Разработка защиты периметра корпоративной сети на основе оборудования Cisco ASA

 Разработка защиты периметра корпоративной сети на основе оборудования Cisco ASA

Содержание
ВВЕДЕНИЕ.............................................................................................................. 8
1 УГРОЗЫ БЕЗОПАСНОСТИ СЕТИ.................................................................... 9
1.1 Необходимость защиты сети ........................................................................ 9
1.2 Причины возникновения проблем защиты ............................................... 10
1.2.1 Технологические недостатки ............................................................... 10
1.2.2 Недостатки конфигурации ................................................................... 12
1.2.3 Недостатки политики защиты сети ..................................................... 13
1.3 Типы угроз безопасности сети ................................................................... 14
2 ОБЗОР УСТРОЙСТВА ЗАЩИТЫ CISCO ASA SERIES............................... 19
2.1 Возможности Cisco ASA Series .................................................................. 19
2.1.1 Межсетевые средства защиты.............................................................. 20
2.1.2 Модуль AIP-SSM................................................................................... 24
2.1.3 VPN с поддержкой SSL и IPSec........................................................... 24
2.2 Модели Cisco ASA Series ............................................................................ 26
3 ЗАЩИТА ПЕРИМЕТРА КОРПОРАТИВНОЙ СЕТИ «S2 RE» .................... 30
3.1 Общая характеристика компании «S2RE» ................................................ 30
3.1.1 Удаленный доступ................................................................................. 30
3.1.2 Доступ к Интернету .............................................................................. 32
3.2 Подразделения компании............................................................................ 32
3.2.1 Подразделение информационных систем........................................... 32
3.2.2 Подразделение сбыта ............................................................................ 32
3.2.3 Подразделение разработки ................................................................... 33
3.2.4 Цели сетевой защиты компании «S2RE» ........................................... 30
3.2.5 Системы защиты периметра сети ........................................................ 34
3.2.6 Маршрутизаторы периметра Cisco...................................................... 35
3.2.7 Демилитаризованные зоны (ДМЗ) ...................................................... 36
3.2.8 Бастионный хост.................................................................................... 37
3.2.9 Межсетевой экран (МСЭ)..................................................................... 38
3.3 Контроль входящего и исходящего доступа............................................. 39
3.3.1 Настройка управления исходящим доступом .................................... 40
3.3.2 Управление доступом к внутренним хостам...................................... 48
3.4 Аутентификация, авторизация и аудит ..................................................... 51
3.5 Безопасное взаимодействие между головным офисом и филиалами .... 57
4 НАСТРОЙКА УСТРОЙСТВА ЗАЩИТЫ CISCO ASA SERIES .................. 61
4.1 Настройка базовой конфигурации ............................................................. 61
4.2 Настройка трансляции сетевых адресов в ASA........................................ 63
4.3 Настройка доступа через устройства защиты ASA.................................. 64
4.4 Настройка множества интерфейсов и средств ААА ................................ 67
4.5 Настройка дополнительных возможностей ASA ..................................... 72
4.6 Настройка средств IPSec VPN для работы с общими ключами ............. 75
5 БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ ................................................ 81
5.1 Анализ условий труда ................................................................................. 81
5.1.1 Оценка освещенности ........................................................................... 82
5.1.2 Оценка микроклимата........................................................................... 82
5.2 Техническое решение вопросов охраны труда ......................................... 83
5.2.1 Расчет искусственного освещения ...................................................... 83
5.2.2 Расчет системы кондиционирования .................................................. 88
6 ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ...................................... 92
6.1 Обоснование выбора устройства защиты Cisco ASA Series. .................. 92
6.2 План организации защиты сети на основе Cisco ASA Series. ................. 93
6.3 Расчет стоимости внедрения Cisco ASA Series. ....................................... 94
6.3.1 Расходы на заработную плату.............................................................. 94
6.3.2 Расчет затрат на оборудование ............................................................ 99
6.3.3 Амортизационные отчисления............................................................. 99
6.3.4 Затраты на электроэнергию................................................................ 100
6.3.5 Расчет затрат на накладные расходы ................................................ 101
6.4 Стоимость поддержки устройства защиты ASA .................................... 102
6.5 Экономический эффект от работы устройства защиты ASA................ 103
6.6 Срок окупаемости ...................................................................................... 104
ЗАКЛЮЧЕНИЕ ...........................................
СПИСОК ЛИТЕРАТУРЫ................................................................................... 106
ПРИЛОЖЕНИЕ А ............................................................................................... 108
ПРИЛОЖЕНИЕ Б................................................................................................ 108
ПРИЛОЖЕНИЕ В ............................................................................................... 108

