Автор работы: Пользователь скрыл имя, 31 Декабря 2013 в 16:11, дипломная работа
Целью данной работы является организация использования средств межсетевого экранирования на примере информационной системы ИББ и анализ их эффективности.
Для достижения цели в дипломной работе решаются следующие задачи:
анализ роли и места средств межсетевого экранирования в общей СЗИ;
провести моделирование информационной системы ИББ;
провести выбор МЭ на основе их классификации и анализа;
разработать рекомендации по использованию средств межсетевого экранирования в СЗИ ;
обосновать затраты на систему защиты , основанную на средствах межсетевого экранирования.
Таким образом, в данном разделе мною определены требования к системам защиты периметра ИС путем анализа различных подходов к реализации таких систем, в том числе сложности, которые могут возникнуть при организации данной защиты, а так же выбрана комплексная система защиты периметра ИС межсетевой экран.
2.2 Описание модели информационной системы
Использование современных компьютерных технологий в учебном процессе при проведении лабораторных занятий по различным дисциплинам и выполнении студенческих научно–исследовательских работ требует наличия информационной системы, предусматривающей работу с большими объемами информации с высоким быстродействием и разграничением доступа.
Решение задачи информационного и программного обеспечения учебного процесса основано на использовании высокопроизводительной локальной вычислительной сети.
При создании ЛВС в ПАЗИ, наиболее подходящей является топология типа «Звезда. Это объясняется тем, что в сетях, построенных по данному типу, обеспечивается наибольший уровень безопасности и гарантируется отсутствие «коллизий» (столкновений данных), что в свою очередь позволяет получить довольно высокую пропускную способность при достаточной мощности сервера. Что касается экономического аспекта, то ввиду небольшого расстояния между рабочими станциями и сервером (в пределах ), не затребует сравнительно высоких затрат.
В ПАЗИ реализован доступ к ресурсам глобальной сети Интернет от ИВЦ. Информационно–Вычислительный Центр Московского Энергетического Института (Технического Университета) – общеуниверситетское подразделение, выполняющее исследования, разработку и сопровождение распределенных информационных систем для МЭИ (ТУ). Основной целью ИВЦ МЭИ (ТУ) является исследование и разработка передовых информационных технологий, их внедрение для обеспечения информационных потребностей университета в научной, учебной и административной сферах.
В настоящее время ИВЦ МЭИ (ТУ) является мощной корпоративной компьютерной сетью, объединяющей около 2000 компьютеров по всему университету. ИВС активно используется для обеспечения учебного процесса, научных исследований и управления ВУЗом.
ИВЦ МЭИ (ТУ) является частью научно–образовательной сети FREEnet, объединяющей академические сети России и сети некоторых крупных высших учебных заведений.
Соединение с Internet обеспечивается посредством оптоволоконного кабеля, связывающий МЭИ (ТУ) с Северной Московской опорной сетью и опорным узлом Российского сегмента Internet на международной телефонной станции М9, так называемой точкой обмена трафиком M9–IX. Соединение использует технологию АТМ, позволяющую организовать множество каналов суммарной производительностью до 155 Мбит/сек. Сейчас скорость канала, связывающего МЭИ (ТУ) и FREEnet, составляет 10 Мбит/сек. В сутки передается и принимается около 45 Гбайт информации.
На сегодняшний день к ИВЦ МЭИ (ТУ) подключены практически все подразделения университета, находящиеся в основных корпусах. Ведется активная работа по подключению подразделений, находящихся в отдельных зданиях на значительном удалении от основных корпусов.
Соединение с Internet и другими сетями осуществляется через мощную модульную систему управления маршрутизацией CISCO 3662 фирмы CISCO Systems. Маршрутизатор CISCO 3662 обеспечивает кроме связи с внешними сетями, маршрутизацию внутри сети университета и защиту ИВС МЭИ (ТУ) от несанкционированного доступа.
ИВЦ МЭИ (ТУ) служит основой для различных информационных систем, используемых в учебном процессе, активно применяется для проведения научных исследований и обеспечения организационных аспектов деятельности ВУЗ’а. На базе ИВС работают десятки информационных серверов подразделений (в том числе и сервер ПАЗИ ИББ), централизованная общеуниверситетская служба электронной почты, Web–портал университета, мощная информационная система ИРИС ООП, и другие информационные системы различного назначения. Так же осуществляется задача электронной почты, так называемый ОСЭП – это корпоративная система, предназначенная для обеспечения информационного обмена между преподавателями, сотрудниками, студентами и аспирантами университета. Таким образом, ОСЭП позволяет организовать единое информационное сообщество университета.
