Преподаватель который помогает студентам и школьникам в учёбе.

«Защита внутренней сети и сотрудников компании от атак»

Содержание:

Введение

В настоящее время развитие информационных систем проходит стадию реализации корпоративных информационных порталов, внедрения облачных сервисов, что предполагает необходимость предоставления доступа к сетевым ресурсам центральных офисов или Дата-центров со стороны удаленных площадок. Таким образом, актуальность приобретает вопрос обеспечения безопасности сетевых соединений, что связано с обеспечением как конфиденциальности передаваемых данных, так и обеспечением возможности доступа к сети с сохранением скоростных характеристик.

Объект исследования: информационная система ООО «Пожсервис-01».

Предмет исследования: состояние защиты информационных ресурсов ООО «Пожсервис-01» от воздействия сетевых атак.

Цель: анализ технологии обеспечения защиты информации от сетевых атак.

Задачи работы:

описание структуры информационной системы ООО «Пожсервис-01»;
анализ видов сетевых атак на сетевые ресурсы предприятия
анализ существующей системы защиты информации от сетевых атак на предприятии, выявление слабого звена;
рассмотрение теоретических основ функционирования систем защиты информации от НСД;
поиск методов и средств защиты конфиденциальной информации от сетевых атак;
разработка мер совершенствования системы защиты информации предприятии;
разработка технических решений по защите информационных ресурсов от сетевых атак;

Результатом работы является разработанное техническое решение по защите информационных ресурсов от сетевых атак.

Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации средств защиты информации, анализ состояния работы антивирусной защиты, сравнения, включенного наблюдения.

Базовые источники:

федеральное законодательство в области защиты информации;
ISO 27002-2005: Информационные технологии. Свод правил по управлению защитой информации
ISO 18028-4-2006: Информационные технологии. Методы и средства обеспечения безопасности. Безопасность информационной сети. Часть 5. Коммуникации для обеспечения безопасности между сетями с применением виртуальных частных систем
ISO 13335-4-2000: Информационные технологии. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 4. Выбор защитных мер
ISO 13335-5-2001: Информационная технология (ИТ). Рекомендации по управлению безопасностью информационных технологий. Часть 5. Руководство по управлению безопасностью сети

1.Аналитическая часть

1.1 Общая характеристика исследуемой организации

Объектом исследования в рамках данной работы является ООО «Пожсервис-01» профилем деятельности организации является проектирование, монтаж и обслуживание инженерно-технических систем защиты от пожара, систем дымоудаления, систем контроля и управления доступом, систем видеонаблюдения, структурированных кабельных систем, мониторинг, обработка и передача данных о возгорании, динамике развития пожаров в сложных зданиях и сооружениях с массовым пребыванием людей, в том числе в высотных зданиях. В рамках данной работы мной был проведен анализ используемого программного обеспечения, используемого в технологии работы специалистов.

Система обеспечения информационной безопасности предприятия связана с необходимостью исполнения требований федерального законодательства в области информационной безопасности, обеспечения непрерывности технологических процессов, связанных с функционированием автоматизированной информационной системы предприятия, обеспечение сохранности конфиденциальной информации.

В рамках данного проекта мной было проведено изучение организационной структуры предприятия, анализ функционала работы специалистов, на основании чего было проведено моделирование информационной модели предприятия.

Схема организационной структуры ООО «Пожсервис-01» приведена на рис.1.

Генеральный

директор

Юридический отдел

Финансовый отдел

Проектный отдел

Производственно-технический отдел

Начальник

отдела

Главный инженер

Инженер

по ИБ

Направление эксплуатации

Диспетчерская

Монтажное направление

Рисунок 1. Схема организационной структуры ООО «Пожсервис-01»

В рамках данной работы проведен анализ функционирования работы производственно-технического отдела.

Численность предприятия составляет 30 человек, функциональные обязанности которых распределены в соответствии с должностными инструкциями.

Основными бизнес-процессами в технологии работы специалистов производственно-технического отдела ООО «Пожсервис-01» являются:

Прием заявок от клиентов на ремонт;
Передача заявок на ремонт инженерам эксплуатации;
Оформление документации о ремонте на объекте;
Оформление документации о ремонте в бухгалтерии с банковскими системами и системами ЭДО.

В таблице 1 приведены данные о степени автоматизации бизнес-процессов в технологии работы отдела.

Таблица 1. Оценка степени автоматизации технологии работы отдела

Бизнес-процесс	Степень автоматизации	Описание технологии
Прием заявок от клиентов на ремонт	Автоматизировано	Регистрация заявок от клиентов производится в специализированном программном обеспечении по телефонному звонку, или в автоматическом режиме через программно-аппаратный комплекс «Стрелец-Мониторинг»
Передача заявок на ремонт инженерам эксплуатации	Автоматизировано	Сразу после регистрации заявки, она поступает на смартфон инженера эксплуатации
Оформление документации о ремонте на объекте	Не автоматизировано	Заполняется журнал учета неисправностей в ручном режиме
Оформление документации о ремонте в бухгалтерии с банковскими системами и системами ЭДО	Автоматизировано	Удаленная работа с банковским расчетным счетом,, сдача отчетности в гос.органы

Как показано в таблице 1, технология работы специалистов производственно-технического отдела в настоящее время достаточно автоматизирована. Автоматизация отсутствует в рамках технологии оформления документации о ремонте на объекте, но это обусловлено спецификой работы и требованиям действующих руководящих документов в данной сфере.

Технология работы с производственно-технического отдела ООО «Пожсервис-01»

Наименование должности	Количество ставок	Функциональные обязанности
Генеральный директор (не состоит в отделе, но взаимодействует с ним)	1	Курирует деятельность всех отделов предприятия
Начальник отдела	1	Формирует отчетную информацию о количестве принятых и отработанных заявок от клиентов, координирует деятельность отдела
Диспетчер	4	Регистрация заявок от клиентов производится в специализированном программном обеспечении по телефонному звонку, или в автоматическом режиме через программно-аппаратный комплекс «Стрелец-Мониторинг», взаимодействие с клиентами по вопросам согласования времени проведения работ.
Инженер эксплуатации	7	Выезжает на объект для ремонта или технического обслуживания, проводит первичный осмотр, оформляет опись принятой техники, проводит сверку документации и принятой техники, проводит возврат отремонтированной техники клиентам, регистрирует выполненную работу в «Журнале регистрации неисправностей»
Инженер по информационной безопасности / Системный администратор (не состоит в отделе, но взаимодействует с ним)	1	Установка, настройка, сопровождение программно-аппаратных средств всех отделов, разработка, модернизация и курирование политики информационной безопасности всего предприятия
Бухгалтер (не состоит в отделе, но взаимодействует с ним)	1	Формирование актов выполненных работ и счетов по проведенным работам, после получения отчета от начальника производственно-технического отдела

Информационная модель ООО «Пожсервис-01» представлена на рис.2.

Как показано на рис.2, специалисты финансового отдела, юридического отдела и диспетчерской работают с первичной информацией (договора от клиентов, платежные документы, информация о неисправностях на объектах и т.д.). После обработки информации этими подразделениями, она попадает в общую информационную систему. Все подразделения кроме монтажного направления имеют доступ к общей информационной системе. Монтажное направление производит обмен информацией непосредственно с начальником производственно-технического отдела.

Информация, циркулирующая в системе ООО «Пожсервис-01», может предоставляться и обрабатываться как в автоматизированной, так и в неавтоматизированной форме.

