ПРОЕКТИРОВАНИЕ ЗАЩИЩЕННОЙ КОРПОРАТИВНОЙ СЕТИ ПЕРЕДАЧИ ДАННЫХ
DOI 10.24411/2072-8735-2018-10050
Александров Глеб Дмитриевич,
Московский технический университет связи
и информатики, Москва, Россия, Ключевые слова: защита сети,
[email protected] программно-аппаратный комплекс,
тестирование, сеть, проектировани
Ставится задача исследовать вопрос типовых проблем защиты информации, подходы к ее защите. Описываются причины, для чего важно подходить к вопросу модернизации сети, её планирования, а также обеспечивать высокую безопасность. Разобраны этапы проектирования корпоративной сети передачи данных с предоставлением высокой степени безопасности. Исследование ведется через рассмотрение таких проблем, как подключение к оборудованию предприятия, хищение данных, подмена данных, вирусная атака на оборудование, получение доступа к серверам и учетным записям. Выявлены основные критерии, которые требуются сотрудникам для полноценной работы в сети.
Исследуется объект для которого требуется спроектировать сеть. Представлена спроектированная сеть с обозначениями и расшифровкой компонентов, которые используются в сетевом проектировании. Также была представлена типовая схема сети, для более простого представления взаимодействия комонетов сети и защитного комплекса. Представлены рекомендованные методы обеспечения защиты внутри предприятий. Была выбрана базовая технология для проектирования сети передачи данных, а также сетевая топология, которая подходит по критериям предприятия. Рассмотрены основные слабо защищенные места, которым стоит уделить особое внимание при обеспечении безопасности данных. Проведено сравнение нескольких систем позволяющих полноценно защитить предприятие от различных видов угроз.
Большое место в работе занимает рассмотрения программно-аппаратного защитного комплекс, который был выбран по всем базовым критерия для защиты данных предприятия. Производится сравнение нескольких продуктов между собой, а также имеется краткий обзор каждого из ни. Особое внимание выделено описанию плюсов и минусов данной системы. Рассматривается настройка и тестирование системы во внешней и внутренней сети. Разобраны основные разделы системы и их назначение. Приведены результаты работы в режиме реального времени. В заключении было выявлено и обоснованно, для чего было определенным образом спроектированная сеть и подбирался защитный комплекс. Разбирается что было выполнено в ходе проектирования и тестирования системы и на какие ключевые компоненты было акцентированно внимание, которые занимают важную роль при выборе данного комплекса.
Информация об авторе:
Александров Глеб Дмитриевич, Московский технический университет связи и информатики; Мосгортелеком, инженер технической поддержки единого центра хранения и обработки данных, Москва, Россия
Для цитирования:
Александров Г.Д. Проектирование защищенной корпоративной сети передачи данных // T-Comm: Телекоммуникации и транспорт. 2018. Том 12. №3. С. 39-45.
For citation:
Aleksandrov G.D. (2018). The designing of a corporate secured computer network. T-Comm, vol. 12, no.3, pр. 39-45. (in Russian)
ИНФОРМАТИКА
-е-
Введение
В современном мире активно развиваются сетевые и информационные технологии. В настоящее время невозможно наЙТИ Предприятие, которое функционирует oej внедренной сети передачи данных. Подобная сеть позволяет выполнять огромное количество задач, максимально упрощает различные действия, такие как:
1) обмен информацией;
2) работа е документами;
3) доступ к всевозможным ресурсам;
4) управление приложениями;
5) хранение информации.
Информация является очень ценным ресурсом, поэтому злоумышленники нередко пытаются получить доступ к системе предприятия. Они могут причинить вред, состоящий в краже персональных данных и данных компании к заражений системы с полным уничтожением ресурсов, СМИ очень часто сообщают о кибератаках на различные предприятия. Выходит, чтобы этого избежать, нужно очень внимательно подойти к вопросу модернизации сети, особенно со стороны безопасности. Ree это указывает на высокую актуальность данной темы.
