.1 Реализация технологии VLAN в Cisco
20
2.2 Обзор технологии VPN, как средства защиты информации, передаваемой по открытым сетям
23
2.3 Организационные меры защиты информации в корпоративных сетях
30
ЗАКЛЮЧЕНИЕ
33
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Файлы: 1 файл

Защита информации в корпоративных сетях.docx

— 494.46 Кб (Скачать файл)

Device

Interface

IP Address

Subnet Mask

Default Gateway

S1

VLAN 99

192.168.99.11

255.255.255.0

N/A

S2

VLAN 99

192.168.99.12

255.255.255.0

N/A

S3

VLAN 99

192.168.99.13

255.255.255.0

N/A

PC1

NIC

192.168.10.21

255.255.255.0

192.168.10.1

PC2

NIC

192.168.20.22

255.255.255.0

192.168.20.1

PC3

NIC

192.168.30.23

255.255.255.0

192.168.30.1

PC4

NIC

192.168.10.24

255.255.255.0

192.168.10.1

PC5

NIC

192.168.20.25

255.255.255.0

192.168.20.1

PC6

NIC

192.168.30.26

255.255.255.0

192.168.30.1


  1. Назначим режим работы портов в соответствии с таблицей:

Port

Assignment

Network

Fa0/1 – 0/5

802.1q Trunks (Native VLAN 99)

192.168.99.0 /24

Fa0/6 – 0/10

VLAN 30

192.168.30.0 /24

Fa0/11 – 0/17

VLAN 10

192.168.10.0 /24

Fa0/18 – 0/24

VLAN 20

192.168.20.0 /24




 

  1. Произведем базовую настройку оборудования.

Switch>enable

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#hostname S1

S1(config)#enable secret class

S1(config)#no ip domain-lookup

S1(config)#line console 0

S1(config-line)#password cisco

S1(config-line)#login

S1(config-line)#line vty 0 15

S1(config-line)#password cisco

S1(config-line)#login

S1(config-line)#end

%SYS-5-CONFIG_I: Configured from console by console

S1#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

 

  1. Настройим пользовательские порты в режиме  access  в соответствии со схемой.

S2(config)#interface range fa0/6, fa0/11, fa0/18

S2(config-if-range)#switchport mode access

S2(config-if-range)#no shutdown

S3(config)#interface range fa0/6, fa0/11, fa0/18

S3(config-if-range)#switchport mode access

S3(config-if-range)#no shutdown

 

  1. Настроим Ethernet интерфейсы персональных компьютеров PC1, PC2, PC3, PC4, PC5 и PC6 в соответствии с планом адресации.
  2. Настроим  VLAN-ы на коммутаторах ( S1, S2 и S3)

Пример настройки коммутатора S1:

S1(config)#vlan 99

S1(config-vlan)#name management

S1(config-vlan)#exit

S1(config)#vlan 10

S1(config-vlan)#name Green

S1(config-vlan)#exit

S1(config)#vlan 20

S1(config-vlan)#name Amber

S1(config-vlan)#exit

S1(config)#vlan 30

S1(config-vlan)#name Red

S1(config-vlan)#exit

  1. На коммутаторах S1 и S2 назначить порты соответствующим VLAN согласно таблицы назначения портов

S3(config)#interface range fa0/6-10

S3(config-if-range)#switchport access vlan 30

S3(config-if-range)#interface range fa0/11-17

S3(config-if-range)#switchport access vlan 10

S3(config-if-range)#interface range fa0/18-24

S3(config-if-range)#switchport access vlan 20

S3(config-if-range)#end

S3#copy running-config startup-config

Destination filename [startup-config]? [enter]

Building configuration...

[OK]

 

  1. Настроить IP-адреса для интерфейсов управления на S1, S2 и S3 .

S1(config)#interface vlan 99

S1(config-if)#ip address 192.168.99.11 255.255.255.0

S1(config-if)#no shutdown

S2(config)#interface vlan 99

S2(config-if)#ip address 192.168.99.12 255.255.255.0

S2(config-if)#no shutdown

S3(config)#interface vlan 99

S3(config-if)#ip address 192.168.99.13 255.255.255.0

 

  1. На каждом из коммутаторов настроить trunk-порты и native VLAN

 

S1(config)#interface range fa0/1-5

S1(config-if-range)#switchport mode trunk

S1(config-if-range)#switchport trunk native vlan 99

S1(config-if-range)#no shutdown

S1(config-if-range)#end

 

S2(config)# interface range fa0/1-5

S2(config-if-range)#switchport mode trunk

S2(config-if-range)#switchport trunk native vlan 99

S2(config-if-range)#no shutdown

S2(config-if-range)#end

 

S3(config)# interface range fa0/1-5

S3(config-if-range)#switchport mode trunk

S3(config-if-range)#switchport trunk native vlan 99

S3(config-if-range)#no shutdown

S3(config-if-range)#end

Проведя все вышеперечисленные настройки, получим три виртуальные подсети, каждая из которых находится в соответствующем VLAN, что эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу, обеспечить высокую степень защищенности информации.

2.2 Обзор технологии VPN, как средства защиты информации, передаваемой по открытым сетям.

Исторически сложилось так, что для защиты передаваемой на большие расстояния информации компании прокладывали собственные линии связи. Этот способ имеет ряд существенных недостатков - не гарантирует надежной защиты коммуникаций, значительно ограничен в применении и требует больших затрат средств и времени.

Конечно, существует большое количество открытых коммуникационных каналов, которые можно арендовать у провайдеров связи или Интернета. Но они также не обеспечивают защиту информации, ее конфиденциальность, аутентичность, целостность, что неприемлемо для реального бизнеса.