1.1 Необходимость защиты сети

Распространение Интернет быстро меняет наши представления о том, как
следует вести дела, учиться, жить и отдыхать. Особое влияние это оказывает на
способы ведения бизнеса и управления на глобальном уровне. Лидеры
мирового бизнеса бесспорно признают стратегическую роль Интернета в деле
сохранения жизнеспособности и конкурентоспособности их компаний в XXI
столетии. Потребители и конечные пользователи желают иметь надежно
защищенные средства коммуникаций и ведения электронной торговли. К
сожалению, из-за того, что Интернет изначально был основан на открытых
стандартах, обеспечивающих простоту связи, были упущены некоторые
ключевые компоненты защиты, к которым, например, можно отнести контроль
удаленного доступа, тайну коммуникаций и защиту от помех в предоставлении
сервиса. Необходимость защиты коммуникаций в Интернете вызвала бурное
развитие технологий защиты сетей вообще.
Перед деловыми кругами встала пугающая проблема: как реализовать и
совершенствовать средства и методы защиты, чтобы уменьшить уязвимость
бизнеса в условиях постоянного роста угрозы нарушения защиты, вызванного
развитием хакерских методов. Подходящее для всех решение проблемы сетевой
безопасности предложить трудно, поскольку для локальной сети учебного
заведения эффективными могут оказаться одни решения, а для глобальной сети
- совсем другие. Некоторые решения защиты хороши для малых предприятий,
но оказываются неприемлемыми для крупных организаций по причине
трудоемкости, слишком высокой стоимости или чрезмерных затрат времени,
требуемых на реализацию таких решений в больших сетях. Выход в Интернет
создает дополнительную угрозу безопасности в связи с тем, что сетевой
злоумышленник получает потенциальную возможность доступа к
инфраструктуре данных компании.
Проблема защиты, стоящая перед современным бизнесом, сводится к
задаче рассмотрения всего спектра имеющихся решений и выбора правильной
их комбинации. Сегодня предлагается немало технологий и соответствующих
средств защиты. Трудность реализации защиты сети заключается не в
отсутствии подходящей технологии защиты, а в выборе из множества решений
такого, которое лучше всего подойдет для конкретной сети и требований
вашего бизнеса и при котором затраты на поддержку и сопровождение средств
защиты, предлагаемых соответствующим поставщиком, окажутся
минимальными.
После того как сетевой инженер выберет подходящий набор средств
защиты для сетевой среды, потребуются также и средства, интегрирующие все
это в рамках соответствующего предприятия и обеспечивающие осуществление
целостной и согласованной политики защиты, что в сегодняшних условиях
является совсем непростым делом.

1.2 Причины возникновения проблем защиты

Доступ к внутренней сети, удаленный доступ и доступ в Интернет
сегодня используются довольно широко. Но это порождает определенный риск
и ставит целый ряд вопросов безопасности. В мире есть люди, имеющие
желание, достаточную квалификацию, а подчас и материальную
заинтересованность для того, чтобы использовать известные недостатки
защиты, постоянно открывать и эксплуатировать новые. Существует, по
крайней мере, три основные причины возникновения угроз защиты сети:
• Технологические недостатки. Каждая сеть и каждая компьютерная
технология имеют свои проблемы защиты.
• Недостатки конфигурации. Даже самая надежная технология защиты
может быть неправильно реализована или использована, результатом чего
может оказаться появление проблем защиты.
• Недостатки политики защиты. Неподходящая или неправильно
реализуемая политика защиты может сделать уязвимой даже самую лучшую
технологию сетевой защиты.

