ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/7721| Title: | Проектування захисту розподіленої мережі організації на основі шлюзів безпеки Ciscо |
| Authors: | Панаско, Олена Миколаївна Залозний, Андрій Олександрович |
| Keywords: | cisco asa;мережевий екран;алгоритм шифрування;dhcp-сервери;network time protocol;приватна віртуальна мережа |
| Issue Date: | 2022 |
| Abstract: | Практична реалізація та налаштування політики безпеки мережі, включаючи конфігурацію служб мережевої інфраструктури, контр |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/7721 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| Б_125_Залозний_Панаско.pdf Restricted Access | 1.35 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ І РОБОТОТЕХНІКИ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2022 року
Пояснювальна записка
до дипломного проекту (роботи)
бакалавра
(освітньо-кваліфікаційний рівень)
на тему «Проектування захисту розподіленої мережі організації на основі
шлюзів безпеки Cisco»
Виконав: студент 4 курсу, групи БІ-81
Спеціальності 125 – «Кібербезпека» ,
(шифр і назва спеціальності)
освітньої програми «Безпека інформаційних і
комунікаційних систем»
(назва освітньої програми)
Залозний А.О.
(прізвище та ініціали)
Керівник Панаско О.М.
(прізвище та ініціали)
Рецензент Андрієнко В.О.
(прізвище та ініціали)
Черкаси – 2022 року
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет електронних технологій і робототехніки
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
Освітньо-кваліфікаційний рівень бакалавр
Спеціальність 125 – Кібербезпека
Освітня програма – Безпека інформаційних і комунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри В.В. Палагін
“_____” ___________________ 2022 року
ЗАВДАННЯ
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ
Залозного Андрія Олександровича __________________
(прізвище, ім’я, по батькові)
1. Тема проекту (роботи) Проектуваннязахистурозподіленоїмережіорганізації наоснові
шлюзівбезпеки Cisc
керівник проекту (роботи) ПанаскоОленаМиколаївна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом вищого навчального закладу від «18» лютого 2022 року № 58/04
2. Термін здачі студентом закінченої роботи “ 25 ” травня 2022 року _________
3. Вихідні дані до роботи: наукові та навчальні джерела з галузі Computer Networks та
Cybersecurity; відомості про принципи забезпечення мережевої безпеки в сучасних
інформаційно-комунікаційних системах; технології захисту комп’ютерних мереж та
політики безпеки організацій; мережеве обладнання та програмні рішення компанії Cisco
Systems; можливості та принципи роботи шлюзів безпеки Cisco ASA; мережеві
протоколи та технології забезпечення безпеки, зокрема TACACS+, DHCP, NTP, а також
технології Virtual Private Network та Network Address Translation.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити)
Аналіз принципів забезпечення мережевої безпеки, дослідження методів захисту
комп’ютерних мереж, управління доступом та використання засобів шифрування і
автентифікації; огляд технологій захисту мережі на основі шлюзів безпеки Cisco ASA та
аналіз політики безпеки компанії Cisco Systems; Проектування топології розподіленої
мережі організації та розробка схеми адресації і мережевої інфраструктури; практична
реалізація та налаштування політики безпеки мережі, включаючи конфігурацію служб
мережевої інфраструктури, контролю доступу та засобів моніторингу..
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)
1. Структурна схема розподіленої мережі організації із застосуванням шлюзів безпеки
Cisco ASA; 2. Схема топології мережі та адресації з урахуванням сегментації та
використання технологій захисту мережі; 3. Ілюстрації конфігурації політики безпеки
та результатів тестування роботи мережі; 4. Охорона праці.
.6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Прізвище, ініціали та посада
Розділ завдання завдання
консультанта
видав прийняв
Охорона праці Кожем’якін О.С.
старший викладач кафедри
безпеки життєдіяльності
7. Дата видачі завдання 18 лютого 2022 року
КАЛЕНДАРНИЙ ПЛАН
Термін
№ Назва етапів дипломного проекту
виконання етапів Примітка
з/п (роботи)
проекту (роботи)
1. Аналіз технічного завдання та пошук
18.02.22 – 09.03.22
літератури
2. Аналіз принципів забезпечення мережевої
безпеки, дослідження методів захисту
комп’ютерних мереж, управління доступом 10.03.22 – 24.03.22
та використання засобів шифрування і
автентифікації
3. Огляд технологій захисту мережі на основі
шлюзів безпеки Cisco ASA та аналіз політики 25.03.22 – 10.04.22
безпеки компанії Cisco Systems
4. Проектування топології розподіленої мережі
організації та розробка схеми адресації і 11.04.22 – 25.04.22
мережевої інфраструктури
5. Практична реалізація та налаштування
політики безпеки мережі, включаючи
конфігурацію служб мережевої 26.04.22 – 10.05.22
інфраструктури, контролю доступу та
засобів моніторингу
7. Виконання розділу охорони праці 11.05.22 – 26.05.22
8. Оформлення пояснювальної записки 27.05.22 – 01.06.22
9. Оформлення презентації 02.06.22 – 09.06.22
Студент Присяжненко В.В.
( підпис ) (прізвище та ініціали)
Керівник проекту (роботи) Палагін В.В.
( підпис ) (прізвище та ініціали)
ВСТУП
Дивлячись на те, що з кожним днем зростає попит на користування
комп’ютерними мережами проблема їх захисту стрімко розширюється.
Відповідно до цього великі та малі корпорації пропонують свої технології та
методи захисту інформації в мережах. Звичайно, кожен варіант має право на
життя, але у кожного із них є індивідуальні слабкі та сильні сторони, які і
визначають попит на них.
В свою чергу для пересічних невеликих організацій постає проблема
вибору політик безпеки для своєї мережі, але це не єдина проблема. Важливі
нюанси проявляються ще на етапі проектування і закінчуються на банальних
типових проблемах кожної з корпорацій, що надає послуги по захисту інформації
організацій різного рівня та масштабу.
Сьогодні інформація надзвичайно важливий ресурс, не дарма говорять «хто
володіє інформацією - володіє світом». Тому питання захисту інформації одне з
найпріорітетніших. Тож було вирішено спроектувати мережу, що задовільнялє
потреби невеликого підприємства.
Як умовну організацію було обрано невелику фірму з головним офісом, в
якому знаходиться веб-сервер і 3 віртуальні мережі та філіал.
Темою кваліфікаційної роботи є проектування захисту розподіленої мережі
організації на основі шлюзів безпеки Cisco.
Метою кваліфікаційної роботи є проектування захисту розподіленої мережі
організації на основі шлюзів безпеки Cisco для захисту від несанкціонованого
доступу та дій.
Для досягнення поставленої мети необхідно виконати наступні завдання:
1) Оглянути та проаналізувати принципи забезпечення мережної безпеки в
сучасних мережах.
2) Представити вже відомі рішення на прикладі варіантів захисту мережі
на основі шлюзів безпеки Cisco.
3) Практично реалізувати алгоритм дій для налаштування та захисту
мережі на основі Cisco ASA.
4) Опрацювати комплекс дій, що направлено на охорону праці.
Актуальність проектування захисту розподіленої мережі організації
полягає у тому, щоб максимально унеможливити витік інформації з мережі
внаслідок несанкціонованого доступу та дій.
Об’єктом дослідження є забезпечення мережної безпеки в сучасних
мережах та варіанти рішень від компанії Cisco.
Предметом дослідження є алгоритм дій по налаштуванню шлюзів безпеки
Cisco ASA для забезпечення безпеки мережі організації.
Всі сформульовані етапи роботи занесені до календарного плану з
зазначеними строками виконання.
РОЗДІЛ 1. ПРИНЦИПИ ЗАБЕЗПЕЧЕННЯ МЕРЕЖНОЇ БЕЗПЕКИ В
СУЧАСНИХ МЕРЕЖАХ
Безпека мережі необхідна для захисту корпоративних мереж від
несанкціонованого доступу і дій. Ціль – захист мережевих даних і
інфраструктури від зовнішніх загроз. В сучасному світі, який вже не може
існувати без Інтернету, все важче забезпечити безпеку, оскільки все більше
бізнес-застосунків переноситься в публічні хмари. Додатки віртуалізуються і
розподіляються по багатьом середовищам і деякі з них не можуть
контролюватися спеціалістами по ІТ-безпеці. Ефективні стратегії вийшли за
рамки стандартних брандмауерів і загальної сегментації мережі, і надають засоби
безпеки, що інтегровані в кожний сегмент мережі.