Подход к решению проблемы
Поставлена задача спроектировать защищенную корпоративную сети передачи данных для предприятия. В ходе проектирования планируется предоставить высокую степень безопасности сети предприятия с ПОМОЩЫО программ HO-аппаратного комплекса, продемонстрировать его рабочу, как во внешней, так и во внутренней сети.
Исходные данные
Перед тем, как начать оценивать требования к корпоративной сети, нужно получить общее представление о том, что происходит в каждом отделе.
Офис является рабочим местом всех сотрудников, В нем находятся отдел 1,1: технической поддержки, разработчиков, информационной безопасности, бухгалтерии, операторов связи, юридический, логистики, закупок, лаборатории тестирования, программных разработчиков, системных администраторов, службы организации труда, системных аналитиков, а также отдел сертификации оборудования, отдел проектов,
В отделе технической поддержки обеспечивают помощь клиентам в настройке продуктов, мониторингом систем, решают возникающие проблемы на стороне пользователей.
Отдел информационной безопасности занимается подбором сетевого оборудования для заказчиков, сертификацией оборудования, проектирование и внедрение систем защиты информации, разработку корпоративных стандартов, управление проектами.
Отдел разработчиков отвечает за разработку дополнительных программных обеспечений, работающих внутри компаний, поддержку работы систем,
В лаборатории тестировании проводят ряд тестов оборудования Cisco с требованиями ФСТЭК. Тестируют, как для обычных заказчиков, так и для государственных структур, после чего их можно вводить в эксплуатацию.
Разрабатываемая корпоративная сеть для данного предприятия представляет собой рас пределен ну ю сеть. Она
включает в себе высокую пропускную способность, имеет IP телефонию, а также высокую степень защищенности [1].
Каждый пользователь из данных отделов и помещений: Технической поддержки, разработчиков, информационной безопасности, бухгалтерии, операторов связи. Юридический, логистики, закупок, лаборатории тестирования, программных разработчиков, системных администраторов, службы организации ¡руда, системных аналитиков, а также отдел сертификации оборудования, отдел проектов, обязана быть организованна подключение к защищенной сети передачи данных с минимальной пропускной способностью в 100 Мбит/с.
1. Обеспечить выход в глобальную сеть.
2. У каждого сотрудника должна быть создана телефонная связь.
3. Необходимо предоставить па всех узлах технологию QoS, которая необходима для работы IP телефонии.
4. Создать безопасность станций от вредоносного программного обеспечения, внешних угроз и ограничить доступ к не безопасному контенту.
Исходя из вышеперечисленного, получается передача информации трафика данных и голосовой информации.
Рассматривая условия, принято решение, что базовой технологией станет Fast Ethernet, так как использование этой технологии позволяет использовать топологию «Звезда», что дает возможность сократить расходы на перестроение сегн в предприятии [3J.
Проектирование сети передачи данных
После детального разбор предприятия для проекгирова-ния защищенной сети, была спроектирована схема сети предприятия со всеми обозначениями:
1. Access switch означает коммутатор уровня доступа, которые располагаются на каждом этаже.
2. Distribution switch — означает коммутатор уровня распределения, который расположен па третьем этаже.
3. Gateway router - означает шлюз, который находится в здании предприятия,
4. Порты FE - означают Fast Ethernet, далее префикс, которые обозначает номер порта, к которому подключено данное оборудование.
5. Коммутатор Distribution — связан с коммутаторами уровней доступа остальных этажей, а также соединен со шлюзом дли доступа во внешнюю сеть.
6. Программ но-аппаратный комплекс — аппаратный комплекс, который обеспечивает защиту сети предприятия.
В предприятии используются данные сервера в сети:
1. Файловый сервер - его основные функции заключаются в хранении данных на дисковых пространствах, а также управлением правами доступа к файлам предприятия.
2. Почтовый сервер - требуется для передачи и обработки сообщений внутри компании.
3. Сервер баз данных - хранит в себе данные компании.
