Сравнительный анализ способов обеспечения безопасности локальных вычислительных сетей

В качестве критериев анализа информационного потока могут использоваться следующие параметры:служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;непосредственное содержимое пакетов сообщений, проверяемое, например, наналичие компьютерных вирусов;внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.Межсетевые экраны бывают:Таблица1. Виды межсетевых экрановБесплатныеAshampooFireWall Free * Comodo * Core Force (англ.) * Online Armor * PC Tools * PeerGuardian (англ.) * Sygate (англ.)ПроприетарныеAshampooFireWall Pro * AVG Internet Security * CA Personal Firewall * Jetico (англ.) * Kaspersky * Microsoft ISA Server * Norton * Outpost * Trend Micro (англ.) * Windows Firewall * Sunbelt (англ.) * WinRoute (англ.) * ZoneAlarmАппаратныеFortinet * Cisco * Juniper * Check Point*D-linkFreeBSDIpfw * IPFilter * PFMac OSNetBarrier X4 (англ.)LinuxNetfilter (Iptables * Firestarter * Iplist * NuFW * Shorewall) * Uncomplicated Firewall2.4.2 Proxy-serversПрокси-сервер – от английского proxy– доверенность, доверенное лицо.Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).Чаще всего прокси-серверы применяются для следующих целей:Обеспечение доступа с компьютеров локальной сети в Интернет.Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика клиента или внутреннего - компании, в которой установлен прокси-сервер.Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер). См. также NAT.Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.Обеспечение анонимности доступа к различным ресурсам. Прокси-сервероммогут скрываться сведения об источнике запроса или пользователе. В подобном случае целевому серверупоказывается лишь информация о прокси-сервере, к примеру, IP-адрес, но он лишен возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.Обход ограничений доступа. Прокси-серверы получили большую популярность среди пользователей несвободных стран, в которых доступ к некоторым ресурсам ограничивается на законодательном уровне и фильтруется.Существуют различные виды прокси серверов.Прозрачный прокси представляет собой такую схему связи, при которой трафик, или его часть, оказывается перенаправленным на прокси-сервер неявно (средствами маршрутизатора). В этом случае клиентоммогут использоваться все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернет).Обратный проксиявляется таким прокси-сервером, существенным отличием которого от прямого прокси является то, что он осуществляетретрансляцию запросов клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто такой вид проксиприменяется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровнеНаиболее распространенные прокси-серверы:•3proxy (BSD, многоплатформенный)•CoolProxy (proprietary, Windows)•Eserv (GPL, Windows)•HandyCache (shareware, Windows) бесплатен для домашнего использования•Kerio Control (proprietary, Windows, Linux)•Microsoft Forefront Threat Management Gateway, ранее Microsoft ISA Server (proprietary, Windows)•nginx (веб-сервер, имеющий режим работы в качестве reverseproxy и часто для этого использующийся)•Squid (GPL, многоплатформенный)•Traffic Inspector (proprietary, Windows)•UserGate (proprietary, Windows)•ИнтернетКонтрольСервер (shareware, FreeBSD)•TOR (BSD, многоплатформенный)Ideco ICS (Linux)2.4.2VPN (виртуальная частная сеть)VPN (VirtualPersonalNetwork) предоставляет пользователям возможность передачи секретной информации через сети, в которых полностью исключена возможность прослушивания трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.Рис. 6. Классификация VPN.Как правило, VPN развёртываются на уровнях не выше сетевого, поскольку применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).ПользователямииMicrosoftWindowsчасто термином VPN обозначается одна из реализаций виртуальной сети –PPTP, причём используемаяподчас вовсе дажене для создания частных сетей.Чаще всего в целях создания виртуальной сети применяется инкапсуляция протокола PPP в какой-нибудь другой протокол –IP (такой способ использует реализация PPTP –Point-to-PointTunnelingProtocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN на сегодняшний нашла свое применение не только для создания собственно частных сетей, но также используется некоторыми провайдерами«последней мили» на постсоветском пространстве с целью обеспечения выхода в Интернет.При качественной реализации и при условии использования специального программного обеспечения сеть VPN способна обеспечить довольно высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.2.5 Антивирусные программы2.5.1 Понятие антивирусной программыАнтивирусные программы [3] – это программы, основной задачей которых является защита именно от вирусов, или точнее, от вредоносных программ.Практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.Из всех методов антивирусной защиты можно выделить две основные группы:сигнатурные методы – точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов;эвристические методы – приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен.2.5.2 Сигнатурный анализСигнатура – означает «подпись», или же в переносном смысле «характерная черта, нечто идентифицирующее». Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.Сигнатура вируса – совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Антивирусная база – совокупность сигнатур известных вирусов.Задачу выделения сигнатур решают эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, нельзя.