Объектами защиты в информационной системе ООО «Пожсервис-01» являются:

- персональные данные сотрудников;

- информация о текущей деятельности предприятия;

- персональные данные клиентов;

- ключи электронной подписи.

Генеральный

директор

Юридический отдел

Финансовый отдел

Проектный отдел

Начальник

ПТО

Главный инженер

Диспетчерская

Направление эксплуатации

Монтажное направление

Телефонная связь и Интернет

ПАК «Стрелец-Мониторинг»

Первичные данные

Инженер

по ИБ

Рис.2. Информационная модель ООО «Пожсервис-01»

1.2 Топология локальной сети ООО «Пожсервис-01»

Особенностью ЛВС ООО «Пожсервис-01» является доступ к информационным ресурсам компании со стороны удаленных филиалов, либо со стороны клиентов, которым доступ предоставляется при заключении контрактов на обслуживание.

Ресурсы серверного программного обеспечения используют виртуальную среду, так как программное обеспечение и формат баз данных достаточно разнороден, при этом закупка дополнительного программного обеспечения нецелесообразна. В качестве виртуальных машин используется ПО VMWare.

Архитектура центра обработки данных ООО «Пожсервис-01» предполагает наличие двух сетей: открытой и защищенной. В открытой сети находятся рабочие станции специалистов, имеющие выход в Интернет. Данные рабочие станции не предполагают работу с конфиденциальной информацией. В защищенной сети подключены рабочие станции, на которых хранится или обрабатывается конфиденциальная информация.

Рисунок 3. Принципиальная схема компонент локальной сети ООО «Пожсервис-01»

Документооборот с контрагентами реализован с использованием следующих технологий:

- по факсу;

- по электронной почте;

- по защищенным каналам.

Защищенная сеть не имеет соединений с открытой сетью, что делает рабочие станции, входящие в данную сеть, абсолютно недосягаемыми для атак из внешней сети, при этом использование только данной технологии на дает стопроцентной гарантии защищенности сети.

Обслуживание автоматизированной системы производится силами штатного инженера по информационной безопасности.

Технические характеристики

Таблица 4 - Технические характеристики сервера HPProliant

Характеристика	Значение
Процессор	4 x Intel Xeon-2.67GHz (667MHz,2х2MB L2 Cache),
Оперативная память	4 x 2048MB PC2-5300 667MHz DDR2 ECC DIMM Fully Buffered
HDD	4 x 1024 GB SATA
Дополнительно	DVD/ RW

Таблица 5 - Технические характеристики рабочей станции специалиста IRUErgo 310

Характеристика	Значение
Периферия	Есть
Монитор	Acer G226HQLHbd, 21,5’, 1920x1080 (16:9), 8мс, LED, 250 кд/м²
Описание	ОфисныйПК
Процессор	Intel (TM) Core i3
Память	2048Mb
HDD	320Гб 7200 об/мин 32 Мб
Оптический накопитель	DVD-ROM + CD-RW (COMBO) 52/32/52+16
Видеосистема	64-128Mb integrated
FDD	есть
Аудио	АС97
LAN	Есть
Размеры	~ 415 х 185 х 505мм

Технические характеристики принтера Samsung ML-3750 приведены в таблице 6.

Таблица 6 - Технические характеристики принтера Samsung ML-3750

	Элементы		Описание
Размеры	ШБайт x длина x высота	366 x 368 x 272,9 мм (14,40 x 14,48 x 10,74 дюйм.) без дополнительного лотка
Плотность бумаги	Устройство с расходными материалами	10,28 кг
Уровень шума	Режим готовности	26 дБ(А)
	Режим печати	52 дБ(А)
Температура	Эксплуатация	от 10 до 32 °C
	Хранение (в упаковке)	от -20 до 40 °C

Относительная влажность	Эксплуатация	от 20 до 80 %
	Хранение (в упаковке)	от 10 до 90 %

Таблица 7 - Характеристики коммутатора ciscocatalyst 2960

Наименование	Catalyst 2960 Plus 24 Port LAN
Тип	EthernetSwitch
Семейство	Catalyst 2960
ШБайт	17.5"
Высота	1.7"
Глубина	9.3"
NetworkTechnology	10Base-T 100/1000Base-T
Количество портов	24
FlashMemory	32 MB
EthernetTechnology	FastEthernet
PowerSource	PowerSupply
InputVoltage	110 V AC 220 V AC
Port/ExpansionSlotDetails	24 x Fast Ethernet Network 2 x Gigabit Ethernet Uplink 2 x Fast Ethernet Expansion Slot
TwistedPairCableStandard	Category 5
AdditionalInformation	LAN Base Image installed Entry-level enterprise-class intelligent services
LimitedWarranty	Lifetime
Management	Telnet Syslog Web browser CiscoWorks Remote SPAN SNMP v1, v2c, and v3 Command-line interface Cisco Network Assistant Switching Database Manager Cisco Service Assurance Agent IEEE 802.1p CoS IEEE 802.1Q VLAN RMON groups (history, statistics, alarms, and ev
MemoryTechnology	DRAM
Number of Network (RJ-45) Ports	24
ProductLine	Catalyst

Далее в ходе работы над проектом описывается программной архитектуры информационной системы ООО «Пожсервис-01».

В таблице 8 приведен перечень программных продуктов, используемых в технологии работы специалистов производственно-технического отдела ООО «Пожсервис-01»

Таблица 8. Перечень программных продуктов, используемых в технологии работы специалистов ООО «Пожсервис-01»

Наименование задачи	Технологическое решение	Расположение
АРМ Документооборот	Web-интерфейс	Web-сервер ООО «Пожсервис-01»
Учет техники	Тонкий клиент	MS SQL Server
1С 8.2: Бухгалтерский Учет	Тонкий клиент	Сервер 1С:Предприятие
1С 8.2: Комплексная	Тонкий клиент	Сервер 1С:Предприятие
АРМ Учет кассовых аппаратов	Тонкий клиент	MS SQL Server
Учет договоров	Тонкий клиент	MS SQL Server
Сдача отчетности в ПФР	spu_orb	Рабочие станции специалистов по бухучету
SberSign	Тонкий клиент	Рабочие станции специалистов по бухучету
Учет карточек объектов защиты ПАК «Стрелец-Мониторинг»	Настольный ПК	Сервер ПАК «Стрелец-Мониторинг»
Конфигурирование Объектовых станций ПАК «Стрелец-Мониторинг»	Настольный ПК	Сервер ПАК «Стрелец-Мониторинг»
Разработка проектной документации в AutoCAD	Настольный ПК	Рабочие станции проектного отдела

Таким образом, как показано в таблице 1.6, информационные ресурсы ООО «Пожсервис-01» включают в себя работу как с внутренними ресурсами, так и работу с информационными ресурсами сторонних организаций, что предполагает наличие дополнительных требований к системе информационной безопасности. Вопросы обеспечения информационной безопасности в корпоративной сети ООО «Пожсервис-01» курирует штатный инженер по информационной безопасности, не состоящий в отделе.

На рисунке 4 показана принципиальная схема корпоративной сети исследуемой организации. Защита корпоративной сети ООО «Пожсервис-01» осуществляется с использованием технологии VPN.

