Сучасні інформаційні технології/Інформаційна безпека

Дубчак О.В., Сіньков В.О.

Національний авіаційний університет, Київ

ОРГАНІЗАЦІЯ ЗАХИСТУ КОРПОРАТИВНИХ МЕРЕЖ

Вступ Зростаючий рівень інформатизації обумовлює особливості захисту інформації в корпоративних мережах (КМ),  основне призначення яких полягає в обов'язку доставити необхідну інформацію усім співробітникам та клієнтам незалежно від місця їх знаходження та в мінімально короткий термін.

Актуальність Захист інформаційних ресурсів - процес, спрямований на запобігання витоку інформації, що потребує захисту, несанкціонованих і ненавмисних впливів на інформаційні об’єкти -  вимагає комплексного підходу.

Метою роботи є  розгляд існуючих методів захисту мережевого обладнання та його периметру, а також аналіз особливостей організації інформаційної безпеки КМ.

Викладення матеріалу Усі дані, які циркулюють КМ, передаються у вигляді пакетів обміну та мають пройти крізь усі рівні моделі OSI [4].

Як правило, атаки на канальному рівні припускають, що порушник знаходиться в локальній мережі, або існує посередник, який навмисно або ненавмисно допомагає виконанню атак [1]. Завданням порушника є отримання доступу до певних ресурсів або порушення нормальної роботи мережі. Небезпека такого роду атак полягає в тому, що їх вдале завершення може стати засобом потрапляння зловмисника на більш високі рівні.

Атаки, залежно від отриманого результату, можна класифікувати, причому слід зауважити, що наведена нижче класифікація не охоплює  усі можливі типи атак.

Man in the middle  (MitM, людина посередині) - порушник знаходиться між двома жертвами і або прослуховує трафік, який передається між ними, або перехоплює його і підміняє. При цьому для жертв ніяких видимих ​​ознак атаки немає.

Denial of Service (DoS, відмова в обслуговуванні) - атака на ресурс системи з метою довести його до відмови. На канальному рівні є ряд атак, які дозволяють отримати односторонній доступ до деякої ділянки мережі, чого, зазвичай, достатньо для такого типу атаки.

Несанкціонований доступ до мережі або ділянок мережі (НСД) - отримання  зловмисником доступу до теоретично недоступних ділянок мережі шляхом використання недоліків у протоколах з можливим подальшим виконання інших типів атак в цих ділянках мережі.

Порушення роботи мережі або її ділянок – атака, за якої, за відсутності можливості якось умисно вплинути на протоколи канального рівня, використовуються недоліки протоколів, що призводить до порушення їх належного функціонування та подальшого порушення роботи ділянки мережі або всієї мережі [2].  

Згідно вказаних атак, які призводять до порушення конфіденційності, цілісності та доступності інформаційних ресурсів КМ, виникає необхідність у забезпеченні захисту як мережевого обладнання, так и всього периметру мережі.

У сучасних КМ обмін інформацією, як правило, передбачає передачу даних через комутатор, тому сам комутатор і протоколи, які використовуються ним, можуть бути мішенню для атак. Більш того, деякі налаштування комутаторів, як правило, за вмовчання, дозволяють виконати ряд атак і отримати НСД до мережі або вивести з ладу мережеві пристрої.

Однак, комутатор може бути і досить потужним засобом захисту, але за умови,  що використовується не найпростіший комутатор 2 - го рівня, а комутатор з відповідними функціями для забезпечення безпеки [3].

Щодо безпеки роботи інших рівнів мережевої архітектури та всього периметру загалом, то, за думкою спеціалістів, найбільш надійним методом захисту є використання спеціалізованого обладнання.  До його складу входять система виявлення та запобігання вторгнень IDS/IPS (Intrusion Detection System/ Intrusion Prevention System), що здійснює моніторинг та боротьбу із  несанкціонованою мережевою активністю у режимі реального часу, та міжмережевий екран (ММЕ), який здатен фільтрувати та блокувати трафік. У більшості випадків ММЕ реалізують на третьому (мережевому), четвертому (транспортному) або сьомому (прикладному) рівнях мережевої архітектури [2].

Залежно від характеру інформації та способу її обробки, а також з метою підвищення надійності захисту, ММЕ реалізують як сукупність функцій для забезпечення безпеки, що передбачає:

—        контроль та розмежування доступу на основі списків контролю доступу ACL (Access Control List);

—        виконання автентифікації, авторизації та аудиту користувачів шляхом  використання протоколів ААА (Authentication,   Authorization,  Accounting) та 802.1х;

—        використання трансляції мережевих адрес для приховування локальної інфраструктури за допомогою технології NAT (Network Address Translation);

—        організацію зон безпеки шляхом  використання Zone Based Firewall;

—        інспектування та відстеження потоків трафіку;

—        забезпечення надійного аудиту, логування та моніторингу засобами протоколів Syslog, SNMP, NetFlow;

—        створення різнотипних віртуальних приватних мереж VPN (IPsec та SSL VPN) [2].

Зрозуміло, що, забезпечуючи захист певних властивостей інформації, таких як конфіденційність і цілісність, слід піклуватися і про інші, зокрема, -  доступність, яка є також важливою. Для підвищення доступності використовується, в першу чергу, додаткове обладнання та надлишкові фізичні канали передачі даних. За допомогою функції агрегування каналів і технології EtherChannel можна об’єднувати декілька фізичних в один логічний, що забезпечує наявність постійного підключення у разі, наприклад, обриву одного з фізичних підключень, або поламки одного з мережевих інтерфейсів. Така технологія також передбачає балансування трафіку, що запобігає перевантаженню одного з каналу передачі даних, шляхом рівномірного розподілу потоків по фізичних підключеннях.

Використання технології резервування шлюзу за допомогою протоколів FHRP (First Hop Redundancy Protocols) значно підвищить рівень якості щодо доступності у глобальну мережу, адже вихід з ладу одного тільки шлюзу в КМ унеможливлює вихід мережі до Інтернет. Шляхом налаштування резервування шлюзу можна передбачити наслідки можливого обриву каналу передачі між мережею і шлюзом або, взагалі, самого шлюзу, оскільки відбувається моментальне аварійне переключення на резервний шлюз.

Висновки  Корпоративна мережа – закрита структура з досить високим ступенем захисту, доступ до якої із зовні заборонений взагалі або строго обмежений, а доступ до інформації всередині її розмежований. Тому проблематика організації захищених КМ не втрачає своєї актуальності. Але використання лише одного із засобів захисту, зокрема ММЕ, не убезпечить КМ від НСД або інших атак зловмисників. Слід комплексно підходити до забезпечення захисту КМ, враховуючи важливість всіх основних властивостей інформаційних ресурсів.

Література

1.                 Микитишин А. Г.  Комп'ютерні мережі: [навчальний посібник] / А. Г. Микитишин, М. М. Митник, П. Д. Стухляк, В. В. Пасічник// — Львів: «Магнолія 2006», 2013. — 256 с.

2.                 Уэнстром М.  Организация защиты сетей Cisco/  М.  Уэнстром //– М.: Издательский дом «Вильямс», 2005. – 768с.

3.                 Securing Networks with Cisco Routers and Switches. Volume 1 / Version 3.0 / Student Guide – Cisco Systems, Inc, 2008.

4.                 Эталонная модель OSI. URL: http://www.ikasteko.ru/page/etalonnaja-model