То, что ОСЭП является корпоративной системой, определяет состав функций, предоставляемых абонентам. В частности, в состав ОСЭП включены такие функции, как единая адресная книга университета, мощная поисковая система, возможность отправки писем через WEB, предоставление сведений об административных единицах и сотрудниках университета, наличие общих папок. ОСЭП может использоваться для рассылки объявлений и официальной информации учебного и научного управлений сотрудникам, студентам и аспирантам ВУЗа. С помощью ОСЭП может осуществляться общение между преподавателями и студентами [11].
Создание интерфейса пользователей для доступа к информации и программному обеспечению выполняется в операционной системе Windows 2008 Server. Порядок создания информационной системы реализована в «Программно–аппаратной защиты информации» Института безопасности бизнеса МЭИ (ТУ). Локальная вычислительная сеть объединяет 16 компьютеров типа Intel PC. На сервере установлены операционная система Windows 2008 Server, DHCP–сервер, DNS–сервер, доменная служба и файловая служба. Локальные компьютеры имеют операционные системы Windows–XP с установленным браузером Internet Explore и протоколом обмена по сети TCP/IP. На сервере и на локальных компьютерах установлен официальный антивирус Symantec Endpoint Protection.
Подробное описание оборудования ЭВМ ПАЗИ написано в Приложении 1. На рисунке 5 показана схема аудитории К–303 и размещения ЭВТ, которые находится в ПАЗИ ИББ.
Рис.5. План размещения ЭВТ в ПАЗИ
В созданной ИС компьютерного класса используются средства разграничения доступа и администрирования ресурсов, предусмотренные в операционной системе Windows 2008 Server. Распределенные данные на файловом сервере дают возможность авторам удаленно изменять, перемещать и удалять свои файлы и каталоги, а также изменять свойства этих файлов и каталогов на сервере. В распоряжении системного администратора имеются программные средства, позволяющие тестировать ЛВС, следить за используемыми ресурсами и попытками несанкционированного доступа.
2.3 Система защиты
При разработке системы защиты ПАЗИ, представленной на рисунке 6, используются ресурсы сервера ЛВС, в котором созданы веб–сервер, файловый сервер, так же на сервере будет установлена система обнаружения и предотвращения вторжений IDS/IPS. В наш сервер будет поступать Интернет по выделенному каналу со статическим IP–адресом. Также в системе защиты обязательно должен присутствовать маршрутизатор, в котором встроены межсетевой экран и VPN–сервер для удаленного доступа. Как видно на рисунке 7, после маршрутизатора Интернет–трафик идет на коммутатор, который раздаёт на рабочие станции (ПК) . Для учебного процесса будет создан виртуальный сервер, на котором студенты смогут выполнять различные задания, а так же можно будет проводить лабораторные работы.
межсетевой экранирование
Рис. 6. Схема ЛВС ПАЗИ
Виртуальный сервер будет создан на сервере ЛВС, и это позволит с безопасностью проводить занятия с заданиями как по безопасности информационной системы, так и с попытками по выведению её из строя. А Безопасность заключается в том, что проводя работы на виртуальном сервере, любые изменения коснутся только виртуальной сети, а рабочая ИС ИББ будет не затронута, что не приведёт к нарушению или сбою работы учебного подразделения.
Как было уже написано, на главном сервере ЛВС реализован файловый сервер. Файловый сервер – это выделенный сервер, оптимизированный для выполнения файловых операций ввода–вывода. Так же предназначен для хранения файлов любого типа. Как правило, обладает большим объемом дискового пространства [2]. В пользе учебного процесса на этом сервер будут хранится документы преподавателей к занятиям для общего пользования студентов, так же сами студенты смогут благодаря файловому серверу оставлять свои документы для преподавателя или обмениваться различными файлами между собой. Для этого были создана структура хранения файлов доступная пользователям домена. Вход в домен осуществляется по логину и паролю учётной записи.