Рисунок 4 - Принципиальная схема корпоративной сети ООО «Пожсервис-01»

Технология VPN в условиях ООО «Пожсервис-01» использует стандарт IPSec и наиболее распространенные протоколы VPN. В рамках данной модели установка процесса взаимодействия маршрутизаторов заказчика производится с использованием WAN-сети сервис-провайдера. В данном случае со стороны провайдера не требуется настройки VPN, а функцией являются лишь предоставление своих незащищённых сетей для передачи трафика заказчика. Сети провайдеров используются только для инкапсуляции или наложенного (прозрачного) соединения VPN между площадками ООО «Пожсервис-01, их удаленных офисов и клиентами [1].

Настройка VPN и маршрутизация трафика производится с использованием телекоммуникационных средств клиента. Для организации технологии корпоративной сети предприятия производится установка маршрутизаторов, обеспечивающих взаимодействие сети офисов с VPN-сетью. На маршрутизаторы производится установка программного обеспечения для построения защищённых VPN.

В рамках данного проекта для реализации VPN-соединения между офисами ООО «Пожсервис-01» будет использоваться ПО OpenVPN. Технология, используемая в данном программном продукте, основана на использовании SSL-стандарта для осуществления безопасных соединений через Интернет.

ПО OpenVPN обеспечивает безопасность соединений на основе 2-го и 3-го уровней OSI. При условии конфигурирования OpenVPN в режиме моста возможно обеспечение безопасных соединений на основе второго уровня OSI, в режиме маршрутизации - на основе третьего уровня. OpenVPN не позволяет осуществить доступ к сетям с использованием браузерных технологий, а также для его функционирования требуется установка клиентского ПО.

&Mcy;&ocy;&dcy;&iecy;&lcy;&softcy; IP VPN (Intranet VPN + Remote Access VPN) Модель VPN, реализованная в условиях ООО «Пожсервис-01», приведена на рис.5.

Рисунок 5 - Модель VPN, реализованная в условиях ООО «Пожсервис-01»

Настройка маршрутизатора производится в головном офисе ООО «Пожсервис-01» в качестве VPN-сервера, а маршрутизация удаленных офисов производится с использованием VPN-клиентов. Подключение маршрутизаторов VPN-сервера и VPN-клиентов к Интернету производится через сети провайдера. Кроме того, к главному офису можно подключить ПК удаленных пользователей, настроив на рабочей станции пользователя программу VPN-клиента.

Защита ресурсов корпоративной сети предполагает наличие следующих объектов защиты:

- канал передачи данных;

- серверы, используемые для хранения централизованных информационных ресурсов;

- рабочие станции пользователей;

В рамках данной работы проведена оценка объектов защиты информации в автоматизированной системе ООО «Пожсервис-01», результаты которой приведены в таблицах 9-10.

Таблица 9. Объекты защиты при обработке данных в автоматизированной системе ООО «Пожсервис-01»

Вид информационной системы	Объекты защиты
1С: Бухгалтерский Учет	Данные бухгалтерского учета
1С: Комплексная	Персональные данные сотрудников
spu_orb	Персональные данные сотрудников
Учет договоров	Коммерчески значимая информация
АРМ Документооборот	Внутриорганизационная информация
1С: Склад	Данные автоматизированной системы предприятия
Криптографические системы	Сведения по работе с ЭЦП в банковских системах и системах ЭДО
Сервер базы данных, и конфигурации ПАК «Стрелец-Мониторинг»	База данных и конфигурация пультовой и объектовых станций ПАК «Стрелец-Мониторинг»

Таблица 10. Объекты защиты при обработке данных неавтоматизированным способом в условиях ООО «Пожсервис-01»

Вид Объектов	Объекты защиты
Карточки сотрудников	Персональные данные сотрудников
Договоры с клиентами	Коммерчески значимая информация
Отчеты экономического отдела	Коммерческая тайна предприятия
Кабельный журнал, информация по ЛВС	Данные о структуре локальной сети
Карточки ЭЦП	Сведения о системе электронного документооборота
Карточки объектов ПАК «Стрелец-Мониторинг»	Учетные данные объектов инженерно-технической защиты

Идентификация уязвимостей предметной области в условиях корпоративной сети ООО «Пожсервис-01» приведены в Приложении 1.

Таким образом, рассмотрев технические параметры существующей системы ООО «Пожсервис-01», можно сделать выводы:

- используемая корпоративная система позволяет осуществлять доступ из удаленных офисов предприятия к единой базе;

- задачи обеспечения безопасности каналов связи решаются с помощью технологии VPN;

- информационная система предприятия решает задачи автоматизации работы профильных служб, а также бухгалтерии, кадров.

- работа в единой информационной базе позволяет повысить эффективность работы подразделений ООО «Пожсервис-01»;

- в ООО «Пожсервис-01» создана организационная структура, позволяющая решать задачи обеспечения информационной безопасности.

Система защиты информации, проектируемая для сети предприятия, позволит обеспечить бесперебойность работы предприятия, минимизирует риски простоев и материальных потерь, связанных с необходимостью восстановления информационных ресурсов;

Для определения достаточности принятых мер по ЗИ от НСД необходимо провести анализ структуры автоматизированной системы, типов, объемов и стоимости обрабатываемой информации.

1.3. Характеристика организационной защиты информации

Таким образом, в условиях ООО «Пожсервис-01» имеется в наличии большое количество объектов защиты информации, защита которой должна быть реализована как согласно федеральному законодательству, так и исходя из коммерческих соображений предприятия.

В ходе работы над данным проектом мной было проведено изучение организации работы предприятия в области защиты информации.

Функциональные обязанности инженера по информационной безопасности ООО «Пожсервис-01»:

1. Контроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информации.

2. Возглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциям.

3. Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации.

4. Контроль за выполнением требований защиты информации в отделе.

5. Контроль за выполнением требований защиты информации на рабочем месте.

Меры применяемые к сотрудникам:

Начальник отдела - ответственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности, ответственность за нарушение требований защиты информации в отделе (дисциплинарная, административная, уголовная);

Специалист отдела - ответственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности (дисциплинарная, административная, уголовная).

Выводы

Организация системы защиты информации соответствует стандартам и регламентирующим документам ФСБ и ФСТЭК.

На предприятии имеется в наличии комплект документов, регламентирующих вопросы обеспечения защиты информации, также приняты меры по обеспечению инженерно-технической защиты, используется система контроля управления доступом. Помещения оборудованы видеокамерами и системами охранно-пожарной сигнализации.

К недостаткам существующей системы следует отнести: отсутствие дисциплины среди специалистов по сохранности паролей, хранения ключей электронной подписи, режимов включения и выключения компьютеров при отсутствии на рабочем месте. Не всегда соблюдаются требования по уничтожению документов (утилизация документов на бумажных носителях производится в читаемом виде).

2. Исходные данные, положения и анализ использования программно-аппаратных средств защиты информации для создания защищенной ЛВС

2.1. Общая характеристика сетевых атак на сетевые ресурсы организаций

Сетевые атаки представляют собой попытки воздействия на удаленные компьютеры с использованием программных средств. Как правило, к основным целям сетевых атак относятся попытки нарушения системы конфиденциальности, целостности и доступности данных, провоцирование утечек информации. Также, проведение сетевых атак может осуществляться в целях получения доступа к сетевым ресурсам удаленных систем [4].

Существует несколько принципов классификации сетевых атак.

Первый вид классификации - по принципу воздействия. Пассивные сетевые атаки, как правило, связаны с задачей получения конфиденциальных сведений с удаленных систем. К таким атакам, например, можно отнести попытки чтения ящиков электронной почты абонентов, например, через попытки подбора паролей. Меры защиты в данном случае могут быть связаны с соблюдением требований к конфиденциальности паролей, к их сложности и периодичности смены. Также защита может обеспечиваться путем блокировки аккаунта после определенного числа неуспешных попыток авторизации.

