Обеспечение информационной безопасности в локальной сети

Сетевая трансляция адресов (NAT)

Позволяет, имея на внешнем интерфейсе всего один маршрутизируемый адрес, расположить внутри локальной сети сколь угодно много компьютеров (то есть иметь огромное адресное пространство на внутренних интерфейсах — во много раз превосходящее то, что предоставлено вам провайдером). Также NAT помогает защитить вашу локальную сеть, так как внутренние компьютеры сети не видны снаружи.  
Вы можете настроить несколько блоков адресов на внутренних интерфейсах ИКС. Например, Вы можете использовать один или несколько блоков реальных адресов, предоставленных Вам провайдером. Для защиты этих адресов от несанкционированного доступа из Интернет используется механизм межсетевого экрана.

Доступ в сеть удаленным пользователям

Если в вашей локальной сети имеются веб или FTP серверы, подключенные к внутренним интерфейсам ИКС, то для них вы можете настроить доступ снаружи только для тех приложений, которые необходимо предоставить пользователям, находящимся с внешней стороны ИКС⁴.

Используя интерфейс настроек профиля доступа межсетевого экрана, вы для каждого пользователя можете создать свой профиль, который будет определять не только права доступа этого пользователя к Интернет, но и права доступа к этому пользователю из сети Интернет.

Связь удаленных офисов защищенным каналом.

Позволяет связывать удаленные  офисы путем установки шифрованного туннеля (VPN — Virtual Private Network). Используется IPSEC со статическими ключами. Шифрованный  туннель позволяет безопасно  соединить две или более сетей  и обмениваться данными между так, как если бы они были объединены в одну локальную сеть.

Глава 2. Виртуальные сети - универсальный метод обеспечения безопасности в локальных и глобальных IP-сетях

До сих пор многие определяют понятие виртуальных сетей - как  соединение локальных сетей через отрытую IP-сеть с использованием на выходах этих сетей специальных устройств, осуществляющих шифрование проходящего через них трафика и туннелирование его между двумя такими устройствами.

Хотя, совершенно ясно, что  в современных условиях более 80% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, в связи с чем, такой подход к созданию виртуальных сетей стал совершенно не эффективным. К сожалению, многие действия изнутри локальной сети слабо контролируемы, и руководители организации могут долго даже не подозревать, что у них есть проблемы и они накапливаются.

Велико изобилие прикладных программных  систем, ориентированных на сетевые  технологии и используемых в различных информационных системах. Одни используют удаленный доступ к базам данных SQL-сервера, другие СУБД Oracle или Informix. Третьи сориентировались на WEB-технологии, четвертые просто используют свой файл - сервер для обмена информацией. Пятые установили бухгалтерию 1С или системы Банк-клиент, шестые считают безупречной технологии Lotus Notes, седьмым достаточно стандартных или не очень почтовых служб, восьмые используют все вместе. Причем прикладные службы они на то и прикладные, что могут меняться в организации в зависимости от новых пристрастий, новых течений, новой идеологии⁵.

Все производители прикладного  программного обеспечения сейчас уже  обязательно применяют те или  иные способы защиты в своих продуктах, степень достаточности которых  каким-то способом обосновывается, но никто точно не знает, действительно ли там все хорошо или только видимость. А как можно быть уверенным, что используемая защита на прикладном уровне по-прежнему эффективна, а не "прохудилась", за счет того, что есть слабости в других прикладных системах или просто в операционной системе компьютера.

Сейчас все желают работать в  Интернете, правдами и неправдами подключают свою локальную сеть к глобальной сети. Те, кто поосторожней, физически  отключают несколько компьютеров  от сети и подключают их в Интернет. Но для большой организации это неудобное решение и поэтому начинают строить отдельную сеть для Интернет, которая постепенно превращается, чуть ли не в основную сеть организации. Многие панацеей от всех бед считают установку межсетевого экрана, - формально выполнены все требования Гостехкомиссии и вперед, - можно работать. А то, что при этом данный компьютер одновременно может работать с какой-нибудь внутренней базой данных или просто через данный компьютер можно получить доступ к другим ресурсам локальной сети уже забывается. Или то, что какой-то добрый пользователь установил на это компьютер небольшую программку, оказывающую Прокси услуги, и тем самым предоставил возможность выйти в Интернет многим другим своим товарищам, может остаться не замеченным.

