Kurumsal ağ çevre koruması neden artık çalışmıyor?

dipnot

Kurumsal ağların çevresini koruma konularının derinlemesine pratik çalışması. Kurs, sistematik teorik bilgi ve pratik çalışmayı rasyonel bir şekilde değiştirir. Dersin teorik kısmı çeşitli güvenlik duvarlarının (FW) mimarisi ve çalışma prensipleri hakkında bilgi içermektedir. Eğitim süresinin %50'sinden fazlası, gerçek kurumsal kurumsal ağlara yakın çeşitli konfigürasyonların simüle edildiği pratik alıştırmalara ayrılmıştır.

Ticari ve ücretsiz güvenlik duvarlarının en yaygın uygulamalarının etkin kullanımına özellikle dikkat edilir; özellikle eğitim sürecinde öğrenciler CheckPoint NG VPN-1/Firewall-1, Microsoft ISA gibi çözümleri kurma ve yönetme becerisi kazanır. Sunucu, Linux işletim sistemine dayalı çeşitli türlerde güvenlik duvarları, bilgisayar ağlarını korumak için kullanılan diğer araçlarla entegrasyon.

Kitle

  • Kuruluşlarda bilgisayar ağlarının güvenliğinden sorumlu sistem ve ağ yöneticileri
  • Kurumsal ağı koruma aracı olarak ME'yi kullanan veya kullanmayı planlayan kuruluşların uzmanları
  • Bilgi güvenliği yöneticileri

Ön hazırlık

  • IP ağları, temel protokoller ve TCP/IP yığın hizmetleri hakkında temel bilgi
  • Windows 2000 ve Linux deneyimi

Öğrenim Merkezinden kendi kendine test talebinde bulunarak TCP/IP yığın protokollerine ilişkin bilginizi test edebilirsiniz.

Eğitimin tamamlanmasının ardından

Bilgi kazanacaksınız:

  • ME'nin mimarisi, yetenekleri ve çalışma prensipleri hakkında;
  • ME tarafından uygulanan koruma mekanizmaları hakkında;
  • ağ trafiğini filtreleme ilkeleri hakkında;
  • çeşitli türlerde ME'ler oluşturmanın özellikleri hakkında;
  • adres çeviri mekanizmasının işleyişi hakkında;
  • Uygulama düzeyindeki hizmetlerin filtrelenmesinin özellikleri hakkında.

Yapabilirsiniz:

  • ME için etkili bir güvenlik politikası geliştirmek
  • belirli ağ yapılandırmaları için ME'yi seçin
  • Paket filtreleri oluşturmak için Linux ve Windows 2003'ün yeteneklerini kullanın
  • ME CheckPoint NХХ ve Microsoft ISA Server 2004 ile çalışın
  • güvenlik duvarının saldırı algılama yeteneklerini kullanın
  • ME'yi bilgisayar ağlarını korumaya yönelik diğer araçlarla birlikte kullanın

Dinleyici paketi

  • Markalı eğitim kılavuzu
  • Kurs kapsamındaki temel güvenlik önlemlerinin, kursun konusuna ilişkin ek ve arka plan bilgilerinin elektronik ortamda sunulduğu versiyonları

bunlara ek olarak

Testi başarıyla geçtikten sonra mezunlar Informzashita Eğitim Merkezi'nden sertifika alırlar.

Mezunlar tamamladıkları kursla ilgili Eğitim Merkezi uzmanlarından ücretsiz danışmanlık alabilirler.

Kurs programı

  • Giriş kısmı. Kurumsal IP ağı - genel diyagram. ME'nin kurumsal ağdaki yeri ve rolü. Bilgisayar sistemlerini korumaya yönelik temel mekanizmalar. Güvenlik özellikleri. ME tarafından uygulanan koruma mekanizmaları. ME için Rusya FSTEC'inin yönetim belgelerinin gereklilikleri.
  • RFC'lerin gözden geçirilmesi ME ile ilgili temel terimler ve tanımlar. ME Türleri ME'nin kurumsal ağdaki konumu.
  • Paket filtreleme. Filtreleme seçenekleri. Filtreleme kuralları. Paket filtrelerin uygulanması. Askerden arındırılmış bölge kavramı. Çeşitli trafik türlerini filtrelemenin özellikleri. Statik paket filtreleri.
  • Linux işletim sistemine dayalı paket filtresi. Mimari ve çalışma şeması. İptables yardımcı programını kullanarak filtreleme kurallarını yönetme.
  • İşletim sistemi tabanlı paket filtresipencereler 2000/2003. RRAS hizmeti. RRAS hizmet yönetimi programı.
  • Bağlantı düzeyi ağ geçitleri. Klasik ve şeffaf aracılar. SOCKS protokolü. Adres çevirisi. Yayın türleri. Linux işletim sisteminde adres çevirisinin uygulanması. Windows 2000/2003'te adres çevirisinin uygulanması.
  • Uygulama düzeyinde ağ geçitleri. SQUID sunucusu, çalışma prensipleri, konfigürasyon seçenekleri.
  • TeknolojiDurum Denetimi. Durum Denetiminin çalışma prensipleri. iptables'daki durum tespit mekanizması. ME CheckPoint NGX.
  • İçerik analizi. HTTP trafiğinin ve e-postanın kontrolü. Çözüm seçenekleri. İçerik analiz sistemleri.
  • BENMicrosoft ISA Sunucusu. Mimari ve temel yetenekler. Filtreleme kurallarının yazılması, içerik analizi yetenekleri.
  • Güvenlik duvarlarına dayalı sanal özel ağların (VPN) organizasyonu. Sanal özel ağ türleri. Bir VPN oluşturma aracı olarak ME CheckPoint NG Firewall-1/VPN-1. Donanım ve yazılım şifreleme kompleksi "Kıta".
  • ME kullanarak ağ saldırılarına karşı koyma. Saldırıları uygulama mekanizmaları. Bir koruma aracı olarak ME'nin avantajları ve dezavantajları. Tünel açma sorunu. Saldırıları tespit etmek için ME yetenekleri. ME'nin diğer koruma araçlarıyla entegrasyonu.
  • Çok fonksiyonlu güvenlik sistemleri. Sınıflandırma seçenekleri. Uygulamanın özellikleri. Çeşitli çevre koruma çözümlerinin avantajları ve dezavantajları.