Активные сетевые атаки кроме попыток чтения данных предполагают также и их модификацию. Одним из наиболее значимых различий между указанными типами атак является сложность обнаружения пассивного вмешательства в систему, в то время как признаки осуществления активных атак, достаточно просто обнаруживаются [4].

Кроме того, классификация сетевых атак может проводиться в зависимости от поставленных атакующей стороной задач. К основным задачам относятся, как правило, нарушение работы удаленных систем, получение несанкционированного доступа к данным, проведение скрытого изменения данных, хранящихся в системе.

Ряд сетевых атак может быть связан с отправкой большого количества запросов на удаленные системы, в результате которых нарушается их работоспособность.

В настоящее время проводится разработка и совершенствование методов защиты от сетевых атак, однако полноценной гарантии от проведения успешной атаки ни один из методов дать не может. Дело в том, что любая статичная система защиты имеет недостатки, и задача защиты от всех сетевых атак является невозможной. Что же касается динамических методов защиты, к которым относится применение статистических, экспертных систем, модулей защиты, использующих нечеткую логику и нейронные сети, то они также имеют ряд недостатков, поскольку основаны преимущественно на анализе подозрительных действий и сравнении их с известными методами сетевых атак. Следовательно, перед неизвестными типами атак большинство систем защиты пасует, начиная отражение вторжения слишком поздно. Тем не менее, современные защитные системы позволяют настолько осложнить злоумышленнику доступ к данным, что рациональнее бывает поискать другую жертву.

Современные технологии сетевых атак обладают достаточно широкими возможностями, к которым можно отнести:

- возможность несанкционированного входа в сеть при проведении избирательных комиссий вплоть до модификации результатов выборов;

- возможность взлома сетей аэронавигации, что может приводить к авиакатастрофам;

- возможность модификации сетей энергоснабжения, коммунальных систем и др.;

- возможность взлома учетных записей в платежных системах, что может приводить к утечкам денежных средств с банковских счетов или электронных кошельков.

Таким образом, любая современная информационная система должна обладать системой защиты от сетевых атак, исключающей возможности утечки и модификации данных. Если данная система связана с технологиями жизнеобеспечения, то необходимо проведение сертификации системы на предмет защиты от внешних уязвимостей.

Так, основными методами защиты от сетевых атак являются:

- шифрование каналов связи;

- использование систем комплексной защиты информации;

- использование ПО для защиты от сетевых атак;

- проведение оптимальных настроек защиты средствами сетевой операционной системы.

Компоненты защиты информации от сетевых атак включают в себя:

- организационную составляющую (издание ряда нормативных документов, регламентирующих вопросы защиты информации, обучение пользователей технологиям защиты от сетевых атак, распознаванию их признаков, действиям при обнаружении признаков атаки);

- программную составляющую в части установки и настройки специального программного обеспечения для защиты от сетевых атак с возможностью централизованного управления системой;

- инженерно-техническую составляющую в целях предотвращения физического проникновения злоумышленников на объекты, а также физической защиты линий связи, коммутационного оборудования и носителей информации от уничтожения или повреждения в результате воздействия стихийных бедствий.

Построение архитектуры защиты от сетевых атак должно производиться в соответствии с утвержденными стандартами и соответствующей моделью угроз и моделью нарушителя. Класс защищенности системы, в соответствии с которым проектируется архитектура защиты информации, присваивается по результатам аудита системы защиты информации, который проводится сторонними сертифицированными организациями, либо специалистами самой организации, имеющими соответствующие компетенции.

Далее проведем анализ основных технологий защиты от сетевых атак в условиях ООО «Пожсервис-01».

2.2 ЛВС предприятия как объект информационной защиты

Обеспечение работоспособности локальных сетей является основной задачей обеспечения сетевой безопасности. В рамках управления локальной сетью и работой с системами по обеспечению сетевой безопасности в части защиты от сетевых атак специалисты проводят диагностику аппаратной части локальной сети, диагностику прохождения сетевого трафика, курируют вопросы взаимодействия пользователей, прикладного программного обеспечения с установленными серверными операционными системами. Основными инструментами администрирования системами безопасности в локальных сетях могут являться [15, c.36]:

средства администрирования серверных операционных систем;
средства мониторинга и диагностики локальных сетей;
специализированные средства защиты информации;
утилиты управления локальными сетями;
управление рабочими станциями, запущенными сервисами, процессами, приложениями;
утилиты управления дополнительными функциями (прокси-серверами, профилями пользователей).

В процессе управления локальной сетью могут возникать задачи, связанные с необходимостью учета параметров рабочей станции (IP-адрес, технические характеристики, ФИО ответственного пользователя, установленное ПО, наличие рабочей станции в сети и отклика от нее). Указанные возможности реализованы в специализированном ПО – сетевых утилитах. Проведем обзор функционала сетевых утилит, с использованием которых возможна диагностика уязвимостей информационно -телекоммуникационной сети, определим область их применимости.

Friendly Pinger

Основными функциями данного программного средства являются [3]:

Визуализация компьютерной сети в анимированной форме;
Отображение активности сетевых узлов;
Одновременное выполнение команды «ping» на выбранные сетевые узлы с протоколированием результатов;
Оповещение в случае остановки/запуска серверов;
Учет установленного программного и аппаратного обеспечения всех компьютеров в сети;
Мониторинг подключения к рабочей станции в разрезе пользователей и занятости файлов;
Назначение внешних команд (например, telnet, tracert, net.exe) устройствам;
Поиск HTTP, FTP, e-mail и других сетевых служб;
Отображение состояния сети на рабочем столе или Web странице;
Графический TraceRoute;
Открытие сетевых узлов в проводнике, а также в окнах файловых менеджеров;
Проведение мониторинга на активность внешних сетевых узлов;
Наличие функции создания дистрибутива с настойками текущей сети.

Friendy Pinger–эффективное средство мониторинга и инвентаризации небольших локальных сетей, имеющее русскоязычный интерфейс. Кроме стандартных возможностей подобных программ, Friendly Pinger позволяет использовать встроенные команды, вызываемые из контекстного меню объекта на карте сети, и передать им некоторые внутренние переменные, что превращает программу в некий центр управления локальной вычислительной сетью, которая позволяет выполнять, например, следующие действия [3]:

- включение, выключение, перезагрузку удаленных компьютеров;

- получать доступ к удаленному рабочему столу;

- подключаться к сетевым службам компьютеров локальной сети;

- подключаться к терминальным службам;

- производить принудительное завершение любого процесса на удалённом компьютере

В целом, встроенные команды FriendlyPinger позволяют системным администраторам расширять функционал программы в соответствии с возникающими задачами управления сетью.

В настоящее время продукт с поддержки снят, последняя версия датирована 2011г.

NetView – программа для управления локальной сетью.

К основным возможностям данной программы относятся [4]:

Хранение информации о сети в специальном файле, созданном программой;
Опрос сети при старте программы с автоматическим добавлением новых узлов;
Работа с дополнительными плагинами, поставляемыми разработчиком;
Поддержка управляющих скриптов;
Наличие API для доступа из сторонних программ;
Работа в режиме сервиса операционной системы;
Автопроверка на включение сетевого узла;
Анализ сетевого трафика;
Работа с FTP-серверами;
Встроенное средство рассылки сообщений;
Подключение сетевых дисков с различными учетными данными.

