Тема: «защита нескольких локальных сетей, связанных через internet c Proxy-серверами и координаторами на них»

Тема: «Защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них»

 

 

Автор курсовой работы Ньорба Максим Юрьевич

Специальность 090105 «Комплексное обеспечение

информационной безопасности автоматизированных систем»

Номер группы БАС-071

Руководитель работы доцент, к.т.н. Граков Вячеслав Иванович

 

Ставрополь, 2011

Содержание

 

Введение

Глава 1. Анализ структуры незащищенной сети и формирование требований защиты

Выявление структуры и основных свойств незащищённой сети

Выявление и анализ основных угроз безопасности данной системы

Выявление и анализ основных видов сетевых атак на данную систему

Формирование требований защиты

Выводы

Глава 2. Анализ технологии VPN и её построения

Понятие и классификация VPN сетей, их построение

Классификация VPN сетей

Построение VPN

Методы реализации VPN сетей

Выводы

Глава 3. Разработка и формирование защищенной сети

Анализ режимов безопасности сетевых интерфейсов Координатора

Выбор режима для сетевых интерфейсов и настройки правил фильтрации

Настройка фильтров координатора в сети с Proxy-серверами

Выводы

Заключение

Список литературы

 

Введение

 

Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступа. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи - очень дорогое удовольствие.

Проще и дешевле, если информация будет передаваться по обычным каналам связи (например, через Интернет), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Сети. Но не следует думать, что потребность в конфиденциальной передаче информации возникает только в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, где требуется отделить один тип трафика от другого (например, трафик платежной системы от трафика информационно-аналитической системы).

Целью данной работы является изучение защиты нескольких локальных сетей, связанных через Internet, c Proxy-серверами и Координаторами на них. Объектом исследования является защита локальных сетей, связанных через Интернет. Методы защиты локальных сетей, связанных через Интернет при данных условиях представляют собой предмет исследования в данной работе. Одним из основных методов защиты локальных сетей, связанных через Интернет является использование технологии VPN, возможности и реализация которой будут рассмотрены в данной работе.

 

Глава 1. Анализ структуры незащищенной сети и формирование требований защиты

Выявление структуры и основных свойств незащищённой сети

 

Прежде чем построить систему защиты, необходимо, вначале выработать и проанализировать модель системы, которую мы будем защищать, выделить её основные свойства и угрозы, которые могут быть реализованы.

 

Рисунок 1.1 Схема незащищенной автоматизированной системы

 

Информация об исходной схеме сети:

Адреса в локальных сетях частные.

На входах в локальные сети стоят компьютеры PROXY с реальными адресами.

Локальных сетей может быть сколько угодно.

К открытому Интернету подключается произвольное количество мобильных пользователей.

 

Выводы

 

В 1 главе я рассмотрел незащищенную схему нескольких локальных сетей, связанных через Интернет, c Proxy-серверами. Затем, сформировал модель системы, которую требуется защитить. Так же были определены основные свойства системы. По итогам анализа угроз безопасности и возможных атак было выяснено, что данная система является абсолютно незащищенной и требуется разработать вариант защиты ее на основе выделенных угроз.

Был выделен основной сценарий сетевой атаки на данную систему:

пассивная разведка;

активная разведка;

выбор (разработка) эксплойта;

взлом целевой системы;

загрузка «полезного груза» (которым, как правило, является вредоносная программа);

сокрытие следов взлома.

Для построения защищённой сети, мною была выработана система требований к ней, которые должны выполняться.

В следующей главе будет подробно рассмотрено, какие меры необходимо предпринять для противодействия выделенным сетевым атакам.

 

Классификация VPN сетей

 

Классифицировать VPN решения можно по нескольким основным параметрам:

. По типу используемой среды:

Защищённые VPN сети. Наиболее распространённый вариант приватных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Доверительные VPN сети. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: MPLS и L2TP. Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec.

. По способу реализации:сети в виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.сети в виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.сети с интегрированным решением. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

3. По назначению:VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

. По типу протокола:

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

. По уровню сетевого протокола:

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

 

Построение VPN

 

Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN. Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование, однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение. Рассмотрим некоторые варианты построения VPN.на базе брандмауэров

Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через брандмауэр, шифруется. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком этого метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.

В качестве примера VPN на базе брандмауэров можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.на базе маршрутизаторов

Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.

Примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3, маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.

Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA. Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (маршрутизатор доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в отделениях крупных организаций.на базе программного обеспечения

Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере, и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.

