Безопасность физического и канального уровней

Содержание
1 Теоритическая часть. Обзор NetDefendOS .......................................................... 12
1.1 Функции NetDefendOS ................................................................................................... 12
1.2 Архитектура NetDefendOS ........................................................................................... 13
1.3 Безопасность физического и канального уровней ........................................... 17
1.4 Безопасность межсетевого экрана D-Link DFL-1600 ..................................... 20
1.5 Постановка задачи проекта .......................................................................................... 22
2 Анализ ..................................................................................................................... 23
2.1 Сетевое оборудование..................................................................................................... 23
2.2 Принцип работы атаки.................................................................................................... 24
2.3 Реализация атаки................................................................................................................ 26
3 Программная часть................................................................................................. 31
3.1 Лабораторная работа №1 «Защита FTP-клиентов» ......................................... 32
3.2 Лабораторная работа №2 «Активация антивирусного сканирования» 35
3.3 Лабораторная работа №3 «Настройка SMTP Log Receiver» ...................... 37
3.4 Лабораторная работа №4 «Использование NAT правил и NAT-пулов»
............................................................................................................................................................. 40
3.5 Лабораторная работа №5 «Преобразование IP-адресов «один к
одному»» ........................................................................................................................................ 45
3.6 Лабораторная работа №6 «Преобразование IP-адресов «много ко
многим»» ....................................................................................................................................... 48
4. Безопасность жизнедеятельности....................................................................... 51
4.1 Анализ условий труда в кабинете кафедры АЭС (каб. 401) ....................... 52
4.2. Расчёт системы кондиционирования. .................................................................... 55
4.2 Расчет искусственного освещения в производственном помещении.... 61
5 Технико-экономическое обоснование ................................................................. 64
5.1 Цели и задачи ...................................................................................................................... 64
5.2 Обоснование необходимости проекта .................................................................... 64
5.3 Капитальные затраты ...................................................................................................... 66
5.4 Расчет годовых эксплуатационных расходов ..................................................... 68
5.5 Расчет доходов от внедрения технологии защите информации ............... 72
5.6 Прибыль и срок окупаемости...................................................................................... 72
Для выполнения дипломной работы после сравнительного анализа, было
взято оборудование D-Link, по причине того, что данное оборудование
сравнительно не дорогое, удобное, много функциональное и не требует
специальных сертификатов, как например оборудование Cisco.
Комплексным решением по обеспечению безопасности сетей, систем,
является межсетевой экран DFL-1600. На данный момент от защищенности
информации во многом зависит работа фирмы так как, с каждым днем
повышаются требования, необходимые для сетевой безопасности, для защиты
от вирусов и атак хакеров. Межсетевые экраны нового поколения серии
NetDefend подходят по всем этим требованиям. D-Link DFL-1600 обеспечивает
высокий процент возврата капиталовложений, с помощью большого количества
функций, качественной защиты и удобного интерфейса.
Устройства серии NetDefend – это выгодное решение безопасности
систем предприятий среднего бизнеса по не высокой цене, плюс возможность

поддержки межсетевых экранов,

сбалансирование нагрузки, функций

отказоустойчивости, механизма Zone-Defense, анализ содержимого, проверка
пользователей, быстрое блокирование спама и приложений Р2Р, защита
виртуальных локальных сетей VPN.
Для уменьшения влияний аварийной ситуации на сеть, межсетевые
экраны обладают особой функцией — Zone-Defense, которая автоматически
изолирует зараженные компьютеры сети и останавливает распространение ими
опасного, некорректного трафика. Эта возможность позволяет работать с
коммутаторами локальных сетей D-Link и гарантировать надежную
безопасность сети.
Ко всему прочему специфика работы межсетевых экранов NetDefend

включает быстро действенные

процессоры, большие базы данных и

вычислительные мощности, которые дают возможность просчитывать свыше
ста тысяч параллельных сессий.
Межсетевой экран D-Link DFL-1600 поддерживает удаленное управление
с помощью Web-интерфейсов или выделенные VPN-соединения. Это набор
возможностей для мониторинга, безопасности систем, отправки определенных

моментов

по e-mail, ведение журнала системных происшествий

и

предоставление информации в режиме настоящего времени.
А это значит, что межсетевые экраны последнего поколения серии
NetDefend представляет D-Link, который является гарантией максимальной
производительности и целостности для систем предприятий.
Актуальность данной работы заключается в том, что в настоящий момент

Цель проанализировать возможность атак на сети и системы и показать
возможные способы предотвращения данных или подобных атак.
Задачей является составление лабораторных работ направленных на
защиту информации сети или системы.