Благодаря развитию криптографических технологий появился способ преодолеть эти ограничения - использовать технологию защищенных виртуальных частных сетей (Virtual Private Network - VPN), надежно шифрующих информацию, передаваемую по дешевым открытым сетям, включая Интернет.

Маркетинговая трактовка товара подразумевает, как минимум, две его сущности: потребительскую и физическую.

Потребительская сущность VPN - "виртуальный защищенный туннель, или путь", с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных, Web, FTP и почтовым серверам. Физическая сущность технологии VPN определяется тем, что она может защитить трафик любых информационных интранет- и экстранет-систем, аудио--видеоконференций, систем электронной коммерции и т. п.

При выборе VPN:

- вы получаете защищенные каналы связи и защищенный трафик отдельных приложений по цене доступа в Интернет, что в несколько раз дешевле собственных линий;

- при установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей, т. е. тратить дополнительные средства;

-обеспечивается масштабирование: VPN не создаст проблем роста, что сохранит уже сделанные раньше инвестиции в инфраструктуру безопасности.

Существует три типовых решения, которые последовательно решают основные задачи корпораций по защите передаваемой информации и созданию системы информационной безопасности:

- защита всего трафика между многочисленными офисами корпорации, когда шифрование выполняется только на выходе из офисов во внешние сети; такая топология образует "защищенный периметр" вокруг локальных сетей корпорации (рис. 5);

Рис. 5

 

- защищенный доступ удаленных пользователей к информационным ресурсам, как правило, через Интернет (рис. 6);

Рис. 6

- защита трафика ряда приложений внутри корпоративных сетей (это также важно, поскольку большинство атак осуществляется из внутренних сетей), при этом образуются отдельные, непересекающиеся VPN для выделенных групп пользователей или приложений (рис. 7).

 

Рис. 7

 

Виртуальная частная сеть VPN, как любая распределенная система, в ее "физической сущности" является сложным комплексом, который требует целого ряда дополнительных комплементарных средств и систем защиты. Ее способность шифровать данные является необходимым, но далеко не достаточным условием для построения действительно надежной защиты. Здесь мы рассмотрим, что должна делать "правильная" VPN, каким отвечать требованиям и как интегрироваться с другими средствами защиты информации.

Основная задача VPN - защита трафика. Эта задача исключительно сложна уже на криптографическом уровне, поскольку VPN должна удовлетворять большому числу требований. И в первую очередь обладать надежной криптографией, гарантирующей от прослушивания, изменения, отказа от авторства (это определяется протоколом IPsec), иметь надежную систему управления ключами, защищать от «подыгрывающих» (replay) атак и проверять, "жив" ли абонент в данный момент (это обеспечивается принятым в 1998 году протоколом IKE). Применение стандартных протоколов IPsec/IKE в VPN-системах сегодня практически обязательно. В противном случае ни один заказчик не сможет быть уверенным, что поставщик VPN создал криптографически целостную и надежную систему. Кроме того, в будущем она окажется несовместима с VPN, применяемыми контрагентами корпорации, что в конце концов приведет к проблеме "вавилонской башни".

Следующим требованием является обеспечение масштабируемости конкретной VPN. Многолетний опыт показывает, что наиболее успешно для этого применяются программные VPN-агенты, которые:

- могут обеспечить защиту трафика на всех типах компьютеров -- рабочих станциях, серверах и шлюзах (на выходе из локальных сетей в открытые сети);

-  работают на всех популярных ОС.

Вторая составляющая масштабируемости - централизованное, целостное и оперативное управление VPN. Необходимо определиться со значениями этих понятий в данном контексте:

- централизованное - конфигурирование VPN происходит в одном месте на одной рабочей станции;

- целостное - вся VPN создается как единое целое, поскольку совершенно недопустима ситуация, когда разные узлы имеют несовместимую политику безопасности или включаются в VPN не одновременно;

- оперативное - созданная в центре «конфигурация VPN» должна автоматически за считанные секунды быть разослана на все узлы VPN. Для больших систем неприемлемо, чтобы оператор последовательно, пусть и удаленно, конфигурировал все 300 VPN-узлов или передавал им конфигурации на дискетах.

Наличие приведенных составляющих в системе управления VPN действительно обеспечит ее масштабируемость, поскольку при росте числа участников система будет расширяться без коллизий.

Для предоставления удаленного доступа мобильным пользователям центр управления должен допускать подключение компьютеров, IP-адрес которых ему заранее неизвестен. Участники информационного обмена опознаются по их криптографическим сертификатам. Так как криптографический сертификат пользователя является электронным паспортом, он, как и любой паспорт, должен соответствовать определенным стандартам. В криптографии это Х.509.

Требование к поддержке стандарта Х.509 далеко не случайно. Не секрет, что ни одна криптозащита, построенная на открытой криптографии, не может существовать без инфраструктуры открытых ключей - PKI (Public Key Infrastructure), в задачу которой входит:

- создание и подпись сертификатов, что требует наличия иерархической системы нотариусов, так как пользователь VPN должен получать свой сертификат по месту работы, а не ездить за ним, например, в центральный офис или в какую-то иную организацию;

- передача сертификатов на электронный носитель пользователя (смарт-карта, e-token, дискета) и публикация их на сервере сертификатов с тем, чтобы любой участник VPN мог легко получить сертификат своего партнера;

регистрация фактов компрометации и публикация "черных" списков отозванных сертификатов.

Информация о работе Методы и средства защиты информации в корпаративных сетях