Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Основные механизмы обеспечения информационной безопасности

На настоящий момент времени существует множество подсистем информационной безопасности, поэтому в данной работе мы остановимся только на некоторых конкретных видах, относящихся к рынку корпоративных средств сетевой безопасности, исключая средства защиты для домашних сетей. Специалисты применительно к данному рынку отмечают следующие виды технологий и устройств защиты:

· Межсетевые экраны UTM/Firewall;

· Системы предотвращения вторжений IPS/IDS;

· Системы защиты от распределённых атак DDoS;

· Контроль доступа к сети NAC;

· Виртуальные частные сети VPN;

· Аутентификации и авторизации пользователей AAA;

· Системы управления доступом IDM

Межсетевые экраны

Межсетевой экран (сетевой экран) - это комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита сети или отдельных её узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов - динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной сети, - что может обеспечивать дополнительную безопасность.

Системы предотвращения вторжений IPS/IDS

Intrusion Detection System (IDS) или Intrusion Prevention System (IPS) - это программные и аппаратные средства для обнаружения и предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом, через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

В целом IPS по классификации и своим функциям аналогичны IDS. Главное отличие IPS от IDS состоит в том, что IPS функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

Системы защиты от распределённых атак DDoS;

Специалисты различают несколько способов и видов группирования DoS-атак по типам. Основными двумя группами DoS-атак являются разрушающие и атаки на ресурсы системы.

Разрушающие - это атаки, которые приводят к тому, что устройство в сети становится полностью неработоспособно: зависает, уничтожается операционная система или конфигурация. Такие атаки основаны на уязвимостях ПО атакуемых систем.

Атаки на ресурсы системы - это атаки, которые значительно снижают производительность устройств или приложений.

Очень распространенной является атака с целью заполнения пропускной способности каналов связи.

В последнее время получили распространение DDOS-атаки при помощи создания сети вредоносных ботов (ботнетов). Бот - специальная программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия через те же интерфейсы, что и обычный пользователь.

Основные вредоносные действия ботов:

· Спам-боты, собирающие адреса E-mail из контактных форм и гостевых книг;

· Программы, загружающие интернет-канал потоком ненужной информации (как правило, рекламного характера);

· Сайты, собирающие информацию о безвредных сайтах, для использования её в автоматически создаваемых дорвеях;

· Некоторые вирусы и черви;

· DoS - и DDoS-атаки;

· Ботнеты и компьютеры-зомби.

Система защиты от DDoS-атак базируется на уже имеющихся в сети маршрутизаторах и добавляет в сеть свои два компонента:

· Устройство для блокирования DDoS-атаки. В английском языке это устройство называют mitigator - блокиратор;

· Устройство со встроенным искусственным интеллектом для обнаружения DDoS-атаки и перенаправления атаки на блокиратор - детектор.

При этом в задачу блокиратора входит не только блокирование трафика, но и его замедление. После обнаружения DDoS-атаки на какую-то сеть анализатор трафика вставляет в таблицы динамической маршрутизации (при помощи BGP или OSPF) запись, которая говорит, что маршрут в атакуемую сеть лежит через этот блокиратор.

В результате весь трафик атаки начинает проходить через блокиратор, что дает возможность заблокировать трафик атаки, а легитимный трафик передать в защищаемую сеть. Передача в защищаемую сеть осуществляется любым доступным способом, например, при помощи инкапсуляции трафика внутри GRE.

После завершения атаки, таблица маршрутизации перенастраивается, чтобы трафик проходил через конечный маршрутизатор, связанный с этой сетью.

Контроль доступа к сети NAC

В последние годы все более заметное место на рынке по системам безопасности занимает эффективная стратегия защиты посредством контроля доступа к сети и ее ресурсам - технология NAC (Network Access Control).

Суть этой стратегии защиты сводится к регламенту доступа пользователей к сети и постоянному контролю над состоянием конечных сетевых устройств - как внутренних сотрудников, так и удаленных, и в том числе мобильных пользователей.

Технология NAC реализует широкий перечень функций, которые охватывают идентификацию пользователей, оценку и идентификацию состояния конечных точек, меры по пресечению угроз, проверку устройств на соответствие корпоративным политикам доступа в сеть.

На раннем этапе развития NAC методы контроля подключений персональных устройств к сети реализовались на основе протокола 802.1x и при этом были чрезвычайно сложны для внедрения и поддержки в масштабных сетях.

Применение системы контроля доступа на основе протокола 802.1х позволяет:

· контролировать подключение пользователей или устройств к сети (идентифицировать);

· назначить в определенный VLAN, присвоить соответствующий IP-адрес;

· собирать статистику: какой пользователь, когда, на каком коммутаторе, с каким IP-адресом произвел подключение к сети. Опционально - сколько времени проработал, какую нагрузку на сеть произвел;

· предоставить гостевой вход в Интернет для рабочих станций заказчиков и партнеров, находящихся на территории организации;

· обеспечить подключение принтеров, терминалов и других устройств, неподдерживающих 802.1x.