1.2.1 Технологические недостатки

Компьютерные и сетевые технологии имеют свои внутренние проблемы
защиты. Рассмотрим недостатки, присущие TCP/IP, операционным системам и
сетевому оборудованию (рисунок 1.1)
Рисунок 1.1 - Технологические недостатки защиты сетевых и компьютерных
компонентов
Недостатки TCP/IP. Протокол TCP/IP разрабатывался как открытый
стандарт, чтобы упростить связь в сети. Службы, средства и утилиты,
построенные на его основе, тоже разрабатывались с целью поддержки
открытых коммуникаций. Рассмотрим некоторые особенности TCP/IP и
соответствующих сервисов, характеризующие их внутреннюю уязвимость.
• Заголовки пакетов IP, TCP и UDP и их содержимое могут быть
прочитаны, изменены и посланы повторно так, чтобы это не было обнаружено.
• Сетевая файловая система (NFS) позволяет получить незащищенный
доверительный доступ к хостам. NFS не обеспечивает аутентификацию
пользователей и использует случайные номера портов UDP для сеансов связи,
что практически не дает возможности ограничить протокольный и
пользовательский доступ.
• Telnet является мощным средством, предоставляющим пользователю
возможность доступа ко многим утилитам и службам Internet, которые иначе
оказываются недоступными. Используя Telnet и указывая номер порта вместе с
именем хоста или IP-адресом, хакеры могут начать интерактивный диалог с
сервисами, которые считаются недостаточно защищенными.
• В системе UNIX демон sendmail может позволить доступ к корневому
уровню UNIX, в результате чего возможен нежелательный доступ ко всей
системе. Сервис sendmail представляет собой программу, используемую для
обмена электронной почтой в UNIX. Эта сложная программа имеет длинную
историю проблем защиты.
Вот некоторые из них:
o sendmail можно использовать для получения доступа к корневому
уровню UNIX путем внедрения соответствующих команд в
фальсифицированные сообщения электронной почты;
o sendmail позволяет выяснить тип операционной системы, в
которой выполняется эта программа (по номеру версии, возвращаемой
фальсифицированными сообщениями); эта информация может
использоваться для того, чтобы начать атаку точек уязвимости
конкретной операционной системы;
o sendmail можно использовать для того, чтобы выяснить, какие
узлы принадлежат домену с данным именем;
o sendmail можно использовать для того, чтобы направить почту по
несанкционированным адресам.
Недостатки операционных систем. Каждая операционная система тоже
имеет свои проблемы защиты. Linux, UNIX, Microsoft Windows 2000, Windows
NT, Windows 98, Windows 95 и IBM OS/2 - все они имеют недостатки, которые
были обнаружены и зафиксированы документально.
Недостатки сетевого оборудования. Сетевое оборудование любого
производителя имеет свои недостатки защиты, которые тоже должны быть
выяснены и в отношении которых должны быть приняты соответствующие
меры. Примерами таких недостатков являются ненадежная защита пароля,
отсутствие средств аутентификации, незащищенность протоколов
маршрутизации и бреши брандмауэров. Выявленные недостатки защиты
сетевого оборудования большинство производителей исправляют достаточно
быстро. Обычно такие недостатки исправляются с помощью программной
"заплаты" или путем обновления операционной системы оборудования.
Бреши позволяют неуполномоченным пользователям получить
несанкционированный доступ или повышенные привилегии доступа к системе.
Причиной может оказаться дефект аппаратных средств или программного
обеспечения.

1.2.2 Недостатки конфигурации

Недостатки конфигурации, показанные на рисунке 1.2, близки к
технологическим. Они возникают вследствие неправильной конфигурации
сетевого оборудования, используемого для решения выявленных или
потенциальных проблем защиты. Следует заметить, что если недостатки
конфигурации известны, их обычно можно легко исправить с минимальными
затратами.
Рисунок 1.2 - Проблемы защиты, возникающие по причине неправильной
конфигурации или неправильного использования оборудования

Вот несколько примеров недостатков конфигурации:
• Недостаточная защита, обеспечиваемая установками по умолчанию.
Установки по умолчанию многих продуктов оставляют открытыми бреши в
системе защиты. Пользователи должны проконсультироваться с фирмой-
производителем или сообществом пользователей о том, какие установки по
умолчанию порождают слабость защиты и как их следует изменить.
• Неправильная конфигурация сетевого оборудования. Неправильная
конфигурация оборудования может вызывать серьезные проблемы защиты.
Например, неправильная структура списков доступа, протоколов
маршрутизации или групповых строк SNMP может открывать широкие бреши в
системе защиты.
• Незащищенные учетные записи пользователей. Если информация об
учетных записях пользователей передается по сети открыто, это дает
возможность использовать имена пользователей и пароли злоумышленникам.
• Учетные записи пользователей, использующих слишком простые
пароли. Эта широко распространенная проблема возникает в результате выбора
пользователями легко угадываемых паролей из ограниченного множества
вариантов. Например, системы NetWare, UNIX и Windows NT могут содержать
учетные записи с именем пользователя guest и паролем guest.
• Неправильная настройка служб Internet. Общей проблемой является
применение Java и jаvascript в обозревателях Web, что открывает возможности
для атак внедрения вредоносных аплстов Java. Сетевое оборудование или
операционная система компьютера могут допускать использование
незащищенных служб TCP/IP, позволяющих удаленный доступ к сети.