LANSpector

LanSpector– программное обеспечение для работы системных администраторов. Функционал данного ПО: построение списка компьютеров локальной (определяемой в сетевом окружении) или любой сети, заданной диапазоном IP-адресов. С помощью протокола Netbios запрашивается следующая информация [5]:

NBTSTAT (список имен netbios и MAC address);
Вывод данных о подключении к домену, временной зоне;
Native OS (версия ОС), Lan man manager (версия менеджера Lan man);
Выделение списков общих ресурсов;
Netbrowserlist (только для компьютера, являющегося Masterbrowser);
Отображение списка пользовательских доменных имён;
Отображение списка активных пользователей;
Отображение списков активных сетевых подключений с каждой рабочей станции;
Кроме того, программа имеет возможности сканирования в диалогах "Networkscanner" и "FilterScanner" наличия общеупотребимых TCP и UDP сервисов. Также реализована возможность построения текстовых отчетов.
Основные возможности [5]:
Просмотр общих файловых ресурсов в локальной сети;
Просмотр/подключение и отключение ресурсов в удаленном режиме;
Поиск и проверка паролей к ресурсам для всех версий Windows.Вывод дополнительной информации по функциям netbios;
Сканирование диапазона ip адресов на общеупотребительные сервисы, запрос функций netbios;
Сканирование диапазона ip адресов на заданные порты/сервисы;
DnsResolver;
Наличие telnet - клиента;
Наличие клиента smtp протокола;
Вывод статистики по сетевым подключениям - NetStat.

Сравнительная характеристика функционала сетевых утилит приведена в таблице 6.

Таблица 6 – Сравнительная характеристика дополнительного сетевого ПО

	Friendly Pinger	LANSpector	NetView
Построение карты сети	+	+	+
Наличие встроенного языка	+	-	+
Наличие API	-	-	+
Управление сетевыми узлами	+	-	+
Сканирование портов	+	+	+
Подключение дополнительных плагинов	-	-	+
Учёт установленного ПО	+	-	+
TelNetклиент	-	+	-
Рассылка сообщений	+	-	+
Поддержка анализа Android-устройств	-	-	+
Вывод списка MAC-адресов	-	+	-
Работа с FTP	-	+	+
Средства анализа трафика	-	+	+
Условия распространения	Бесплатно	Бесплатно	Бесплатно, с оплатой дополнительных плагинов
Поддержка	Прекращена	Присутствует	Присутствует

Таким образом, каждая из рассмотренных сетевых утилит может быть использована в работе системных администраторов. При этом, утилита FriendlyPinger не обладает возможностями работы с Android-устройствами, которые получили широкое распространение в последние годы, что значительно снижает ее область применимости.

Достоинствами программы NetView является наличие API, что позволяет встраивать сервисы программы в прикладное программное обеспечение, наличие средств анализа трафика, с использованием которого можно производить разработку программного обеспечения в соответствии со спецификой конкретной локальной сети.

Также, как показано в таблице 6, сетевые утилиты NetView и Friendly Pinger дают возможность контроля запущенных процессов, учета установленного ПО, что позволяет администраторам анализировать контроль использования средств вычислительной техники пользователями, анализировать нагрузку на сетевое оборудование.

В рамках системного администрирования отдельной задачей выделяется обеспечение информационной безопасности. Современные системы информационной безопасности также предоставляют возможности как управления безопасностью локальных сетей, так и включают общие средства администрирования. Примером такого класса программных продуктов является Kaspersky Security Center, в состав которого включены средства системного администрирования.

Kaspersky Security Center обеспечивает механизм контроля всех параметров IT-безопасности, а также дает централизованный доступ к широкому спектру функций управления сетевыми ресурсами.

Мониторинг уязвимостей и управление установкой исправлений.
Kaspersky Security Center упрощает выявление и устранение уязвимостей в операционных системах и приложениях, позволяя быстрее устанавливать исправления[6]:

Обнаружение уязвимостей локальной сети на стадии сканирования и назначение приоритетов их устранения.
Автоматическое распространение исправлений и обновлений (для продуктов компании Microsoft и другого ПО);
Использование удаленной рабочей станции может быть в качестве агента обновления, что сокращает объем трафика при передаче обновлений в удаленные офисы;
Формирование отчетности по итогам выполнения административных задач.
Удаленное устранение ошибок установки обновлений.

Учет и управление IT-ресурсами

Весь комплекс аппаратных и программных решений, используемых в сети, автоматически обнаруживается и заносится в реестры, что дает администратору полное представление обо всех ресурсах, нуждающихся в защите и управлении [6]:

Автоматический учет аппаратного обеспечения, в том числе обнаружение гостевых устройств.
Автоматический учет программного обеспечения упрощает контроль использования программ и управление лицензиями.

Развертывание программного обеспечения (ПО)

Автоматическое развертывание ПО, а также проверяемый удаленный доступ и устранение неполадок сокращают временные и ресурсные затраты на настройку новых рабочих станций и установку новых приложений.

Развертывание ПО можно производить по запросу администратора и запланировать на нерабочее время.
Существует возможность управления дополнительными параметрами для настройки устанавливаемых программных пакетов.
Поддержка режимов удаленного устранения неполадок, в том числе с использованием механизмов авторизации, а также ведение журналов сеансов удаленного доступа.
Оптимизация трафика при передаче обновлений в удаленные офисы. Одна из удаленных рабочих станций служит агентом обновления для всех остальных рабочих станций в удаленном офисе.

Развертывание операционных систем (ОС)

Kaspersky Security Center предоставляет централизованный контроль за созданием, хранением и копированием защищенных образов систем, для оптимизации и ускорения развертывание операционных систем споддержкой интерфейса UEFI.

Образы расположены в специальном хранилище, и к ним всегда можно получить доступ в процессе развертывания.
Отправляя сигналы Wake-on-LAN, можно производить распространение образов ПО в нерабочее время.

Также реализованы возможности внесения изменений в образ операционной системы [19, c.89]:

- Выполнение сценария или установка дополнительных программ после установки ОС
- Создание загрузочногоUSB-устройства со средой Windows PE
- Импорт образов ОС из распространяемых пакетов в формате WIM

Также реализованы возможности управления на уровне предприятия.

Разграничение прав администраторов по ролям и поддержка популярных SIEM-систем помогают повысить эффективность управления сложными IT-средами.

Ролевое управление доступом позволяет назначать разным администраторам различные обязанности по системному администрированию и управлению безопасностью.
Консоль управления легко настраивается, и каждый администратор имеет доступ только к тем режимам, которые определены его функционалом.
Существует возможность интеграции консоли с системами управления данными и инцидентами безопасности (SIEM) – HP ArcSight и IBM QRadar.

Таким образом, хотя для ПО Kaspersky Security Center системное администрирование и не является профильной задачей, многие реализованные возможности превосходят по функционалу специализированное ПО. Так, возможности централизованной установки ПО, системных обновлений, получение отчетов об установленном ПО и запусках ПО пользователями могут широко использоваться системными администраторами.

Далее проведем рассмотрение технологий использования сетевого программного обеспечения, определим категории пользователей и задач в рамках работы сетевого ПО.

2.3 Характеристика видов угроз и моделей нарушителей при проведении сетевых атак

Рассмотрим основные типы угроз сетевой безопасности. По их происхождению принято их классифицировать на угрозы, обусловленные человеческим фактором и угрозы, связанные с особенностью функционирования технических средств.