У крупных организаций существуют собственные Интранет сети, ведомственные  сети и в этом случае их перестает  беспокоить вообще какая-либо безопасность. А то, что такая сеть уже имеет  множественную возможность неконтролируемых подключений, забывают или стараются не обращать на это внимание, полагаясь полностью на администраторов, что те нужным образом настроят маршрутизацию и нужные протоколы и прикроют возможные неприятности.

А между тем беспокойство о несанкционированном  доступе к конфиденциальной информации, или возможной дезинформации или просто о физической сохранности данных все же существует. Всегда хочется иметь определенную степень уверенности, что вновь установленные прикладные системы или обновленная операционная система не принесет каких-то неприятностей. Что финансовая информация не доступна более широкому кругу людей, чем этого хотелось бы, а руководящее звено действительно конфиденциально обменялось между собой информацией, и что кто-то не узнал Вашего пароля и не получил доступа к данным, которые Вы не хотели ему доверять⁶.

Какой же выход, как остаться в информационном пространстве и одновременно не сильно не беспокоиться о сохранности данных? 
Здесь на помощь и приходит технология VPN, но в широком смысле, когда агенты VPN, перехватывающие весь сетевой трафик, устанавливаются на каждый компьютер, который требует защиты при его информационном взаимодействии с окружающей средой. Или наоборот, компьютер, работающий из локальной сети с открытыми ресурсами, может быть с помощью технологии VPN изолирован от локальной сети путем создания шифрованного туннеля до некоторого сервера, подключенного к Интернет, для потенциально опасной информации, с одновременной блокировкой любого другого трафика в локальную сеть.

Агенты VPN, перехватывающие весь сетевой трафик независимо от приложения его создающего, путем криптографических преобразований каждого IP-пакета индивидуализируют его и делают недоступным для любых других компьютеров, кроме пары компьютеров, обменивающихся между собой информацией. Если идет обмен с каким-то сервером, то становится недоступной парольная информация и можно уже не сильно беспокоится о степени защищенности прикладной системы.

Совсем просто для VPN-агентов, исходя из логики требуемых информационных связей, независимо от приложений, сетевой операционной системы, без каких либо настроек сетевого оборудования создавать замкнутые или пересекающиеся группы пользователей не важно, где находящихся - в одной или разных локальных сетях или непосредственно в глобальной сети, подключившихся к Интернет через какого-либо провайдера.

Следует говорить о действительно  защищенной виртуальной сети, только в том случае, когда в такой  сети присутствуют, как равноправные объекты защиты, и отдельные компьютеры и защищенные организационными мерами выделенные фрагменты локальной сети, например группы серверов, объединенные в замкнутые или пересекающиеся группы.

При таком подходе, естественно, средства для образования виртуальных  сетей должны удовлетворять ряду требований. Сформулируем наиболее важные необходимые требования к таким средствам, обеспечивающие возможность их использования в стандартных локальных и глобальных сетях при высоком уровне безопасности в процессе информационного обмена, не создавая при этом дополнительных трудностей пользователям и сетевым администраторам.

