Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист
Описані вище рішення так чи інакше пов’язані з паролем. Ці системи замінюють пароль, записують в захищене сховище, накладають політики, синхронізують і скидають. Проте всі вони так чи інакше прив’язані до одного і того ж фактору — паролю. Тому хоча користувач буде мати двухфакторну аутентифікацію і реальний пароль буде збережений у надійному сховищі, все ж частина вразливостей системи і атак… Читати ще >
Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист (реферат, курсова, диплом, контрольна)
Міністерство освіти і науки України
Приватний вищий навчальний заклад «Міжнародний науково-технічний університет імені академіка Юрія Бугая»
Пояснювальна записка
до дипломної роботи за освітньо-кваліфікаційним рівнем «спеціаліст»
на тему: Використання каналів зв’язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист
Виконав: студент V курсу, групи КН-51
спеціальності 7.5 010 301 «Програмне забезпечення систем»
Богодайко Ігор Володимирович Керівник: Колєчкін В. А.
Київ — 2013
ЗМІСТ
Вступ Розділ 1. Корпоративна мережа
1.1 Безпека корпоративної мережі
1.2 Атаки на мережу Wi-Fi
1.3 Стандартні методи захисту
1.5 Стратегія побудови та забезпечення безпеки мережі Wi-Fi
Розділ 2. Технологія WІ-FІ мереж
2.1 Сценарії проектування та розгортання мережі Wi-Fi (WLAN)
2.2 Підходи до планування та проектування розвиненої мережі Wi-Fi
2.3 Радіообстеження зони покриття мережі Wi-Fi
Розділ 3. Створення бездротової корпоративної мережі WI-FI та її захист
3.1 Налаштування Wi-Fi контролера Cisco
3.2 Підключення точок доступу до контролера Cisco
3.3 Налаштування бездротової мережі та реалізація захисту на контролері Cisco
Висновки Список використаних джерел мережа захист безпека
ВСТУП
З деяким запізненням, у порівнянні із Заходом, в Україні повільно, але вірно починають розуміти всю важливість комплексного підходу в автоматизації підприємств та організацій на основі Wi-Fi. Частково саме тому останнім часом стала настільки популярною ідея створення корпоративних інформаційних систем на базі безпровідних мереж та створення методів захисту інформації що циркулює в них.
Корпоративна інформаційна система — це система, що використовує сучасні інформаційні та комп’ютерні технології, безпосередньо здійснює організаційну, управлінську та виробничу діяльність підприємства або організації і не є допоміжною або сервісною.
Корпоративна мережа яка базується на технології Wi-Fi — це складна система, що включає тисячі найрізноманітніших компонентів: комп’ютери різних типів, починаючи з настільних і закінчуючи смартфонами та планшетими, системного та прикладного програмного забезпечення, мережевих адаптерів, концентраторів та роутерів. А оскільки життя не стоїть на місці, то і зміст корпоративної інформації, інтенсивність потоків та способи її обробки постійно змінюються так само як і небезпеки пов’язані з незаконним вторгненням в безпровідну мережу та зловмисним маніпулюванням інформації в ній.
Використання технологій Wi-Fi — недороге та доступне практично всім підприємствам (а через голобальну мережу Internet і одиночним користувачам) — істотно полегшило завдання побудови територіально розподіленої корпоративної мережі, одночасно висунувши на перший план завдання захисту корпоративних даних при передачі їх через загальнодоступну публічну мережу з багатомільйонним «населенням» .
Актуальність роботи пов’язана з усе зростаючою роллю, яку відіграють бездротові корпоративні Wi-Fi мережі для забезпечення ефективності управління і успішного функціонування самих різних організацій. При цьому практично в кожній такій мережі спостерігається загальна тенденція збільшення числа користувачів, обсягів циркулюючої інформації, інтенсивності трафіку і пов’язаних з цими обставинами погіршення якості мережевих послуг.
Мета роботи - дослідити особливості пов’язані з принципами побудови та функціонування мереж передачі даних в розподілених корпоративних системах на основі Wi-Fi та їх захист. Для досягнення поставленої мети необхідно вирішити ряд завдань:
· дати розширене визначення поняттю «розподіленій корпоративній мережі»;
· розглянути процес створення корпоративної мережі;
· розглянути структуру корпоративної мережі;
· дослідити роль Internet в корпоративній мережі;
· виявити особливості використання методів захисту інформації в бездротовій мережі Wi-Fi;
· охарактеризувати особливості атак на корпоративні мережі.
Об'єктом дослідження є розподілена корпоративна мережа.
Предметом дослідження є способи та методи захисту інформації в бездротовій корпоративній мережі на основі Wi-Fi.
Методи дослідження: аналіз, класифікація, систематизація узагальнення.
Теоретичне значення даної дипломної роботи визначається тим, що її основні положення можуть бути використані у дослідницьких роботах, присвячених подальшій розробці систем захисту інформації в бездротовій мережі.
Практичне значення роботи полягає в тому, що її матеріали і результати можуть бути використані при написанні курсових та дипломних робіт, наукових статей, у викладанні курсів теорії та практиці створення сучасних корпоративних систем та їх захисту.
Структура роботи. Робота складається зі вступу, трьох розділів, висновків та списку літератури. Зміст дослідження представлено у трьох розділах. У першому розділі дипломної роботи були розглянуті особливості структури корпоративних мереж. ринципи, за якими будується така мережа, та безпека Wi-Fi мереж. В другому розділі обговорюються сценарій проектування та перші кроки впровадження технології Wi-Fi в корпоративних мережах підприємств. Третій розділ являє собою проект створення безпровідної локальної мережі на основі Wi-Fi та її захист.
РОЗДІЛ 1. КОРПОРАТИВНА МЕРЕЖА
Корпоративна мережа — це система, що забезпечує передачу інформації між різними додатками, використовуваними в системі корпорації. Корпоративна мережа являє собою мережу окремої організації. Корпоративною мережею вважається будь-яка мережа, що працює по протоколу TCP / IP і використовує комунікаційні стандарти Інтернету, а також сервісні додатки, що забезпечують доставку даних користувачам мережі. Наприклад, підприємство може створити сервер Web для публікації оголошень, виробничих графіків і інших службових документів. Службовці здійснюють доступ до необхідних документів за допомогою засобів перегляду Web.
