Контрольная работа по "Информационным технологиям в туризме"

Задача  № 1.  Теоретическая часть

Обеспечение информационной безопасности в IP сетях

Технологии Интернет изменили не только подходы организаций к ведению  бизнеса, но и их отношение к обеспечению  сетевой безопасности. Границы корпоративных  сетей теперь не определяются установленным  оборудованием. Сейчас эти границы  определяются в основном той политикой  безопасности, которой придерживаются участники информационного обмена. Для того чтобы такая политика безопасности была эффективной, она  должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют  доступом к информационным ресурсам, контролируют целостность и подлинность  информации и сетевых соединений, проходящих как через Интернет, так  и через внутренние сети организации и ее партнеров.

Комплексное решение в области  защиты информации в компьютерных сетях  должно как минимум обеспечивать следующие функции:

• аутентифицировать пользователей компьютерной сети, используя надежные и хорошо зарекомендовавшие себя методы до того, как им будет предоставлен доступ к ресурсам сети;
• предоставлять выборочный доступ для аутентифицированных пользователей к ресурсам сети;
• обеспечивать защищенность и целостность обмена информацией через открытые сети типа Internet;
• обеспечивать проверку содержимого потоков данных, проходящих через шлюзовые системы, на предмет обнаружения и предотвращения попадания в сеть недопустимой информации. Обезвреживать компьютерные вирусы и вредоносные аплеты Java/ActiveX;
• обнаруживать и предотвращать атаки злоумышленников в реальном времени;
• маскировать внутреннее адресное пространство предприятия и экономно использовать выделенное адресное пространство глобальной сети;
• обеспечивать возможность построения высоконадежных комплексов для задач, где необходима бесперебойная работа всей компьютерной сети;
• обеспечивать сбор и обработку детальной информации о любых попытках установки и успешных сетевых соединениях.

Ведущий поставщик решений по защите IP сетей, основанных на представлении  политики безопасности в виде единых правил, компания Check Point Software Technologies Ltd. - непосредственно для решения  приведенных задач предлагает лидирующий набор средств безопасности FireWall-l и семейство решений VPN, VPN-Г", которое  является единственным в отрасли  решением, интегрированным с системой управления полосой пропускания.

Широкий набор основных и сервисных  функций базовых продуктов FireWall1/VPN-1 дает возможность реализовать интегрированное  решение по обеспечению сетевой  и информационной безопасности, полностью  отвечающее современным требованиям  любых организаций, как крупных, так и небольших.

В дополнение к основным элементам  защиты Check Point разработала концепцию "Открытой платформы безопасного  взаимодействия предприятий" (OPSEC - Open Platform for Secure Enterprise Connectivity), которая может  служить основой для объединения  различных технологий защиты информации и создания единой комплексной политики безопасности. Такой подход позволяет  реализовать более тесную интеграцию продуктов других производителей на базе FireWall-l /VPN-1. Только решение от Check Point позволяет организации создавать  единую политику безопасности для всех этих систем. Подход компании дает возможность  распространять политику безопасности на все элементы защиты сети предприятия  и обеспечивает удаленный и централизованный контроль за функционированием входящих в нее систем, управление ямии конфигурирование.

В основе решений Check Point используется разработанная ею и запатентованная  технология инспекции пакетов с  учетом состояния протокола (Stateful inspection), которая на сегодняшний день является передовым методом контроля трафика. Она позволяет контролировать данные вплоть до уровня приложения, не нуждаясь при этом в отдельном приложении-посреднике или proxy ддд каждого защищаемого  протокола или сетевЙвЙЦжбы. В  результате достигаются уникальные показатели производительности, высокая  гибкость решений и возможность  быстро и легко адаптировать систему под новые требования.

Котроль доступа – базовый элемент защиты

Технологии Интернет позволяют  создать экономически выгодную глобальную коммуникационную инфраструктуру, которая  обеспечит доступ в сеть в мировых  масштабах работникам предприятия, покупателям, производителям оборудования, поставщикам и ключевым деловым  партнерам. Это существенно расширяет  возможности обмена совместно используемой информацией, однако увеличивает риск подвергнуть свою корпоративную сеть новым опасностям и угрозам.

Как организация может противостоять  неавторизованному доступу и  защитить свои ресурсы и информацию? Контроль доступа фундаментальный  элемент любой политики безопасности, непосредственно ориентированный  на решение этой задачи.

Какой информацией обмениваются сети предприятия?

Разграничение доступа защищает организацию  от потенциальных угроз благодаря  четкой спецификации и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничные шлюзы сети предприятия. Ключевой особенностью устройств, обеспечивающих реальный контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения, как правило, не могут обрабатывать трафик UDP и, тем более, динамические протоколы.

Средства защиты сетей второго  поколения, основанные на использовании  приложений посредников (proxy), зачастую требуют очень мощных компьютеров  и достаточно медленно адаптируются к новым сетевым службам Интернет, которые появляются регулярно. В  противовес этому технология stateful inspection, реализованная в Check Point FireWall-l/VPN-I, дает шлюзу полную информацию о коммуникациях. Это наряду с объектноориентированным  подходом в описании сетевых ресурсов и сервисов позволяет быстро и  легко адаптировать систему к  новым услугам Интернет. FireWall-l/VPN-I предоставляет исчерпывающие возможности  по контролю доступа для более  чем 160 предопределенных сервисов Интернет и имеет средства для удобного специфицирования новых сервисов пользователя.

В дополнение к перечисленным возможностям FireWall-l/VPN-I позволяет регулиювать  доступ к ресурсам сети, учитывая время. Это дает возможность существенно  детализировать процессы работы с ресурсами  сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться  минуты, часы, дни месяца, дни недели, месяц, год). К примеру, организация  решает ограничить доступ в Интернет для просмотра Web в рабочее время  и, соответственно, разрешить в нерабочие  часы. Другой пример - запретить доступ к критическим серверам на время  проведения полного сохранения информации серверов.