Важное дополнительное свойство сигнатур – точное и гарантированное определение типа вируса. Данное свойство позволяет занести в базу, как сигнатуры, так и способы лечения вируса. Если бы сигнатурный анализ не давал ответа, что это за вирус, очевидно, лечение было бы не возможно – слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.Отрицательное свойство – для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно.С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти – потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.2.5.3 Эвристический анализЭвристика – значит, «находить». Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.Недостаток:вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист – такие события называются ложными срабатываниями;невозможность лечения – и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;низкая эффективность – против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий. Например:удаление файла;запись в файл;запись в определенные области системного реестра;открытие порта на прослушивание;перехват данных вводимых с клавиатуры;рассылка писем;Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого – выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа. Недостатки: ложные срабатывания; невозможность лечения; низкая эффективность.ЗаключениеВ процессе проведенного анализа литературы, посвященной решению проблем обеспечения безопасности информации при работе локальных вычислительных сетей, нам удалось определить три основных цели, которые должны быть обеспечены сетевой безопасностью. Это обеспечение целостности, конфиденциальности и доступности. Тем не менее, эти цели не олицетворяют собой обязательные условия, и могут быть подвержены изменению в зависимости от конкретной ситуации.Проведенный анализ угроз позволил выявить, что в числе наиболее распространенных и опасных угроз в сети выделяются непреднамеренные ошибки, совершаемые пользователями, операторами или системными администраторами, а так же последствия программных атак или деятельности вредоносного программного обеспечения. Так же было определено, что довольно часто злоумышленникииспользуют более, чем единственный канал получения доступа к конфиденциальной информации. Были рассмотрены основные способы по защите информации при работе в сети: возведение препятствий, осуществление управления доступом, обеспечение маскировки, проведение регламентации, выполнение принуждения. Удалось выяснить, что реализация этих способовдостигается при помощииспользования разнообразных мер безопасности, среди которых: правовые, морально-этические, организационные, физические и технические (аппаратно-программные). В работе приводятся примеры таких программных продуктов, а так же соответствующих технических средств, которыепотребны для достижения целей защиты информации на должном уровне в процессе работы локальных вычислительных сетей.Резюмируя, можно с полной уверенностью утверждать, что вопроспо обеспечению необходимого уровня безопасности информации при работе локальных вычислительных сетейбудет актуален еще довольно долгое время.Компьютерным сетям, учитывая обладание ими определенной спецификой, с весьма малой вероятностью удастся обрести возможность нормальногофункционирования и развития, еслиигнорировать проблемы по защите информации. И не смотря на то, что сейчас существует большое количество средств и способов, направленных на обеспечение безопасности в сети, следует отдавать себе отчет в том, что всем этим методам и средствамвысокая эффективность присуща исключительно при условии комплексного их использования.Список литературыБиячуев Т.А. Безопасность корпоративных сетей. Учебное пособие под ред. Л.Г.Осовецкого - СПб.: СПбГУ ИТМО, 2004.Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. - СПб.: Питер, 2002.Коул Э. Руководство по защите от хакеров. - М.: Издательский дом «Вильямс», 2002.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Москва, Радио и связь 2001.Ярочкин В.И. Информационная безопасность. - М.: Изд-во «Академический проект», 2004.Платонов В.В. Программно - аппаратные средства обеспечения информационной безопасности вычислительных сетей: учеб. пособие, для студентов высших учебных заведений/-М.: Издательский центр «Академия», 2006Курило А. П., Милославская H. Г., Сенаторов М. Ю., Толстой А. И. Основы управления информационной безопасностью. М.: Горячая линия – Телеком. 2012. – 244 с.Макаров А. С.. Миронов С. В.. Цирлое В. А Опыт тестирования сетевых сканеров уязвимостей // Информационное противодействие угрозам терроризма. 2005. М» 5. С. 109–122.Применение сканеров для анализа защищенности компьютерных сетей: Материалы курса. М.: Учебный центр «Информзащкга». 2006.Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 2 – Средства защиты в сетях / С. В. Запечникое. Н. Г. Мнлославская. А. И. Таилтж. Д. В. Ушаков. VI.: Горячая линия – Телеком. 2008. – 558 с.ФСТЭК России [Электронный ресурс]. URL: http://fstec.ruГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандаргинформ. 2006. – 55 с.ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности технологий. Часть 1. Введение и общая модель. М.: Стандаргинформ. 2009. – 36 с.Open Source Security Testing Methodology Manual (OSSTMM) [Электронныйресурс]. URL: hup://www.isecom.org/research/ osstmm.html Information Systems Security Assessment Framework (ISSAF) [Электронныйресурс]. URL: www.oissg.org/issaf National Institute of Standards and Technology [Электронныйресурс]. URL: http://c8rc.nist.gov/publications/Pub