Son sıralamalar

Çevre koruması, kurumsal ağın dış dünyayla temas ettiği sınırlarda güvenliğin sağlanmasıdır.

Şirketlerin yerel ağları kural olarak dış dünyadan izole edilmiş sistemler değildir. Şirket çalışanları müşterilerle mektup alışverişinde bulunur, dosya alıp gönderir ve anlık iletişim araçlarını kullanır. Şirketin kendisi dünyanın dört bir yanına dağılmış birçok ofisten oluşabilir ve çalışanları hem evde hem de iş gezilerinde çalışabilir. Yoğun bilgi alışverişi çağında, bir şirketin ağının tüm öğeleri (sunucuları, mobil bilgisayarları, web siteleri ve veritabanları) saldırganlar için potansiyel hedeflerdir ve hepsi potansiyel olarak savunmasızdır.

Ne yazık ki, gizli bilgilere yetkisiz erişim elde etmek için pek çok fırsat bulunmaktadır. Yaygın olarak kullanılan işletim sistemlerinin hiçbiri artık varsayılan olarak kurulduğunda güvenli değil. Bir saldırgan, e-posta ve e-ticaret işlemleri de dahil olmak üzere şirket bilgi akışlarını izlemeye ve değiştirmeye çalışabilir, çalışanların şifrelerini tahmin edebilir veya bir iş ortağı veya müşteri kisvesi altında şirket kaynaklarına erişim sağlayabilir. Çalışanları kesinlikle hiçbir şey bilmediğiniz, ancak yine de bilgi kaynaklarınızın bazı bölümlerine erişim sağlaması gereken ortaklarla dönem projeleri.

Ne yazık ki, modern bir şirket çevre koruma sistemi oldukça karmaşık bir sistemdir ve onu oluşturmak için çok fazla bilgi ve deneyime sahip olmanız gerekir. Ve şirketin tüm çalışanlar için açık bilgi güvenliği prosedürleri yoksa, oluşturulan teknik koruma sistemi bile mutlak korumayı garanti etmez. Örneğin, güvenlik sistemi, çalışanların birçok korunan sisteme erişimi kolaylaştırmak amacıyla kendileri için oluşturmaya çalıştıkları, çok kısa veya hatırlanması kolay şifrelerin hacklenmesine dayanamaz.

Azon Bilişim Şirketi müşterilerine güvenilir koruma sistemleri oluşturmayı amaçlayan bir dizi hizmet sunmaktadır:

  • güvenlik sistemi denetimi, bilgi güvenliği risk değerlendirmesi. Bu hizmet, mevcut ağınızın güvenliğini değerlendirmenize ve onu yükseltmek için en iyi seçeneği seçmenize olanak tanır;
  • şirketin bilgi güvenliği politikasının geliştirilmesi;
  • Bir koruma sisteminin geliştirilmesi ve uygulanması. Bu hizmet, seçilen koruma seçeneğinin uygulanmasını amaçlamaktadır. Uygulanan sistem en azından aşağıdakilerden oluşmalıdır:
    • şirketin ilk savunma hattı olan ve ağı bilgisayar korsanlarının ve ağ virüslerinin sızmasına karşı koruyan güvenlik duvarı (güvenlik duvarı);
    • tüm önemli bilgi akışlarını (posta, web trafiği, anlık iletişim) kontrol eden anti-virüs sistemleri;
    • kullanıcı kimlik doğrulama sistemleri;
    • güvenlik güncelleştirmesi yükleme sistemi.
  • Kurulu sistemlerin bakımı. İzinsiz giriş yöntemlerinin sürekli olarak geliştirildiğini ve özelleştirilmiş bir sisteminiz olduğunda başarılarınıza güvenemeyeceğinizi bilmelisiniz. Modern koşullarda, herhangi bir koruma sisteminin sürekli iyileştirilmesi gerekir.

Bir güvenlik sistemi oluştururken, güvenlik duvarlarının etkili bir araç olduğunu ve hala etkili bir araç olduğunu, ancak izinsiz giriş yöntemlerinin geliştiğini ve günümüzde bir güvenlik duvarının tek başına güvenliği garanti edemeyeceğini unutmamak gerekir. Modern koşullarda, ilk hattı güvenlik duvarı olan derinlemesine savunma gereklidir.

Güvenlik ekipleri, bir şirketin varlığını sürdürebilmesini sağlamak amacıyla dikkatlerini ağ çevresini (İnternet'ten erişilebilen hizmetler) korumaya odaklıyor. Dünyanın herhangi bir yerinden bir şirketin yayınlanmış hizmetlerine saldırmaya hazır karanlık saldırgan görüntüsü, işletme sahiplerini ciddi anlamda korkutuyor. Ancak en değerli bilgilerin kuruluşun çevresinde değil, kurumsal ağlarının derinliklerinde yer aldığı göz önüne alındığında bu ne kadar adil? Altyapı güvenliğinin dış ve iç saldırılara karşı orantılılığı nasıl değerlendirilir?