1. Программное обеспечение такого агента должно быть реализовано на низком уровне операционной системы, взаимодействовать непосредственно с сетевым Драйвером и обеспечивать перехват любого трафика, независимо от используемого протокола.
2. Агент VPN должен не только обеспечивать преобразование (шифрование) трафика в зависимости от адресата, но и выполнять функции мощного персонального сетевого экрана с разнообразными возможностями.
3. Способность автоматически поддерживать протоколы DHCP, то есть динамическое выделение IP-адресов. Это означает, что должны присутствовать надежные процедуры авторегистрации IP-адресов, специальные программы - серверов, взаимодействующих между собой и выполняющих функции оповещения о новых IP-адресах участников VPN.
4. Способность работать через различные типы Firewall-Proxy, осуществляющих преобразование адресов, и уже установленных в локальных сетях.
5. Быть полностью прозрачными для любых типов IP-протоколов, формируемых как прикладными программами, так и операционной системой.
6. Обеспечивать защиту трафика еще на этапе загрузки компьютера сразу после загрузки сетевого драйвера.
7. Поддерживать различные типы протоколов, которые могут быть критичными к преобразованию адресов (NetBios, WINS, DHCP, DNS, ICMP,HTTP, FTP, Real audio, Real video, H323 и др.).
8. Не требовать специальных протоколов аутентификации для соединения.
9. Обеспечивать защиту широковещательных пакетов.
10. Обладать достаточно высокой производительностью для нормальной работы в локальных сетях.
11. Не требовать существенной перенастройки сети и динамически подхватывать все сетевые настройки компьютера.
12. При установке на мобильных компьютерах иметь возможность сохранения множественности конфигураций, что без дополнительных настроек позволило бы пользователю выбрать нужную конфигурацию при изменении места подключения компьютера.
13. Изменение сетевых настроек на каком либо объекте VPN должно автоматически поддерживаться на других объектах VPN, не требуя каких-либо ручных действий.
14. Для серверных объектов VPN обеспечивать поддержку кластерных технологий, технологий Stand by и других технологий горячего резервирования.
15. Не препятствовать различным протоколам динамической маршрутизации
16. Иметь средства централизованного управления и контроля такой виртуальной сетью⁷.

Здесь перечислены только наиболее важные функции, которые должны выполняться  персональными средствами VPN для  обеспечения возможности их использования  одновременно в локальных и глобальных сетях без наложения серьезных  ограничений на сетевую среду.

Очень немногие отечественные и импортные средства VPN удовлетворяют этим требованиям. Поэтому при выборе средств VPN, которые должны функционировать в локальных и глобальных сетях, следует внимательно познакомиться с теми свойствами, которые эти средства в состоянии выполнить.

Одним из средств, удовлетворяющих  указанным выше требованиям, является пакет программ "Корпоративная  наложенная сеть ИНФОТЕКС" (торговая марка ViPNet), сертифицированный Гостехкомиссией  Россией по классу 1В автоматизированных систем и 3 классу Межсетевых экранов. Криптографическое ядро данной системы ("Домен-К") успешно прошло сертификационные испытания в ФАПСИ (сертифицирующая лаборатория - НТЦ "Атлас" ФАПСИ) и 20 апреля 2009 г. в ФАПСИ утверждено соответствующее Заключение.

Система ViPNet обеспечивает прозрачную защиту информационных потоков любых приложений и любых протоколов IP, как для отдельных рабочих станций, файловых серверов, серверов приложений, маршрутизаторов, серверов удаленного доступа и др., так и сегментов IP - сетей. Одновременно выполняет функции персонального сетевого экрана для каждого компьютера и межсетевого экрана для сегментов IP - сетей.

Ключевая структура носит комбинированный  характер и имеет как симметричную схему распределения ключей, что  позволяет обеспечить жесткую централизованную систему управления, так и систему открытого распределения ключей, гарантирующую информационную независимость от центральной администрации.

Прикладные программы системы ViPNet дополнительно предоставляют защищенные службы реального времени для циркулярного обмена сообщениями, проведения конференций, ведения переговоров, служб гарантированной доставки почтовой корреспонденции с процедурами электронной подписи и разграничением доступа к документам, служб автопроцессинга для автоматической доставки файлов. Отдельно оформленные криптографические функции ядра (подпись и шифрование) при необходимости могут встраиваться непосредственно в различные прикладные системы.