Создание политики безопасности

Процесс описания правил разграничения  доступа в такой хорошо спроектированной системе, как Check Point FireWall-l/VPN-I, достаточно прост и очевиден. Все аспекты  политики информационной безопасности организации могут быть специфицированы  с использованием графического интерфейса FireWalll/VPN-I, который неоднократно завоевывал различные награды.

В нем при описании элементов  сети применяется объектно-ориентированный  подход. Созданный объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой  комбинацией сетевых объектов и  сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно  можно указать, на какие элементы обеспечения информационной безопасности оно должно распространяться. По умолчанию  правила действуют на всех шлюзах с установленными FireWall-l или VPN-1. Элементы защиты могут быть развернуты на различных платформах, включая UNIX (Solaris, HP-UX, AIX) и NT, а также различное межсетевое оборудование OPSEC партнеров компании Check Point.

Уникальное преимущество Check Point FireWall-l/VPN-I - это возможность создания единой политики безопасности для всего  предприятия в целом. После этого FireWalll/VPN-I проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети.

Распределенный доступ

Архитектура FireWall-l/VPN-I позволяет беспрепятственно наращивать возможности системы  по мере возрастания потребностей организации  во внедрении различных элементов  информационной безопасности. С другой стороны, административные функции FireWall1 /VPN-1 также ориентированы на многопользовательский  доступ и позволяют предприятию  разграничить функции администраторов  системы безопасности. После авторизации администратор системы FireWall-l/VPN-I наследует те права, которые установил администратор безопасности для конкретного FireWall-l /VPN-1 и которые определяются редактором правил. Это позволяет администрировать несколько систем FireWall-l/VPN-I с одного рабочего места одновременно.

FireWall-l/VPN-I поддерживает различные  уровни административного доступа:

• Read/Write: полный доступ ко всем функциональным возможностям административных средств;
• User Edit: возможность изменять только учетные записи пользователей, остальные возможности ограничены правами на чтение;
• Read Only: доступ к политике безопасности и статистике только по чтению;
• Monitor Only: доступ к чтению только средств отображения статистики.

Элементы защиты от несанкционированного доступа:

- IP Spoofing - способ воздействия на  элементы сетевой инфраструктуры  с целью получения неавторизованного  доступа. Для этого взломщик  подменяет свои IP-адреса в посылаемых  пакетах с целью сделать их  похожими на пакеты более привилегированного  источника. Например, пакеты, приходящие  из сети Internet, могут выглядеть  как полученные из локальной  сети. FireWall-l/VPN-I защищает от подобного  рода воздействий, легко распознает  такие попытки и незамедлительно  оповещает о них оператора  безопасности. 
- Denial of Service Attack - использует слабости реализации TCP протокола в конкретных системах. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/АСК-подтверждеиием, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. После этого клиент посылает уведомление о начале передачи данных - пакет, в TCP заголовке которого установлен только флаг АСК. Если адрес клиента подменен (spoofed), например, на несуществующий в Internet, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться до тех пор, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак, приводящих, как правило, к невозможности операционной системы атакуемого компьютера обрабатывать дальнейшие запросы на соединения, а иногда и к худшим последствиям.

Решения, основанные на применении программ-посредников (proxy), сами по себе не в состоянии  защитить от такого вида атак. Поэтому  шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры также не в состоянии  защитить от подобного рода атак, так  как они не имеют необходимой  информации о состоянии соединений и не могут проводить инспекцию  пакетов с учетом этого состояния. FireWall-l/VPN-I обеспечивает защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния  соединений.- Ping of Death - практически каждая операционная система, а также некоторые  маршрутизаторы имеют различные  ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление  этих ограничений часто сопряжено  с появлением новых видов атак. Так, большинство ОС чувствительны к PING (1СМР), размер поля данных которых больше 65 508 байт. В результате ICMP-пакеты после добавления необходимых заголовков становятся больше 64k (длина заголовка составляет 28 байт) и, как правило, не могут безошибочно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок компьютеров.

FireWall-l/VPN-I, обладая механизмом Stateful Inspection, осуществляет защиту от  таких атак.

Примеры методов защиты:

1. Сокрытие шлюза. В нормальных  условиях любой пользователь  корпоративной сети потенциально  может получить доступ к шлюзу  с FireWall. Этой ситуации необходимо  избегать, для чего следует скрыть  шлюзовое устройство. Check Point FireWall-l/VPN-I позволяет сделать это путем  добавления одного простого правила  в политику безопасности. Сокрытие  шлюза, таким образом, предотвращает  различные попытки взаимодействия  любого пользователя или приложения  со шлюзом безопасности и делает  последний невидимым. Исключение составляют только администраторы системы безопасности.

2. Применение механизмов Трансляции  Сетевых Адресов позволяет полностью  скрыть или замаскировать внутреннюю  сетевую структуру.

3. Установка Демилитаризованной  Зоны подразумевает выделение  общедоступных ресурсов сети  в специальные сегменты, доступ  к которым контролируется межсетевым  экраном. Это позволяет обезопасить  внутреннюю сеть предприятия  от атак даже в том случае, если злоумышленник воспользуется  каким-либо общедоступным сервером  в качестве плацдарма для нападения.  К сожалению, такая вероятность  существует, так как не всегда  можно гарантировать, что используемое  на этих серверах программное  обеспечение свободно от ошибок, закладок или что администратор  сервера не допустил оплошности  при его настройке или проектировании. Установка таких серверов общего  доступа перед межсетевым экраном  вообще без защиты также нецелесообразна,  так как это существенно повышает  риск внедрения злоумышленников.