В качестве примера такого решения можно выступает программное обеспечение AltaVista Tunnel компании Digital. При использовании данного программного обеспечения клиент подключается к серверу Tunnel, аутентифицируется на нем и обменивается ключами. Шифрация производится на базе 56 или 128 битных ключей, полученных в процессе установления соединения. Далее, зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые в свою очередь отправляются на сервер. Кроме того, данное программное обеспечение каждые 30 минут генерирует новые ключи, что значительно повышает защищенность соединения.

Положительными качествами AltaVista Tunnel являются простота установки и удобство управления. Минусами данной системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

VPN на базе сетевой ОС

Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.на базе аппаратных средств

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт c IPro-VPN компании Radguard. Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. IPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра

 

Методы реализации VPN сетей

 

Виртуальная частная сеть базируется на трех методах реализации:

Туннелирование;

Шифрование;

Аутентификация.

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.

Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.

Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (ЭЦП). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.

Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.

Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP

EAP или Extensible Authentication Protocol;или Microsoft Challenge Handshake Authentication Protocol (версии 1 и 2);или Challenge Handshake Authentication Protocol;или Shiva Password Authentication Protocol;или Password Authentication Protocol.

Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.

Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и «компьютер», а также выполняет аутентификацию и шифрование данных.

Аутентификация осуществляется либо отрытым тестом (clear text password), либо по схеме запрос/отклик (challenge/response). С прямым текстом все ясно. Клиент посылает серверу пароль. Сервер сравнивает это с эталоном и либо запрещает доступ, либо говорит «добро пожаловать». Открытая аутентификация практически не встречается.

Схема запрос/отклик намного более продвинута. В общем виде она выглядит так:

клиент посылает серверу запрос (request) на аутентификацию;

сервер возвращает случайный отклик (challenge);

клиент снимает со своего пароля хеш (хешем называется результат хеш-функции, которая преобразовывает входной массив данных произвольной длины в выходную битовую строку фиксированной длины), шифрует им отклик и передает его серверу;

то же самое проделывает и сервер, сравнивая полученный результат с ответом клиента;

если зашифрованный отклик совпадает, аутентификация считается успешной;

На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.

Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. В настоящее время поддерживаются два метода шифрования:

Протокол шифрования MPPE или Microsoft Point-to-Point Encryption совместим только с MSCHAP (версии 1 и 2);TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером.поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.

Оба протокола реализованы как в Microsoft Windows, так и вне ее (например, в BSD), на алгоритмы работы VPN могут существенно отличаться. В NT (и производных от нее системах).

Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть.

Дополнительным приятным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.

Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя - первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза - между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности - аутентификации данных.

Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.

сеть безопасность фильтр координатор сервер

Выводы

 

В качестве технологии защиты сети выбрана технология VPN

Путем исследования существующих программных средств реализации технологии VPN был выбран программный комплекс ViPNet фирмы «InfoTeCS».

Путем анализа состава и функциональных возможностей комплекса ViPNet были выявлены необходимые функции для системы защиты нашей сети. Теперь необходимо перейти непосредственно к реализации системы защиты.

 

Выводы

 

В данной главе была сформирована структура защищённой сети, а также произведена настройка Координатора в соответствии с предъявленными требованиями.

Для настройки Координатора потребовалось проанализировать режимы безопасности сетевых интерфейсов - правила, в соответствии с которыми производится фильтрация трафика.

Мною были выбраны подходящие настройки интерфейса и правила фильтрации для исходной незащищенной сети.

И, в самом конце рассмотрели тонкости взаимодействия Proxy-сервера и Координатора и выбрали возможные режимы работы, которые, при необходимости, можно менять.

Таким образом, в данной главе было завершено формирование защищённого туннеля для наших сетей.

 

Заключение

 

В заключении рассмотрим соответствие требованиям, поставленным в первой главе и выполнение их:

Требуется защита информационного обмена при прохождении через открытый Интернет.

Требуется защита информационного обмена внутри локальных сетей.

Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

Для реализации предъявленных требований, действительно, достаточно установки программного обеспечения ViPNet [Координатор] только на шлюзы ЛВС, потому что весь трафик будет проходить через эти шлюзы и контролироваться.

Для выполнения предъявленных требовании необходимо установить 2 режим фильтрации трафика, при котором все соединения, кроме разрешенных, блокируются, и настроить диапазон адресов локальной сети на соответствующем интерфейсе и всех адресов на внешнем интерфейсе.

В результате этого:

координатор полностью защищен от любых видов атак из открытой внешней сети и из локальной сети;

осуществляется защищенное взаимодействие с сетевыми узлами из окна Защищенная сеть и туннелируемыми ресурсами координаторов;

все компьютеры внутренней (локальной) сети не могут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;

соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут невозможны.