4. Web-ссрвср - нужен для поддержки функционала сайта предприятия.
5. NMS сервер - требуется для контроля связи устройств между собой, а также для оповещений при разрыве соединений на узлах [2|
40
T-Comm Vol.l2. #3-2018
ИНФОРМАТИКА
-е-
• Зашита от утечки и перехвата информации;
• Отслеживание действий пользователей в сети;
• Ограничения работы в сети;
• Оповещение пользователей об атаках и возможных заражениях системы;
Среди аппараггно-программных комплексов выбрано три наиболее успешных, такие как: Система обнаружения атак «Форпост», «Traffic Inspector» от компании Smart Soll и защитный комплекс «UscrGate UTM» от разработчиков Entensys.
Система Форпост
Система обнаружения вторжений Форпост предназначена для автоматического выявления воздействий на информационную систему. Система «Форпост» позволяет;
• Обнаружить компьютерные атаки, направленные на сервера и рабочие станции (WEB, FTP, электронная почта, СУБД);
■ Позволяет блокировать источник развития селевых атак, пугем отправки соответствующих команд сетевому оборудованию;
■ Оповещает пользователей об обнаруженных атаках путем посылки сообщений на электронную почту, а также на консоль системного администратора;
• Обеспечивает контроль целостности собственных ресурсов Форпост и ресурсов предприятия. Благодаря этому механизму имеется Возможность отслеживать действия нарушителей к системе предприятия;
■ Система «Форпост» ведёт журнал системных сообщений, в которой имеется системная информация создаваемой самой системой. Сообщения поступают но протоколам SNMP и syslog;
• Имеет удаленное управление сетевым оборудованием по защищенному каналу (СКЗИ);
• Создаст отчеты па основе журналов системы;
• Отслеживает появления новых сообщений;
В основу функционирования сетевого датчика «Форпост» положен сигнатурный метод выявления компьютерных атак. Он обеспечивает обнаружение атак на основе специальных сигнатур, каждый из которых соответствует конкретной атаке. При получении данных о сетевом трафике предприятия, она проводит их анализ на соответствие указанным шаблонам атак, имеющимся в базе данных системы.
При обнаружении сигнатуры в исходных данных, система запоминает, каким образом действует атака, оповещает администратора о данном событии и предоставляет ему возможность произвести блокирование источника с помощью соответствующего оборудования.
Управление сетевым оборудованием происходит с помощью компонентов «Форпост» через сетевой интерфейс с помощью протокола telnet. Система имеет функцию периодического создания копий баз данных в отдельный файл с последующим выводом соответствующего сообщения па консоль администратора.
Traffic Inspector
Traffic Inspector является хорошим решением для организации в сфере контроля и защи ты интернет доступа. Он разработан российской компанией «С март софт» и обладает сертификатом ФСТЭК. Она давно завоевала свою популярность среди администраторов сети из-за своей гибкости и
модульной архитектуре, имеющая мощные функции для котроля сетевой активности. Имеет такие возможности как; Защита сети;
Контроль интернет трафик; Статистика доступа; Работа с VPN; Настройка NAT; Встроенные прокси сервера; Блокировка сайтов; Фильтрация различных контенгов; Балансировки нагрузки;
Множество системных администраторов работают с данной системой, но большинство из них не знают ключевых особенностей данного продукта.
Для каждого предприятия очень важна сетевая статистика пользователей, чтобы узнать, кто в какой промежуток времени использовал сеть и .тля каких целей. Она может записываться как в реальном времени, так и в специальный журнал, а также имеется возможность записи во внутреннюю СУБД для каждого пользователя данной системы.
Имеется встроенный межсетевой экран, который закрывает все запросы из глобальной сети, но разрешает исходящие пакеты tcp, udp, ¡стр. При работе с различными приложениями можно задеть им определенные правила для передачи и приеме пакетов. Дчя защиты самого сервера система использует внутренний фаервол, поддерживающий различные настройки для локальной и публичной сети.