Домен Windows – группа компьютеров одной сети, имеющих единый центр (который называется контроллером домена), использующий единую базу пользователей (то есть учётные записи находятся не на каждом в отдельности компьютере, а на контроллере домена, т.н. сетевой вход в систему), единую групповую и локальную политики, единые параметры безопасности (применимо к томам с файловой системой NTFS), ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров. Также становится возможным сделать для каждого аккаунта перемещаемый профиль, сетевой путь к которому хранится в одном месте – на контроллере домена. В результате пользователи могут работать со своим «рабочим столом», «моими документами» и прочими индивидуально настраиваемыми элементами с любого компьютера домена [2]. При помощи домена возможно создать политику безопасности для группы пользователей, что необходимо для проведения учебного процессе, чтобы избежать поломок или аварий.
Также на жёстких дисках сервера будет осуществляться резервное копирование данных сервера ЛВС и данных файлового сервера. Резервное копирование – процесс создания копии данных на носителе (жёстком диске, флеш – накопителе и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения. Резервное копирование необходимо для возможности быстрого и недорогого восстановления информации (документов, программ, настроек и т. д.) в случае утери рабочей копии информации по какой–либо причине.
В учебном процессе будет рассматривать данная тема, тем самым это будет наглядным примером для студентов. На сервере ПАЗИ установлена одна из самых лучших программ резервного копирования – Acronis. Также эта программа будет использоваться для проведения занятий.
Кроме этого решаются смежные проблемы:
В сервер ЛВС установлены 2 сетевые карты, чтобы при помощи встроенного веб–сервера пользователи ПАЗИ имели доступ к ресурсам глобальной сети. В первую – будет поступать Интернет по выделенному каналу со статическим IP–адресом, а через вторую распространяться дальше. Веб–сервер — это сервер, принимающий HTTP–запросы от клиентов, обычно веб–браузеров, и выдающий им HTTP–ответы, обычно вместе с HTML–страницей, изображением, файлом, медиа–потоком или другими данными. Веб–сервером называют как программное обеспечение, выполняющее функции веб–сервера, так и непосредственно компьютер (сервер), на котором это программное обеспечение работает. Клиент, которым обычно является веб–браузер, передаёт веб–серверу запросы на получение ресурсов, обозначенных URL–адресами. Ресурсы это HTML–страницы, изображения, файлы, медиа–потоки или другие данные, которые необходимы клиенту. В ответ веб–сервер передаёт клиенту запрошенные данные. Этот обмен происходит по протоколу HTTP [2]. Но для того, чтобы Интернетом могли пользоваться все юзеры рабочий станций , необходимо было создать протокол DHCP. DHCP — это сетевой протокол, позволяющий компьютерам автоматически получать IP–адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент–сервер». Для автоматической конфигурации компьютер–клиент на этапе конфигурации сетевого устройства обращается к т. н. серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей TCP/IP [2].
Для раздачи Интернета на некоторое количество компьютеров необходим сетевой коммутатор, под которым понимают устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента.
На сервере
ЛВС будет установлена программная система
IDS/IPS для защиты самого сервера от несанкционированных
атак. Система обнаружения вторжений
(Intrusion Detection System (IDS)) — программное или аппаратное средство,
предназначенное для выявления фактов
неавторизованного доступа (вторжения
или сетевой атаки) в компьютерную систему
или сеть.
IDS всё чаще становятся необходимым дополнением
инфраструктуры сетевой безопасности.
В дополнение к межсетевым экранам, работа
которых происходит на основе политики
безопасности, IDS служат механизмами мониторинга
и наблюдения подозрительной активности.
Они могут обнаружить атакующих, которые
обошли МЭ, и выдать отчет об этом администратору,
который, в свою очередь, предпримет дальнейшие
шаги по предотвращению атаки. Технологии
обнаружения проникновений не делают
систему абсолютно безопасной.
Использование IDS помогает достичь нескольких задач:
Система предотвращения вторжений (Intrusion Prevention System (IPS)) программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности. В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS. Как уже было сказано выше, правильное размещение систем IDS/IPS в сети не оказывает влияния на её топологию, но зато имеет огромное значение для оптимального мониторинга и достижения максимального эффекта от её защиты.