Организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности

После проверки системы IDS/IPS Интернет трафик из сервера ЛВС поступает на маршрутизатор. Маршрутизатор или роутер – сетевое устройство, на основании информации о топологии сети и определённых правил, принимающее решения о пересылке пакетов сетевого уровня между различными сегментами сети. Обычно маршрутизатор использует адрес получателя, указанный в пакетах данных, и определяет по таблице маршрутизации путь, по которому следует передать данные [2]. В роутере обязательно будет межсетевой экран, который и будет ещё одним и самым главным препятствием несанкционированных атак как извне, так и внутри ИС. Так же МЭ будет защитой от различных вредоносных программ.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача – фильтровать (не пропускать) пакеты, не подходящие под критерии, определённые в конфигурации [2]. Более подробное описание МЭ было написано в первой главе, в пункте 1.2.

Так же в маршрутизаторе должен быть встроенный VPN–сервер. VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети. Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его [2].

Выше указанная сетевая конфигурация позволит провести ряд занятий по защите от вредоносных программ из вне, а так же обеспечит безопасную работу проведения лабораторных работ в ПАЗИ.

В нашей системе защиты будет использоваться маршрутизатор свыше указанными функциями. Межсетевой экран является надежным решением для обеспечения безопасности, позволяющим защитить офисы от различных сетевых угроз. Межсетевой экран должен поддерживать трансляцию сетевых адресов (NAT), виртуальные частные сети (VPN), активную сетевую безопасность, систему предотвращении вторжений (IPS), фильтрацию Web–содержимого, антивирусную защиту и управление полосой пропускания – и весь этот функционал реализован в едином компактном настольном корпусе. При этом устройство может легко интегрироваться в существующую сеть.

МЭ должен обеспечивать законченное решение для управления, мониторинга и обслуживания безопасной сети. Среди функций управления: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e–mail, системный журнал, проверка устойчивости и статистика в реальном времени. МЭ должен быть оснащен системой обнаружения и предотвращения вторжений (IDP/IPS), внутренним антивирусом и фильтрацией Web–содержимого для проверки и защиты содержимого на высоком уровне. Используя в устройстве, аппаратный ускоритель увеличивает производительность IPS и антивируса, управляющей базы поиска в Web, содержащей миллионы URL для фильтрации Web–содержимого. Сервисы обновления IPS, антивируса и базы данных URL защищают сеть от вторжений, червей, вредоносных кодов и удовлетворяют потребностям, учёбы по управлению доступом студентов к Интернет. Для обеспечения эффективной защиты от угроз из Интернет необходимо, чтобы все три базы данных, используемых МЭ, поддерживались в актуальном состоянии. В связи с этим должна быть возможность на обновления сигнатур для каждого из сервисов МЭ: IPS, антивирус и фильтрацию Web–содержимого. Это позволяет обеспечить точность и актуальность баз данных МЭ.

Межсетевой экран для защиты сети должен используют уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против новых атак. В результате устройство помогает при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. База данных IPS включает информацию о глобальных атак и вторжениях, собранную на публичных сайтах. МЭ должен обеспечивать высокую эффективность сигнатур IPS, постоянно создавая и оптимизируя сигнатуры. Эти сигнатуры обеспечивают высокую точность обнаружения при минимальном количестве ошибочных срабатываний.

МЭ должен позволять сканировать файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Межсетевой экран должен используть сигнатуры вирусов от известных надежных антивирусных компаний, например, Kaspersky Labs, при этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут настольных или мобильных устройств.

Фильтрация Web–содержимого помогает работодателям осуществлять мониторинг, управление и контроль использования сотрудниками предоставленного им доступа к Интернет. МЭ должен поддерживать несколько серверов глобальных индексов с миллионами URL и информацией в реальном времени о Web–сайтах, что позволяет увеличить производительность и обеспечить максимальную доступность сервиса. В межсетевом экране должны используються политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web–сайтам для любой комбинации пользователей, интерфейсов и IP–сетей. Эти устройства также позволяют обходить потенциально опасные объекты, включая Java–апплеты, Java–скрипты/VBS–скрипты, объекты ActiveX и cookies, активно обрабатывая содержимое Интернет.

Так же для полной безопасности рабочий станций, на каждом ПК установлен антивирус. Таким образом при правильной настройке и работы всех защитных компонентов, и правильной созданной политики безопасности, мы получим максимально эффективную систему защиты ПАЗИ.

При помощи созданной системы защиты можно получить также полезную систему в учебном назначении, т.е создание виртуального сервера, который будет необходим для выполнения различных лабораторных работ, а также обучению студентов программе ПАЗИ. VPS (Virtual Private Server) — услуга, в рамках которой пользователю предоставляется так называемый Виртуальный выделенный сервер. В плане управления операционной системой по большей части она соответствует физическому выделенному серверу. В частности: admin/root–доступ, собственные IP–адреса, порты, правила фильтрования и таблицы маршрутизации. Внутри виртуального сервера можно создавать собственные версии системных библиотек или изменять существующие, владелец VPS может удалять, добавлять, изменять любые файлы, включая файлы в корневой и других служебных директориях, а также устанавливать собственные приложения или настраивать/изменять любое доступное ему прикладное программное обеспечение. В некоторых системах виртуализации (к примеру — VMWare и Xen) также доступны для редактирования настройки ядра операционной системы и драйверов устройств. Виртуальный выделенный сервер эмулирует работу отдельного физического сервера. На одной машине может быть запущено множество виртуальных серверов. Помимо некоторых очевидных ограничений, каждый виртуальный сервер предоставляет полный и независимый контроль и управление, как предоставляет его обычный выделенный сервер.