Сервери Web корпоративної мережі можуть забезпечити користувачам послуги, аналогічні послугам Інтернету, наприклад роботу з гіпертекстовими сторінками (що містять текст, гіперпосилання, графічні зображення і звукозапису), надання необхідних ресурсів по запитах клієнтів Web, а також здійснення доступу до баз даних. В цьому керівництві всі служби публікації називаються «службами Інтернету» незалежно від того, де вони використовуються (в Інтернеті або корпоративній мережі).
Корпоративна мережа, як правило, є територіально розподіленою, тобто об'єднуючою офіси, підрозділи та інші структури, що знаходяться на значній відстані один від одної. Принципи, за якими будується корпоративна мережа, досить сильно відрізняються від тих, що використовуються при створенні локальної мережі. Це обмеження є принциповим, і при проектуванні корпоративної мережі слід вживати всіх заходів для мінімізації обсягів передаваних даних. В іншому ж корпоративна мережа не повинна вносити обмежень на те, які саме додатки і яким чином обробляє передавану по ній інформацію.
Процес створення корпоративної інформаційної системи
Можна виділити основні етапи процесу створення корпоративної інформаційної системи:
* провести інформаційне обстеження організації, за результатами обстеження вибрати архітектуру системи та апаратно-програмні засоби її реалізації, вибрати та/або розробити ключові компоненти інформаційної системи:
* система управління корпоративною базою даних;
* система автоматизації ділових операцій та документообігу;
* система управління електронними документами;
* спеціальні програмні засоби;
* системи підтримки прийняття рішень.
Розглянемо послідовно кожен із перелічених етапів.
Інформаційне обстеження
Інформаційна система потрібна організації для того, щоб забезпечувати інформаційно-комунікаційну підтримку її основної та допоміжної діяльності. Тому перш, ніж вести мову про структуру та функціональне наповнення інформаційної системи, необхідно розібратися в цілях і завданнях самої організації, щоб зрозуміти, що ж потрібно автоматизувати.
Відповіді на поставлені питання можна отримати тільки після детального інформаційного обстеження компанії, цілями якого є:
* формулювання і опис функцій кожного підрозділу компанії, а також розв’язувані ними задачі;
* опис технології роботи кожного з підрозділів компанії і розуміння, що необхідно автоматизувати і в якій послідовності;
* опис технології роботи кожного з підрозділів та пов’язаних з ними інформаційних потоків;
* відображення технології на структуру, визначення її функціонального складу і кількості робочих місць в кожному структурному підрозділі компанії, а також опис функцій, які виконуються (автоматизуються) на кожному робочому місці;
* опис основних шляхів і алгоритми проходження вхідних, внутрішніх та вихідних документів, а також технології їх обробки.
Результатом обстеження є моделі діяльності компанії, і її інформаційної інфраструктури, на базі яких розробляються проект корпоративної інформаційної системи, вимоги до програмно-апаратних засобів і специфікації на розробку прикладного програмного забезпечення, якщо в цьому є необхідність. При виборі описуваних засобів необхідно звернути увагу на те, щоб робота з ними була б доступна не тільки професійним працівникам, але й більш широкому класу [14, 8].
Архітектура
За результатами обстеження необхідно вибрати архітектуру системи. Для корпоративних систем рекомендується архітектура клієнт / сервер. Архітектура клієнт / сервер надає технологію доступу кінцевого користувача до інформації в масштабах підприємства. Таким чином, архітектура клієнт /сервер дозволяє створити єдиний інформаційний простір, в якому кінцевий користувач має своєчасний і безперешкодний (але санкціонований) доступ до корпоративної інформації. Інформаційне обстеження дозволяє вибрати апаратно-програмну реалізацію системи.
Вибір СУБД
Вибір системи управління для корпоративної бази даних — один з ключових моментів у розробці інформаційної системи. На Українському ринку присутні практично всі СУБД, що належать до елітного класу — Oracle, Informix, Sybase, Ingres. Питання, яку СУБД використовувати, можна вирішити тільки за результатами попереднього обстеження та отримання інформаційних моделей діяльності.
Вибір системи автоматизації документообігу
Плутанина з документами (їх затримки, втрати, дублювання, довге переміщення від одного виконавця до іншого і т.д.) — болюча проблема для будь-якої компанії. Тому система автоматизації документообігу, яка дозволяє автоматизувати ручні, рутинні операції, автоматично передавати і відслідковувати переміщення документів усередині корпорації, контролювати виконання доручень, пов’язаних з документами і т.д. — одна з найважливіших складових інформаційної системи.
Вибір програмних засобів для управління документами
Поява на ринку систем управління електронними документами — EDMS (Electronic Document Management Systems) викликана прагненням скоротити потік паперових документів і хоча б частково зменшити труднощі, що виникають у зв’язку з їх зберіганням, пошуком і обробкою. На відміну від документів на паперових носіях електронні документи забезпечують переваги при створенні, сумісного використання, пошуку, поширенні та зберіганні інформації. Системи EDMS реалізують введення, зберігання і пошук всіх типів електронних документів, як текстових, так і графічних. За допомогою систем цього класу можна організувати зберігання в електронному вигляді адміністративних і фінансових документів, факсів, технічної бібліотеки, зображень, тобто всіх документів, що входять в організацію і циркулють в ній [18, 22].
Вибір спеціалізованих прикладних програмних засобів
При всій описаній спільності кожна компанія має свою специфіку, яка визначається родом її діяльності. Вибір спеціалізованих програмних засобів в значній мірі залежить від цієї специфіки.
Абсолютно для всіх компаній необхідно мати в складі інформаційної системи стандартний набір додатків, таких як текстові редактори, електронні таблиці, комунікаційні програми і т.д. Одним із критеріїв вибору подібних систем повинна бути можливість їх нескладної інтеграції в корпоративну інформаційну систему.
Системи підтримки прийняття рішенью
Необхідно відзначити спеціальний клас додатків — систем підтримки прийняття рішень, що дозволяють моделювати правила і стратегії бізнесу і мати інтелектуальний доступ до неструктурованої інформації. Системи подібного класу засновані на технологіях штучного інтелекту.