“Limandaki gemi güvendedir ancak gemiler bunun için yapılmamıştır”

Güvenlik hissi aldatıcıdır

Toplam bilgileşme ve küreselleşme koşullarında, iş dünyası kurumsal ağlara yeni talepler getiriyor; kurumsal kaynakların son kullanıcılara, yani çalışanlara ve ortaklara göre esnekliği ve bağımsızlığı ön plana çıkıyor. Bu nedenle günümüzün kurumsal ağları, geleneksel izolasyon kavramından (başlangıçta bu şekilde nitelendirilmiş olmalarına rağmen) çok uzaktır.

Bir ofis hayal edin: duvarlar dış dünyadan korur, bölmeler ve duvarlar toplam alanı daha küçük özel bölgelere ayırır: mutfak, kütüphane, servis odaları, işyerleri vb. Bölgeden bölgeye geçiş belirli yerlerde - kapı aralıklarında ve gerekirse ek araçlarla da kontrol edilir: video kameralar, erişim kontrol sistemleri, güler yüzlü korumalar... Böyle bir odaya girdiğimizde kendimizi güvende hissederiz, güven ve iyi niyet duygusu oluşur. Ancak faaliyetlerin amacının güvenliği artırmak olduğu belirtilirken, aslında sadece varlığına dair bir kanaat oluştuğunu, bu duygunun sadece “güvenlik tiyatrosu”na dayanan psikolojik bir etki olduğunu kabul etmekte fayda var. Sonuçta, eğer bir saldırgan gerçekten bir şey yapmak istiyorsa, o zaman ofiste olmak aşılmaz bir zorluk haline gelmeyecek ve hatta belki tam tersine ek fırsatlar ortaya çıkacaktır.

Aynı şey kurumsal ağlarda da olur. Kurumsal bir ağ içerisinde olmanın mümkün olduğu durumlarda güvenliğin sağlanmasına yönelik klasik yaklaşımlar yetersiz kalmaktadır. Gerçek şu ki, koruma yöntemleri iç tehdit modeline dayanmaktadır ve kazara veya kasıtlı olarak ancak uygun niteliklere sahip olmadan güvenlik politikasını ihlal eden çalışanlara karşı koymayı amaçlamaktadır. Peki ya içeride yetenekli bir hacker varsa? Yeraltı pazarında bir kuruluşun ağ çevresini aşmanın maliyeti, her kuruluş için neredeyse sabit bir fiyattır ve ortalama olarak 500 doları geçmez. Örneğin, Nisan 2016 itibarıyla Dell'in bilgisayar korsanlığı hizmetleri karaborsasında aşağıdaki fiyat listesi gösterilmektedir:

Sonuç olarak, Tek Oturum Açma yetkilendirmesinin yaygın ilkesi nedeniyle büyük olasılıkla şirketin diğer tüm kurumsal hizmetleri için uygun olacak hesap olan kurumsal bir posta kutusu için bir hack satın alabilirsiniz. Veya antivirüsler tarafından izlenemeyen polimorfik virüsler satın alın ve dikkatsiz kullanıcılara bulaşmak için kimlik avı e-postaları kullanın, böylece kurumsal ağ içindeki bir bilgisayarın kontrolünü ele geçirin. İyi korunan ağ çevreleri için, insan bilincinin eksikliklerinden yararlanılır; örneğin, yeni kimlik belgeleri satın alınarak ve bir kuruluş çalışanının işi ve kişisel hayatı hakkında siber casusluk emriyle veriler elde edilerek, sosyal mühendislik kullanılabilir ve elde edilebilir. kesin bilgi.

Sızma testleri yürütme konusundaki deneyimimiz, vakaların %83'ünde dış çevreye girildiğini ve %54'ünde bunun yüksek nitelikli bir eğitim gerektirmediğini göstermektedir. Aynı zamanda, istatistiklere göre, yaklaşık her beş şirket çalışanından biri, uzaktan erişim de dahil olmak üzere kimlik bilgilerini bilerek satmaya hazır, böylece ağ çevresine nüfuz etme büyük ölçüde basitleşiyor. Bu koşullar altında, iç ve dış saldırganlar ayırt edilemez hale gelir ve bu da kurumsal ağların güvenliği açısından yeni bir zorluk oluşturur.

Kritik verileri alıp korumamak

Kurumsal ağ içerisinde, tüm sistemlere giriş kontrol edilir ve yalnızca önceden doğrulanmış kullanıcılar tarafından kullanılabilir. Ancak bu kontrol, daha önce bahsedilen olağan "güvenlik tiyatrosu" olarak ortaya çıkıyor, çünkü gerçek durum çok kasvetli görünüyor ve bu, kurumsal bilgi sistemlerinin güvenlik açıklarına ilişkin istatistiklerle de doğrulanıyor. İşte kurumsal ağların temel dezavantajlarından bazıları.