1.1. Знання мережі
Неможливо забезпечити захист чого-небудь, якщо невідомо, що саме треба
захистити. Організації будь-яких масштабів повинні мати ряд задокументованих
ресурсів, матеріальних об’єктів і систем. Кожному із цих елементів повинно бути
задано відносне значення, що призначене у відповідності з його важливістю для
організації. Прикладом елементів, що повинні враховуватись є сервери, робочі
станції, системи зберігання даних, маршрутизатори, комутатори, мережі і
телекомунікаційні з’єднання, а також будь-які інші мережні елементи: принтери,
системи нагріву, вентиляції, і кондиціонування. Іншими важливими аспектами
цієї задачі є документування місцезнаходження обладнання і приміток про
існуючі звязки. Наприклад, більшість персональних комп’ютерів (ПК) будуть
залежати від систем резервного живлення. Окрім цього, можуть бути присутніми
прилади для контролю мікроклімату, наприклад, блоки системи нагріву,
вентиляції і кондиціонування.
1.2. Проблема людського фактора
Персонал дійсно є найслабшою ланкою у будь-які схемі забезпечення
безпеки. Більшість людей не сильно турбуються про збереженні в секреті,
наприклад, своїх паролів або кодів доступу, які, між іншим, є основою для
більшості систем безпеки [1]. Всі системи забезпечення безпеки передбачає
перелік дій, що використовуються для контролю доступу, перевірки істинності
(автентифікації) і захисту від розголошення важливої інформації.
Ці дії зазвичай являють собою зберігання одного або кількох “секретів”. І
якщо такі секрети стають викраденими, то системи, захищені з їх допомогою,
підлягають ризику. Напевне, це очевидна істина, але захист більшості систем стає
вразливим з допомогою дуже простих методів.
Забутий папірець з системним паролем, що приклеєна збоку монітора -
може показатись не надто серйозним, але більшість людей справді допускають
цю помилку. Інший, не менш очевидний приклад, це тенденція не змінювати
стандартні заводські паролі для певних системних пристроїв. Одним із таких
пристроїв може виявитись інтерфейсом мережного управління джерелом
безперебійного живлення. Взагалі системи джерел безперебійного живлення,
незалежно від того чи малої вони потужності, чи великої і призначені для
резервного живлення більше 100 серверів, часто виявляються невизначеними в
схемах забезпечення безпеки. Якщо для таких пристроїв залишаються дані за
замовчуванням імена користувачів і паролі, то це лише питання часу, коли хтось
сторонній отримає доступ до цих пристроїв, першочергово не маючи ніякої
інформації, окрім типу пристрою і його опублікованих реквізитів доступу за
замовчуванням. Лише уявімо, що група серверів з недоступними протоколами
систем захисту на кожному поштовому і веб-сервері аварійно завершить роботу
через елементарне вимкнення незахищеного джерела безперебійного живлення.
1.3. Розподіл мережі і її захист за допомогою мережних екранів
Окрім елементарного фізичного захисту об’єкта іншим найважливішим
аспектом забезпечення безпеки є контроль доступу до обчислювальних мереж в
мережі організації і за її межами. В більшості випадків це означає контроль точок
підключення до зовнішнього світу, як правило, через Інтернет. Практично в будь-
якій середній і великій компанії сьогодні є доступ в Інтернет, а також підключена
до нього корпоративна мережа. Також спостерігається значне зростання числа
малих підприємств і приватних користувачів, у яких є можливість цілодобового
підключення до Інтернету. Розділення між зовнішнім і внутрішнім Інтернетом є
критично важливою задачею для забезпечення безпеки. Іноді, внутрішня частина
мережі називається “довіреною”, а зовнішня (Інтернет) – “ненадійною” частиною
[1]. В цілому, це правильно однак, як буде описано далі, такого розподілення не
завжди достатньо.
Мережевий екран (брандмауер) – це механізм, за допомогою якого
створюється контролюючий бар’єр для управління мережним трафіком, вхідним
і вихідним, по відношенню до внутрішньої корпоративної мережі. Зазвичай в
якості мережевих екранів виступають певні маршрутизатори. Вони запускаються
на спеціально призначених вбудованих системах, наприклад, на пристрої доступу
в Інтернет, або вони можуть бути реалізованими у вигляді комп’ютерних
програм, що виконуються на публічній серверній платформі. У більшості
випадків ці системи будуть мати два мережеві інтерфейси: один для зовнішньої
мережі, в якості якої виступає Інтернет і одним для внутрішньої мережі Інтернет.
Процес мережевого екрана може уважно контролювати всі дозволені переходи
між двома мережами. Мережеві екрани можуть бути як і дуже простими, так і
складними. Також як і в випадку з іншими аспектами забезпечення безпеки,
рішення про те, який мережевий екран використовувати, будуть визначати такі
фактори як рівень трафіка, що потребує захист служби і важкість потребуючих
правил. Чим більше кількість служб, які повинні мати можливість передачі даних
через мережевий екран, тим важче будуть правила. Певну складність для
мережевого екрана являє вияснення того, дозволеним чи забороненим є трафік.
Який захист виконує мережевий екран і від чого не захищає? У роботі
мережевих екранів немає нічого незвичайного. Якщо вони правильно
налаштовані, то можуть забезпечити розумну форму захисту від зовнішніх
загроз, у тому числі від деяких атак на відмову в обслуговуванні (DOS-атак). А
якщо вони налаштовані неправильно, то, навпаки, можуть стати великим
уразливим місцем у системі безпеки організації.
Найпростішим захистом, що забезпечується мережевим екраном, є
можливість блокування мережного трафіку певних адресатів. При цьому є
можливість блокування як IP-адрес, так і конкретних портів мережевих служб.
Вузол, якому потрібно надати зовнішній доступ до веб-сервера може обмежити
весь трафік по 80-му порту (Стандартний порт для http-протоколу). Зазвичай таке
обмеження діятиме лише для трафіку, створюваного у ненадійній частині мережі.
Трафік від довіреної частини не обмежується. Всі інші типи трафіку, включаючи
електронну пошту, протоколи FTP, SNMP і т.д. прохід через мережевий екран у
внутрішню мережу буде заборонено. Приклад найпростішого мережевого екрана
наведено на рисунку 1.1 [1]:
Рисунок 1.1 – Найпростіший мережевий екран
Можливо, ще більш простим випадком застосування мережевого екрану є
його використання з кабельними або DSL-маршрутизаторами у домашніх умовах
або на малому підприємстві. Зазвичай такі мережеві екрани налаштовуються на
обмеження всього зовнішнього доступу і дозволяють передачу даних лише для
служб, які запущені зсередини. Можна зробити висновок, що в жодному з цих
випадків мережевий екран насправді не блокує весь трафік ззовні. Якби це
сталося, то можна було б переміщатися по Інтернету і завантажувати веб-
сторінки? Насправді мережевий екран обмежує лише запити на підключення
ззовні.
Більш складні правила роботи мережевих екранів можуть використовувати
так звані технології “перевірки параметрів стану”. Цей підхід є доповненням до
найпростішого методу блокування портів. Він передбачає огляд поведінки та
чергування трафіку, що дозволяє виявляти імітаційні та DOS-атаки. Чим
складніше використовуються правила, тим більше обчислювальних ресурсів
потрібно для роботи мережевого екрану.
Однією з проблем, з якою стикається більшість організацій, є те, як
дозволити доступ службам “загального користування”, таким як Інтернет, FTP,
електронна пошта, одночасно підтримуючи суворий режим безпеки у внутрішній
мережі. Стандартний підхід полягає в організації про «демілітаризованих зон»
(ДМЗ). Цей евфемізм, що зберігся з часів холодної війни, добре підходить для
даного способу мережевої організації. При такій архітекторі використовується
два мережевих екрани: один між зовнішньою мережею і ДМЗ, а другий між ДМЗ
і внутрішньою мережею. Усі служби загального користування розміщуються у
ДМЗ. За допомогою цього налаштування можна організувати такі правила для
мережевих екранів, які б дозволили загальний доступ до серверів загального
користування, але внутрішній екран при цьому обмежував би всі вхідні
підключення. Завдяки ДМЗ серверу загального користування забезпечують
більший захист, ніж у тому у випадку, якби вони просто перебували поза, не
відокремлені ніяким мережевим екраном. Приклад використання ДМЗ зображено
на рис. 1.2 [1]:
Рисунок 1.2 – Мережа з ДМЗ
Використання внутрішніх мережевих екранів на різних межах інтрамережі
допоможе обмежити шкоду від внутрішніх загроз і небезпечних ситуацій,
наприклад, від “мережевих черв'яків”, яким вдалося прорватися через зовнішні
межі мережі. Ці екрани навіть можуть бути включені в режимі очікування. При
цьому звичайні види трафіку не блокуються, але варто виникнути проблемною
ситуацією та відбудеться активація жорсткіших правил.