Тем самым применение 802.1x гарантирует, что в сети никогда не появится неавторизованное устройство. Однако не следует забывать, что при 802.1х контроль доступа к съемным носителям и проверка программного обеспечения подключаемых устройств не поддерживаются. А ведь именно эти два фактора являются причиной возникновения большинства инцидентов (утечка информации, распространение вирусов в локальной сети и др.). С развитием второго поколения систем контроля доступа к сети пришли и решения, основанные на использовании агента, который контролирует целостность программной среды и процессов, протекающих на рабочих станциях. Уже на этом уровне возникает вопрос профилирования различных пользователей и применения к ним различных политик доступа.

Виртуальные частные сети VPN

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой "отправитель-получатель данных" устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку "пассажиром" здесь является протокол именно второго уровня.

Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

· Канальный уровень;

· Сетевой уровень;

· Транспортный уровень.

Более подробно основные принципы работы сетей VPN рассмотрены в п.4 данного реферата.

Аутентификации и авторизации пользователей AAA

Существуют следующие технологии аутентификации:

· cетевая аутентификация на основе многоразового пароля;

· аутентификация с использованием одноразового пароля;

· аутентификация на основе сертификатов.

Сетевая аутентификация на основе многоразового пароля.

В соответствии с базовым принципом "единого входа", когда пользователю достаточно один раз пройти процедуру аутентификации, чтобы получить доступ ко всем сетевым ресурсам, в современных операционных системах предусматриваются централизованные службы аутентификации. Такая служба поддерживается одним из серверов сети и использует для своей работы базу данных, в которой хранятся учетные данные (иногда называемые бюджетами) о пользователях сети. Учетные данные содержат наряду с другой информацией идентификаторы и пароли пользователей. Упрощенно схема аутентификации в сети выглядит следующим образом. Когда пользователь осуществляет логический вход в сеть, он набирает на клавиатуре своего компьютера свои идентификатор и пароль. Эти данные используются службой аутентификации - в централизованной базе данных, хранящейся на сервере, по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем, который ввел пользователь. Если они совпадают, то аутентификация считается успешной, пользователь получает легальный статус и те права, которые определены для него системой авторизации.

Аутентификация с использованием одноразового пароля.

Алгоритмы аутентификации, основанные на многоразовых паролях, не очень надежны. Пароли можно подсмотреть или просто украсть. Более надежными оказываются схемы, использующие одноразовые пароли. С другой стороны, одноразовые пароли намного дешевле и проще биометрических систем аутентификации, таких как сканеры сетчатки глаза или отпечатков пальцев. Все это делает системы, основанные на одноразовых паролях, очень перспективными. Следует иметь в виду, что, как правило, системы аутентификации на основе одноразовых паролей рассчитаны на проверку только удаленных, а не локальных пользователей. Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Некоторые реализации аппаратных устройств доступа на основе одноразовых паролей представляют собой миниатюрные устройства со встроенным микропроцессором, похожие на обычные пластиковые карточки, используемые для доступа к банкоматам. Такие карточки, часто называемые аппаратными ключами, могут иметь клавиатуру и маленькое дисплейное окно. Аппаратные ключи могут быть также реализованы в виде присоединяемого к разъему устройства, которое располагается между компьютером и модемом, или в виде карты (гибкого диска), вставляемой в дисковод компьютера. Существуют и программные реализации средств аутентификации на основе одноразовых паролей (программные ключи). Программные ключи размещаются на сменном магнитном диске в виде обычной программы, важной частью которой является генератор одноразовых паролей. Применение программных ключей и присоединяемых к компьютеру карточек связано с некоторым риском, так как пользователи часто забывают гибкие диски в машине или не отсоединяют карточки от ноутбуков. Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с использованием многоразовых паролей, сообщает системе свой идентификатор, однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность - новый пароль. Аутентификационный сервер проверяет введенную последовательность и разрешает пользователю осуществить логический вход. Аутентификационный сервер может представлять собой отдельное устройство, выделенный компьютер или же программу, выполняемую на обычном сервере.

Аутентификация на основе сертификатов.

Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях - они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями - центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием централизованной базы паролей. Сертификат является средством аутентификации Пользователя при его обращении к сетевым ресурсам, роль аутентифицирующей стороны играют при этом информационные серверы корпоративной сети или Интернета. В то же время и сама процедура получения сертификата включает этап аутентификации, здесь аутентификатором выступает сертифицирующая организация. Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на гибком диске лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного ключа конкретному лицу. После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети.

В сетевой терминологии широко применяется термин AAA (от англ. Authentication, Authorization, Accounting), который используется для описания процесса предоставления доступа и контроля за ним. В качестве сервера аутентификации AAA позволяет использовать RADIUS либо TACAS+ сервер.

RADIUS (англ. Remote Authenticationin Dial-In User Service) - протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом.