Структура корпоративної мережі
Для підключення віддалених користувачів до корпоративної мережі самим простим і доступним варіантом є використання телефонного зв’язку. Там, де це можливо, можуть використовуватися мережі ISDN. Для об'єднання вузлів мережі в більшості випадків використовуються глобальні мережі передачі даних. Навіть там, де можлива прокладка виділених ліній (наприклад, в межах одного міста) використання технологій пакетної комутації дозволяє зменшити кількість необхідних каналів зв’язку і - що важливо — забезпечити сумісність системи з існуючими глобальними мережами.
Підключення корпоративної мережі до Internet виправдано, якщо потрібен доступ до відповідних послуг. Використовувати Internet як середовище передачі даних варто тільки тоді, коли інші способи недоступні і фінансові міркування переважують вимоги надійності та безпеки. Якщо використовувати Internet тільки як джерело інформації, краще користуватися технологією «з'єднання по запиту» (dial-on-demand), тобто таким способом підключення, коли з'єднання з вузлом Internet встановлюється тільки з вашої ініціативи і на потрібний вам час. Це різко знижує ризик несанкціонованого проникнення у вашу мережу ззовні.
Для передачі даних усередині корпоративної мережі також варто використовувати віртуальні канали мереж пакетної комутації. Основні переваги такого підходу — універсальність, гнучкість, безпека.
Обладнання корпоративних мереж
Корпоративна мережа — це досить складна структура, що використовує різні типи зв’язку, комунікаційні протоколи і способи підключення ресурсів.
Все обладнання мереж передачі даних можна умовно розділити на два великі класи — периферійне, яке використовується для підключення до мережі кінцевих вузлів, і магістральне або опорне, що реалізує основні функції мережі (комутацію каналів, маршрутизацію і т.д.). Чіткої межі між цими типами немає - одні й ті ж пристрої можуть використовуватися в різній якості або поєднувати ті й інші функції. Слід зазначити, що до магістрального обладнання зазвичай пред’являються підвищені вимоги в частині надійності, продуктивності, кількості портів і подальшої розширюваності. Периферійне обладнання є необхідним компонентом будь-якої корпоративної мережі. Функції ж магістральних вузлів може брати на себе глобальна мережа передачі даних, до якої підключаються ресурси. Як правило, магістральні вузли у складі корпоративної мережі з’являються тільки в тих випадках, коли використовуються орендовані канали зв’язку або створюються власні вузли доступу.
Периферійне устаткування корпоративних мереж з точки зору виконуваних функцій також можна розділити на два класи. По-перше, це маршрутизатори (routers), слугуючі для об'єднання однорідних LAN (як правило, IP або IPX) через глобальні мережі передачі даних. У мережах, що використовують IP або IPX в якості основного протоколу — зокрема, в тому же Internet — маршрутизатори використовуються і як магістральний устаткування, що забезпечують стиковку різних каналів і протоколів зв’язку. Маршрутизатори можуть бути виконані як у вигляді автономних пристроїв, так і програмними засобами на базі комп’ютерів і спеціальних комунікаційних адаптерів.
По-друге широко використовуваний тип периферійного обладнання — шлюзи (gateways), реалізовують взаємодію додатків, що працюють в різних типах мереж. У корпоративних мережах використовуються в основному шлюзи OSI, що забезпечують взаємодію локальних мереж з ресурсами X.25 і шлюзи SNA, що забезпечують підключення до мереж IBM. Повнофункціональний шлюз завжди являє собою програмно-апаратний комплекс, оскільки повинен забезпечувати необхідні для додатків програмні інтерфейси [19, 21].
Всі найбільші постачальники мережевого обладнання пропонують набори продуктів, що надають керівникам інформаційних служб широкі можливості для побудови корпоративних мереж. Вони включають різноманітні апаратні засоби (концентратори, маршрутизатори, комутатори), орієнтовані на створення систем на базі передових комунікаційних технологій, включаючи Fast Ethernet, режим асинхронної передачі (ATM) і віртуальні мережі. Інтеграція цих технологій в широкомасштабні інформаційні системи спрямована на підвищення пропускної спроможності.
Багатошарове представлення корпоративної мережі
Корпоративну мережу корисно розглядати як складну систему, що складається з декількох взаємодіючих шарів. В основі лежить шар комп’ютерів-центрів зберігання і обробки інформації, і транспортна підсистема, що забезпечує надійну передачу інформаційних пакетів між комп’ютерами.
Над транспортною системою працює шар мережевих операційних систем, який організовує роботу додатків в комп’ютерах і надає через транспортну систему ресурси свого комп’ютера в загальне користування.
Над операційною системою працюють різні додатки, але через особливу роль систем управління базами даних, що зберігають у впорядкованому вигляді основну корпоративну інформацію і виконують над нею базові операції пошуку, цей клас системних додатків звичайно виділяють в окремий шар корпоративної мережі.
На наступному рівні працюють системні сервіси, які, користуючись СУБД, як інструментом для пошуку потрібної інформації серед мільйонів і мільярдів байт, збережених на дисках, надають кінцевим користувачам цю інформацію в зручній для прийняття рішення формі, а також виконують деякі загальні для підприємств усіх типів процедури обробки інформації. До цих сервісів відноситься служба World Wide Web, система електронної пошти, системи колективної роботи та багато інших.
І, нарешті, верхній рівень корпоративної мережі представляють спеціальні програмні системи, які виконують завдання, специфічні для даного підприємства або підприємств даного типу. Прикладами таких систем можуть служити системи автоматизації банку, організації бухгалтерського обліку, автоматизованого проектування, управління технологічними процесами і т.п.
Кінцева мета корпоративної мережі втілена в прикладних програмах верхнього рівня, але для їх успішної роботи абсолютно необхідно, щоб підсистеми інших верств чітко виконували свої функції.
Стратегічні рішення, як правило, впливають на вигляд мережі в цілому, зачіпаючи кілька шарів, хоча спочатку стосуються тільки одного конкретного шару або навіть окремої підсистеми цього шару. Такий взаємний вплив продуктів і рішень потрібно обов’язково враховувати при плануванні технічної політики розвитку мережі, інакше можна зіткнутися з необхідністю термінової і непередбаченої заміни, наприклад, мережевої технології, через те, що нова прикладна програма відчуває гострий дефіцит пропускної здатності для свого трафіку [9, 15].