1.2.3 Недостатки политики защиты сети

Документированная и объявленная персоналу политика защиты является
существенным компонентом защиты сети. Но некоторые проблемы защиты
могут быть вызваны недостатками самой политики защиты, и к таким
проблемам можно отнести следующие.
• Отсутствие документированной политики защиты. Не представленную
в виде набора документов политику невозможно применять последовательно и
принудительно.
• Внутренние политические противоречия. Политические баталии,
закулисные войны и скрытые конфликты будут препятствовать проведению
согласованной и обязательной политики защиты.
• Отсутствие преемственности. Частая замена персонала, отвечающего за
реализацию политики защиты, ведет к непостоянству в политике защиты.
• Отсутствие логичного контроля доступа к сетевому оборудованию.
Недостаточно строго контролируемые процедуры выбора пароля
пользователями открывают несанкционированный доступ к сети.
• Небрежность администрирования, мониторинга и контроля.
Неадекватный мониторинг, аудит и несвоевременное устранение проблем
позволяют атаковать систему защиты и незаконно использовать сетевые
ресурсы в течение длительного времени, что означает расточительное
использование средств компании и может привести к ответственности перед
законом.
• Неосведомленность о возможности атаки. Организация может даже не
знать о нарушениях, если в организации не проводится регулярный мониторинг
сети или нет системы обнаружения сетевых вторжений вообще.
• Несоответствие программного обеспечения и аппаратных средств
принятой политике защиты. Несанкционированные изменения топологии сети
или установка непроверенных приложений создают бреши в системе защиты.
• Отсутствие процедур обработки инцидентов защиты и плана
восстановления системы. Отсутствие четкого плана обработки инцидентов
защиты и восстановления работоспособности сети предприятия в случае
сетевой атаки приведет к хаосу, панике и ошибочным действиям.

Архивы CERT (Computer Emergency Response Team
-группа
компьютерной "скорой помощи") на странице www.cert.org документируют
многочисленные технологические недостатки защиты самых разных
протоколов, операционных систем и сетевого оборудования. Экспертные
рекомендации CERT касаются проблем защиты Интернет-технологий. Они
объясняют суть проблемы, помогают выяснить, имеет ли проблема отношение
к вашей конкретной сети, предлагают возможные пути ее решения, а также
предоставляют информацию о поставщике соответствующего оборудования.

1.3 Типы угроз безопасности сети

Диапазон угроз безопасности настолько широк, что невозможно
подвергнуть их полной классификации и разработать совершенную систему
защиты от них. Рассмотрим наиболее часто встречающиеся типы угроз
безопасности сети.
• Разведка.
• Несанкционированный доступ.
• Блокирование сервиса.
• Подтасовка данных.
Эти категории угроз свидетельствуют об уязвимости сети и
характеризуются атрибутами компьютера, позволяющими кому-либо начать
враждебные действия против соответствующих сетевых объектов. В данном
случае враждебное действие означает метод извлечения выгоды из уязвимости
с помощью некоторой процедуры, сценария или программы. Целью такого
действия является сбор имеющейся информации (разведка), блокирование
системы обслуживания легальных пользователей, получение
несанкционированного доступа к объектам и данным или подтасовка данных.

1.3.1 Разведка
Разведка представляет собой несанкционированное выявление структуры
сети, построение ее карты и мониторинг систем, служб и точек уязвимости
сети. К ней также относят мониторинг сетевого трафика. Разведка может быть
активной или пассивной. Информация, полученная в результате атак разведки,
может затем использоваться для проведения атак другого типа в той же сети
или для того, чтобы осуществить хищение важных данных.....


Толық нұсқасын 30 секундтан кейін жүктей аласыз!!!


Қарап көріңіз 👇


Пайдалы сілтемелер:
» Туған күнге 99 тілектер жинағы: өз сөзімен, қысқаша, қарапайым туған күнге тілек
» Абай Құнанбаев барлық өлеңдер жинағын жүктеу, оқу
» Дастархан батасы: дастарханға бата беру, ас қайыру