Объектом изучения является оборудование

D-Link

широко

распространенное в настоящее время и легкодоступное для большинства
пользователей.
Предметом является безопасность компьютерных сетей и систем.
Научной новизной данной дипломной работы является анализ
безопасности и составление лабораторных работ направленных на защиту сетей
и систем.
Практическая значимость работы заключается в сохранении информации
и данных от постороннего вмешательства, будь то прослеживание, изменение
или считывание.
Так как возможности межсетевого экрана D-Link DFL-1600 очень
обширны, будут даны краткие описания основных функций и более
углубленные тем функциям и протоколам, которые использовались при
написании данной дипломной работы.
Операционная система D-Link NetDefendOS(далее NetDOS) является
базовым программным обеспечением, которое необходимо для управления
межсетевыми экранами D-Link с расширенными возможностями.
NetDOS разработанная как сетевая операционная система, обеспечивает
широкую полосу пропускания с хорошей надежностью и малым шагом
изменения полосы. В отличие от продуктов, использующих иную
операционную систему, например, Unix или Microsoft Windows, NetDOS дает
возможность свободной интеграции подсистем, подробный контроль над всеми
возможностями и снижение угрозы атаки.

Объекты

NetDOS

с

точки зрения системного администратора,

современный

подход

NetDOS

позволяет визуализировать операции

использованием ряда логических блоков или объектов, которые дают
возможность настраивать устройство почти бесконечным числом образов.
Маленький шаг управления позволяет системному администратору выставить
необходимые настройки в разных сетях.
Основные возможности NetDOS – сетевая операционная система с
широким выбором функций. Ниже представлены основные из них:
IP Routing NetDOS - обеспечивает такие опции IP-маршрутизации как,
статическая маршрутизация, динамическая маршрутизация, а также
возможность маршрутизации multicast. Помимо этого, NetDOS поддерживает
следующее, Virtual LAN, мониторинг маршрутов, Proxy ARP и Transparency.
Firewalling Policies NetDOS - предоставляет проверку пакетов SPI для
широкого набора протоколов, включая TCP, UDP и ICMP. Администратор
задает подробные алгоритмы коммутатора на основе источника/назначения
сети/интерфейса, протокола, портов, атрибутов пользователя (user credentials),
времени дня и т.д.
Address Translation - для обеспечения функционала, а также безопасности,

NetDOS

поддерживает передачу адресов на основе алгоритмов.

Поддерживается два вида трансляций: динамическая трансляция адресов
(NAT), и статическая трансляция адресов (SAT), что позволяет осуществлять
работу в различных типах сетей.
VPN NetDOS - поддерживает все возможные варианты реализации Virtual
Private Network (VPN). NetDefendOS поддерживает VPN на основе протоколов
IPsec, L2TP и PPTP и может работать как и сервер, так и как клиент для всех
12





типов VPN, и дает возможность абсолютно любому алгоритму безопасности
для каждого VPN-туннеля.
TLS Termination NetDOS - поддерживает TLS Termination. Это позволяет
межсетевым экранам D-Link осуществлять работу в качестве конечной точки
для хостов Web-браузера HTTP (эта функция иногда называется SSL
termination).

Anti-Virus

Scanning

NetDOS

-

встроенный

антивирус.

Трафик,

проходящий через коммутатор D-Link, может подвергаться детальной проверки
на вирусы, и адреса, рассылающие вирусы, будут заноситься в черный список и
блокироваться.
Intrusion Detection and Prevention – позволяет защитить от вторжений, и
предотвращает атаки уровня приложений. IDP engine работает по заданному
алгоритму и позволяет выполнять полное сканирование и обнаружить атаки.
Что позволяет выполнять блокировку и внести в черный список атакующие
хосты.
Web Content Filtering NetDOS – дает возможность различным механизмам
фильтрации содержимого, не соответствующего алгоритму использования Web.
Данное содержимое блокируется по категориям, неподходящие объекты могут
быть удалены, а Web-сайты могут быть добавлены в определенный список в
нескольких алгоритмах.
Traffic Management NetDOS - предоставляет удобные возможности по
управлению трафиком благодаря функциям таким, как Формирование трафика
(Traffic Shaping), Правила порогов (Threshold Rules) (только для некоторых
моделей) и Балансировка нагрузки сервера (Server Load Balancing). Traffic
Shaping предоставляет ограничение и распределение полосы пропускания;
Threshold Rules предоставляет спецификацию порогов для отправки сообщений
о сетевом трафике; Server Load Balancing дает возможность устройству с
NetDOS распределять нагрузку в сети.
Operations and Maintenance - управление NetDOS производиться через
интерфейс командной строки (CLI). NetDOS также позволяет подробно
наблюдать за событиями и регистрацией, а также возможна поддержка
мониторинга через SNMP.
маршрутизаторы или коммутаторы изучают пакеты и затем производят
перенаправление на основе полученной информации, содержащейся в
заголовках пакетов.
Технология Stateful Inspection система NetDOS использует технологию
Stateful inspection, производящая проверку и изменение направления трафика на
базе соединения. NetDOS определяет новое установленное соединение и
запоминает некоторую часть информацию или state в таблице state table для
определения времени существования данного соединения. Таким образом,
NetDOS дает возможность идентифицировать контекст сетевого трафика,
который, в свою очередь, дает возможность выполнить полное сканирование
трафика, управление полосой пропускания, а так же и иные функции.
Технология Stateful inspection обеспечивает высокую производительность,

повышая пропускные возможности совместимые

с дополнительными

преимуществами легко изменяемого масштабирования. Подсистема NetDOS,
выполняющая stateful inspection, порой употребляется в документации как
NetDOS state-engine.