К угрозам технического характера относят:

- ошибки ПО;

- DoS- и DDoS-атаки;

- Вредоносное программное обеспечение;

- средства несанкционированного съема данных;

- сетевые угрозы.

Схема DDoS-атаки приведена на рисунке 1.

Рисунок 1 - Схема DDoS-атаки

Ошибки в программном обеспечении

Ошибки ПО являются самым узким местом любой ЛВС. Программное обеспечение серверов, рабочих станций, маршрутизаторов. разработано людьми, следовательно, оно практически всегда содержит ошибки. С ростом сложности программных продуктов растет вероятность возникновения в нем ошибки уязвимостей. Большая часть из них не представляет никакой опасности, но некоторые могут быть связаны ошибками проектирования системы безопасности, что приводит к возможности получения злоумышленниками контроля над сетевыми ресурсами, неработоспособности сервера, несанкционированному использованию ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большая часть подобных уязвимостей может быть устранена с помощью сервисов обновления ПО, регулярно выпускаемых разработчиками. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS - и DDoS-атаки

Denial Of Service (отказ в обслуживании) являются особым типом атак, направленных на выведение сетевых ресурсов или серверов из состояния нормальной работоспособности. DoS-атаки могут использовать ошибки в программном обеспечении или путём совершения легитимных операций, но в больших масштабах (например, посылкибольшого количества электронныхсообщений). DDoS - атаки (Distributed Denial Of Service) отличаются от предыдущего поколенияиспользованием огромного количества компьютеров – бот-сетей, расположенных в большой географической зоне. Такие атаки приводят к перегрузке каналов трафиком и мешают прохождению, а зачастую проводятполную блокировку передачиданных по атакуемой сети. Наиболее часто DDos – атаки могут использоваться как средство конкурентной борьбы, а также как один из вариантов информационного оружия.

Вредоносное программное обеспечение.

Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

Анализаторы протоколов и «снифферы»

Данная группа включает средства перехвата передаваемой по сети информации, в том числе от активных сетевых атак. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

Технические средства съема информации

Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Далее рассмотрим виды угроз, обусловленных влиянием человеческого фактора. К угрозам данного типа можно отнести:

- уволенных или недовольных сотрудников;

- технологии промышленного шпионажа;

- угрозы, связанные с халатностью сотрудников;

- угрозы, обусловленные недостаточной квалификацией сотрудников.

Уволенные и недовольные сотрудники

Данная группа людей является наиболее опасной, так как многие из работающих сотрудников могут иметь разрешенный доступ к ресурсам локальной сети предприятия. Особое внимание в данном случае следует обратить на системных администраторов, знакомых с архитектурой сетевой безопасности системы и имеющих возможности реализации несанкционированного доступа к ней.

Технологии промышленного шпионажа предполагают заказной характер работ по реализации несанкционированного доступа к сети и привлечение для этих целей высококвалифицированных сотрудников, а также, возможно, и бывших или действующих сотрудников ИТ-отделов предприятий. Таким образом, предприятия, имеющие объекты защиты коммерческой тайны, должны обеспечивать максимальную степень защиты, соблюдать порядок актуализации парольной защиты, своевременно блокировать неактуальные учетные записи, использовать криптографические системы.

Халатность

Угрозы, вязанные с халатностью сотрудников, являются наиболее многочисленными. Так как средства защиты информации зачастую усложняют работу пользователей с ресурсами прикладного ПО, Интернета, файловыми ресурсами, некоторые пользователи для того, чтобы получить более оптимальные параметры работы системы, сознательно отключают средства защиты информации. Так, примерами халатности в отношении средств защиты информации могут быть:

- несоблюдение требований к сложности паролей и периодичности их смены;

- передача паролей третьим лицам;

- отключение антивирусной защиты и дополнительных средств защиты информации;

- несоблюдение требований к работе с электронной подписью (например, осуществление входа в браузерное приложение и долговременное отсутствие на рабочем месте, что создает угрозу получения доступа к электронной подписи со стороны злоумышленника);

- отключение защищенных параметров браузера.

Мерами защиты от угроз халатности сотрудников могут быть:

- максимальное понижение уровня доступа пользователя на рабочей станции;

- регламентация временных параметров работы неактивных сеансов;

- принятие нормативных документов и определение ответственности пользователей за нарушение регламентов информационной безопасности.

Низкая квалификация

Зачастую вследствие низкой квалификации пользователю затруднительно понять, с чем он имеет дело; из-за этого даже программные продукты с достаточной степенью защищённости предполагают необходимость тонкой настройки со стороны администраторов безопасности.

Таким образом, защитой от угроз, обусловленных недостаточностью квалификации персонала, могут быть:

- проведение технических учет со специалистами по вопросам информационной безопасности;

- включение вопросов по информационной безопасности при аттестации сотрудников;

- оценка квалификации сотрудника при принятии на работу или кадровом перемещении.

Проведем анализ наиболее распространенных моделей обеспечения сетевой безопасности.

1. Модель дискреционного доступа. В рамках данной модели проводится контроль доступа субъектов к объектам. Для каждой субъектно-объектной пары проводится установка операций доступа (READ, WRITE и другие).

Осуществление контроля доступа производится посредством механизмов, которые предусматривают возможности санкционированных изменений технологий разграничения доступа. Права на изменение правил предоставляются выделенным субъектам.

2. Модель дискретного доступа. В рамках данной модели рассматриваются механизмы субъектно-объектного доступа.

3. Модель мандатного управления доступом Белла-Лападула.

Данная форма записывается в терминологии теории отношений. С использованием данной методологии описываются механизмы доступа к системным ресурсам, при этом для управления доступом применяется матрица контроля доступа. В рамках данной модели рассматриваются простейшие операции чтения и записи доступа субъектов к объектам, на которые накладываются ограничения.

Множества субъектов и объектов упорядочены в соответствии с их уровнем полномочий и уровнем безопасности, соответственно.

Изменение состояния системы производится согласно правилам трансформации состояний.

4. Модели распределенных систем (синхронные и асинхронные). В рамках данной моделей выполнение субъектов производится на нескольких устройствах обработки. Рассматриваются операции доступа субъектов к объектам по чтению и записи, а также объекты, которые могут быть удалены, что может вызвать противоречия в модели Белла-Лападула.

В рамках асинхронной модели в одновременно несколько субъектов могут получить доступ к нескольким объектам.

Одномоментный переход системы между состояниями может осуществляться под воздействием более, чем одного субъекта.

5. Модель безопасности военной системы передачи данных (MMS -модель). Запись данной модели проведена в терминологии теории множеств. Субъектами могут выполняться ряд специализированных операции над объектами, имеющими сложную структуру. В модели присутствуют администраторы безопасности для реализации задач управления доступом к информации и устройствам глобальных сетей передачи данных. При этом для обеспечения возможности управления доступом используются матрицы контроля доступа. Видами используемых операций над объектами являются: чтение, запись, создание, удаление, операции с объектами, имеющими специфическую структуру, а также может возникать необходимость операций, направленных на проведение специфической обработки информации.

Состояние системы изменяется с помощью функции трансформации.

6. Модель трансформации прав доступа. Модель формально записывается в терминологии теории множеств. Механизм изменения состояния систем основан на использовании функций трансформации состояний.

7. Схематическая модель. Запись производится в терминологии теории множеств и теории предикатов. Для обеспечения управления доступом в данном случае используются матрицы доступа, имеющие строгую типизацию ресурсов. Для изменения прав доступа используется математический аппарат копирования меток доступа.