1.1 Безпека корпоративної мережі
Завдяки тому, що вся історія побудови безпечної інформаційної системи пов’язана або з зміцненням захисту по периметру, або з організаційними та фізичними заходами захисту, сьогодні рідко можна побачити корпоративну мережу, яка стійка до злому і атакам зсередини.
Сьогодні вже ніхто не може уявити як завгодно серйозну організацію без робочих місць, оснащених комп’ютерами, підключеними до загальної корпоративної мережі. Як правило, корпоративна мережа підключається до загальнодоступних мереж, зазвичай до Інтернету. Оскільки більша частина життєво важливої ??інформації компанії, включаючи і конфіденційну, знаходиться в корпоративній мережі, то виникає серйозне питання, хто може отримати доступ до цієї інформації.
Посилення безпеки корпоративної мережі: зміна акцентів
Безпека сьогодні є «модним» словом. Якщо розглянути рішення проблеми захисту доступу до ресурсів корпоративної мережі в розвитку, то можна відзначити суттєві зміни за останнє десятиліття. В кінці 80-х найбільше турбували фізичні уразливості системи, загрози фізичного доступу сторонніх осіб до системи. Тому рішення в основному стосувалися організаційних заходів. До середині 90-х акценти змістилися, сильний вплив зробили підключення корпоративної мережі до Інтернету і побудова розподілених мереж — підключення до головної корпоративної мережі філій компанії, а також небезпека, пов’язана з комп’ютерними вірусами. Комп’ютерна безпека корпоративної мережі в цей період перестала визначатися тільки коректністю посадових інструкцій та «стійкістю дверей» в кімнаті з серверами і в основному перейшла у відання ІТ-персоналу компанії. Схема рішень даних завдань в більшості випадків полягала в пошуку і виявленні вразливостей системи, а потім в усуненні знайдених «дірок». Тому велике значення придбали різні мережеві сканери та сканери безпеки, системи аудиту подій і його подальшого аналізу. Компанії в максимальному ступені захищали периметр своєї мережі від стороннього доступу випадкових осіб, реальних хакерів і комп’ютерних вірусів, які проникали в мережу разом з корпоративною поштою або з Інтернету. З кінця 90-х рішення в області інформаційної безпеки від пошуку та усунення «дірок» в системі безпеки переходять у сферу управління ризиками. Для кожної інформаційної системи виробляється аналіз вразливостей і ризиків, при цьому посилюється активний мережевий контроль і ведеться постійне розслідування різних інцидентів. Саме на таких підходах базуються сучасні системи мережевої безпеки.
Управління ризиками як фактор оцінки рішень
Вирішуючи проблему безпеки корпоративної мережі, фахівець, що відповідає за вибір того чи іншого рішення, як правило, повинен відшукати «золоту середину» як мінімум у трьох показниках інформаційної системи в цілому. Цими показниками, або характеристиками інформаційної системи є вартість володіння, продуктивність, безпека. Причому всі ці параметри взаємопов'язані. При підвищенні безпеки системи та зниження ризиків вартість системи в цілому зростає, а продуктивність, як правило, знижується. Іншими конфліктуючими параметрами інформаційної системи є відкритість і зручність, з одного боку, і захищеність і надійність — з іншого. Безумовно, задовольнити всі вимоги неможливо — при побудові або модернізації інформаційної системи важливо знайти прийнятний компроміс. Таким чином, побудова безпечної сучасної інформаційної системи — це управління виникаюче внаслідок певних компромісів ризиками.
Управління ризиками варто розглядати в контексті життєвого циклу корпоративної мережі або інформаційної системи в цілому. Саме такий підхід дасть можливість перейти від «латання дірок» і пошуку виходу з надзвичайних ситуацій до дієвого контролю і управлінню безпекою системи. При побудові системи варто задуматися над питаннями доступу до системи. Наскільки ті або інші бізнес-операції і дані критичні? Які системи і користувачі повинні отримувати доступ до тих чи інших ресурсів компанії? Що є найбільш критичними об'єктами системи?
Ще на етапі планування системи стоїть розробити політики безпеки, визначити порядок робіт (які продукти, як, ким і в якому порядку будуть впроваджуватися), описати планований аналіз інцидентів. На етапі впровадження системи засобами управління і адміністрування вибудувати сплановану систему політик безпеки, встановити доступні на поточний момент пакети оновлення і доповнення до всіх застосовуваним рішенням і продуктам в системі, налаштувати мережевий аудит. У ході експлуатації системи необхідний постійний моніторинг і розслідування інцидентів, аналіз зібраного аудиту. На основі цих даних можна буде коригувати політики безпеки, конфігурувати вже впроваджені і додавати нові мережеві рішення. На цьому кроці ми знову переходимо до етапу планування, але вже не системи в цілому, а її доробок і вдосконалення.
Побудова безпечної інформаційної системи на основі управління ризиками неможлива без вивчення досвіду і статистичних даних, отриманих при експлуатації вже існуючих інформаційних систем. Якщо розглянути розподіл втрат в корпоративній мережі за їхніми джерелами, то для сучасних систем буде характерно превалювання втрат, пов’язаних з внутрішніми джерелами і людським фактором. Так, за даними Computer Security Institute, реальні втрати через комп’ютерних вірусів становлять лише 4% від всіх понесених організаціями втрат внаслідок проблем з безпекою інформаційної системи. Через проблеми, пов’язані з фізичним захистом, включаючи електроживлення, втрачається 20%, а через зовнішні нападі (у тому числі хакерських атак) — всього 2%. При цьому втрати внаслідок помилок персоналу — 55%, і втрати від зловмисних дій нечесних і скривджених співробітників — 19%. Аналізуючи цю статистику, можна говорити про те, що головна «діра» — беззахисність корпоративної мережі зсередини. Дійсно, завдяки тому, що вся історія побудови безпечної інформаційної системи пов’язана або з зміцненням захисту по периметру, або з організаційними та фізичними заходами захисту, сьогодні рідко можна побачити корпоративну мережу, яка стійка до злому і атакам зсередини. Звичайно, не варто думати, що сьогодні не потрібна фізична охорона або захист по периметру, але ці заходи безсилі проти внутрішніх загроз і дій самих співробітників. Важливо відзначити, що під атаками і зломом системи зсередини розуміються не стільки дії зловмисників, які підключилися безпосередньо до корпоративної мережі і при цьому є професіоналами в комп’ютерних атаках. Швидше за все, їх якраз небагато. Набагато частіше зустрічаються випадки, коли звичайні співробітники компанії бажають отримати більший доступ до мережевих ресурсів, скористатися заблокованими або недозволеними програмами, або просто через незнання, або всупереч корпоративним інструкціям встановити додаткове програмне забезпечення, «попрацювати» з даними свого колеги. Така атака на корпоративну мережу виникає раптово, без видимих?? передумов і порівнянна лише з партизанською війною, де немає лінії фронту. Саме таких атак і боїться як вогню будь-який співробітник ІТ-безпеки. Причина криється в складності і багатофункціональності (одну і ту ж дію можна виконати різними способами) сучасних операційних систем, а також в труднощі надати тільки ті можливості користувачам, які їм дійсно потрібні.