1.4. Управління іменами користувачів та паролями
Неправильне управління іменами користувачів та паролями є звичайною
проблемою у більшості корпоративних мереж. Хоча застосування складних,
централізованих систем аутентифікації може значно скоротити число проблем,
можна досягти чудових результатів, просто дотримуючись найпростіші базові
принципи. Необхідно дотримуватися наступних чотирьох основних правил щодо
імен користувачів та паролів:
1. Не можна використовувати очевидні паролі, такі як ім'я чоловіка, назва
улюбленої команди і т.д.
2. Необхідно використовувати довгі паролі, що складаються із суміші чисел
та літерних символів.
3. Необхідно регулярно міняти паролі.
4. Ніколи не можна залишати реквізити доступу, задані для мережного
обладнання замовчуванням.
Якщо комп'ютери або обладнання не мають вбудованих політик, які
стежать за дотриманням цих правил, користувач повинен самостійно
контролювати їхнє виконання. Правило (4) передбачає щонайменше проведення
перевірок у мережі з метою виявлення обладнання зі стандартними реквізитами
доступу.
1.5. Списки контролю доступу
Велика кількість різних типів обладнання або хостів може бути
налаштована за допомогою списків доступу. У цих списках визначаються імена
хостів або IP-адреси, для яких дозволено доступ цього пристрою. Зазвичай,
наприклад, це використовується в корпоративній мережі, для обмеження доступу
до мережного обладнання зсередини. Таким методом забезпечується захист від
будь-якого виду доступу, що може порушити роботу зовнішнього мережевого
екрана. Подібні списки видів доступу служать як останній найважливіший рубіж
захисту і можуть бути дуже ефективні при роботі з деякими пристроями, коли
використовуються різні протоколи доступу різні правила.
1.6. Захист даних в мережі за допомогою шифрування та
автентифікації
У деяких випадках необхідно приділити увагу нерозголошенню
інформації, обмін якої відбувається між елементами мережі, комп'ютерами чи
системами. Справді, дуже небажано, щоб хтось міг отримати доступ до чужого
банківського рахунку або перехопити особисту інформацію, що передається
через мережу. Якщо потрібно уникнути розголошення по мережі даних,
необхідно використовувати методи шифрування, які зроблять передані дані
недоступними для читання будь-ким, хто міг якимось чином перехопити їх під
час передачі через мережу.
Існує безліч методів шифрування даних, розглянемо лише основні методи.
При роботі з мережевими пристроями, такими як джерело безперебійного
живлення, основна увага зосереджується не на захисті інформації про їх
параметри (наприклад, робочі напруги джерела безперебійного живлення та
розподіли струмів живлення), а на контролі доступу до цих елементів.
Нерозголошення реквізитів для автентифікації, таких як імена
користувачів та паролі, є критично важливим у будь-якій системі, де доступ
здійснюється по незахищених мережах, наприклад, через Інтернет. Навіть
усередині приватних корпоративних мереж захист цих реквізитів є найбільш
оптимальною практикою. Хоча це менш поширена практика, але в багатьох
організаціях починає реалізовуватися політика, коли захищається (кодується)
весь пов'язаний з керування трафіком, а не тільки реквізити автентифікації. У
будь-якому випадку це передбачає застосування певних криптографічних
методів.
Кодування даних, як правило, здійснюється шляхом комбінування
звичайного тексту (введених даних) з секретним ключем, використовуючи
певний алгоритм шифрування (тобто 3DES, AES і т.д.). В результаті (на виході)
виходить зашифрований текст. Якщо у когось (або на комп'ютері) немає цього
секретного ключа, зашифрований текст не можна перетворити на простий. Ця
найпростіша методика є основою всіх протоколів захисту (які описані далі).
Інший найважливішою складовою криптографічної системи є
"хешування". Технології хешування припускають введення звичайної текстової
інформації та, можливо, даних ключа, з наступним обчисленням з їхньої основі
великих чисел, званих хеш-значеннями. Це число має фіксовану довжину
(кількість бітів), незалежно від розміру тексту, що вводиться. На відміну від
оборотних методів шифрування, в яких можна виконати розшифровку та знову
отримати вихідний текст за допомогою ключа, хешування проводиться тільки в
один бік.
З математичної точки зору неможливо отримати вихідний текст із хеш-
значення. Тому хеш значення використовуються як спеціальні ідентифікатори в
системах з різними протоколами. Вони можуть забезпечити механізм перевірки
даних, аналогічний контролю за допомогою надлишкових кодів, які виконуються
для файлів диску і дозволяють виявити можливі зміни. Таким чином хеш-
значення використовуються як метод автентифікації даних (на відміну від
автентифікації користувачів). Будь-хто, хто спробує таємно змінити дані при їх
проходженні через мережу, також змінить їх хеш-значення, що призведе до
виявлення підміни
1.7. Протоколи безпечного доступу
Існує безліч різних протоколів, наприклад, SSH та SSL, які використовують
різні криптографічні механізми, щоб забезпечити захист за допомогою
автентифікації та методів шифрування. запропонований рівень захисту залежить
від багатьох аспектів, наприклад, від використовуваних криптографічних
методів, доступу до переданих даних, довжини ключа алгоритму, реалізації на
сервері і клієнта, а також, що найважливіше, від людського фактору. Найбільша
криптографічна схема буде безсила, якщо реквізити доступу користувача,
наприклад, його пароль або сертифікат, стають відомі третій стороні. Класичним
випадком, який вже описувався раніше, є забутий папірець з паролем,
приклеєний до монітора працівника.
Клієнт-серверний протокол SSH (Secure Shell, Протокол захищеного
користувальницького інтерфейсу) був розроблений в середині 1990-их для того,
щоб забезпечити безпечний механізм віддаленого доступу до консолей або
інтерфейсів комп'ютерів через незахищені або мережі, що “не охороняються”.
Цей протокол забезпечує “захищені” методи роботи, використовуючи
автентифікацію користувача та сервера, а також повне шифрування всього
трафіку, яким обмінюються клієнт і сервер.
Цей протокол існує у двох версіях: V1 та V2, які незначно відрізняються
пропонованими ними криптографічними механізмами. Крім того, V2 має
перевагу завдяки своїй можливості забезпечувати захист проти певних типів
"атак". (Будь-яка спроба третьої сторони, що не бере участі в обміні даних,
перехопити, підмінити або будь-яким іншим способом змінити дані, що
пересилаються, вважається атакою.)
Хоча протокол SSH багато років використовувався як протокол безпечного
доступу до консолей комп'ютерів, його традиційно набагато рідше застосовували
для допоміжного обладнання. інфраструктури, наприклад, пристроїв нагрівання,
вентиляції та кондиціонування повітря. Однак, оскільки мережі та мережева
інфраструктура, що підтримує їхню роботу, стають усі більш і важливішими для
діяльності підприємств, практика використання такого безпечного методу
доступу до всього обладнання набуває масового характеру.
У той час як протокол SSH набув широкого поширення як протокол захисту
доступу до консолей для керування в режимі командного рядка, протокол SSL
(Secure Socket Layer, Протокол захищених сокетів), а пізніше і протокол TLS
(Transport Layer Security, Протокол захисту транспортного рівня) стали
стандартним методом захисту веб-трафіку та інших протоколів. наприклад,
SMTP (ел. пошта). Насправді протокол TLS є пізнішою версією протоколу SSL,
тому термін SSL, як і раніше, широко використовується рівноцінно з терміном
TLS. Протоколи SSL та SSH значно відрізняються вбудованими в них
механізмами автентифікації клієнта та сервера.