  • Sözlük şifreleri

Garip bir şekilde, zayıf şifrelerin kullanımı yalnızca sıradan şirket personeli için değil aynı zamanda BT yöneticileri için de tipiktir. Örneğin, hizmetler ve ekipmanlar çoğunlukla üretici tarafından belirlenen varsayılan şifreleri korur veya tüm cihazlar için aynı temel kombinasyon kullanılır. Örneğin, en popüler kombinasyonlardan biri, admin veya şifre parolasına sahip yönetici hesabıdır. Latin alfabesinin küçük harflerinden oluşan kısa şifreler ve 123456 gibi basit sayısal şifreler de popülerdir. Böylece, hızlı bir şekilde bir şifreyi kaba kuvvetle zorlayabilir, doğru kombinasyonu bulabilir ve kurumsal kaynaklara erişim sağlayabilirsiniz.

  • Ağ içindeki kritik bilgilerin anlaşılır biçimde saklanması

Bir durum hayal edelim: Bir saldırgan iç ağa erişim sağladı; olayların gelişimi için iki senaryo olabilir. İlk durumda, bilgiler açık biçimde saklanır ve şirket derhal ciddi risklere maruz kalır. Başka bir durumda, ağdaki veriler şifrelenir, anahtar başka bir yerde saklanır - ve şirket, saldırgana direnme ve önemli belgeleri hırsızlıktan kurtarma şansına ve zamanına sahip olur.

  • İşletim sistemlerinin ve bileşenlerinin eski sürümlerini kullanma

Her güncelleme yayınlandığında, aynı zamanda yeni sürümde hangi hataların ve hataların düzeltildiğini ayrıntılarıyla anlatan bir teknik belge de yayınlanır. Güvenlikle ilgili bir sorun tespit edilirse saldırganlar bu konuyu aktif olarak araştırmaya, ilgili hataları bulmaya ve bu temelde hackleme araçları geliştirmeye başlar.

Şirketlerin %50'ye yakını yazılımlarını ya güncellemiyor ya da çok geç yapıyor. 2016'nın başlarında Royal Melbourne Hastanesi, Windows XP çalıştıran bilgisayarlardan zarar gördü. Başlangıçta patoloji bölümünün bilgisayarına bulaşan virüs, hızla ağa yayıldı ve bir süre tüm hastanenin otomatik çalışmasını engelledi.

  • Kendi geliştirdiğiniz iş uygulamalarını güvenlik kontrolleri olmadan kullanma

Kendi gelişimimizin ana görevi fonksiyonel performanstır. Bu tür uygulamalar düşük bir güvenlik eşiğine sahiptir ve genellikle kaynakların kıt olduğu ve üreticinin uygun şekilde desteklediği koşullarda piyasaya sürülür. Ürün aslında çalışıyor, görevleri yerine getiriyor ancak aynı zamanda hacklemek ve gerekli verilere erişim sağlamak çok kolay.

  • Etkili anti-virüs korumasının ve diğer güvenlik önlemlerinin eksikliği

Dış gözden gizlenen şeyin korunduğuna inanılıyor, yani. iç ağ adeta güvenlidir. Güvenlik görevlileri dış çevreyi yakından izliyor ve eğer bu kadar iyi korunuyorsa, bir bilgisayar korsanı iç çevreye giremeyecektir. Ancak aslında vakaların %88'inde şirketler güvenlik açığı tespit süreçlerini uygulamıyor, izinsiz giriş önleme sistemleri yok ve güvenlik olaylarının merkezi olarak depolanması yok. Birlikte ele alındığında bu, kurumsal bir ağın güvenliğini etkili bir şekilde sağlamaz.

Aynı zamanda, kurumsal ağda depolanan bilgiler işletmenin işleyişi için yüksek derecede öneme sahiptir: CRM sistemleri ve faturalandırmadaki müşteri veritabanları, ERP'deki kritik iş göstergeleri, postadaki iş iletişimi, CRM sistemlerinde yer alan belge akışı. portallar ve dosya kaynakları vb. P.

Kurumsal ağ ile genel ağ arasındaki sınır o kadar bulanık hale geldi ki, güvenliğini tam olarak kontrol etmek çok zor ve pahalı hale geldi. Sonuçta, hesap hırsızlığına veya takasına, ağ yöneticisinin ihmaline, sosyal mühendislik aracılığıyla uygulanan tehditlere vb. karşı neredeyse hiçbir zaman karşı önlem almazlar. Bu da saldırganları, dış korumayı aşmak ve daha değerli altyapılarla savunmasız altyapıya yaklaşmak için tam olarak bu teknikleri kullanmaya zorlar. bilgi.

Çözüm, iç ve dış ağların güvenliğinin tek bir tehdit modeline dayalı olarak ve bir saldırgan tipinin diğerine dönüşme olasılığı ile sağlandığı bilgi güvenliği kavramı olabilir.

Saldıranlar savunmacılara karşı - kim kazanacak?

Bir devlet olarak bilgi güvenliği yalnızca işe yaramazlığı nedeniyle yakalanması zor Joe durumunda mümkündür. Saldırganlar ve savunucular arasındaki çatışma temelde farklı düzlemlerde gerçekleşir. Saldırganlar bilginin gizliliğinin, kullanılabilirliğinin veya bütünlüğünün ihlal edilmesinden fayda sağlar ve çalışmaları ne kadar verimli ve etkili olursa o kadar fazla fayda sağlayabilirler. Savunmacılar güvenlik sürecinden hiçbir şekilde yararlanamıyor; herhangi bir adım, geri ödemesi olmayan bir yatırımdır. Bu nedenle, savunucuların dikkatinin en pahalı (hasar değerlendirmesi açısından) risklere ve bunları karşılamanın en düşük maliyetine odaklandığı risk bazlı güvenlik yönetimi yaygınlaştı. Korunan kaynağın kapsama maliyetinden daha yüksek olan riskler bilinçli olarak kabul edilir veya sigortalanır. Bu yaklaşımın amacı, kuruluşun en zayıf güvenlik noktasının üstesinden gelme maliyetini mümkün olduğunca artırmaktır; bu nedenle, kritik hizmetlerin, kaynağın nerede bulunduğuna bakılmaksızın, ağ içinde veya ağ çevresinde iyi bir şekilde korunması gerekir.