«Слабка ланка»: доступ користувача до інформаційної системи за паролем
Надійність інформаційної системи в цілому не може бути вище надійності найслабшої ланки. Саме ця слабка ланка може звести нанівець всі зусилля по зміцненню безпеки всієї системи. Якщо розглядати зміни в способах захисту корпоративної мережі за останні 10 років, то можна з упевненістю сказати, що змінилося практично все, крім одного, — для доступу до мережі користувач повинен набрати на клавіатурі «щось», після чого він отримає доступ до всієї своєї інформації. Пароль та ім'я користувача, як правило, є цим «щось», а в деяких компаніях до цих пір можна зустріти порожній пароль навіть для користувачів-адміністраторів та менеджерів вищої ланки. Сьогодні в більшості середніх і великих компаній від простого секретаря до члена ради директорів для входу в мережу всі набирають ім'я і пароль, хоча при цьому володіють відмінним один від одного рівнем повноважень і влади.
На сьогоднішній день однофакторна аутентифікація, заснована на простому паролі, є основною вразливістю багатьох корпоративних мереж і додатків, і інформаційної системи в цілому. Коротко перерахуємо основні причини, за якими пароль в сучасній корпоративній системі неприйнятний для хоч скільки-небудь серйозного рівня захисту.
Зниження впливу людського чинника при аутентифікації
Всі зазначені проблеми аутентифікації користувача за паролем базуються на так званому людському факторі. Для того щоб уникнути описаних вище проблем, необхідно використовувати багатофакторну аутентифікацію, яка базується не тільки на тому, що користувач знає - паролі, але і на тому, що він має - смарт-карта або токен, або на те, чим він володіє - від відбитка пальця і ??тембру голосу до структури ДНК. Таким чином, найбільш просто значно підвищити стійкість системи аутентифікації користувача — перейти від однофакторної аутентифікації до двухфакторної, наприклад, на основі смарт-карти і PIN-коду (по суті пароля для смарт-карти).
Спеціаліст з проектування інформаційної системи безпеки компанії сьогодні стоїть перед вибором, що використовувати в якості другого чинника — смарт-карти, електронні ключі, токени або біометрію. Сьогодні більшість систем підтримує або біометрію, або смарт-карти і токени. Принципова різниця пристроїв біометрії від смарт-карт і токенів полягає в тому, що біометрія лише із заданою вірогідністю, завжди відмінної від 100%, визначає користувача, що передбачає як помилкові спрацьовування на «чужака», так і можливість відмови у доступі реальному власнику. Більшість сучасних систем побудовано на архітектурі відкритих ключів (PKI) і припускає наявність у користувача захищеного сховища для особистих ключів — смарт-карти або токену, а універсальних систем, що працюють і з тим і з іншим, лічені одиниці.
Крім того, варто врахувати, що закупівельна вартість серйозного рішення на основі біометрії в рази перевищує рішення на смарт-картах або токенах, зіставні по стійкості до злому. Так, наприклад, вартість тільки апаратної частини в розрахунку на одне робоче місце для читання відбитків пальців становить близько 100−140 доларів США, комплект з смарт-карти і зчитувача до неї - 50−70 доларів, а для USB-токена — 40−50 доларів. Виходячи з цих цін стає зрозуміло, що, посилювати безпеку корпоративної мережі, навряд чи варто починати з впровадження біометрії. Можливо, в майбутньому біометрія забере більше місце в рішеннях систем безпеки і без її вживання не буде обходитися жодна система. Проте сьогодні її застосування — скоріше доповнення до чогось, ніж окрема або головна роль.
Всі рішення для управління аутентифікацією користувачів можна розділити на три групи:
• системи управління паролями (password management product, РМР);
• рішення, що реалізують єдиний доступ (single sign-on, SSO);
• інфраструктура управління аутентифікацією (authentication management infrastructure, AMI).
Системи управління паролями
Системи управління паролями (РМР) зберігають пароль у захищеному сховищі, наприклад, смарт-карті або токені. Для передачі такого пароля системі користувач повинен підключити захищене сховище до комп’ютера і ввести PIN-код, який дозволяє взаємодіяти системі зі сховищем. Рішення з управління паролями, як правило, реалізує наступний набір функцій:
• автоматична синхронізація пароля (якщо пароль змінюється в одній з систем, то він синхронізується з іншими системами);
• сервіс скидання пароля (дозволяє користувачеві скинути і автоматично призначити нові паролі для всіх систем);
• сервіс адміністративного скидання пароля (дозволяє адміністратору системи або офіцеру безпеки скинути і автоматично призначити нові паролі для всіх систем).
Рішення з управління паролями допомагають користувачеві при зміні і призначенні нових паролів, а також істотно спрощують систему синхронізації пароля. Користувач такої системи повинен знати лише PIN-код — пароль для доступу до свого захищеного сховища, і мати саме сховище. Реальні паролі, що знаходяться в самому сховищі і використовувані в процедурах мережевої аутентифікації, користувач не знає. Реальний пароль або паролі можуть генеруватися випадковим чином і бути досить великої довжини — користувачеві їх пам’ятати все одно не доведеться, а зловмиснику безглуздо використовувати атаку за словником. Підвищення зручності у роботі користувача в наявності - немає необхідності пам’ятати безліч паролів та імен входу, необхідно мати ключ або смарт-карту і пам’ятати PIN-код. При такому рішенні користувач вже не може сказати свій пароль колезі, а на ключ як матеріальний об'єкт простіше накласти організаційні заходи, наприклад, отримувати і здавати під розпис. У такий ключ або смарт-карту може бути вбудований і проксіміті-чіп (безконтактна смарт-картка) і на його основі побудований доступ в саме приміщення.