Программное обеспечение системы ViPNet функционирует в операционных средах Windows 95/98/ME/NT/2000, Linux. В мае 2010 года выходит версия для SUN Solaris и Intel Solaris⁸.

Производительность работы Драйвера защиты трафика в зависимости  от операционной системы и мощности компьютера - от 2 до 32 Мбит/сек и практически  не ограничивает работу компьютеров даже в 100 Мегабитных сетях.

Для разгрузки процессоров серверов сети и увеличения пропускной способности  до 60-90 Мбит/сек в них может  быть установлена PCI - плата ViPNet-Turbo 100.

Глава 3. Обеспечение безопасности беспроводных сетей

3.1. Защита от вторжений

Сетевым администраторам необходимо обеспечить конечным пользователям  свободу и мобильность, при этом не давая взломщикам доступа ни к  самой сети WLAN, ни к информации, передаваемой по беспроводной сети. С помощью WLAN данные передаются по воздуху с помощью радиоволн между клиентскими устройствами (или рабочими станциями) и точками доступа – оконечными устройствами WLAN в сети Ethernet, связывающими станции с самой сетью. Таким образом, любое клиентское устройство WLAN в зоне обслуживания точки доступа обменивается данными с точкой доступа⁹.

Поскольку радиоволны проникают сквозь крыши, полы и стены, передаваемые данные могут быть получены не теми, кому они  предназначались – на других этажах и даже снаружи здания, обслуживаемого точкой доступа. С появлением WLAN границы у сетей исчезли. Без введения строгой политики безопасности развертывание сети WLAN можно сравнить с повсеместной установкой Ethernet-портов, даже на стоянке автотранспорта.

Помимо этого, рядом исследовательских обзоров и статей подчеркивались уязвимости ключей Wired Equivalent Privacy (WEP), используемых для шифрования и дешифрования передаваемых данных. Взломщики могут обладать доступом к таким средствам взлома WEP-ключей, как AirSnort, позволяющим атакующему пассивно отслеживать и анализировать пакеты данных, а затем при помощи этих данных взломать WEP-ключ, шифрующий передаваемые пакеты.

Сетевым администраторам требуется  максимальная уверенность в существовании  решений для защиты их сетей WLAN от подобных уязвимостей и в способности сетей WLAN обеспечить уровень безопасности, управляемости и масштабируемости, идентичный предлагаемому проводными локальными сетями.

3.2. Необходимость обеспечения безопасности WLAN

Как и в случае с проводными сетями, никто не может гарантировать абсолютно безопасного сетевого решения, навсегда и полностью предотвращающего вторжения. Обеспечение безопасности – динамический, постоянно идущий процесс, ни в коем случае не статический. Сетевые администраторы и производители решений WLAN должны на шаг опережать взломщиков.

Сетевые администраторы должны также  пользоваться имеющимися средствами безопасности WLAN. В 2001 году в статье The Wall Street Journal рассказывалось, как двое хакеров  проехали по Силиконовой долине с  ноутбуком и усилительной антенной для "вынюхивания" случайных сигналов сетей WLAN. Хакеры смогли уловить сигналы множества компаний, которые попросту не позаботились о включении соответствующих функций защиты WLAN.

Эксперты в вопросах безопасности рекомендуют предприятиям развертывать несколько уровней защиты всей сети для смягчения угрозы вторжения. В качестве дополнительных компонентов системы безопасности могут использоваться межсетевые экраны, системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS) и виртуальные локальные сети (VLAN). Сетевые администраторы также могут снизить риск за счет продуманного проектирования и развертывания беспроводных сетей – с внедрением проверенных мер безопасности и с применением продуктов и программного обеспечения, разработанного специалистами в области сетевой безопасности. Продукты от лидера в области сетевой безопасности, компании Cisco, являются превосходными кандидатами для развертывания сети WLAN. С помощью удостоенных множества наград решений Cisco Unified Wireless Network сетевые администраторы могут снизить возможность вторжения и повысить уровень безопасности сетей WLAN¹⁰.