Risk bazlı yaklaşım, bilgi güvenliği kavramının gerçek dünyada var olabilmesi için gerekli bir önlemdir. Aslında bu, savunucuları zor bir duruma sokuyor: Siyahlar gibi oyunlarını oynuyorlar, yalnızca ortaya çıkan gerçek tehditlere yanıt veriyorlar.

giriiş

Bilgi teknolojisinin gelişiminin günümüzdeki aşamasında, kurumsal ağlar oluşturulurken bilgi güvenliğinin sağlanmasına yönelik sorunların çözülmesi esastır. Bunun nedeni, işletmelerin ve kuruluşların bilgi sistemlerinin, gizliliğinin, bütünlüğünün veya kullanılabilirliğinin ihlali, istenmeyen sonuçlara yol açabilecek kritik bilgileri depolaması ve işlemesidir. Bu nedenle bilgi sistemlerinin geliştirilmesi ve işletilmesinin her aşamasında bilgi güvenliği konularına dikkat edilmelidir.

Bilgi güvenliği sistemi oluşturulurken öncelikle bilgi kaybına yol açabilecek faktörlerin dikkate alınması gerekir. Bunlar aynı zamanda bir güvenlik sisteminin tasarlanması için giriş bilgilerini temsil eden tehdit modellerini, bilgiye erişimin doğruluğunu izlemeye yönelik mekanizmaları, kullanıcı kimlik doğrulamasını vb. içerir.

Bu nedenle, ağ (ağ çevresi) koruma teknolojilerinin geliştirilmesi ve araştırılması, hem teorik hem de pratik değeri olan acil bir görevdir.

Bu çalışmanın amacı bir bilgi sistemi güvenliği politikasının uygulanmasına ilişkin temel kavramları ve genel ilkeleri incelemektir.

Bu hedefe ulaşmak için aşağıdaki soruları yanıtlamaya çalışacağız: 1) ayrı ağları ayırmanın ve yalnızca kendi çevrelerinde bilgi koruması sağlamanın fizibilitesine ilişkin sorular; 2) bir ağ geçidinin kavramı ve işlevleri; 3) mesaj gönderenin adresinin değiştirilmesi nedeniyle bilgi güvenliğine yönelik tehditler; 4) ağ yazılımının yanlış yapılandırılmasıyla ilişkili olası tehditler.

1. Ayrı ağları ayırmanın ve bilgi korumasını yalnızca kendi çevrelerinde sağlamanın neden daha karlı olduğunu düşünüyorsunuz?

Bilgisayar ağı, iletişim araçlarını kullanarak birbirleriyle etkileşime giren en az iki bilgisayardan oluşan dağıtılmış bir bilgi işlem sistemidir.

İletişim araçları, ağdaki bilgisayarlar arasında güvenilir bilgi aktarımını sağlamalıdır. Ağın bir parçası olan bilgisayarlar oldukça geniş bir işlev yelpazesini yerine getirir; bunların başlıcaları:

Ağ erişiminin organizasyonu;

Bilgi aktarım yönetimi;

Ağ abonelerine bilgi işlem kaynakları ve hizmetleri sağlamak.

Bilgisayar ağları, kapsamlarına ve karmaşıklıklarına göre üç gruba ayrılır: yerel ağlar, bölgesel ağlar ve küresel ağlar.

Ağların dikkate alınan sınıflandırmasına ek olarak, başka bir tür daha vardır - kurumsal ağ. Bu tür ağlar, bir veya daha fazla kuruluştaki farklı kullanıcıları birbirine bağlar ve onlara çeşitli kaynaklar sağlar. Büyük bir yerel ağın kurumsal ağ olarak kabul edilebilmesine rağmen, kurumsal ağ genellikle bölgesel veya küresel bir ağ oluşturan birkaç yerel ağdan oluşur.

Büyük ağların çoğu, bireysel ağların (alt ağların) köprüler ve yönlendiriciler aracılığıyla bağlandığı ortak bir omurgaya sahip bir yapıya dayalı olarak tasarlanmıştır. Bu alt ağlar farklı departmanlara hizmet eder. Alt ağlar ayrıca çalışma gruplarına hizmet vermek üzere tasarlanmış bölümlere ayrılabilir.

Genel olarak, ağın ayrı ağlara (mantıksal bölümlere) dağıtılması, ağ performansının (bölümlerin yükünü boşaltarak) yanı sıra ağ yapısının esnekliğini de artırır, veri koruma derecesini artırır ve ağ yönetimini kolaylaştırır.

Segmentasyon ağ esnekliğini artırır. Bir alt ağ koleksiyonu olarak bir ağ oluşturularak, her bir alt ağ, bir çalışma grubunun veya departmanın özel ihtiyaçlarına göre uyarlanabilir. Örneğin, bir alt ağ, departmanın geleneklerine veya uygulama gereksinimlerine bağlı olarak Ethernet ve NetWare OS'yi kullanırken diğeri Token Ring ve OS-400'ü kullanabilir. Aynı zamanda her iki alt ağın kullanıcıları köprüler, anahtarlar ve yönlendiriciler gibi ağlar arası cihazlar aracılığıyla veri alışverişi yapma olanağına sahiptir.