Протокол TLS був також прийнятий як стандарт IETF (Internet Engineering
Task Force, Проблемна група проектування Інтернет), в той час як SSH так і не
був визнаний стандартом, повністю відповідним вимогам IETF, незважаючи на
своє широке розповсюдження як тимчасовий стандарт. SSL є протоколом
безпеки, який захищає веб-трафік, що йде за протоколом HTTP. Він також
згадується як HTTPS (HTTP Secure – захист HTTP). Як Netscape, так і Internet
Explorer підтримують обидва протоколи SSL та TLS. Коли використовуються ці
протоколи, формальна автентифікація сервера клієнтом виконується зза
допомогою сертифіката сервера.
Сертифікати описуються послідовно. Клієнт також може бути
автентифікованим за допомогою сертифікатів, хоча зазвичай для цього
використовуються імена користувачів та паролі. Оскільки всі “сеанси” SSL
шифруються, автентифікаційна інформація та будь-які дані, що знаходяться на
веб-сторінках, захищені. Протокол SSL завжди використовується на веб-сайти,
для яких потрібне забезпечення безпеки, наприклад, для банківської діяльності
та в інших комерційних цілях, оскільки клієнти зазвичай звертаються до цих
сайтів через загальнодоступну мережу Інтернет.
Оскільки метод управління мережевими пристроями через Інтернет (за
допомогою вбудованих веб-серверів) став найбільш поширеним способом
базового налаштування та організації точок доступу користувачів, захист цього
методу управління дуже важливий. Підприємства, яким потрібно повністю
захистити все мережне управління, але при цьому працювати з графічним
інтерфейсом, наприклад, за протоколом HTTP, необхідно використовувати
системи безпеки на основі протоколу SSL.
Як згадувалося раніше, протокол SSL також може захищати інші, не-HTTP
методи обміну даними. Якщо робота з пристроєм здійснюється через таке, що не
використовує HTTP клієнтське забезпечення, то ці системи також можуть
застосовувати SSL, щоб забезпечити безпеку своїх протоколів доступу.
Застосування протоколу SSL у всіх згаданих випадках шанобливо ще й тому, що
в цьому випадку забезпечується робота зі стандартними протоколами, мають
загальноприйняті схеми автентифікації та шифрування.
1.8. Висновки
Добре продумані безпекові політики можуть значно підвищити
захищеність мережі. І хоча ці політики можуть бути як складними та
громіздкими, так і простими та відкритими, часто найбільш придатну їх
визначають найпростіші аспекти. Розглянемо комбінацію централізовано
керованої системи оновлення антивірусної програми та сканера хостів, що веде
пошук нових чи застарілих систем. Хоча для такої системи потрібні можливості
налаштування, централізованого адміністрування та розгортання програмного
забезпечення, всі ці функції зазвичай доступні у сучасних операційних системах.
Як правило, політики, а в ідеальному випадку автоматизовані інструменти
контролю за виконанням допомагають скоротити число очевидних проломів у
системному захисті, що дозволяє адміністраторам зосередитися на вирішенні
складніших питань.
З урахуванням постійно зростаючої кількості загроз щодо мереж, таких як
Інтернет-хробаки, віруси та кмітливі хакери, безпека не може більше
розглядатися як щось другорядне, навіть усередині приватних мереж. Захист
всього обладнання, включаючи пристрої фізичної інфраструктури, такі як ДБЖ,
а також системи нагрівання, вентиляції та кондиціювання повітря, дуже важлива
для підтримки безперебійної роботи та забезпечення безперешкодного доступу
до службам. Забезпечення та підтримка безпеки у всіх ділянках корпоративної
мережі зазвичай означає збільшення навантаження на адміністраторів.
З історичної точки зору, було найважче подолати бар'єр на шляху широкого
впровадження систем безпеки. Сьогодні час, необхідний відновлення мережі
після однієї лише атаки “хробака” чи вірусу, легко може перевищити час,
необхідний більш адекватного профілактичного захисту підприємства. На щастя,
існує безліч можливостей в системах та програмному забезпеченні, що
дозволяють підвищити безпеку мережі, одночасно скоротивши витрати на
керування такими системами.
Навіть найпростіші методи, такі як регулярне оновлення програмного
забезпечення, блокування всіх пристроїв та використання централізованої
автентифікації, а також методів захищеного доступу допоможуть значно
скоротити ризики. Введення відповідних політик та періодичні аудиторські
перевірки мереж додатково підвищують їхню загальну захищеність.
РОЗДІЛ 2. ВАРІАНТИ ЗАХИСТУ МЕРЕЖІ НА ОСНОВІ ШЛЮЗІВ
БЕЗПЕКИ CISCO
2.1. Політика безпеки компанії Cisco
З точки зору фахівців Cisco, відсутність мережної політики безпеки може
призвести до серйозних інцидентів у сфері безпеки. Розробку політики безпеки
компанії рекомендується починати з оцінки ризиків мережі та створення робочої
групи з реагування на інциденти [2].
Компанія Cisco рекомендує створити політики використання, які описують
ролі та обов'язки працівників компанії для належного захисту конфіденційної
інформації. При цьому можна почати з розробки головної безпекової політики, в
якій чітко прописати загальні цілі та завдання організації режиму інформаційної
безпеки компанії.
Наступний крок – створення політики допустимого використання для
партнерів, щоб поінформувати партнерів компанії, яка інформація їм доступна.
Слід чітко описати будь-які дії, які сприйматимуться як ворожі, а також можливі
способи реагування при виявленні таких дій.
Насамкінець необхідно створити політику допустимого використання для
адміністраторів, щоб описати процедури адміністрування облікових записів
співробітників та перевірки привілеїв. При цьому, якщо компанія має певну
політику щодо використання паролів або категорування інформації, то треба її
тут згадати. Далі необхідно перевірити ці політики на несуперечність і повноту,
а також переконатися в тому, що сформульовані вимоги до адміністраторів
знайшли своє відображення в планах навчання.
Проведення аналізу ризиків - призначення аналізу ризиків полягає в тому,
щоб категорувати інформаційні активи компанії, визначити найбільш значущі
загрози та вразливість активів та обґрунтовано вибрати відповідні контрзаходи
безпеки. Мається на увазі, що це дозволить знайти та підтримувати прийнятний
баланс між безпекою та потрібним рівнем доступу до мережі. Розрізняють такі
рівні інформаційних ризиків:
- низький рівень – інформаційні системи та дані, будучи
скомпрометованими (доступні для вивчення неавторизованими особами,
пошкоджені або втрачені), не призведуть до серйозних збитків, фінансових
проблем або проблем із правоохоронними органами;
- середній рівень – інформаційні системи та дані, будучи
скомпрометованими (доступні для вивчення неавторизованими особами,
пошкоджені або втрачені), призведуть до помірної шкоди або невеликих проблем
з правоохоронними органами, або помірних фінансових проблем, а також
отримання подальшого доступу до інших систем. Зачеплені системи та
інформація вимагають помірних зусиль щодо відновлення;
- високий рівень – інформаційні системи та дані, будучи
скомпрометованими (доступні для вивчення неавторизованими особами,
пошкоджені або втрачені), призведуть до значної шкоди або серйозних проблем
з правоохоронними органами, або до фінансових проблем, завдання шкоди
здоров'ю та безпеці працівників. Системи та інформація вимагають суттєвих
зусиль щодо відновлення.
Рекомендується визначити рівень ризику для кожного з перелічених
пристроїв: мережеві пристрої, пристрої моніторингу мережі, сервери
аутентифікації (TACACS+ та RADIUS), поштові сервери, файлові сервери,
сервери мережевих додатків (DNS та DHCP), сервери баз даних (Oracle, MS SQL
Server), персональні комп'ютери та інші пристрої.
При цьому вважається, що мережеве обладнання, таке, як комутатори,
маршрутизатори, DNS та DHCP-сервери у разі компрометації, можуть бути
використані для подальшого проникнення в мережу і тому мають належати до
групи середнього або високого ризику. Можливе пошкодження цих пристроїв
може призвести до припинення роботи мережі. Такі інциденти завдають
серйозної шкоди компанії.
Після визначення рівнів ризику необхідно визначити ролі користувачів у
цих системах. Рекомендується виділяти наступні п'ять найбільш загальних типів
користувачів:
- адміністратори - внутрішні користувачі, які відповідають за мережеві
ресурси;
- привілейовані користувачі – внутрішні користувачі, які потребують
більшого рівня доступу;
- рядові користувачі - внутрішні користувачі зі звичайним рівнем доступу;
- партнери – зовнішні користувачі із необхідністю доступу до деяких
ресурсів;
- інші – зовнішні користувачі чи клієнти.