Traffic Inspector имеет встроенные антивирусные модули на базе Kaspersky. Они отвечают за защиту корпоративной сети от вредоносных программ, хакерских атак и прочих вирусов. Благодаря этим качествам график проходит безопасно. Система также имеет возможность вылечить зараженные файлы на компьютерах пользователей, блокировать нежелательные вредоносные программы.
Особенностью защиты является детектор ceiesoii активности, которая следит за высокой сетевой активностью, Пели вирус еще не известен системе, то существует настройка па перехват и блокировку таких ситуаций, при срабатывании происходит отключение пользователя от сети, закрывает доступ к файлам и оповещает администратора о данной проблеме.
Данная система имеет доступ через веб-интерфейс; он позволяет просматривать статистику самим пользователям, а администратору удаленно настраивать систему под комфортную работу всей сети. Также большим плюсом является то, что система не требует покупки дополнительного оборудования, что позволяет немного с экономить, а также не перестраивать есть по новой.
Система не может быть без нюансов, У Traffic Inspector очень хороши функциональные качества, но все это стоит не малых затрат. Почти каждая дополнительная функция стоит определенных средств, нельзя купить полностью готовый продукт с полным функционалом и использовать его fia полный максимум.
Защитный комплекс UserGate UTM
Проведя анализ Средств обеспечивающих защиту сети, нам требуется провести сравнение инструментариев для того, чтобы определить, какое из них будет функционировать в нашей сети предприятия. В таблице 1 показана функциональность данных продуктов, а также их отрицательные стороны.
42
IP
Таблица 1
Сравнение доступных ипструментариев защиты сети
Название системы Наличие функционала
Антивирусная система Оповещение системы о внешних угрозах Наличие дополнительных модулей Легкость использования Низкая стоимость Настройка фильтрации Контроль работы пользователей
СО А Форпост - + + - + - +
Traffic Inspector + + - + - + +
UserGate UTM + + - + + + +
-е-
Каждая система по-своему уникальна и обеспечивает хорошую безопасность, но из трех инструментариев выбор определенно падает на Use г Gate UTM, так как он имеет преимущество над другими системами, как в цене, так и по функционалу.
Почти все предприятия строят свою систему зашиты, опираясь на уже устаревший подход, делая упор защиты на несколько точках сети, совсем не берут во внимание, что кроме угроз из внешней сети, также имеются иные каналов утечек информации и атаки на систему: Wi-Fi, Флеш-карты, а также внутреннего нарушителя, который является, обычным сотрудником фирмы, который может, не боясь быть обнаруженным красть информацию.
Чтобы всего этого не произошло, стоит использовать про грамм но-аппаратные средства защиты информации. Они призваны рсализовывать методы, которые противодействуют злоумышленникам при возможностях его доступа, заражения, кражи данных в системе.
Такие методы являются; Идентификация и аутентификация пользователей, разграничение доступа к системе, регистрация событий, криптографическая защита, управление политикой безопасности, антивирусная защита, сетевая защита, защита от утечки и перехвата информации; отслеживание действий пользователей в сети, ограничения работы в сети, оповещение пользователей об атаках и возможных заражениях системы |4].
Среди аппаратно-программных комплексов выбран наиболее успешный защитный комплекс «UserGate UTM» от разработчиков Emensys.
Прежде чем предприятию запустить систему защиты в работу, ее нужно очень тщательно протестировать по всему функционалу. Особое внимание следует уделять данным критериям:
Аутентификация пользователя; Доступа к сервисам UserGate; Настройка межсетевого экрана; Применение политик безопасности; 1 [роверки системы обнаружения вторжений; Система авгоризации пользователей; Доступ к системе с внешних устройств; Выгрузка log-журиалов;
В основном меню системы UserGate UTM, где он может выполнять все настройки по защите и настройки сети.
tw I'M
'Г"""
Рис. 3. Основное меню
Большинство политик доступа и политик фильтрации настраивается через меню «Зоны». Все это делается для того, чтобы иметь кластеризуемые объекты, то есть, оперируя зонами, мы можем строить политики доступа так, как мы хотим. В каждую зону может входить несколько интерфейсов. На каждую зону настраивается защита от сетевого флу-да (защита от атак на уровне 1ср/пс1р и ¡сшр).