Bir ağı ayrı ağlara bölme işlemi, ters yönde, halihazırda mevcut alt ağlardan oluşan modüllerden büyük bir ağ oluşturma işlemi olarak da düşünülebilir.

Alt ağlar veri güvenliğini artırır. Kullanıcılar farklı fiziksel ağ segmentlerine bağlandığında belirli kullanıcıların diğer segmentlerdeki kaynaklara erişmesini engelleyebilirsiniz. Köprülere, anahtarlara ve yönlendiricilere çeşitli mantıksal filtreler yükleyerek kaynaklara erişimi kontrol edebilirsiniz.

Alt ağlar ağ yönetimini kolaylaştırır. Trafiği azaltmanın ve veri güvenliğini artırmanın bir yan etkisi de ağın yönetilmesinin kolaylaşmasıdır. Sorunlar sıklıkla bir segment içerisinde lokalize olur. Yapısal kablolama sisteminde olduğu gibi, bir alt ağdaki sorunlar diğer alt ağları etkilemez.

Çok seviyeli korumanın organizasyonu, ağ çevresinin, iç ağın ve sistem güvenlik politikasının - personel faktörünün belirlenmesi ile ilişkilidir.

Çevre, aşağıdakileri içerebilecek güçlendirilmiş bir ağ sınırıdır: yönlendiriciler; güvenlik duvarları; izinsiz giriş tespit sistemi (IDS); sanal özel ağ cihazları (VPN, VPN); ağ yazılımı; askerden arındırılmış bölge (DMZ, DMZ) ve korumalı alt ağlar.

Yönlendiriciler giriş, çıkış ve intranet trafiğini yönetir. Kenar yönlendirici, güvenli olmayan bir ağa girmeden önceki son yönlendiricidir ve ağın ilk ve son savunma hattı olarak hizmet eder.

Bir güvenlik duvarı veya güvenlik duvarı, ağ trafiğinin iletilip iletilemeyeceğini belirleyen bir dizi kural kullanarak birim zaman başına iletilen bilgi miktarını analiz eder. Güvenlik duvarının kapsamı, sınır yönlendiricisinin kapsamının bitiş noktasında başlar.

İzinsiz giriş tespit sistemi (IDS), ağ izinsiz girişlerini ve potansiyel olarak zararlı olayları tespit edip raporlayabilir. Kritik olaylar tespit edilirse IDS dedektörleri yöneticiyi bilgilendirir ve/veya olay günlüğüne kaydeder.

Askerden arındırılmış bölge, kamu kaynaklarını içeren ve onu dış müdahalelerden koruyan bir güvenlik duvarına veya başka bir filtreleme cihazına bağlı bir alt ağdır. Korumalı alt ağ, güvenlik duvarının dışına yerleştirilen bir alandır. Korumalı bir alt ağ kullanmanın amacı, korumasız bir ağdan erişilmesi gereken ve dahili korumalı bir alt ağın kullanıcıları tarafından kullanılan sunucuları yalıtmaktır.

Dahili ağ, çevre korumalı bir ağdır. Tüm sunucular, iş istasyonları ve bilgi altyapısından oluşur. Dahili ağın korunmasını sağlamak için aşağıdaki "çevre" cihazları kullanılır: yönlendiriciler - gelen ve giden alt ağ trafiğini filtrelemek için; dahili güvenlik duvarları - kaynak dağıtımı için; proxy güvenlik duvarları - güvenliği artırmak için; IDS dedektörleri - dahili ağ trafiğini izlemek için. Dahili ağ ayrıca şunları da kullanır: kişisel güvenlik duvarları - herhangi bir ağ bilgisayar biriminin korumasını geliştirmek için; antivirüs yazılımı; işletim sisteminin korumasının güçlendirilmesi; sistem konfigürasyon yönetimi; denetim.

Bireysel ağların çevresini korumak şunları başarmanıza olanak sağlar:

Dahili kullanıcıların harici ağlara erişim güvenliği;

Dış ağlardan kamu kaynaklarına erişimin sağlanması;

İntranet kaynaklarına yapılan ağ saldırılarına karşı koruma;

Tek bir anti-virüs ve anti-spam filtreleme noktasının oluşturulması;

Gizli bilgilerin sızmasını önlemek;

Bilgi güvenliği olaylarının izlenmesi ve analizi.

Dolayısıyla, ayrı ağları ayırmanın faydası, iç ağın çevresini dışarıdan gelen tehditlere karşı korumanın daha kolay olmasıdır ve ağ içinde herhangi bir saldırı olması durumunda, kendi çevresi içinde yalnızca bir ağ etkilenecektir.

2. Ağ geçidi nedir

Ağ geçitleri, farklı protokoller kullanan ağlar arasında etkileşime izin veren cihazlardır. Ağ geçitleri, farklı ağlarda kullanılan mesajların veri formatlarının dönüşümlerini (dönüştürme protokollerini kullanarak) gerçekleştirir.

Ağ geçitlerinin ana işlevleri şunları içerir: çeşitli protokollerin bağlanması; farklı veri yapılarını ve formatlarını birbirine bağlamak; farklı mimarileri birbirine bağlamak; farklı dil araçlarının uygulamalarını birbirine bağlamak.

Operasyon sırasında, ağ geçidi eski protokol yığınını kaldırır ve verileri hedef ağın protokol yığını verilerine yeniden paketler.

Ağ geçitleri, açık sistemler ara bağlantı modelinin uygulama katmanında çalışır ve dönüşümler gerçekleştirir.