2.2. Використання Cisco ASA для захисту мережі
Компанія Cisco пропонує велику кількість моделей шлюзів для
налаштування мережі та покращення рівня її безпеки. Одна із таких Cisco ASA.
Cisco ASA (Adaptive Security Appliance) – серія апаратних мережевих
екранів, розроблених компанією Cisco Systems [3]. Є спадкоємцем лінійок таких
пристроїв, як мережеві екрани Cisco PIX, систем виявлення вторгнень Cisco IPS
4200 та VPN-концентраторів Cisco VPN 3000.
Як і PIX, ASA засновані на процесорах x86. Починаючи з версії 7.0, PIX і
ASA використовують однакові образи операційної системи (але
функціональність залежить від того, на якому пристрої вона запущена).
Функціональність залежить від типу ліцензії, який визначається за
введеним серійним номером.
Інтерфейс командного рядка нагадує (але не повторює) інтерфейс Cisco
IOS. Керувати пристроєм можна через telnet, SSH, веб-інтерфейс або за
допомогою програми ASDM.
2.3. Особливості Cisco ASA
Cisco ASA 5505 – сучасний багатофункціональний пристрій для захисту
локальних мереж від зовнішніх атак та вторгнень. Основна функція між
мережевого екрану Cisco (Firewall) – захист мережі від вторгнень, вірусів, спаму,
шпигунських програм, контентна фільтрація трафіку користувачів. Побудовані
на базі апаратної платформи мережеві екрани Cisco ASA забезпечують високу
надійність, продуктивність завдання безпеки від зовнішніх атак [3].
Будь-якій компанії, що має з'єднання внутрішньої корпоративної мережі з
публічною мережею Інтернет, потрібна тверда впевненість у безпеці. Мережні
екрани Cisco ASA 5500 забезпечують високу ступінь безпеки з достатнім рівнем
гнучкості, щоб задовольняти потреби компанії, що зростає і змінюється.
Виділяючись серед конкурентів відмінним співвідношенням ціна-якість
Cisco ASA 5505 має низку технологічних переваг для бізнесу.
Багатофункціональні пристрої захисту Cisco ASA 5500 Series є вашою першою та
найкращою лінією оборони. Забезпечення безпеки та надійності корпоративної
мережі означає, що співробітники компанії завжди можуть розраховувати на її
наявність.
Виділяють наступні особливості:
1) Гнучкість налаштування політик безпеки – можливість
налаштування безпеки відповідно до специфічних потреб у доступі та бізнес-
політиків у зручному WEB інтерфейсі.
2) Масштабованість технології - Коли підприємство розвивається і
вимагає змін, можна легко додавати можливості та проводити модернізацію,
використовуючи накопичені дані із захисту пристроїв та технології
налаштування.
3) Розширені мережеві можливості - налаштування віртуальних
приватних мереж (VPN), що надають мобільним та віддаленим співробітникам
доступ до ресурсів компанії, або створення мережі VPN між партнерами, іншими
офісами та співробітниками, ґрунтуючись на ролях.
4) Розширена безпека - Використовуйте нові переваги найновіших
методик забезпечення безпеки вмісту, шифрування, автентифікації, авторизації
та запобігання вторгненням, віддаленому VPN доступу.
5) Простота налаштування – можливість використовувати єдиний
пристрій, який легко встановлювати, адмініструвати та контролювати.
Мережевий екран Cisco ASA 5505 - наймолодший пристрій серії Cisco
ASA, однак цей брандмауер має дуже високу продуктивність та ефективність
захисту локальної мережі від зовнішніх атак. Брандмауер Cisco ASA 5505 - це
продуктивний файрвол, що забезпечує до 150 Мбіт/с транзитного трафіку. Він
працює на швидкості до 100 Мбіт/с при організації VPN доступу. Насамперед
пристрій орієнтований на забезпечення мережевої безпеки користувачів сегмента
малого бізнесу через простоту експлуатації та низьку ціну.
Крім функцій мережевого екрану ASA 5505 виконує NAT трансляцію для
спільного доступу користувачів до Інтернету, є IPSec VPN сервером для
безпечного віддаленого доступу до локальних ресурсів. Величезною перевагою є
наявність вбудованого 8-й портового комутатора, при цьому 2 порти мають
підтримку PoE, що забезпечує простоту підключення IP камери, WI-FI точки
доступу або IP телефону.
Функціональні можливості ASA 5505:
- підтримка двох мереж VPN для зв'язку між офісами та партнерами з
розширенням до 25 (ASA 5505) або 750 (ASA 5520) співробітників;
- підтримка від 5 (ASA 5505) до 250 (ASA 5550) користувачів локальної
мережі будь-якої точки;
- безліч варіантів високошвидкісних мережевих з'єднань, залежно від ваших
потреб у продуктивності;
- заздалегідь налаштовані пакети для спрощення замовлення та
налаштування.
2.4. Історичний приклад вразливості Cisco ASA
Дослідники компанії Exodus Intelligence Девід Барксдейл, Джордан
Грусковняк та Алекc Уілер виявили критичну вразливість у мережевих екранах
Cisco ASA. Помилка безпеки дозволяє віддаленому неавторизованому
користувачеві виконувати довільний код або перезавантажувати пристрій [4].
За системою Common Vulnerability Scoring System (CVSS) вразливості
CVE-2016-1287 було присвоєно найвищу 10 оцінку, яку отримують лише вкрай
небезпечні помилки безпеки. Для успішної експлуатації вразливості необхідно
відправити на цільову систему спеціально сформовані пакети UDP.
Вразливість міститься у модулях IKE (Internet Key Exchange) v1 та v2
програмного забезпечення мережевих екранів. Помилка призводить до того, що
послідовність спеціально сформованих UDP пакет викликає переповнення
буфера, що призводить до можливості віддаленого виконання. Таким чином,
вразливість може бути експлуатована на системах, налаштованих прийом VPN-
підключень по IKEv1 або IKEv2. Пристрої, налаштовані для роботи зі
з'єднаннями Clientless SSL та AnyConnect SSL VPN-підключень, даної помилки
не піддаються.
На сайті Cisco опубліковано бюлетень безпеки, в якому перераховані
вразливі пристрої:
- Cisco ASA 5500 Series Adaptive Security Appliances;
- Cisco ASA 5500-X Series Next-Generation Firewalls;
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco
7600 Series Routers;
- Cisco ASA 1000V Cloud Firewall;
- Cisco Adaptive Security Virtual Appliance (ASAv);
- Cisco Firepower 9300 ASA Security Module;
- Cisco ISA 3000 Industrial Security Appliance.
Як стверджується в повідомленні Cisco, зараз немає інформації про те, що
зловмисникам вдалося провести атаку з використанням виявленої вразливості.
Тим не менш, технічний директор SANS ISC Йоханнес Ульріх в
опублікованій на сайті організації заяві відзначив сильно збільшений трафік на
UDP-порти 500 і 400 - фахівець припускає, що саме таким чином буде
розповсюджуватися експлоїт.
Рисунок 2.1 – Зростання трафіка
Але як від цього захиститись? Адміністратори пристроїв Cisco ASA, версії
яких потрапили до списку вразливих, і на яких ще не були встановлені оновлення
безпеки, рекомендовані виробником, можуть перевірити вразливе їх обладнання
за допомогою наступної команди:
(якщо команда поверне криптокарту, пристрій вразливий)
Дослідники Exodus у своєму матеріалі також описали засоби виявлення
спроб експлуатації вразливості. За їх словами, адміністраторам пристроїв
необхідно аналізувати значення поля довжини Fragment Payload (type 132) IKEv2
або IKEv1. Якщо значення поля буде менше 8 байт, то фахівці рекомендують
розглядати такий випадок як спробу експлуатації.
У бюлетені безпеки Cisco також міститься інформація про виправлення для
вразливих пристроїв. Компанія рекомендує адміністраторам обладнання Cisco
якомога швидше встановити оновлення.
Крім того, існують версії Cisco ASA (7.2, 8.2, 8.3 та 8.6), які також є
вразливими, але вже не підтримуються виробником. Для цих пристроїв патча, що
закриває вразливість, не буде випущено. Власникам такого обладнання
залишається тільки замінити його на нові пристрої або використовувати
спеціалізовані засоби захисту для виявлення згенерованих зловмисниками
пакетами - зробити це можна за допомогою DPI. Виявити вразливість мережного
обладнання можна також за допомогою системи контролю захищеності та
відповідності стандартам MaxPatrol 8.