соединения извне с защищенных мобильных компьютеров на компьютеры локальной сети будет возможно.

В результате, в трёх главах данной работы мы проанализировали схему незащищенной сети, выявили значимые свойства данной системы, определили основные угрозы безопасности, от которых мы будем защищать нашу систему, а также требования, которым должна соответствовать защищённая нами система и в конце сформировали модель защищаемой сети.

По итогам анализа полученной защищенной системы можно сказать, что предъявленные требования были выполнены, и организована защита нескольких локальных сетей, связанных через Internet, c Proxy-серверами и Координаторами на них, что соответствует цели данной работы.

 

Список литературы

 

1. Конев И.Р., Беляев А.В. Информационная безопасность предприятия - СПб: БХВ - Петербург 2007. - 752с.: ил.

2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов - М: Горячая линия - Телеком, 2004 - 280 с. Ил.

.   Биячуев Т.А. под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. - СПб: СПб ГУ ИТМО, 2006 - 161 с

.   Зепченков С.В., Милославкая Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. пособие для вузов. М.: Горячая линия - Телеком, 2003, - 249 с.

.   Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. / Под ред. В.Ф. Шаньгина - 2-е изд., перераб. и доп. - М: Радио и связь, 2001.- 376 с.: ил.

.   Браун С. Виртуальные частные сети / С. Браун - Н.: Лори, 2001 - 503с.

.   Кульгин М.В. Компьютерные сети. Практика построения. Для профессионалов. 2-е изд. / М.В. Кульгин - СПб.: Питер, 2003 - 462 с.

.   Хелеби С. Принципы маршрутизации в Internet, 2-е изд. / С. Хелеби, Д. Мак-Ферсон - М.: Издательский дом «Вильяме», 2001. - 448 с.

.   Чирилло Д. Обнаружение хакерских атак / Д. Чирилло - СПб.: Питер, 2003 - 864с.

.   Норткат С. Обнаружение нарушений безопасности в сетях / С. Норткат - М.: Вильямс, 2003 - 448с.

.   Оголюк А.А. Технологии построения системы защиты сложных информационных систем / А.А. Оголюк, А.Ю. Щеглов - М.: Экономика и производство 2007 - 263 с.

Тема: «Защита нескольких локальных сетей, связанных через Internet c Proxy-серверами и Координаторами на них»

 

 

Автор курсовой работы Ньорба Максим Юрьевич

Специальность 090105 «Комплексное обеспечение

информационной безопасности автоматизированных систем»

Номер группы БАС-071

Руководитель работы доцент, к.т.н. Граков Вячеслав Иванович

 

Ставрополь, 2011

Содержание

 

Введение

Глава 1. Анализ структуры незащищенной сети и формирование требований защиты

Выявление структуры и основных свойств незащищённой сети

Выявление и анализ основных угроз безопасности данной системы

Выявление и анализ основных видов сетевых атак на данную систему

Формирование требований защиты

Выводы

Глава 2. Анализ технологии VPN и её построения

Понятие и классификация VPN сетей, их построение

Классификация VPN сетей

Построение VPN

Методы реализации VPN сетей

Выводы

Глава 3. Разработка и формирование защищенной сети

Анализ режимов безопасности сетевых интерфейсов Координатора

Выбор режима для сетевых интерфейсов и настройки правил фильтрации

Настройка фильтров координатора в сети с Proxy-серверами

Выводы

Заключение

Список литературы

 

Введение

 

Из пункта А в пункт Б необходимо передать информацию таким образом, чтобы к ней никто не смог получить доступа. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б могут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделенный канал связи, принадлежащей компании, информация которой требует защиты. Однако поддержание таких каналов связи - очень дорогое удовольствие.

Проще и дешевле, если информация будет передаваться по обычным каналам связи (например, через Интернет), но каким-либо способом будет отделена или скрыта от трафика других компаний, циркулирующего в Сети. Но не следует думать, что потребность в конфиденциальной передаче информации возникает только в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, где требуется отделить один тип трафика от другого (например, трафик платежной системы от трафика информационно-аналитической системы).

Целью данной работы является изучение защиты нескольких локальных сетей, связанных через Internet, c Proxy-серверами и Координаторами на них. Объектом исследования является защита локальных сетей, связанных через Интернет. Методы защиты локальных сетей, связанных через Интернет при данных условиях представляют собой предмет исследования в данной работе. Одним из основных методов защиты локальных сетей, связанных через Интернет является использование технологии VPN, возможности и реализация которой будут рассмотрены в данной работе.

 

Глава 1. Анализ структуры незащищенной сети и формирование требований защиты