8. Иерархическая модель. Формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов.

9. Модель безопасных спецификаций, описанная с использованием аксиоматики Хоара.

10. Модель информационных потоков. Формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объекта. Изменением состояния является изменение соотношения между объектами и атрибутами.

12. Вероятностные модели. В модели используются субъекты, объекты и набор их вероятностных характеристик. В рамках модели проводится рассмотрение операций доступа субъектов к объектам чтения и записи. Операции доступа также обладают вероятностными характеристиками.

Таким образом, рассмотрев вопросы обеспечения сетевой безопасности, можно сделать следующие выводы:

- технологии использования беспроводных сетей предполагают необходимость реализации системы разграничения доступа;

- основные угрозы сетевой безопасности могут быть связаны с влиянием человеческого фактора, а также с особенностями функционирования технических средств;

- реализация технологий сетевой безопасности предполагает принятие ряда организационных, технологических мер, а также издание ряда нормативных документов;

- модели сетевой безопасности предполагают использование систем парольной защиты, защиты с использованием криптографических систем, а также программно-аппаратных комплексов.

2.4 Обеспечение защиты ЛВС от сетевых атак

Сформулируем основные цели обеспечения сетевой безопасности в условиях ООО «Пожсервис-01».

Целями безопасности при защите от сетевых атак является обеспечение [4]:

целостности данных;
требований конфиденциальности информации;
доступности информации.

Организационные меры по совершенствованию защиты сетевой безопасности должны включать разработку комплекта документов, включающую:

- кабельный журнал, включающий перечень используемых портов ЛВС и соответствующих им номеров портов на кроссовых панелях и коммутаторах;

- исключение возможности несанкционированных подключений в свободные сетевые порты через отключение их от коммутаторов;

- включение помещений серверной в список выделенных с особым порядком доступа (использование touch-ключей, электронных замков, определение списка допущенных в помещение, определение режима уборки и др.).

Одной из главных целей обеспечения сетевой безопасности является обеспечение защиты от несанкционированного изменения, подмены и уничтожения. Целостность информации должна гарантировать сохранность информации как в случае действий злоумышленников, так и влияния случайных факторов. Обеспечение целостности данных является как правило одной из самых сложных задач обеспечения сетевой безопасности.

Второй главной целью обеспечения безопасности при использовании сетевых технологий является обеспечение конфиденциальности данных. Основными видами конфиденциальной информации являются:

криптографические системы;
персональные данные;
коммерческая тайна;
информация, определенная локальными нормативными актами предприятия.

Обеспечение доступности информации является необходимым условием функционирования автоматизированных систем. Доступными информационными ресурсами в локальных сетях, как правило, являются:

Общие сетевые ресурсы и файловые хранилища;
Принтеры, сканеры;
Средства управления и администрирования;
Программные ресурсы.

Таким образом, архитектура информационной безопасности должна одновременно выполнять задачи защиты сетевой информации, а также доступности необходимых компонент для пользователей.

3. Разработка предложений о совершенствовании системы защиты информации предприятия от сетевых атак

3.1 Обзор видов атак на брандмауэры

Для проведения атак на брандмауэры необходимо провести их обнаружение.

Обнаружение файрволла возможно с использованием множества методом, к которым относится сканирование, предполагающее отслеживание маршрутов, считывание сервисных баннеров и т.д. Данные операции могут выполняться с использованием специализированных программ.

Технология сканирования портов.

Каждый сетевой сервис использует уникальные порты. Например, для FTP используется порт 21, http – 80, ssh – 22. Брандмауэры также прослушивают определенные порты, к которым относятся:

- для cisco-manager (mgmt) - порты 4001, 6001, 2001;

- checkpoint DNS - порт (53udp/tcp)

- RIP - порт (520udp)

- cisco-xremotesrv - порт 9001

- wingate - порты 8080, 81

- realsecure - порты 2998, 2997, 2999

При подключении к указанным портам можно провести считывание сервисного баннера брандмауэра. При этом корректно сконфигурированный брандмауэр не предоставляет возможности проведения сканирования по всем портам и данную попытку расценит как атаку, поэтому процесс сканирования должен быть грамотно организован, например через проведение сканирования портов с подменой source адреса. Также необходимо отметить, что конфигурация брандмауэров проводится таким образом, что доступ во внутреннюю сеть закрыт для всех пользователей, кроме пользователей внутренней сети, невозможно присоединиться к портам, фильтрация которых проводится брандмауэром, если атакующий не принадлежит к внутренней сети хостинга или локальной сети...

Существует возможность обхода данной защиты с помощью утилиты Firewalk, которая имеет возможность сканирования портов как бы за фаерволлом. Полной гарантии успеха атаки система не дает, так как многие брандмауэры конфигурируются таким образом, что фаерволл может определить TLL пакета до его поступления (проверки по списку). Поэтому отсылка пакетов типа ICMP, оповещающих о истечении TLL, будет производиться в любом случае.

Далее проведем анализ технологии отслеживания маршрута прохождения пакета по сети (Tracerouting). Данная технология использует утилиты типа tracert (traceroute). Пример проведения трассировки маршрута к сетевому узлу:

В показанном примере отображена структура прохождения пакета по сети. Брандмауэром создается некая цепочка адресов, по которым проходит сетевой пакет. В трассировке по прыжкам 1-3 можно показать, что сервер проводит фильтрацию входящих пакетов, далее происходит отправка пакета по сети по цепочке адресов. В конечном итоге можно видеть, что исходный сетевой пакет поступает на место назначения - 168.75.176.102. В данном случае адресом брандмауэра, вероятно, является 66.238.47.34.

Проведём анализ технологии считывания сервисных баннеров.

Технология считывания баннеров предполагает, что при подключении к брандмауэру, атакующий в ответ получает некоторое послание от удаленного брандмауэра. Т.е. при соединении, например 295 (порт CheckPoint Firewall), будет выдавать информацию о версии фаервола, после чего можно проводить поиск bugtraq уязвимости в данном фаерволе.

Рассмотрим принцип обхода брандмауэра.

При подключении к брандмауэру проводится считывание пакета и анализ всех его данных. Если адрес атакующего не находится в базе брандмауэра, невозможно проникновение во внутреннюю сеть.

Способ обхода правил:

- сканирование подсети брандмауэра на нахождение сетевых узлов с последующей их атакой (данный способ реализовать не всегда возможно при корректной настройки правил администратором сети);

- тунелирование ICMP/UDP пакетами, что предполагает отсутствие правил на блокирование ICMP ECHO, ICMP ECHO REPLY, UDP. Для реализации данной атаки необходимы специальные утилиты типа loki, lokid (демон). Для осуществления атаки необходимо, чтобы демон был установлен за брандмауэром.

Также существует техника обхода брандмауэров типа инжект.

Суть данной технологии обхода брандмауэром сводится к исполнению кода доверенных приложений. Например, использование браузеров предполагает передачу данных на 80 порт любого сервера. Для использования данного момента необходимо провести инжект кода в браузер, и от имени браузера проводить передачу или получение данных.

Технология инжекта включает два этапа. На первом проводится запись кода с дальнейшей передачей ему управления.

Запись кода в чужой процесс осуществляется с помощью функции KERNEL32!WriteProcessMemory, и далее - ее нативным аналогом NTDLL!NtWriteVirtualMemory. Попытки записи в чужие процессы, как правило, детектируются антивирусным ПО, но возможны случаи, когда защита не срабатывает.