TACACS+ (англ. Terminal Access Controller Access Control System plus) - сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco. Улучшена безопасность протокола (шифрование), а также введено разделение функций аутентификации, авторизации и учёта, которые теперь можно использовать по отдельности.

Системы управления доступом IDM

Системы управления правами доступа и учетными записями пользователей класса IDM (Identity Management) или как их еще называют IAM (Identity and Access Management) предназначены для централизованного управления правами на доступ к информации, учетными записями, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить риски информационной безопасности и оптимизировать затраты на администрирование ИТ инфраструктуры.

IDM система существенно упрощает доступ к сетевым информационным ресурсам для сотрудников организации, при этом повышается уровень защиты корпоративных информационных систем. Централизованная система управления аккаунтами пользователей позволяет отслеживать все учетные записи в подключенных информационных системах.

IDM предоставляет консолидированную отчетность обо всех учетных записях и правах доступа пользователей компании в интегрированных с IDM информационных системах.

Основные задачи, которые решает IDM:

· Автоматизация процесса управления идентификационными данными;

· Унификация учетных данных пользователей;

· Централизованное управление правами доступа;

· Сокращение расходов на администрирование информационных систем и обслуживание пользователей;

· Снижение рисков несанкционированного доступа к корпоративным информационным системам;

· Сокращение временных затрат на предоставление, изменение и отзыв прав доступа пользователей;

· Соответствие некоторым требованиям законодательных актов, в частности 152-ФЗ "О персональных данных", руководящих документов ФСТЭК и ФСБ, в частности Приказ ФСТЭК от 5 февраля 2010 г. № 58, отраслевых стандартов, в частности СТО БР ИББС-1.0-2010 и PCI DSS.

 

Заключение

 

Подводя итоги, можно отметить, что системы безопасности делают значимые шаги вперед, становясь необходимым ИТ-инструментом современных предприятий. Связано это со многими факторами. Во-первых, репутационные риски и риски отказа в обслуживании клиентов многократно возросли. Все большая часть населения начинает использовать Интернет и информационные технологии в повседневной жизни. Люди все чаще делают покупки через Интернет, получают услуги/госуслуги и пр. Компании больше не могут позволить себе децентрализованные системы, когда над одной и той же задачей в разных регионах, в разных филиалах компании трудится большое количество сотрудников. Происходит централизация ресурсов, все больше компаний начинают использовать облачные сервисы и услуги, что сильно изменяет бизнес-процессы, а соответственно, и ИТ-инфраструктуру компаний. Меняются подходы к системе информационной безопасности, а также ее инфраструктура.

Для обеспечения информационной безопасности для корпоративного сектора перспективной технологией является NGFW, при помощи которой обеспечивается детальный и настраиваемый контроль на уровне приложений. Технология межсетевых экранов была значительно усовершенствована - она эволюционировала до специализированных решений, выполняющих глубокий анализ трафика и идентификацию приложений. Соответствующие продукты стали работать быстрее и поддерживают более сложные наборы правил, чем их предшественников.

Как показывает практика, традиционные межсетевые экраны до сих пор востребованы. В основном это связано с ограниченным контролем за реализацией сервисов безопасности со стороны регулирующих органов и с обеспечением защиты ИТ по остаточному принципу - подешевле и по минимуму. Поэтому место для традиционных экранов, безусловно, есть, однако их будут оснащать новыми функциями. Например, более востребованными становятся устройства, в которых помимо традиционного FW есть еще и средства углубленного анализа межсетевых потоков.

Несмотря на основную проблему сетей VPN, связанную с отсутствием устоявшихся стандартов аутентификации и обмена шифрованной информацией, данная технология до сих пор востребована и оборудование VPN пользуется активным спросом на рынке средств информационной защиты.

Еще более востребованным является оборудование по предотвращению DDOS-атак - это связано со значительным увеличением вредоносных ботнетов по всему миру за последние 3 года.

По статистике, не менее 75% всех компьютерных преступлений происходит внутри корпоративной сети - по вине сотрудников предприятия. Традиционные средства защиты (например, межсетевые экраны FW) не позволяют защитить корпоративную сеть от умысла злоумышленника, имеющего в нее доступ в рамках рабочих полномочий. Для построения эффективной системы защиты информации нужны дополнительные средства предотвращения атак.

Такими средствами уже стали программно-аппаратные комплексы с применением технологий: IPS (IDS), NAC, IDM, VPN. Необходимо также использовать современные средства аутентификации и авторизации.

Хотя и IPS/IDS, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. IPS/IDS, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

Использование IDM-решений подразумевает наличие полномасштабной корпоративной ролевой модели пользователей. В ней учитываются все информационные активы предприятия, а также описываются бизнес-роли персонала и порядок доступа для каждой из них к каждому активу. При этом согласование модели, как правило, сопряжено с большими трудностями из-за противоречивых требований к ней со стороны разных структур и подразделений компании.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...