Современные информационные технологии/4. Информационная
безопасность
Д.т.н.,
Корнієнко Б.Я., Тюртюбек К.О.
Національний
авіаційний університет (НАУ), Україна
ПОЛІГОН КІБЕРБЕЗПЕКИ НА БАЗІ ПРИКЛАДНОГО
ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
Висока вартість
компонентів для побудови та тестування різних конфігурацій безпечної мережі,
основаної на мережевому обладнанні cisco, не дає змогу невеликим компаніям побудувати
полігон кібербезпеки, на якому можна протестувати конфігурацію мережевого
обладнання цієї компанії та політик безпеки на предмет їхньої вразливості щодо
атак на комп’ютерну мережу.
Основною метою
побудови полігону кібербезпеки на основі прикладного програмного забезпечення є
економія ресурсів компанії та можливість проведення оцінки ризиків при різних
конфігураціях мережі, та різних реалізаціях політик безпеки. Актуальність
полягає в можливості оцінити захищеність мережі при реалізації різних видів
атак на неї, шляхом моніторингу і збирання статистики обладнання. На основі
зібраної статистики можна робити підкріплені висновки щодо перекофігурації
мережевого обладнання, необхідності заміни деяких компонентів, практично
оцінити доцільність використання мережевого устаткування.
При виконанні
даної роботи було проаналізовано можливість побудови віртуального полігону
кібербезпеки на різних платформах – емуляторах віртуальних мереж, зроблено
висновки по кожному із емуляторів грунтуючись на перевагах і недоліках кожного
з них. Для побудови віртуального полігону кібербезпеки на базі емулятора
віртуальної мережі обрано GNS3. GNS3 -це графічний емулятор мережі, який
дозволяє моделювати віртуальну мережу з мережевого обладнання більше ніж 20
різних виробників на локальному комп’ютері, приєднувати віртуальну мережу до
реальної, додавати в мережу повноцінний комп’ютер, підтримуються сторонні
програми для аналізу мережевих пакетів, зокрема Wireshark. незважаючи на певні недоліки, такі як
відсутність підтримки мультиюзерності та обмеженість мережевих підключень QEMU,
якими можна знехтувати. За всіма іншими характеристиками даний емулятор
ідеально підходить для того аби реалізувати на його базі повноцінну
функціонуючу віртуальну мережу, налаштувати її під будь-які потреби та
проводити повноцінне тестування, за виключенням використання бездротових мереж
та пристроїв, які на разі не емулюються жодною із платформ.
Топологія
комп'ютерної мережі складається з міжмережевого екрану Cisco ASA 5520, який
поділяє мережу компанії на демілітаризовану зону, внутрішню та зовнішню
мережу. На роутері Cisco 3745
налаштована маршрутизація трафіку між мережами працівників та керівництва та
віддалене підключення по захищеному протоколу SSH версії 2. В демілітаризованій
зоні налаштований Web-сервер, до якого мають доступ як з зовнішньої мережі
(Cisco ASA автоматично транслює пакети які надходять до неї по 80 порту на
сервер) так і з внутрішньої мережі. Також налаштований FTP-сервер, до якого є
доступ лише з внутрішньої мережі. На Cisco ASA налаштовано статичний NAT, для
доступу до локального серверу з мережі інтернет, а також для відсутності
доступу до внутрішньої мережі ззовні та графічний інтерфейс управління
міжмережевим екраном Cisco ASDM. Перевірено правильність налаштувань мережі. Зональна модель є доволі гнучкою, інтерфейси
присвоюються зонам, а політика перевірки – трафіку, що передається між зонами.
У демілітаризованій зоні та внутрішній мережі використовуються віртуальні
машини, за допомогою яких
знімається статистика стосовно успішності чи неуспішності проведених атак.
Використання різних серій маршрутизаторів
у різних зонах дозволяє підвищити безпеку та знизити ймовірність
зловмисника скористатись однією і тією ж вразливістю. Для тестування на
проникність і аудиту безпеки мережі використовується дистрибутив Kali Linux, котрий містить
близько 300 інструментів.
Для випробування
побудованого полігону кібербезпеки було проведено сканування мережі та портів
мережних пристроїв за допомогою утиліти Zenmap. Zenmap - офіційний GUI для програми Nmap Security Scanner, утиліта для дослідження мережі та сканер
портів. Якщо зловмисник має доступ до мережі зсередини, то йому вдасться
просканувати топологію мережі і знайти можливі вразливості. Утиліта дозволяє
визначити, які хости доступні в мережі, версію операційної системи, які служби
на них запущені, назви запущених додатків і номера і стани портів Ззовні, як наслідок налаштувань ASA та NAT,
сканування не дало нічого окрім знайденої IP-адреси зовнішнього інтерфейсу ASA,
та сканування зсередини, в результаті якого була зібрана інформація про
внутрішню мережу включаючи внутрішній інтерфейс Cisco ASA.
За допомогою утиліти
hping3 було реалізовано стрес-тест мережі - Syn-Flood атака на відмову сервера
заснована на спробі ініціалізації великого числа одночасних TCP-з'єднань через
посилку SYN-пакету з неіснуючою зворотною адресою. Cisco ASA автоматично
транслює пакети які надходять до неї по 80 порту на сервер, а при атаці на
відмову ресурсів це спричиняє додаткове навантаження на сервер, що спричиняє
відмову у доступі звичайним користувачам. Для вирішення даної
проблеми ASA використовує TCP SYN Cookies: ASA захищає сервер і
не транслює на нього всі з'єднання. Замість того щоб запам'ятовувати всі ці
половинчасті сесії, ASA відповідає на
кожну з них, але фактичне з'єднання з сервером здійснює тільки при
отриманні 3-го відповіді Ack.
Embryonic-conn-max 5 означає, що максимум буде дозвіл до 5 половинчастих
з'єднань.
Полігон кібербезпеки
реалізований на основі GNS3, в якому побудована дана топологія та проведено
налаштування мережевого устаткування, тобто підготовлений стенд для тестування
мережі на проникність і проведення аудиту безпеки. Практична значимість якого
полягає в розробленні полігону кібербезпеки на базі прикладного програмного
забезпечення, який можна використовувати в якості навчальної лабораторії для
тестування налаштувань мережевих пристроїв та навчання фахівців в сфері
інформаційно-телекомунікаційних систем.
Література
1. Олифер
В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. – СПБ.:
Питер, 2005. – 561
2. The official GNS3 Documentation [Електронний ресурс] – Режим доступу : https://www.gns3.com/support/docs
3. Стресс-тест сети: DoS с использованием Hping3 [Електронний ресурс] – Режим доступу : https://codeby.net/bezopasnost/stress-test-seti-dos-s-ispolzovaniem-hping3-i-spufingom-ip-v-kali-linux
4. Как
использовать сканер безопасности Zenmap на Linux [Електронний ресурс] – Режим
доступу : https://codeby.net/bezopasnost/kak-ispolzovat-skaner-bezopasnosti-nmap-na-linux