При отсутствии у процесса атрибута EXECUTABLE, атака реализуется. Данный атрибут отсутствует, если процесс осуществляется в виртуальной памяти. Запись проводится в область памяти, называемую стеком.

3.2. Защита от атак на брандмауэры

План атаки методом инжекта предполагает выполнение действий:

Создание процесса, на основе исполняемого файла браузера по умолчанию;
По истечении некоторого времени - остановка потока браузера;
Получение его контекста (значения указателя стека);
Анализ стека на предмет адресата возврата;
Написание адреса внешнего кода, который будет выполнять какие-то действия (скачивание или передачу по адресу в стеке, где находится адрес возврата);
Возобновление исполнения потока.

Рассмотрим перечень возможных атак на брандмауэры.

Атаки на процессы, связанные с работой брандмауэра

Атака на процессы и службы, обеспечивающими работу брандмауэра, в простейших случаях предполагает попытки их остановки. В более сложных случаях проводится модификация процесса брандмауэра.

Защитные меры: основной код брандмауэра необходимо размещать в невыгружаемых драйверах. В данном случае работающее в режиме UserMode приложение используется только для контроля и мониторинга функционирования брандмауэра, а его остановка не сказывается на работе защиты. Дополнительными мерами обеспечения защищенности являются проведение мониторинга работоспособности брандмауэра.

Тестирование на проведение атаки указанного типа: определение возможности принудительного завершения процессов брандмауэра и влияние последствий их остановки на состояние защищенности сети.

Проведение атак на GUI управляющей оболочки

Брандмауэры содержат в комплекте поставки программное средство, предназначенное для управления его работой и мониторинга его состояния. Вредоносное приложение осуществлять имитацию пользовательских действий через отключение брандмауэра или изменение его настроек. Кроме того, вредоносные приложения могут регистрировать факты создания окон системы обучения брандмауэра — создаваемое окно может становиться невидимым и вредоносное приложение может выполнять «автоответ», через эмуляцию нажатия кнопок и иных операций для эмуляции пользовательской реакции на запрос. Единственной сложностью при реализации данного метода является многообразие разновидностей брандмауэров, однако нетрудно провести формирование базы данных вида «имя окна» — «имя элемента управления» — «действие».

Методы защиты: брандмауэр должен проводить отслеживание эмуляции различных операций со своими окнами и прочими GUI-элементами. В простейших случаях должен определяться факт отправки сообщений окнам брандмауэра со стороны других приложений.

Тестирование: приложение-тестер эмулирует работу пользователя с окнами брандмауэра, например, посредством отправки им сообщений. Брандмауэр должен проводить регистрацию подобных операций, их блокировку и вывод предупреждений о том, что приложение-тестер пытается осуществлять управление брандмауэром.

Изменение ключей реестра и файлов, принадлежащих брандмауэру.

Как известно, драйверы и службы брандмауэра зарегистрированы в реестре. Ряд вредоносных программ проводят анализ реестра и уничтожение ключей реестра, принадлежащих брандмауэру. Для уничтожения ключей реестра, как правило, достаточно базы данных с именами драйверов и исполняемых файлов. По данным автора, троянские программы могут содержать внушительные базы данных, насчитывающие сотни записей (причем не только для борьбы с брандмауэрами — там присутствует весь спектр программ, предназначенных для защиты компьютера). Аналогичным образом дело обстоит и с файлами: можно легко вычислить принадлежащие брандмауэру файлы (прежде всего драйверы) и повредить их. К сожалению, многие хорошие брандмауэры совершенно беззащитны против такой атаки, чем активно пользуются разработчики вредоносного ПО. В классификации «лаборатории Касперского» для них даже выделена специальная категория — Trojan.KillAV.

Методика защиты: брандмауэр должен защищать свои ключи реестра и файлы. Методика защиты может быть любой — от проактивной защиты, контролирующей модификацию реестра в реальном масштабе времени, до периодического контроля за ключами реестра и восстановления обнаруженных повреждений. Защита файлов от удаления и модификации может производиться при помощи элементов проактивной защиты.

Методика тестирования: на рабочем компьютере подобные тесты производить не следует — это можно делать только на виртуальном ПК или на компьютере, специально выделенном для тестирования. Проверка сводится к попыткам удаления или повреждения принадлежащих брандмауэру файлов, удаления и модификации ключей реестра.

Модификация базы данных брандмауэра

Брандмауэры содержат базу данных, в которой описываются правила его функционирования и настройки. При недостаточном уровне защищенности эта база данных может быть повреждена, изменена или модифицирована. Наиболее часто таким в качестве объекта атаки выступает брандмауэр, встроенный в ОС Windows, — Windows Firewall. Причина этого связана с хранением базы его настроек в реестре (параметр EnableFirewall позволяет включить/выключить брандмауэр, а параметр FirewallPolicy\StandardProfile\ AuthorizedApplications\List хранит список доверенных приложений), что позволяет вредоносному ПО проводить создание собственных правил.

Методика защиты: разработчики брандмауэра должны хранить базу с настройками в зашифрованном виде и обеспечивать несколько степеней защиты базы — создание ее резервных копий, защиту базы контрольными суммами и т.п. При выборе брандмауэра следует обратить внимание на формат базы и меры по ее защите, предусмотренные разработчиками.

Методика тестирования: необходимо найти базу данных брандмауэра и убедиться, что она не хранится в открытом виде. Далее на тестовом компьютере проверяется реакция брандмауэра на удаление и повреждение его базы.

Обход драйверов, установленных брандмауэром

Обход драйвера является довольно сложной операцией, поскольку создатели большинства современных брандмауэров применяют многоуровневый контроль сетевой активности. Кроме того, реализация подобных методик требует проведения разработки достаточно сложного программного кода. Тем не менее, реализации существуют и сводятся к установке собственного NDIS.

Методика защиты: наиболее эффективной защитой является многоуровневая проверка, например TDI- и NDIS-фильтры.

Методика тестирования: использование специализированных утилит, в которых реализована подобная методика по обходу брандмауэра.

Заключение

В рамках данной работы рассмотрены анализа системы защиты информации от сетевых атак в условиях информационной системы ООО «Пожсервис-01».

В ходе работы над проектом был проведен анализ архитектуры системы информационной безопасности предприятия. Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом.

В качестве мер совершенствования системы антивирусной защиты были предложены:

- регулирование доступа к ресурсам Интернета средствами Kaspersky Security Center;

- ограничение использования внешних носителей информации, ограничение использования USB-портов;

- установка рабочей станции для проверки внешних носителей информации и копирования необходимых файлов с них на выделенный ресурс;

- анализ технологий защиты от атак на брандмауэры.

Статистические данные о вирусной активности после внедрения указанных мер совершенствования системы АВЗ показали, что случаи обнаружения вредоносного ПО стали единичными.

Список использованных источников

Системы обнаружения вторжений. [Электронный ресурс]. Режим доступа: http://www.netconfig.ru/server/ids-ips/
IDS – Snort. О программе. [Электронный ресурс]. Режим доступа: http://www.netconfig.ru/ready/snort/
Доверенная загрузка системы. [Электронный ресурс]. Режим доступа: http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/
4 Акулов Л. Г. Хранение и защита компьютерной информации : учебное пособие / Л.Г. Акулов, В.Ю. Наумов. - Волгоград : ВолгГТУ, 2015. - 62 с.
Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.
Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 c
Никифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург : СПбГАСУ, 2017. - 129
Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014.
Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008.
Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320с