В настройках имеется возможность вести записи в 1о§-файл если это нам необходимо, его можно, как скачать, так и посмотреть сразу. В настройках можно указать адрес источника или зону, на что будут применяться данные правила, а также можно выбрать определенных пользователей, на которых будут применены данные настройки.
В данном комплексе имеется система обнаружения вторжений, которая позволяет распознавать вредоносную активность внутренней или внешней сети. Основной задачей является обнаружение и предотвращение угроз, а также в предоставлении отчетов.
В системе изегОаК; так же имеется возможность регистрировать временных пользователей через телефон с помощью смс сообщения. Пользователю на устройство приходит сообщение с его учетными данными для пользования сетью и время действия его данных.
О
ИНФОРМАТИКА
Заключение
В статье спроектирована защищенная сеть перелачи данных для предприятия. Проведен детальный анализ предприятия и были сформированы требования для проектирования будущей сети. Проведен анализ инструментария защиты сети. Было проведено полное тестирование и настройка выбранной системы защиты для предприятия такое как:
1. Работа морфологических словарей;
2. Оповещение администратора об атаках;
3. Работа правил фильтрации;
4. Авторизация и доступ пользователей
COMPUTER SCIENCE
Литература
1. Олифер В.Г.. Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. Издание 4-ое. М.: Питер, 2010. 992 с.
2. Уэнделл Одам. CCNA. Официальное руководство но подготовке к сертификационным экзаменам. М,: Издательский дом «Вильяме». 2014. 736 с.
3. Беленькая М.Н., Малиновский С.Т., Яковенко Н.В. Администрирование и информационных системах. М.: Горячая линия-Телеком, 2011. 400 с.
4. Владимир Шаньгин, Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2010. 544 с.
5. Entesys [гк;. [Электронный ресурс]: Контроль доступа в интернет, управление трафиком к защита от современных угроз UserGale UTM. 2006. URL: http^/staiic.eniensys.com/iocs'utm/overview/ о v егм t w-u sc [gs 11'-u 1 ir. - m. pdi.
THE DESIGNING OF A CORPORATE SECURED COMPUTER NETWORK
Gleb D. Aleksandrov, Moscow Technical University of Communications and Informatics, Moscow, Russia, [email protected]
Abstract
This article explores the question of typical problems of information protection, approaches to its protection. The stages of designing a corporate data network with the provision of a high degree of security are described. The object for which you want to design a network is explored. The article presents a projected network with designations and decoding of components that are used in network design. The recommended methods of providing protection within enterprises are presented. A software and hardware protection complex has been chosen that fits all the basic criteria of enterprises. Advantages and disadvantages of this system are described. The system is configured and tested in the external and internal network. The main sections of the system and their purpose have been disassembled. Results of work in a mode of real time are resulted. Conclusions are drawn about the work done.
Keywords: network protection, software and hardware complex, testing, network, design. References
1. Olifer V.G., Olifer N.A. (2010). Computer networks. Principles, technologies, protocols. Moscow: Peter, 992 p.
2. Wendell Odom (2014). CCNA. Official Guide to Preparing for Certification Exams, Second Edition. Moscow: Wilyams Publishing House, 736 p.
3. Belenkaya M.N., Malinovsky S.T., Yakovenko N.V. (2011). Administration in information systems, Moscow: Hot line - Telecom, 400 p.
4. Vladimir Shanguin (2010). Protection of computer information. Effective methods and means. Moscow: DMK Press, 544 p.
5. Entesys, Inc. (2006) UserGate UTM product. Retrieved from: http://static.entensys.com/docs/utm/overview/overview-usergate-utm-ru.pdf.
Information about author:
Gleb D. Aleksandrov, Moscow Technical University of Communications and Informatics; Mosgortelecom, Engineer of technical support of a single data storage and processing center, Moscow, Russia