Обеспечение информационной безопасности сетей

В результате освоения главы 7 студент должен:

знать

• • принципы построения сетей передачи данных и настройки сетевого оборудования;
• • принципы защиты сетевых элементов (коммутаторов и маршрутизаторов) В от несанкционированного доступа;

уметь

• • читать и понимать конфигурационный файл сетевого и коммутационного оборудования;
• • применять на практике принципы защиты сетевых элементов (коммутаторовВ и маршрутизаторов) от несанкционированного доступа;

владеть

• • способностью настраивать сетевое и коммутационное оборудование с учетомВ аспектов информационной безопасности;
• • принципами организации виртуальных локальных сетей (VLAN).

Глава посвящена некоторым аспектам информационной безопасности компьютерных сетей. Приведены примеры конфигурирования коммутаторов, принципы и основы конфигурирования виртуальных локальных сетей. В В основу главы легли материалы из источника [3].

Общие сведения об информационной безопасности

В сети Интернет, в корпоративных и локальных сетях, но которым передаются пакеты цифровых данных, аудиои видеоинформации, важно обеспечить информационную безопасность. Поскольку сеть Интернет является общедоступной, то ей могут воспользоваться злоумышленники для проникновения во внутренние сети предприятий, на серверы и на конечныеВ узлы пользователей. Злоумышленников, получающих несанкционированный доступ к информации, передаваемой по внутренней сети организации, В часто называются хакерами.

Получив доступ во внутреннюю сеть, хакер может реализовать ряд угроз:

• — хищение личных данных авторизованных пользователей;
• — хищение информации;
• — уничтожение или изменение данных;
• — нарушение нормальной работы сети.

Угроза вторжения во внутреннюю сеть исходит от злоумышленников, расположенных как внутри, так и за пределами организации, использующей сеть передачи данных. При реализации внешних угроз хакеры совершают атаки обычно из Интернета, по беспроводным сетям. ВнутренниеВ угрозы исходят от пользователей, которые имеют санкционированныйВ доступ в сеть. В ряде случаев легальные пользователи сетевых услуг вносят угрозу во внутреннюю сеть организации несознательно, например, В при копировании зараженных вирусом файлов.

Для предотвращения несанкционированного использования информации, ее изменения и отказа доступа к ней принимается комплекс мер информационной безопасности. Основные положения информационнойВ безопасности регламентируются стандартом ISO/IEC 27 002, которыйВ был издан Международной организацией стандартизации — МОС (ISO)В и Международной электротехнической комиссией — МЭК (InternationalВ Electrotechnical Commission — IEC). До 2007 г. это был стандарт ISO/IECВ 17 799.

Стандарт ISO/IEC 27 002 определяет информационную безопасность как «сохранение конфиденциальности (уверенности в том, что информацияВ доступна только тем, кто уполномочен иметь такой доступ), целостностиВ (гарантии точности и полноты информации, а также методов ее обработки) В и доступности (гарантии того, что уполномоченные пользователи имеютВ доступ к информации и связанным с ней ресурсам)».

Система мер информационной безопасности включает антивирусное программное обеспечение, управление доступом к сети и файлам (пароли, В средства аутентификации, позволяющие установить подлинность личности), шифрование передаваемой по сети информации, системы обнаружения и предотвращения вторжения, средства физической безопасности. В Следует отметить, что ни один из методов, устройств или средств не способен реализовать надежную защиту информации. Только комплекс мерВ может обеспечить безопасность требуемого уровня. Ряд принципов илиВ комплекс мер по защите информации называется политикой безопасности. В Рекомендации по разработке политик и процедур безопасности представлено в Руководстве RFC 2196 (Безопасность сайта, справочник).

В настоящем курсе рассматриваются специфические средства защиты сетей и систем передачи информации. Передаваемая по сети информацияВ подвергается атакам, среди которых можно выделить атаки доступа, модификации, отказы в обслуживании.

Атака доступа производится для получения неавторизованным пользователем (злоумышленником, хакером) не предназначенной ему конфиденциальной информации. Пассивная атака доступа реализуется путем подсматривания (snooping) или подслушивания (sniffing) интересующейВ злоумышленника информации, проходящей по сети. Прослушивание легкоВ реализуется в сетях с разделяемой средой передачи, т. е. в сетях с концентраторами (хабами), а также в беспроводных сетях.

Например, злоумышленник может подключиться к сети через концентратор (рис. 7.1) и прослушивать проходящий по концентратору трафик. Для этого взломщик устанавливает в компьютерной системе сетевой ана лизатор пакетов («снифер», sniffer). Анализ трафика в ходе такой пассивной атаки проводится, прежде всего, для определения имен и паролей авторизованных пользователей, зная которые можно полностью контролироватьВ п среда васм ую и н формацию.

Рис. 7.1. Подключение к сети неавторизованного пользователя.

В настоящее время в локальных сетях широко используются коммутаторы, когда принятые кадры не рассылаются широковещательно во все порты, а продвигаются непосредственно на порт узла-получателя. ОднакоВ хакер может обойти это препятствие. Наводнив коммутатор ложнымиВ сообщениями с МАС-адрееами несуществующих источников, хакер переполняет таблицу коммутации и вынуждает коммутатор работать в режимеВ концентратора. При этом злоумышленнику будет доступен весь проходящий по коммутатору трафик. Причем авторизованный пользователь можетВ этого даже не заметить.

При активной атаке производится перехват трафика и после анализа перехваченной информации хакер решает вопрос о ее дальнейшей передачеВ адресату назначения или уничтожении. Для этого хакер может перенаправить трафик коммутатора к «сниферу». Перенаправление трафика путемВ подмены адреса назначения передаваемого кадра получило название «спуфинг» {spoofing). Например, при формировании кадра производится ARP-запрос для получения МАС-адреса назначения по заданному IP-адресу.В Однако такой запрос может захватить установленный в сети «снифер», В который на запрос ответит собственным МАС-адресом, поэтому трафикВ будет перенаправлен злоумышленнику.

Хакер может также продублировать МАС-адрес атакуемого узла на «снифере», поэтому весь трафик, предназначенный легальному узлу, В будет дублироваться «сниферу».

Перехваченная информация затем может быть уничтожена, искажена или без искажения передана адресату назначения.

Атака модификации — это неправомочное изменение информации, т. е. нарушение целостности информации. При этом производится либо заменаВ передаваемой информации, либо добавление новых данных, либо удалениеВ старых передаваемых данных. Для реализации такой атаки необходимоВ предварительно выполнить перехват передаваемой информации, затемВ провести ее модификацию и передать на узел назначения.

Например, «снифером» может быть реализован перехват DNS-запросов, когда он на запрос отвечает IP-адресом. Поэтому «снифер» получает возможность перехвата всей предназначенной атакуемому узлу информации. В Перехваченная информация анализируется, при необходимости модифицируется и затем отправляется легальному получателю.

При такой атаке для «снифера» важно, чтобы он получил DNS-запрос и ответил на него раньше легального устройства. Поэтому для «снифера"В желательно, чтобы он располагался в той же локальной сети, что и узел-отправитель. При атаке через Интернет заранее неизвестно, кто быстрееВ ответит на запрос — «снифер» или легальный DNS-сервер. Перенаправление трафика путем подмены или дублирования адреса назначения легкоВ реализуется, если «снифер» злоумышленника находится в той же локальной сети, что и атакуемый узел. Поэтому очень важна роль физическойВ зашиты сети, чтобы предотвратить возможность подключения аппаратурыВ хакера к локальной сети.