Ağ geçitleri, farklı işletim ortamları ve üst düzey protokoller kullanarak heterojen sistemleri birbirine bağlayan yazılım ve donanım sistemleridir. Bir ağ geçidi kullanarak, bilgi alışverişinin hızı ve kullanılan veri aktarım biçimleri açısından tutarsız olan sistemler bağlanır.

Genellikle ağ geçidi bir yönlendiricidir, ancak aynı zamanda ağın her iki kısmına da fiziksel olarak bağlı birden fazla ağ bağdaştırıcısına sahip bir bilgisayar da olabilir. Dolayısıyla bu cihaz, ağın ayrı bölümleri arasında trafiği ayırarak bir "koruyucu" görevi görür.

Ağ geçitlerinin yardımıyla, küresel ağlar veya yerel ağlarda - mini, mikro ve büyük bilgisayarlara dayalı bölümler - bağlanabilir.

Ağ geçitleri genellikle OSI/ISO uygulama katmanında kullanılır. İnternette mesajları ileten, dönüştüren, biriktiren vb. birçok ağ geçidi makinesi vardır.

IP adresi aralığının aynı bölümünde bulunan bilgisayarlar arasında bilgi alışverişi yapıldığında, bir ağ geçidine gerek yoktur; iki bilgisayar yalnızca birbirleriyle paket alışverişinde bulunur. ancak bir bilgisayarın yerel IP adresi aralığı dışında iletişim kurması gerektiğinde, başka bir bilgisayarı nasıl bulacağını bilmesi gerekir. Veri paketlerini ağın bir kısmından diğerine iletmek için, ağın parçaları arasında ağ geçidi görevi gören özel bir yönlendirici cihaz geliştirildi. Her biri adres aralığının kendi kısmı için olan ve fiziksel olarak kendi ağ bölümüne bağlı en az iki IP adresi içermelidir.

Yönlendirici, ağın bir kısmından veri paketlerini yakalar ve bunları diğerine ileterek paketleri istenen bilgisayara iletir.

Ağ geçidi, işlevlerini ağ seviyesinin üzerindeki seviyelerde gerçekleştirir. Kullanılan iletim ortamına bağlı değildir ancak kullanılan veri alışverişi protokollerine bağlıdır. Genellikle bir ağ geçidi iki protokol arasında dönüşüm yapar.

Ağ geçitlerini kullanarak, yerel bir ağı ana bilgisayara bağlayabileceğiniz gibi, yerel bir ağı da küresel bir ağa bağlayabilirsiniz.

3. Mesajı gönderenin adresini değiştirmek neden bilginin bütünlüğünü ve kullanılabilirliğini ihlal edebilir, ancak gizliliğini ihlal etmez?

Ağlarda bir tehdidin uygulanmasının amacı, kural olarak bilgilerin gizliliği, kullanılabilirliği ve bütünlüğüdür.

Ağların ve işletim sistemlerinin önemli bir kısmı, bilgisayarın doğru hedef olup olmadığını belirlemek için bilgisayarın IP adresini kullanır. Bazı durumlarda bir IP (veya MAC) adresinin yanlış atanması veya bu gönderen adreslerinin başka bir adresle değiştirilmesi mümkündür. Bu şekilde gerçekleştirilen saldırılara adres sahteciliği (IP (MAC) - sahtekarlık) adı verilir.

IP sahteciliğinin kullanılması birçok durumda saldırgan için yararlı olabilir:

Saldırıya uğrayan uç düğüm, bazı makinelere IP adreslerine göre belirlenen belirli erişim hakları verir;

Paketlerin önünde duran bir güvenlik duvarı, bunları gönderenin IP adresine göre filtreler;

Saldırı sırasında saldırgan, örneğin sorumluluktan kaçınmak için başka birinin kimliğine bürünmeye çalışır.

IP yanıltma saldırıları genellikle DoS (Hizmet Reddi) gibi diğer saldırıların başlangıç ​​noktasıdır.

Aynı zamanda, IP sahteciliği kullanıldığında saldırganın önemli bir sınırlaması vardır: Paketlerinin yanıt alması gerekiyorsa bunları alamayacaktır; bunlar, gönderenin adresi olarak belirtilen IP adresine gönderilecektir. orijinal paketinde. Dolayısıyla göndericinin önceki adresi değiştirildiği için bilinmediğinden gizlilik ihlali söz konusu değildir. Bu nedenle, IP sahtekarlığı genellikle ağ üzerinden iletilen normal veri akışına yanlış bilgi veya kötü amaçlı komutların eklenmesiyle sınırlıdır. Bu durumda, bilginin bütünlüğüne yönelik bir tehdit ortaya çıkar - bir bilgisayar sisteminde depolanan veya bir sistemden diğerine aktarılan verilerin kasıtlı olarak değiştirilmesi (değiştirilmesi veya hatta silinmesi).

Ancak saldırgan, veri yönlendirme tablolarını değiştirerek ve trafiği yanlış bir IP adresine yönlendirerek sistem tarafından yetkili kullanıcı olarak algılanabilir ve dolayısıyla e-posta dahil dosyalara, uygulamalara erişebilir.