2.5. Висновки
Логічно, що разом із зростанням кількості пристроїв для безпечного
керування мережеми також зросла і кількість можливих атак на них. А тому
розробники повинні постійно оновлювати свою продукцію для забезпечення
захисту даних у мережі.
Одним із таких розробників є Cisco Systems, які постійно удосконалюють
власну продукцію та пропонують нові технології. Cisco ASA 5505 – надійний
маршрутизатор, що дозволить грамотно налаштувати мережу та безпечно нею
користуватись. Як і кожен маршрутизатор він має власні переваги, які дозволять
налаштувати мережу в рамках кваліфікаційної роботи.
РОЗДІЛ 3. Алгоритми дій налаштування та захисту мережі на основі ASA
3.1. Розробка топології та схем адресації у мережі
Склад практичної організації складається з трьох працівників, що
знаходяться в головному офісі, серверного приміщення та віддаленого філіалу з
якого в організації працює один працівник. Тому, відповідно для забезпечення
їхньої роботи необхідно встановити достатню кількість пристроїв, а саме три
робочі комп’ ютери в головному офісі та один комп’ ютер у віддаленому філіалі.
Центральним пристроєм мережі з назвою Main є Cisco ASA 5505, що
з’єднує сегменти мережі в одне ціле. Для налаштування філіалу (Branch) на його
“вході” встановлено ще одну ASA 5505.
Загальний вигляд розподіленої мережі зображено на рисунку 3.1:
Рисунок 3.1 – Загальний вигляд розподіленої мережі
Таблицю адресації в мережі зображено на рисунку 3.2:
Рисунок 3.2 – Таблиця адресації
3.2. Налаштування базових параметрів безпеки на пристроях
До базових параметрів безпеки на пристроях відносяться авторизація та
встоновлення паролів на привелійовані права.
Задання логіну та паролю відбувається наявно, але в конфігурації пристроїв
буде відображено зашифрований пароль. Це робиться для того, щоб навіть якщо
зловмисник перехопить файл з конфігураціями, то він не зможе дізнатись пароль.
В пристрої Main явно заданий логін та пароль – username “admin” password
“adminpassword12”. В конфігурації пристрою це виглядає наступним чином:
Аналогічні налаштування відбуваються на пристроях MainRouter, Branch
та BranchRouter.
3.3. Налаштування моніторингу подій у мережі AAA з використаннням
TACACS+
За наявності великої кількості пристроїв в мережі має сенс подумати про
автоматизації перегляду лог-журналів, для цього існує велика кількість
спеціалізованого програмного забезпечення, але воно коштує значну суму, тому
хорошим альтернативним варіантом є збір всіх подій мережі за допомогою
технології Syslog.
Іншим варіантом є рішення від Cisco – AAA. AAA (Authentication
Authorization and Accounting) — система автентифікації авторизації та обліку
подій, вбудована в операційну систему Cisco IOS, служить для надання
користувачам безпечного віддаленого доступу до мережного обладнання Cisco
[5]. Вона пропонує різні методи ідентифікації користувача, авторизації, а також
збору та надсилання інформації на сервер.
Перевага конфігурації aaa в тому, що вона містить безліч методів
автентифікації (на відміну попереднього випадку). Увімкнення aaa відбувається
шляхом додавання команди aaa new-model у режимі глобальної конфігурації.
Далі має бути вибір методів аутентифікації. Усі методи організуються у списки,
яким присвоюється або значення default, або ім'я списку (list-name). Таким чином,
різні типи ліній (aux, vty, con...) можна «повісити» різні методи аутентифікації,
розмежувавши доступ між користувачами.
Як було сказано вище, методів автентифікації в ААА достатньо багато.
Найбільш поширені з них це:
• Local – база даних логінів і паролів зберігається на самому
мережному пристрої.
• Local-case – той же метод, що і Local, але чутливий до регістру при
вводі логіна.
• Enable – для автентифікації потребує enable
• Line – для автентифікації треба пароль Line
• None – автентифікація не потрібна, доступ до пристроя надається без
вводу логіна та пароля.
• Group {TACACS+ | Radius} – підключення серверів з встановленим
TACACS+.
Для більш безпечного користування мережею необхідно виділити окремий
сервер, щоб унеможливити доступ до цих даних з іншого пристрою мережі.
Найбільш цікавим методом є group, він достатньо часто зустрічається в середніх
і великих організаціях.
Що ж стосується обрання TACACS+ чи Radius, то однозначно необхідно
зупинитись на TACACS+.
TACACS+ - це оновлення протоколу TACACS, що слугує протоколом
автентифікації маршрутизаторів Cisco на сервері. TACACS+ має дуже широке
застосування, адже може забезпечити роботу всіх пристроїв єдиним сервером
авторизації, який також дозволяє встановлювати привілеї різних користувачів в
широких межах, наприклад, давати користувачам використовувати доступ тільки
до певних команд, давати можливість використовувати певними сервісами лише
з заданих адрес, організовувати групи користувачів, вести лог-файл доступу
користувачів.
В якості сервера для AAA, NTP та Syslog використовується окремий сервер
(Рис.3.3):
Рисунок 3.3 – Сервер для моніторингу подій
Структура команди для налаштування TACACS+ виглядає наступним
чином:
Але, для початку необхідно включити служби безпеки AAA, для цього
вводимо команду “aaa new-model” на пристрої MainRouter:
Налаштовуємо сервер TACACS+:
Тепер необіхдно під’єднати BranchRouter до серверу TACACS+:
Щоб переконатись в правильності налаштування серверу відкриємо його
налаштування (Рис. 3.4, 3.5):
Рисунок 3.4 – Налаштований Syslog на сервері
Рисунок 3.5 – Налаштований AAA TACACS+
3.4. Налаштування синхронізації точного часу по мережі
Для точного фіксування подій у логах або унеможливленні атак за
сценарієм або “заднім числом” можна використати службу точного часу –
Network Time Protocol (NTP). NTP не є ключовою частиною кожної мережі, але
це дуже корисний допоміжний засіб для безпеки мережі організації.
Мережа NTP зазвичай отримує свій вихідний час від авторитетного
джерела часу, наприклад, через GPS або від атомного годинника, доступного в
мережі Інтернет [6]. Потім NTP розподіляє час усередині локальної мережі.
Пристрій, де налаштовано NTP, автоматично вибирає NTP-сервер із найнижчим
числом годинного шару (stratum).
Режими NTP:
• Сервер (Server) Надає точну інформацію про час клієнтам у мережі.
• Клієнт (Client). Синхронізує свій час із NTP-сервером. Цей режим
найбільше підходить для файлових серверів, робочих станцій-клієнтів та інших
пристроїв.
• Однорангові пристрої (Peers). Пристрої в цьому режимі обмінюються лише
інформацією про синхронізацію часу.
• Широкомовний/многоадресний режим (Broadcast/multicast). Спеціальний
режим "push" сервера NTP, коли в локальну мережу розсилаються лавиноподібні
повідомлення з інформацією про час.
Що стосується практичних дій по налаштуванню NTP, то для початку
необхідно визначитись, що буде слугувати базовим пристроєм NTP. В
запропонованій мережі використовується сервер AAA/SYSLOG/NTP, а тому
прив’язка буде до нього.
Налаштування NTP відбувається в чотири кроки:
1) Визначте ключ автентифікації NTP, використовуючи команду ntp
authentication-key
2) Включіть автентифікацію NTP за допомогою команди ntp authenticate.
3) Вкажіть, який ключ будет дійсним для автентифікації NTP,
використовуючи команду ntp trusted-key. Єдиний аргумент цієї команди
– це ключ, який було визначено в першому пункті.
4) Вкажіть NTP-сервер, який вимагає автентифікацію, використовуючи
команду ntp server ip-address key key-number.