Додатковим плюсом таких рішень є відносна простота їх впровадження. Як правило, всі рішення базуються на клієнті та станції адміністратора і практично не зачіпають сервер — не вимагають постійно запущених на сервері модулів. У більшості випадків дані рішення не вимагають впровадження інфраструктури відкритих ключів (PKI), що, з одного боку, скорочує час і знижує вартість впровадження, але з іншого — не веде до значного посилення безпеки, оскільки не змінює докорінно процедури аутентифікації, базуючись на вже прийнятих процедурах і стандартах, розширюючи і доповнюючи їх.
Сьогодні існує велика кількість рішень, побудованих на принципах, описаних вище. Більшість таких рішень вбудовується в існуючі процедури аутентифікації або базується на можливостях розширення цих процедур.
При виборі системи управління паролями варто звернути увагу, чи не дасть вбудована система додаткових вразливостей в існуючий захист. Вбудована система не повинна змінювати щось у ядрі операційної системи — хоча деякі системи і міняють Microsoft GINA і деякі системні бібліотеки DLL; строго кажучи, таке вбудовування не можна назвати надійним. Оскільки Microsoft перешкоджає подібного підходу, при установці оновлень до операційної системи і пакетів оновлень можуть виникати серйозні проблеми. Варто звернути увагу на використовувані модулів для шифрування хеш-функцій. Встановлювана система повинна використовувати вбудовані рішення кріптосервіспровайдерів (CSP) або додавати свої. Важливо також відзначити, що вбудовується система повинна бути перевірена на відсутність конфліктів і стійку працездатність з поточними механізмами захисту, наприклад, міжмережевим екранами [14, 13].
Інфраструктура управління аутентифікацією
Описані вище рішення так чи інакше пов’язані з паролем. Ці системи замінюють пароль, записують в захищене сховище, накладають політики, синхронізують і скидають. Проте всі вони так чи інакше прив’язані до одного і того ж фактору — паролю. Тому хоча користувач буде мати двухфакторну аутентифікацію і реальний пароль буде збережений у надійному сховищі, все ж частина вразливостей системи і атак, наприклад, побудованих на ловлі пароля по мережі, потенційно залишається, і зловмисники можуть скористатися такими лазівками. Ні для кого не секрет, що вже зараз існує клас систем, що реалізують аутентифікацію користувача за допомогою цифрового сертифіката та особистого ключа, що базуються на технології PKI. Такі системи реалізують новий підхід до побудови аутентифікації в цілому і роблять принципово недоступними старі технології атаки на систему. Одними з важливих елементів технології PKI є центр сертифікації (ЦС), який реалізує виписку і відгук сертифікатів, і сховище сертифікатів, вирішальна доступність відкритого ключа та списку відкликаних сертифікатів. При цьому передбачається, що користувач зберігає свій особистий ключ у захищеному сховищі - смарт-карті або електронному ключі, доступ до якого неможливий без знання PIN-коду. Більшість таких систем пропонує власну реалізацію всіх компонентів системи, за винятком захищеного сховища. Безумовно, це може бути зручно, якщо ви користуєтеся тільки однією такою системою.
Хорошим прикладом, що ілюструє переваги та недоліки такого підходу, може бути система аутентифікації по смарт-карті в мережі Microsoft Windows 2000. Дана технологія має назву SmartCard-Logon. Для реалізації рішення необхідно встановити і налаштувати сервер сертифікатів — він здійснюватиме виписку і відгук сертифікатів. При цьому відкриті частини всіх виписаних сертифікатів будуть публікуватися в службі каталогу — Active Directory, а особисті ключі - в смарт-картах. На перший погляд рішення просто і відносно легко для впровадження в корпоративній мережі. Але це рішення застосовано, якщо вся мережа побудована на серверах Windows 2000 і в якості робочих місць використовуються станції тільки Windows 2000 або Windows XP. Однак у більшості корпоративних інформаційних систем це не так — мережі гетерогенні, що не дозволяє реалізувати дане рішення. Інша важлива проблема для реалізації подібного рішення — відсутність доцільності мати на всіх робочих місцях операційні системи Windows 2000 або ХР і захищений вхід по смарт-карті, так як не всі користувачі працюють з критично важливими даними. Також дане рішення не дозволить пройти аутентифікацію користувачеві, чиє робоче місце не підключено до мережі. Це створює неможливість застосування даного рішення для співробітників компанії, що працюють поза офісом.
При необхідності додати в таку систему аутентифікацію на основі біометрії, одноразових паролів або будь-якого іншого пристрою, відмінного від підтриманого стандартно Microsoft, фахівець з безпеки зіткнеться з проблемами сумісності стандартного клієнта Microsoft з рішеннями третіх виробників. Як правило, розширення подібного клієнта будується на недокументованій можливості та швидше завдає шкоди безпеці. Ще однією серйозною проблемою, буде відсутність єдиної точки адміністрування. Частина користувачів, що використовують паролі і смарт-карти для входу в мережу, доведеться адмініструвати за допомогою стандартних утиліт Microsoft, а інша частина користувачів буде недоступна для адміністрування за допомогою цих утиліт. Відсутність єдиної точки адміністрування користувачів сильно ускладнить адміністрування системи і може призвести до серйозних помилок. Тому при виборі системи вкрай важливо мати єдину точку адміністрування, особливо систем з великою кількістю користувачів. Враховуючи проблеми, описані вище, дане рішення, що базується на стандартних можливостях Windows 2000 і умовно-безкоштовне для власників цих систем, не набуло широкого поширення.
