Тема лекции № 5. Обеспечение информационной безопасности компьютерных сетей.

Учебные вопросы:

1. Основные подходы к проблеме обеспечения безопасности компьютерных систем и сетей. Средства безопасности IPSec.

2. Методы управления средствами сетевой безопасности.

Вопрос №1.

Основой обеспечения безопасности компьютерных сетей является создание системы защиты не для отдельных классов приложений, а для сети в целом. Применительно к IP- сетям это означает, что системы защиты должны действовать на сетевом уровне модели OSI. Преимущество такого подхода состоит в том, что в IP- сетях именно сетевой уровень отличается наибольшей однородностью: независимо от вышележащих протоколов, физической среды передачи и технологии канального уровня транспортировки данных по сети не может быть произведена в обход протокола IP. Поэтому реализация защиты сети на третьем уровне автоматически гарантирует как минимум такую же степень защиты всех сетевых приложений, причём без какой-либо модификации последней.

На сетевом уровне существует возможность достаточно полной реализации функций защиты трафика и управления ключами, так как именно на сетевом уровне выполняется маршрутизация пакетов сообщений.

Стек протоколов IPSec используется для аутентификации участников обмена, туннелирования трафика и шифрования IP-пакетов. Основное назначение протокола – обеспечение безопасной передачи данных по IP- сетям. Этот протокол построен на базе стандартизованных криптографических технологий и представляет собой систему открытых стандартов, которая имеет чётко очерченное ядро, позволяющая дополнять её новыми протоколами, алгоритмами и функциями.

Основными задачами установления и поддержания защищённого канала являются следующие (слайд):

· аутентификация пользователей или компьютеров при инициализации защищённого канала;

· шифрование и аутентификация передаваемых данных между конечными точками защищённого канала;

· обеспечение конечных точек канала секретными ключами, для работы протоколов аутентификации и шифрования данных.

Для решения перечисленных задач система IPSec использует комплекс средств безопасности информационного обмена.

Большинство реализаций протокола IPSec имеют следующие компоненты.

Основной протокол IPSec, который реализует протоколы ESP и AH. Протокол IPSec тесно взаимодействует с транспортным и сетевым уровнями стека протоколов TCP/IP, обрабатывает заголовки, взаимодействует с БД SPD и SAD для определения политики безопасности, применяемой к пакету.

AH (Authentication header) – протокол аутентифицирующего заголовка обеспечивает аутентификацию источника данных, проверку их целостности и подлинности после приёма, а также защиту от навязывания повторных сообщений.

ESP (Encapsulating Security Payload) – протокол инкапсулирующей защиты содержимого. Обеспечивает криптографическое закрытие, аутентификацию и целостность передаваемых данных, а также защиту от навязывания повторных сообщений.

Протокол управления обменом ключевой информации IKE (Internet Key Exchange). Представляется в качестве процесса пользовательского уровня, за исключением реализаций, встроенных в ОС. Определяет способ инициализации защищённого канала, включая согласование используемых алгоритмов криптозащиты, а также процедуры обмена и управления секретными ключами в рамках защищённого соединения.

Протокол базы данных политик безопасности SPD (Security Policy Database). Определяет политику безопасности, применяемую к пакету. При обработке входящих и исходящих пакетов используется основным протоколом IPSec.

Протокол базы данных безопасных ассоциаций SAD (Security Association Database). БД SAD хранит список безопасных ассоциаций для обработки входящей и исходящей информации. Заполняется вручную или с помощью протокола управления ключами IKE.

Управление политикой безопасности и безопасными ассоциациями SA. Это приложения, управляющие политикой безопасности.

Особенности реализации SPDи SAD зависят от требований производительности и совместимости системы.

Все протоколы, входящие в IPSec делятся на 2 группы:

протоколы, непосредственно производящие обработку передаваемых данных (для обеспечения их защиты);

протоколы, позволяющие автоматически согласовать параметры защищённых соединений, необходимых для протоколов 1-й группы.

Архитектура средств безопасности IPSec представлена на рис. 5.1.

Рис.5.1. Архитектура стека протоколов IPSec

Вопрос №2.

Основными функциями системы информационной безопасности корпоративной сетью являются:

· централизованное и оперативное осуществление управляющих воздействий на средства сетевой безопасности;

· регулярный аудит и мониторинг, предоставляющие объективную информацию о состоянии ИБ для принятия оперативных решений.

Определим основные задачи управления системой сетевой безопасности предприятия. Главными из них являются следующие (слайд):

· управление глобальной политикой безопасности (ГПБ) в рамках сети предприятия, формирование локальных политик безопасности (ЛПБ) отдельных элементов;

· управление конфигурацией объектов и субъектов доступа;

· предоставление сервисов защиты распределенным прикладным системам и регистрацию защищенных приложений и их ресурсов;

· управление криптосредствами, ключевое управление (ключевая инфраструктура) в системообразующих службах;

· событийное протоколирование;

· аудит безопасности ИС, получение и оценка объективных данных о текущем состоянии защищенности ИС;

· мониторинг безопасности системы, обеспечение получения необходимой информации;

· обеспечение работы специальных защищенных приложений;

· обеспечение работы проектно-инвентаризационной группы приложений (определение точек установки средств защиты в сети предприятия, учет применяемых средств защиты, контроль модульного состава и состояния средств защиты).

Существует проблема комплексирования и организации взаимодействия традиционных систем управления сетями и систем управления средствами защиты информации в сети. Для решения этой проблемы применяются два основных подхода:

· интеграция средств сетевого или системного управления с механизмами управления защиты, т.е. средства сетевого и системного управления ориентированы на управление сетью или ИС, на поддержание традиционных действий и услуг;

· использование средств, предназначенных для решения только задачи управления безопасностью.

Архитектура управления ССБ

Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещаются непосредственно в корпоративной сети. Доступ к корпоративным ресурсам контролируют МЭ. Обеспечение конфиденциальной передачи данных через открытые глобальные сети осуществляют шлюзы виртуальных частных сетей (VPN). Для создания надежной эшелонированной защиты в настоящее время применяются: система обнаружения вторжений (IDS), средства контроля доступа по содержанию информации, антивирусные системы и др.

Большинство КИС построены на основе программных и аппаратных средств, поставляемых различными производителями. Каждое из этих средств требует тщательного и специфического конфигурирования, отражающего взаимосвязи между пользователями и доступными им ресурсами.

Чем разнороднее ИС, тем сложнее обеспечить управление ее безопасностью.