Команди для налаштування NTP на пристроях MainMultilayerSwitch,
MainRouter виглядають наступним чином (сервер 192.168.1.10):
Команди для налаштування NTP на пристроях Main, Branch, BranchRouter
виглядають наступним чином (сервер 201.98.77.11):
Щоб переглянути чи вдалося налаштувати AAA/SYSLOG/NTP Server
звернемось до його конфігурації NTP (Рис. 3.6):
Рисунок 3.6 – Конфігурація NTP на сервері
3.5. Налаштування технології перетворення мережевих адрес
NAT (Network Address Translation) – технологія трансляції мережевих адрес,
тобто заміни адрес у заголовку IP-пакета [7]. Іншими словами, пакет, проходячи
через маршрутизатор, може змінити свою адресу джерела і/або призначення. Для
чого це потрібно? Перш за все, для забезпечення доступу із LAN, де частіше за
все використовуються приватні IP-адреси, в Internet, де маршрутизуються тільки
глобальні IP-адреси. В меньшій мірі для того, щоб приховати топологію мережі і
створення певної перешкоди для проникнення всередину мережі організації.
Синтаксис для налаштування NAT на Cisco ASA виглядає наступним
чином:
Наведена вище конфігурація повідомляє ASA, що щоразу, коли зовнішній
пристрій підключається до IP-адреси 192.168.2.200, його слід перевести на IP-
адресу 192.168.1.1. Це подбає про NAT, але нам все одно потрібно створити
список доступу, інакше трафік буде відкинуто:
Наведений вище список доступу дозволяє будь-якій вихідній IP-адресі
підключатися до IP-адреси 192.168.1.1. При використанні ASA версії 8.3 або
новішої вам потрібно вказати «справжню» IP-адресу, а не адресу «перекладений
NAT». Давайте активуємо цей список доступу:
Для налаштування NAT в мережі організації на пристрої Main
користуємось таким же алгоритмом:
Також необхідно вказати внутрішні і зовнішні інтерфейси NAT, їх
необхідно ініціалізувати на MainRouter:
Перевіряємо чи застосувались налаштування NAT на пристрої Main
наступним чином:
3.6. Налаштування віртуальних приватних мереж
Технологія віртуальних приватних мереж (Virtual Private Network – VPN) –
це одна з ключових технологій, що дозволяє забезпечити безпечне користування
мережею не лише для користувачів головного офісу, але й перш за все, для
працівника віддаленого філіалу.
VPN ("приватна віртуальна мережа") - це мережа, створена поверх
основного підключення до Інтернету або іншої основної мережі. Найчастіше
використовуваними протоколами для створення VPN є IPSec, PPTP, PPPoE,
L2TP, L2TPv3 та OpenVPN [8].
На сьогоднішній день виробником мережевого обладнання для побудови
VPN, що найбільш довіряється, є торгова марка Cisco. Можливістю побудови
VPN мережі забезпечені практично всі маршрутизатори Cisco, мережеві екрани
ASA, а також комутатори з підтримкою функціоналу Layer 3. Цей виробник
використовує такі технології побудови VPN: site-to-site VPN (на базі апаратної
підтримки та ПО Cisco IOS®) та remote access VPN (за допомогою Cisco
AnyConnect VPN Client).
Рисунок 3.8 – Принцип дії VPN
Site-to-site VPN являє собою інтернет-WAN інфраструктуру, призначену
для розширення мережевих ресурсів філій, домашніх офісів та організацій
ділових партнерів. Весь трафік, що пересилається між вузлами, шифрується за
допомогою IPsec.
Remote access VPN - це організовані за допомогою Cisco AnyConnect VPN
Client дозволяють розширити можливості передачі практично будь-яких даних,
голосу, відео або додатків для віддаленого робочого столу, який повністю
повторює робочий стіл головного офісу. Завдяки цьому користувачі отримують
абсолютно безпечний, віддалений доступ, що настроюється, в будь-який час, в
будь-якому місці, практично з будь-яким пристроєм.
Перейдемо до практичних налаштувань VPN. На першому ж етапі було
знайдено помилку, суть якої полягала в тому, що дві Cisco ASA 5505 не могли
пінганути одне одну, але при цьому добре пінгували роутер між ними. Відповідно
через це й не вдавалося ініціалізувати VPN-тунель між ними (Рис. 3.9):
Рисунок 3.9 – Помилка при ініціалізації тунеля
Попрацювавши над цим певний час, рішення все-таки знайшлося. Діло
було в тому, що для ініціалізації тунеля необхідно було запустити трафік між
двома ASA. Проблему вирішено, а отже можна переходити до налаштування
VPN на пристрої Main.
Для початку створюємо access-list який буде пропускати шифрований
трафік з Main до Branch:
Також необхідно створити політику обміну ключами (налаштування cripto
ikev1):
Далі активуємо дану політику на вихідному інтерфейсі (outside) та
налаштуємо тунельну групу (tunnel-group) де вказуємо ІР адресу віддаленого
кінця тунелю. А також вказуємо пароль для шифрування:
Також створюємо інструмент для опису другої фази ІКЕ (налаштування
transform-set):
Наступним кроком створюємо crypto-map у якому будуть знаходитись
набори правил для передавання трафіку через захищений тунель:
Для того, щоб пропустити трафік з мережі Branch до мережі Main
створюємо ACL та закріпимо даний ACL на інтерфейсі:
Аналогічно налаштовуємо Branch. Лістінг налаштування наведено нижче:
Тепер необхідно перевірити чи створився VPN тунель між пристроями і
користувач філіалу буде підключений по VPN каналу. Для цього встановимо
ISAKMP та IPSEC SA (Рис. 3.10):
Рисунок 3.10 – Демонстрація створених ISAKMP та IPSEC
Отже, тепер можна сказати, що VPN канал налаштовано та можна
переходити на наступний етап налаштування.
3.7. Налаштування VLAN та DHCP для безпеки мережі на ASA
VLAN (Virtual Local Area Network) – віртуальні локальні мережі, також
називають широкомовний домен. По суті, VLAN являє собою мітку в кадрі, що
передається по мережі [9]. В неї є ID, під нього відводиться 12 біт, тобто мітка
може мати номер від 0 до 4095, але, важливо, що зарезервовано перший і останні
номери, використовувати їх не можна.
На портах комутаторів вказано в якій віртуальній мережі вони знаходяться:
увесь трафік, що виходить через порт, буде відмічатись міткою – VLANом.
Завдяки цьому він у подальшому може йти і через інші інтерфейси світчів, що
працюють під цією міткою. При цьому інші порти приймати трафік не будуть.
Таким чином створюється окрема мережа, що не вступає у взаємодію з іншими
підмережами без використання комутатора або роутера.
Що дозволяє зробити VLAN:
• Побудувати мережу з незалежною логічною структурою. Побудова її
топології не буде залежати від того де фізично знаходяться
компоненти мережі;
• Розбити один такий домен на декілька: трафік широкомовного типу,
які належать одному домену; не буде проходити через інший. Це
дозволяє менше навантажувати мережеве обладнання;
• Захистити мережу від постороннього втручання. Порт світча зможе
ігнорувати і відсікати кадри, які приходять з інших VLAN, причому
незалежно від початкової IP;
• Групувати персональні комп’ютери, які входять в одну підмережу і
застосовувати політики на всю групу;
• Здійснювати маршрутизацію через використання віртуальних портів;
Що стосується практичних налаштувань VLAN, то цю технологію доцільно
розглянути на прикладі пристрою Main:
Створені VLAN потрібні для роботи портів. Назначається ім’я, адреса та
рівень безпеки. Рівень безпеки в ASA 5505 працює таким чином, що дозволяється
коли трафік з вищого рівня йде в менший, але не навпаки.
DHCP - це протокол TCP/IP, що автоматизує присвоєння IP-адрес [10].
(Назва "автоматичне присвоєння IP-адрес", Automatic IP Address Assignment,
може, і краще відображає суть, але AIAA більше схоже не на скорочення, а на
крик, що видається мережевим адміністратором від безвиході). Для використання
протоколу TCP/IP в мережі адміністратор повинен задати для кожного з
комп'ютерів щонайменше три параметри - IP-адресу, маску підмережі та адресу
шлюзу, що використовується за замовчуванням. При цьому кожен комп'ютер
повинен мати унікальну IP-адресу. Крім того, присвоєна адреса повинна
знаходитись у діапазоні підмережі, до якої підключено пристрій. У великій
мережі іноді буває важко визначити, до якої з підмереж підключений той чи
інший комп'ютер. Однак DHCP "знає", з якої підмережі надходить запит на
отримання IP-адреси, і зробить за вас все як слід. Якщо в мережі
використовуються Windows Internet Naming Service (WINS) та Domain Name
Service (DNS), то на кожному з клієнтських комп'ютерів адміністратору
необхідно також вказати IP-адреси WINS та DNS-серверів.