Виходячи з описаного вище прикладу, можна уявити, яким вимогам повинна відповідати система, що надає інфраструктуру управління аутентифікацією (AMI), для задоволення більшості сучасних потреб середнього та великого підприємства. Дана система безумовно повинна базуватися на технології PKI, при цьому вкрай бажано, щоб така система могла не тільки мати свій центр сертифікатів, а й інтегруватися з зовнішнім центром сертифікатів. У першому випадку це важливо, якщо в корпоративній мережі в поточний момент відсутній центр сертифікатів або компанія не передбачає задіяти зовнішні центри сертифікатів, наприклад, з причини їх дорожнечі. У другому випадку, якщо вже в організації існують які-небудь рішення на PKI-технології, то впроваджувана система не повинна ламати усталені рішення. Впроваджувана система інфраструктури управління аутентифікацією повинна щільно інтегруватися з будь службою каталогу, де і будуть розміщуватися публічні частини системи. Враховуючи, що більшість корпоративних систем гетерогенна, такий каталог не повинен бути прив’язаний до однієї з платформ, а представляти кроссплатформне рішення.
Одним з обов’язкових вимог до каталогу, на якому базуватиметься AMI, повинна бути можливість роботи з LDAP, протоколом, по суті стати стандартом для взаємодії багатьох додатків зі службою каталогу. Бажана повна підтримка специфікації LDAP v3, що зробить можливим SASL (Simple Authentication and Security Layer) аутентифікацію в службі каталогу.
Ще одним з бажаних вимог також є підтримка градуйованої (ступінчастої) аутентифікації на рівні служби каталогу. Зазначеним вище вимогам повністю відповідають такі каталоги, як Sun ONE і eDirec-tory, — ці каталоги повністю підтримують специфікацію LDAP v3 і градуліровану (ступеневу) аутентифікацію. Однак eDirectory має переваги в силу своєї багатоплатформеності і низької вартості.
Система інфраструктури управління аутентифікацією повинна сама бути кросплатформним продуктом, що дозволить легко впроваджувати таку систему в гетерогенній інформаційній системі підприємства. Оскільки дана система являє «ворота аутентифікації», то вона повинна підтримувати багатофакторну аутентифікацію, побудовану на різних методах — від простого пароля до смарт-карт і біометрії. Безумовно, в такій системі важливу роль відіграватиме підтримка різних вендорів виробників устаткування і рішень для аутентифікації. Така підтримка повинна бути побудована на принципах модульності і відкритих інтерфейсів взаємодії між системою і апаратними рішеннями. Наприклад, взаємодія з широким класом смарт-карт і електронних ключів може бути побудовано на основі стандарту PKCS # 11. Такий підхід дозволить з легкістю переходити на сучасні пристрої і при цьому не потребуючи перепрошивання програмних модулів.
1.2 Атаки на мережу Wi-Fi
Популярність бездротових технологій і розширення мобільного робочого простору сприяють становленню нового типу рівня доступу. «Корпорація, яка скрізь зі мною». — Все частіше так називають архітектуру, яка безпечно і надійно надає користувачеві корпоративну інфраструктуру скрізь — в офісі компанії, на віддалених сайтах, вдома, в будь-якому місці, де є доступ до інтернету. Однак мобільність, включаючи бездротові технології, має потенціал створювати умови, за яких можливий несанкціонований доступ в мережу, можливі втрати закритої інформації, а також можливі умови для проникнення в мережу вірусів і черв’яків. Якісне та повноцінне планування дозволяє уникати ці проблеми без надмірних капітальних і операційних витрат.
Якщо бездротова мережа доступу розгорнута, вона повинна моніторитись і захищатися проти хакерських атак. Діапазон їх варіюється від генерації простого широкосмугового шуму за допомогою радіоджаммерів до витончених атак типу «людина в промежку» (man in the middle / MITM), де атакуючий створює ситуацію, входячи в комунікаційний шлях і отримуючи можливість додавати, видаляти або модифікувати дані.
Використання шифрування трафіку і аутентифікації усуває багато проблем, але важливо не забувати про більш просунуті технології нашого часу. Це, наприклад, системи запобігання вторгнень (IPS / Intrusion Prevention System), необхідні для виявлення і запобігання атак. Системи IPS давно існують і чудово себе показали не тільки в дротовому, але і в бездротовому світі. IPS дозволяє не витрачати значуще час на спроби вирішення проблем із з'єднанням у WLAN, в той час як фактична проблема, наприклад, у вже розпочатій атаці.
Побудова ефективної системи безпеки — це не просто покупка якоїсь системи, наприклад, IPS. Це комплексний проект, що включає в себе вирішення великої кількості завдань — від вдумливого проектування прав доступу і списків доступних ресурсів для кожного користувача до введення практики постійного відстеження рівня безпеки власної інфраструктури для виявлення слабких місць і розробки плану реакції на атаки і порушення безпеки. [23]
Деякі загальні спостереження:
1. Беручи до уваги загальні мережні рівні дротової і бездротової мережі, більшість атак, застосовуваних до провідної мережі, будуть працювати і проти бездротових клієнтів.
2. Через природу Радіо виявлення зловмисника, ворожої точки доступу або інфікованого комп’ютера й запобігання спроб доступу або атак може бути складним.
3. Керовані Точки Доступу і централізована архітектура є критичними факторами забезпечення безпеки.
Як вже було відмічено раніше, більшість відомих атак застосовується як в провідний, так і в бездротової мережі, тому проведемо комплексний аналіз аспектів мережевої Безпеки з урахуванням особливостей бездротової мережі Wi-Fi. Розглянемо докладніше основні аспекти Мережевих Атак
Загальна класифікація мережевих атак
Одне з визначень мережевої атаки — мережева атака може бути визначена як будь-який метод, процес або засіб, що використовується для виконання зловмисної спроби порушення мережевої безпеки.
Існує багато причин, по яких люди хочуть атакувати корпоративні мережі. Людей, які проводять мережеві атаки часто називають хакерами або кракерами.
У цілому Мережеві атаки можна класифікувати чотирма типами:
1. Внутрішні небезпеки.
2. Зовнішні небезпеки.
3. Структуровані небезпеки.
4. Неструктуровані небезпеки.