1.2.2. Структурные элементы


NetDOS.


Основными


составными

элементами в NetDOS являются интерфейсы, логические объекты и правила.
Интерфейсы выполняют роль «входов» для исходящего и входящего
трафика, проходящего через NetDOS. При отсутствии данных интерфейсов у
системы NetDOS отсутствует возможности получать или отправлять данные.
Типы интерфейсов:
- Физические интерфейсы –актуальный физический Ethernet-порт.
- Под-интерфейсы (sub-interfaces) –интерфейсы VLAN и PPPoE.
- Интерфейсы туннелирования – отправка и получения данных через
VPN-туннели.
Симметричные интерфейсы. Дизайн интерфейса NetDOS симметричен, и

получается,

что интерфейсы устройства неустойчивы

и являются

«незащищенными снаружи» или «защищенными внутри» и зависят только от
администратора.
Логические объекты. Логические объекты - это определенные элементы,
используемые в наборах правил. Адресная книга, например, содержит
назначенные объекты, такие как хост и сетевые адреса. Другим примером
логических объектов выступают сервисы, предоставляющие определенные
протоколы и порты. Помимо этого, в немаловажной роли выступают объекты

Application Layer Gateway (ALG), необходимые

для определения

дополнительных параметров в определенных протоколах, таких как HTTP, FTP,
SMTP и H.323.
Наборы правил NetDefendOS:
В конечном итоге, правила, заданные администратором в различные
комплекты правил (rule sets) необходимы для фактического применения
алгоритмов безопасности NetDOS. Основным комплектом правил являются IP-
правила (IP Rules), которые используются, для определения алгоритмов IP-
фильтрации уровня 3, а также для перенаправления и балансировки нагрузки
сервера. Правила создания трафика (Traffic Shaping Rules) определяют
алгоритм управления полосой пропускания, правила IDP позволяют защитить
сеть от вторжения и т.д.
полученных и отправленных системой NetDOS. Следующее описание является
упрощенным и не применяется ко всем сценариям, тем не менее, основные
принципы остаются приемлемыми при использовании NetDOS.
1. Ethernet-фрейм выдается на одном из Ethernet-интерфейсов системы.
Производится проверка базового Ethernet-фрейма и, если фрейм не допустим,
пакет будет отброшен.
2. Пакет сравнивается с интерфейсом источника. Интерфейс источника
идентифицируется следующим образом:
- Если Ethernet-фрейм содержит идентификатор VLAN ID (Virtual LAN

identifier), (идентификатор виртуальной локальной сети),

сравнивается

конфигурация VLAN-интерфейса с подходящим VLAN ID. В случае

соответствия VLAN-интерфейс

становится интерфейсом

пакета. Если

соответствия нет, пакет не допускается, а событие заносится в журнал.
- Если Ethernet-фрейм содержит PPP-данные, система выполняется
проверка соответствия с PPPoE-интерфейсом. Если соответствие имеет место
быть, интерфейс становится интерфейсом источника пакета. В противном
случае пакет не допускается, а событие регистрируется.
- Если ничего из вышеперечисленного не происходит, то интерфейсом
источника пакета становится Ethernet-интерфейс.
3. IP-датаграмма из пакета передается на проверяющее устройство
NetDOS, которое выполняет проверку пакета на ошибки, включая проверку
контрольной суммы, флагов протокола, длины пакета и т.д. Если ошибка
присутствует, пакет отбрасывается и заносится в журнал.
4. NetDOS производит поиск существующего соединения, сравнивая
параметры входящего пакета, включая интерфейс источника, IP-адреса
источника и назначения и IP-протокол. Если соответствия нет, происходит
процесс установки соединения. Если соответствие есть, процесс происходит с
шага 10.
5. Правила доступа (Access Rules) определяют, разрешен ли IP-адрес
источника. Если разрешен, в таблице маршрутизации происходит поиск
обратного маршрута (reverse route lookup). Иначе, изначально, интерфейс будет
принимать только IP-адрес источника, который принадлежит сети данного
интерфейса. Поиск обратного маршрута (reverse lookup) выполняется с целью,
подтвердить существование маршрута использования интерфейса, в случае
если сеть является сетью назначения. В том случае, когда поиск правила


15





доступа или обратный поиск маршрута определяют, что IP источника
ошибочный, пакет не допускается и регистрируется в журнале.