Адміністратор може конфігурувати кожну систему вручну або попросити
зробити це користувачів, надавши їм необхідні дані. Проте останній підхід є
надто ризикованим. Найпростіший і найбезпечніший спосіб - налаштувати один
або кілька DHCP-серверів так, щоб вони автоматично привласнювали IP-адреси
кожному комп'ютеру в мережі. Для цього вам достатньо налаштувати сервер,
ввести діапазони адрес, налаштувати кілька додаткових параметрів та періодично
здійснювати моніторинг.
Стосовно практичної реалізації налаштувань DHCP, то його налаштування
відбувається на пристрої Main. Команда ip dhcp excluded-address
використовується, щоб виключити певні IP-адреси від призначення клієнтам
DHCP службою сервера DHCP на пристрої Cisco IOS.
Для налаштування DHCP необхідно для певної мережі та вказати DNS-
сервер:
На пристрої Branch команда dhcpd auto_config outside використовується
для передачі всієї інформації про DNS, WINS та домену, отриману від клієнта
DHCP на зовнішньому інтерфейсі, до клієнтів DHCP на внутрішньому
інтерфейсі.
Використровуючи команду show dhcpd state можна перевірити стан
конфігурацій DHCP на пристрої результат зазначено нижче:
3.8. Налаштування списків контролю доступу
ACL (Access Control List) – список контролю доступу, це набір текстових
виразів, які щось дозволяють або щось забороняють [11]. Зазвичай ACL дозволяє
або забороняє IP-пакети, але поміж іншого він може заглядати всередину пакету,
передивлятись тип пакету, TCP і UDP порти. Також ACL існує для різних
мережевих протоколів (IP, IPX, AppleTalk і так далі). В основному застосування
списків доступу роздивляються з точки зору пакетної фільтрації, тобто пакетна
фільтрація необхідна в тих ситуаціях, коли у вас встановлено обладнання на межі
Інтернету і вашої приватної мережі, і потрібно відфільтрувати непотрібний
трафік. Ви розміщуєте ACL на вхідному направленні і блокуєте надмірні види
трафіку.
Функціонал ACL заключається в класифікації трафіку, спочатку його треба
перевірити, а потім щось з ним робити в залежності від того, куди застосовують
ACL, а вони застосовуються багато де, наприклад:
- На інтерфейсі (пакетна фільтрація)
- На лінії Telnet (обмеження доступу до маршрутизатора)
- VPN (який трафік необхідно шифрувати)
- QoS (який трафік обробляти пріоритетніше)
- NAT (які адреси транслювати)
На прикладі розподіленої мережі ACL використовувалися під час, наприклад,
налаштування VPN:
Це один із прикладів - тут використовуються динамічні ACL. Іншим
прикладом є такі ACL:
Ці списки контролю доступу дозволяють пропускати пакети, наприклад, з
підмережі 192.168.5.0.
3.9. Висновки
Отже, у підсумку, після впровадження політик безпеки і налаштування
Cisco ASA 5505 ми маємо захищену мережу. Для її захисту було використано такі
технології як VPN, NAT, DHCP, та AAA. Ці технології забезпечують коректну
роботу мережі та значно підвищують рівень її захисту.
Також, було впроваджено певні допоміжні методи для захисті інформації в
мережі, як синхронізація по точному часу в системі – NTP, віртуальні локальні
мережі – VLAN та списки контролю доступу – ACL.
Повна конфігурація ключових пристроїв мережі наведена в додатках
кваліфікаційної роботи. Мережа працює стабільно та без збоїв, тому роботу над
її налаштуванням та підвищенням рівню захисту на основі шлюзів безпеки Cisco
можна вважати завершеною.
ВИСНОВКИ
Результатом виконання кваліфікаційної роботи є спроектована мережа
організації на якій реалізовано політики безпеки на основі шлюзів безпеки Cisco.
Метою роботи було спроектувати захист розподіленої мережі організації
на основі шлюзів безпеки Cisco для захисту від несанкціонованого доступу та дій.
Для досягнення мети роботи було поставлено завдання, що реалізовано в усіх
розділах роботи, а саме:
В розділі №1 проводено огляд джерел, що стосуються питання
принців забезпечення мережної безпеки в сучасних мережах. Наведено методи
захисту інформації в мережі, що можуть бути використані під час практичних
налаштувань. Зокрема після аналізу джерел було зроблено короткий висновок,
що навіть найпростіші методи, такі як регулярне оновлення програмного
забезпечення, блокування всіх пристроїв та використання централізованої
автентифікації, а також методів захищеного доступу допоможуть значно
скоротити ризики. Введення відповідних політик та періодичні аудиторські
перевірки мереж додатково підвищують їхню загальну захищеність.
В розділі №2 розглянуто варіанти для захисту мережі на основі
шлюзів безпеки CISCO. Корпорація Cisco спеціалізується на багатьох питаннях,
що стосується Інтернет мереж, а питання інформаційної безпеки в них не
виключення. Наведено відомості про корпорацію та які варіанти було нею
розглянуто. Один із варіантів – проектування мережі на основі Cisco ASA 5505.
Cisco ASA 5505 – надійний маршрутизатор, що дозволить грамотно налаштувати
мережу та безпечно нею користуватись. Як і кожен маршрутизатор він має власні
переваги, які дозволять налаштувати мережу в рамках кваліфікаційної роботи.
В розділі №3 проведено практичну реалізацію алгоритмів дій для
налаштування та захисту мережі на основі ASA 5505. В рамках третього розділу
було проведено наступні дії:
1) Розроблено топологію та схему адресації у мережі;
2) Налаштовано базові параметри безпеки на пристроях;
3) Впроваджено AAA з використаннням TACACS+;
4) Налаштована синхронізація точного часу по мережі;
5) Налаштовано технології перетворення мережевих адрес;
6) Налаштовані віртуальні приватних мереж;
7) Налаштувано VLAN та DHCP для безпеки мережі на ASA;
8) Налаштовані списків контролю доступу;
У підсумку спроектована мережа має достатньо високий рівень захисту від
несанкціонованого доступу та дій.
У розділі №4 опрацьовано комплекс дій, що направлено на охорону праці,
а саме, проаналізовано небезпеки та шкідливості, які виникають при виконанні
робіт в приміщенні проектно-технічного відділу та наведено варіант модернізації
системи водяного опалення в приміщенні відділу.
У підсумку спроектована мережа може бути використана в наведеній як
приклад організації, що включає в себе трьох працівників головного офісу та
працівника, що працює віддалено.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Фундаментальные принципы сетевой безопасности [Електронний ресурс].
Режим доступу до джерела: https://aboutdc.ru/docs/APC/4/WP101_RU.pdf
2. Подход компании Cisco Systems [Електронний ресурс]. Режим доступу до
джерела: https://it.wikireading.ru/5797
3. Cisco ASA 5505 [Електронний ресурс]. Режим доступу до джерела:
https://www.vtkt.ru/articles/network_security/firewall_cisco_asa_5505.php
4. Критическая уязвимость Cisco ASA: В чем проблема, и как защититься
[Електронний ресурс]. Режим доступу до джерела:
https://habr.com/ru/company/pt/blog/277139/
5. Настройка cisco aaa + tac_plus (tacacs+) [Електронний ресурс]. Режим
доступу до джерела: https://habr.com/ru/post/131113/
6. NTP [Електронний ресурс]. Режим доступу до джерела: https://www.ntp-
servers.net/ntp.html
7. Cisco ASA Static NAT Configuration [Електронний ресурс]. Режим доступу
до джерела: https://networklessons.com/cisco/asa-firewall/cisco-asa-static-nat-
configuration
8. Типы виртуальной частной сети [Електронний ресурс]. Режим доступу до
джерела: https://www.vtkt.ru/articles/lokalnye_seti/Cisco_VPN.php
9. VLAN для чайников [Електронний ресурс]. Режим доступу до джерела:
https://asp24.ru/novichkam/vlan-dlya-chaynikov/
10. ЧТО ТАКОЕ DHCP СЕРВЕР И КАК ЕГО НАСТРОИТЬ [Електронний
ресурс]. Режим доступу до джерела: https://servergate.ru/articles/chto-takoe-
dhcp-server-i-kak-ego-nastroit/
11. Что такое ACL и как его настраивать [Електронний ресурс]. Режим доступу
до джерела: http://ciscotips.ru/acl