IP yanıltma saldırılarına karşı koruma aşağıdaki yollarla yapılabilir:

Güvenli bir ağın girişindeki güvenlik duvarındaki paketleri filtrelemek, en tehlikeli adres sahtekarlığı olasılığını önemli ölçüde azaltabilir. Tipik bir kural, harici ağdan gelen ancak dahili ağa ait bir dönüş IP adresine sahip tüm paketleri yok etmektir. Bu tür paketler, harici bir saldırganın dahili (güvenli) bir ağdaki meşru bir kullanıcının kimliğine bürünme girişimidir;

IP yanıltma saldırılarının ortadan kaldırılması yalnızca paketin belirli bir rotadan geçişinin izlenmesiyle gerçekleştirilebilir. Daha sonra paketin gerçekten görüntülendiği yerden gelip gelmediğini kontrol etmek mümkün olacaktır.

4. Deneyimlerinize dayanarak, ağ yazılımının yanlış yapılandırılmasıyla ilişkili olası tehditler listesine ekleyin

Yazılım ve donanıma izinsiz giriş tespit araçlarının (yönlendiriciler ve güvenlik duvarları, yazılım güvenlik duvarı vb.) yanlış yapılandırılması aşağıdaki tehditlere yol açabilir:

İzinsiz giriş yapan uygulamalar ağa girebilir ve kullanıcının bilgisayarında farkına bile varmadan çalışabilir. Bu uygulamalar, özel bilgiler içeren dosyaların diğer bilgisayarlara gönderilmesi ve hatta sistemden veri silinmesi dahil olmak üzere bir bilgisayarda her türlü işlemi gerçekleştirebilir;

Sistem yanlış yapılandırılmışsa, diğer bilgisayarlar özel bir yazılım indirmeden kullanıcının dosyalarına doğrudan erişebilir;

İlgili tarafların kullanıcının çevrimiçi etkinliklerini izleyebilmesi için bilgisayara belirli türde bilgileri (tanımlama bilgileri veya yönlendirenler) yerleştirme yeteneği;

Kullanıcının bilgisayarına Truva atları ve e-posta "İnternet solucanları" tarafından zarar verilmesi;

Casus yazılım - kullanıcının bilgisi veya izni olmadan bilgi toplar;

Bu, halka açık verileri ve uygulamaları kullanarak bir ağ hakkında bilgi toplamak anlamına gelen ağ keşfi fırsatını açar.

Çözüm

Çalışmayı özetleyerek aşağıdaki sonuçları çıkarabiliriz.

Ağ çevre koruması, bir kuruluşun bilgi güvenliği sisteminin zorunlu bir unsurudur. Dış tehditlerin en aza indirilmesi, çok seviyeli bir bilgi güvenliği sisteminin uygulanmasıyla ve öncelikle ağın dış sınırında sağlanır.

İnternet ağ geçitleri, farklı protokoller kullanan ağlar arasındaki etkileşimi düzenlemenize olanak tanıyan cihazlardır. Ağ geçitleri, farklı ağlarda kullanılan mesajlar için veri formatı dönüşümleri gerçekleştirir. Ağ geçitlerinin ana işlevleri şunları içerir: çeşitli protokollerin bağlanması; farklı veri yapılarını ve formatlarını birbirine bağlamak; farklı mimarileri birbirine bağlamak; farklı dil araçlarının uygulamalarını birbirine bağlamak.

Ağlarda bir tehdidin uygulanmasının amacı bilginin gizliliği, kullanılabilirliği ve bütünlüğüdür. Ağdaki ciddi tehditlerden biri adres sahteciliğidir. Bu durumda, bilginin bütünlüğüne yönelik bir tehdit ortaya çıkar - bir bilgisayar sisteminde depolanan veya bir sistemden diğerine aktarılan verilerin kasıtlı olarak değiştirilmesi (değiştirilmesi veya hatta silinmesi). Mesajı gönderenin adresini değiştirmek bilginin gizliliğini ihlal etmese de bütünlüğünden ve kullanılabilirliğinden ödün verebilir.

Yazılım ve donanıma izinsiz giriş tespit araçlarının (yönlendiriciler ve güvenlik duvarları, yazılım güvenlik duvarı vb.) yanlış yapılandırılması, ağ bilgi güvenliğine yönelik tehditlere yol açabilir; çoğunlukla yerel ağlardan bilgi sızıntısı tehdidi vardır.

Bu nedenle, yalnızca bilgi güvenliği tehdit tespit sisteminin temel gereksinimlerine uygunluk, güvenlik önlemlerini yönetmenize ve bunların rasyonel kullanımı yoluyla tehdidin üstesinden gelme olasılığını artırmanıza olanak sağlayacaktır.

Kaynakça

1 Alishov N.I., Marchenko V.A. Ağ çevre koruma araçlarını entegre etme teknolojisi // Matematiksel makineler ve sistemler. 2006. No. 2. S. 36-47.

2 Anin B.Yu. Bilgisayar bilgilerinin korunması. St.Petersburg: BHV, 2000. 384 s.

3 Kamyshev E.N. Bilgi güvenliği ve bilginin korunması: Ders kitabı. Tomsk: TPU, 2009. 95 s.

4 Mashkina I.V. Bilgi güvenliği sistemlerinde yönetim ve karar verme. Ufa: UGATU, 2007. 160 s.

5 Minukhin S.V., Kavun S.V., Znahur S.V. Bilgisayar ağları. Bilgisayar ağlarının işleyişinin genel prensipleri. Öğretici. Kharkov: Yayınevi. KhNEU, 2008. 210 s.

6 Nesterov S.A. Bilgi güvenliği ve bilginin korunması: Ders kitabı. ödenek. SPb.: Politeknik Yayınevi. Üniv., 2009. 126 s.



Arkadaşlarınla ​​paylaş:
İlgili yayınlar