Каждый виртуальный сервер имеет свои процессы, ресурсы, конфигурацию и отдельное администрирование. Обычно, в качестве виртуального сервера используются свободно распространяемые версии операционных систем UNIX и Windows [2].

В учебном процессе ПАЗИ будут проводиться занятия (лабораторные работы) на темы:

• уязвимость компьютерных систем;
• политика безопасности в компьютерных системах. Оценка защищенности;
• взаимная проверка подлинности пользователей;
• использование виртуальных машин для изучения операционных систем;
• анализ защищенности компьютерных систем на основе ОС Windows 2003/XP;
• центр обеспечения безопасности (Windows Security Center) в операционной системе Windows;
• защита от вредоносного программного обеспечения на примере Windows Defender;

Будет проводиться занятия на изучение антивирусных программ, практики по биометрии, сканеров безопасности, работы с межсетевым экраном, криптографических средств защиты, защиты электронной почты и входящего трафика, программно–аппартных комплексов, резервного копирования и защиты от сбоев электропитания.

Тем самым все выше перечисленные занятия необходимо будет проводить на виртуальном сервере, чтобы обезопасить ИС и сервер, не причиняя вред ПК. Для большинства занятий потребуется межсетевой экран, который создаёт защиту от вредоносных объектов и выполнение работ в ПАЗИ.

На рисунке 7 показана схема защиты периметра ПАЗИ при помощи средств межсетевого экранирования:

Рис.7. Схема защиты периметра  

Выводы по второй главе

Во второй главе данной работы было проведено обоснование требований к системе защиты периметра ( ПАЗИ) с точки зрения обеспечения безопасности информационной сети и сточки зрения обеспечения безопасности учебного процесса при помощи межсетевого экранирования. Мною был произведён анализ требований к системе защиты информации, была описана модель информационной системы , в общем, и самое главное было разработана уникальная система защиты для   . Также были оптимизированы характеристики аппаратного МЭ, применяемого для построения системы защиты периметра.

При анализе требований к защите информации были определены общие требования к системам защиты периметра ИС путем анализа различных подходов к реализации таких систем, в том числе сложности, которые могут возникнуть при организации данной защиты, а так же выбрана комплексная система защиты периметра ИС межсетевой экран.

При рассмотрении модели информационной системы были описаны ЛВС самой , её структура, технические данные, предоставляемые ИВЦ МЭИ (ТУ) и функционирование Интернета в ИС . Так же были рассмотрены описание оборудования ЭВМ , их характеристики и программное обеспечение.

Была создана система защиты ПАЗИ, в которой подробно описана работа каждого оборудования и программного обеспечения. При разработке системы защиты был задействован межсетевой экран с конкретными характеристиками, который необходим для создания защиты ИС при прямом назначении и при учебном процессе студентов. Для обеспечения учебного процесса необходимо создание виртуального сервера, а для безопасности, как внутри ИС, так извне, будет использоваться межсетевой экран, удовлетворяющий конкретным характеристикам, описанным выше.

Глава 3. Организация использования средств межсетевого экранирования в

В этом разделе производится сравнительный анализ и выбор средств межсетевого экранирования, с подходящими характеристиками, описанными выше для внедрения в лабораторию ПАЗИ. Также в этой главе будут разработаны рекомендации по использованию средств межсетевого экранирования по прямому назначению и в учебном процессе. В рамках подготовки рекомендаций по использованию средств межсетевого экранирования во второй главе приводились основные сведения о нем, состав аппаратных средств. Все это позволит объяснить, почему имеет смысл рассматривать возможность организации системы защиты. Так же в данном разделе будет проводится оценка затрат на организацию системы защиты ПАЗИ.

3.1 Сравнительный анализ и выбор средств межсетевого экранирования

Заключение

Защита периметра информационной сети ПАЗИ является первоочередной задачей, поскольку наибольшее количество угроз безопасности находится во внешней незащищенной сети. Целью данной работы являлась – организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности.

Для достижения цели в дипломной работе решались следующие задачи:

• анализ роли и места средств межсетевого экранирования в общей СЗИ;
• провести моделирование информационной системы   ;
• провести анализ, классификацию и выбор МЭ;
• разработать рекомендации по использованию средств межсетевого экранирования в СЗИ ;
• обосновать затраты на систему защиты   .

В результате выполнения поставленной цели в рамках работы были выполнены следующие задачи.

В первой главе проводился анализ характеристики угроз безопасности информационной системы ВУЗа, в данном случае Института безопасности бизнеса. Были идентифицированы основные типы угроз, факторов, способствующих их проявлению (уязвимостей) на информационные ресурсы сети, как внешние, так и внутренние. Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Так же в первой главе были рассмотрены роль и место, выполняемые функции и проанализировано использование средств межсетевого экранирования в СЗИ. Это позволит организовать внутреннюю политику безопасности сети ХС. В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Так же были рассмотрены различные категории, виды МЭ и требования к ним.