6. Поиск маршрута происходит

в соответствующей таблице

маршрутизации. Интерфейс назначения определен заранее.
7. Определяются IP-правила, которым соответствуют характеристики
соответствующего пакета. Используются следующие характеристики:
-интерфейсы источника и назначения;
-сеть источника и назначения;
-IP-протокол (например, TCP, UDP, ICMP);
-TCP/UDP-порты;
-типы ICMP-пакетов;
-время действия правила по расписанию.
Если соответствие нет, пакет не допускается.
Если правило найдено, соответствующее новому соединению, параметр
правила Action назначает действия системы NetDOS по отношению к
соединению. Если назначено действие Drop (Отклонить), пакет не допускается,
а событие заносится в журнал. Если назначено действие Allow (Разрешить),
пакет проходит через систему. Соответствующее состояние будет занесено в
таблицу соединений для сравнения с последующими пакетами, относящихся к
тому же соединению. Так же, объект службы, связанные одним или
несколькими IP-протоколами с соответствующими им номерами портов может
быть связан с объектом Application Layer Gateway (ALG). Эти данные

применяются с целью того,

чтобы система

NetDOS

управляла

соответствующими приложениями для обеспечения обмена информацией. В
результате, новое соединение, будет занесено в журнал.
Существуют также дополнительные действия, к примеру, переадресация
и балансировка нагрузки сервера.
8. Правила обнаружения и предотвращения вторжений (Intrusion Detection
and Prevention (IDP) Rules) оцениваются по аналогии с IP-правилами. Если
найдено соответствие, данные регистрируются. Таким образом, система
NetDOS будет знать о выполнении сканирования всех пакетов, относящихся к
этому соединению.
9. Анализируется Формирование трафика (Traffic Shaping) и Правило
ограничения порога (Threshold Limit rule). Если присутствует соответствие, то
информация регистрируется. А значит, производится управление трафиком.
10. При наличии информации система NetDOS решает, какое действие
использовать к входящему пакету:
- При наличии данных ALG и выполнения IDP-сканирования данные
пакета проверяется подсистемой псевдосборки TCP, которая в свою очередь
использует различные ALG, механизмы считывания содержимого на 7 уровне и
т.д.
- Если содержимое пакета закодировано (с помощью протокола IPsec,
PPTP/L2TP или другого типа протокола туннелирования), производится

16





проверка списков интерфейсов на соответствие. Если обнаружено соответствие,
пакет декодируется и данные (незашифрованный текст) отправляются обратно
в NetDOS, но уже с интерфейсом источника, который соответствует
интерфейсу туннелирования.
- При наличии информации об управлении трафиком, пакет определеятся
в очередь или выполняется действие согласно заданным настройкам.
11. В результате, пакет будет отправлен на интерфейс назначения в
соответствии с его состоянием. Если интерфейс назначения является
интерфейсом туннелирования или физическим под-интерфейсом, выполняется
дополнительная обработка данных, к примеру, кодирование или инкапсуляция.


1.3 Безопасность физического и канального уровней


Безопасность канального уровня, по сути, то же самое, что и безопасность
локальной сети. Как правило, атака на канальном уровне предполагает, что
атакующий находится в локальной сети, либо существует некий посредник,
который умышленно или неумышленно связан с реализацией атаки.
Задача атакующего заключается в получении доступа к определенным
ресурсам, информации или, как минимум, нарушить целостность сети.
Опасность проблем в безопасности на канальном уровне заключается в
том, что взломав локальную сеть, атакующий может без преград пройти через
средства защиты на вышестоящих уровнях.
К примеру, в сети настроены ACL на сетевых устройствах или файрвол
для разграничения доступа пользователей к ресурсам в сети. Но, например,
выполняя замену IP-адреса в пакете, атакующий без проблем проходит через
заданные правила, так как он выступает в качестве легитимного пользователя.
Как правило, атаки выполняются в комплексе. Удачное выполнение атаки
не обязано быть целью, а может быть средством получить что-то большее.

Например, атака ARP-spoofing дает возможность

атакующему

перехватывать весь трафик между интересующим ресурсом и каким-то
пользователем и при необходимости подменять его. Однако, реализовать эту
атаку можно только в пределах широковещательного сегмента сети. Если в сети
присутствует коммутатор Cisco с настройками по умолчанию, то можно
поднять тегированный канал между компьютером атакующего и коммутатором
и таким образом получить доступ к другим широковещательным сегментам
сети. В таком случае выполнить ARP-spoofing можно в каждом из доступных
сегментов. ....