> Зовнішні небезпеки (і зовнішні атаки): коли зовнішні атаки виконуються без участі внутрішніх співробітників. Такі атаки організовуються і виконуються досвідченими индивидуалами або їх групами, організаціями хакерів, а іноді і не досвідченими «новачками». Атакуючі зазвичай мають план і відповідний інструментарій, володіють відповідними стратегіями для виконання атаки. До основних характеристик зовнішніх атак можна віднести використання сканування системи та збір інформації. Таким чином можна визначати зовнішні атаки шляхом ретельного аналізу логів міжмережевих екранів. Для швидкої і зручної ідентифікації зовнішніх атак хороший підхід полягає в розгортанні системи запобігання вторгнень IPS. Для мереж Wi-Fi виробники рішень корпоративного класу запропоновують якісні і просунуті системи IPS, здатні не тільки пасивно моніторити інфраструктуру і ефір і виявляти атаки по шаблонах, а й активно протидіяти їм (приклади: трасування портів на комутаторах, до яких приєднані чужі пристрої, і блокування даних портів; посилка фреймів деаутентіфікаціі від імені ворожого пристрою, який виконує атаку типу MITM і до якого приєдналися легітимні клієнти мережі тощо).
Зовнішні атаки можна розділити на структуровані атаки і неструктуровані атаки:
>> Зовнішні структуровані атаки: Цей тип атак ініціюється зловмисними индивидуалами або організаціями. Структуровані атаки зазвичай ініціюються з якоїсь мережі і мають продумані заздалегідь цілі, на які планується впливати для руйнування, пошкодження і т.п. Можливі мотиви:
— Бажання наживи;
— Політичні мотиви;
— Ідеологічні мотиви (тероризм, расизм);
— Мотиви помсти («розборки»).
Атакуючі в даному випадку звичайно мають великі знання в дизайні мереж, обході систем безпеки, включаючи обхід IDS (Intrusion Detection Systems), і мають просунутий інструментарій для злому. У їх арсеналі необхідні знання для розробки нових стратегій мережевих атак і можливість модифікації існуючого хакерського інструментарію під свої завдання. У деяких випадках внутрішній персонал компанії з правами доступу може допомагати атакуючим.
>> Зовнішні неструктуровані атаки: Такі атаки ініціюються зазвичай недосвідченими хакерами, аматорами. При такому підході атакуючий використовує простий інструментарій хакерського злому або скрипти, доступні в Інтернеті, для виконання мережевої атаки. Рівень знань атакуючого зазвичай низький для створення серйозної небезпеки. Нерідко це просто нудьгуючі молоді люди, які шукають слави шляхом злому корпоративного веб-сайту або іншої відомої мети в Інтернеті.
Зовнішні атаки можуть здійснюватися віддалено або локально (часто зсередини мережі):
>> Зовнішні віддалені атаки: Такі атаки зазвичай націлені на послуги, які організація пропонує відкрито і публічно. Існують різні форми таких атак:
— Дистанційні атаки, націлені на сервіси, доступні для внутрішніх користувачів. Такі атаки зазвичай трапляються, коли відсутні міжмережеві екрани для захисту таких внутрішніх сервісів.
— Дистанційні атаки націлені на розташування точок входу в корпоративну мережу (бездротові мережі доступу, порти, модемні пули).
— Атаки типу відмова в обслуговуванні (DoS) для створення перевантаження процесорів на серверах тощо з метою формування ситуації, коли авторизовані користувачі не можуть користуватися послугами.
— Дзвінки на корпоративну телефонну станцію, (PBX).
— Спроби злому паролів систем аутентифікації.
>> Зовнішні локальні атаки (атаки зсередини): такі атаки зазвичай починаються, коли відкритий доступ в комп’ютерні приміщення, та можна отримати доступ до будь-якої системі.
> Внутрішні атаки: часто ініціюються незадоволеними або скривдженими на компанію колишніми або діючими співробітниками чи позаштатним персоналом. Внутрішні атакуючі мають ту чи іншу форму доступу до системи і зазвичай намагаються приховати атаку і видати її за звичайний робочий процес. Наприклад, нелояльний співробітник має доступ до будь-яких ресурсів внутрішньої мережі. Він може мати навіть деякі адміністративні права в мережі. Тут один з кращих підходів полягає в розгортанні системи виявлення вторгнень IDS (або IPS) і конфігуруванні її для сканування системи на предмет як зовнішніх, так і внутрішніх атак. Всі форми атак повинні бути занесені в журнал, ці логи необхідно перевіряти, розбиратися і вживати заходів щодо захисту від подібного надалі.
Важливо чітко розуміти, що мережеві атаки — це серйозна небезпека. Наступні основні компоненти повинні бути включені в дизайн мережі для побудови системи мережевої Безпеки:
· Запобігання мережевих атак,
· Визначення мережевих атак,
· Ізоляція мережевих атак,
· Відновлення від наслідків мережевих атак.
Крім описаних вище небезпек, велике поширення має створення широкосмугових перешкод за допомогою радіо-джаммерів. Це еквівалент DoS-атаки, але тільки на фізичному рівні радіосередовища. Протистояти подібного роду атаці засобами інфраструктури Wi-Fi практично неможливо, якщо потужність випромінювання висока, але можна використовувати спеціальні технології для ідентифікації типу пристрою, що створює перешкоди та визначення його фізичного місця розташування в зоні покриття. Наприклад, це може бути виконано з великою ефективністю у разі, якщо мережа побудована на обладнанні Cisco Systems і Точки Доступу підтримують технологію CleanAir (модельні ряди 3500, 3600, 1550). Після виявлення місця розташування випромінювача, в дану точку можуть бути направлені співробітники служби безпеки для фізичного усунення проблеми. Природно, подібні дії повинні бути сплановані та погоджені заздалегідь.
Існують програмні інструменти, доступні в Інтернеті, які можуть ініціювати DoS-атаки:
— Bonk
— LAND
— Smurf
— Teardrop
— WinNuke
Атакуючий може посилити потужність атаки DoS, використовуючи безліч комп’ютерів проти однієї мережі. Цей тип атаки відомий як Розподілена відмова в обслуговуванні (distributed denial of service / DDoS). Мережеві адміністратори можуть зіткнутися з великими складнощами при відображенні DDoS-атаки, так як відповідний вплив на всі атакуючі комп’ютери може вести і до блокування нормальних авторизованих користувачів (найчастіше в DDoS-атаці беруть участь комп’ютери, на які хакер заздалегідь нелегально встановив відповідне програмне забезпечення для виконання DoS-атаки під єдиним віддаленим керуванням).