0

Защита локальной сети от несанкционированного доступа

Опубликовано автором admin

Все о локальных сетях и сетевом оборудовании

Сразу отметим, что системы защиты, которая 100% даст результат на всех предприятиях, к сожалению, не существует. Ведь с каждым днём появляются всё новые способы обхода и взлома сети (будь она корпоративная или домашняя). Однако тот факт, что многоуровневая защита — все же лучший вариант для обеспечения безопасности корпоративной сети, остается по-прежнему неизменным.

И в данной статье мы разберем пять наиболее надежных методов защиты информации в компьютерных системах и сетях, а также рассмотрим уровни защиты компьютера в корпоративной сети.

Однако сразу оговоримся, что наилучшим способом защиты данных в сети является бдительность ее пользователей. Все сотрудники компании, вне зависимости от рабочих обязанностей, должны понимать, и главное — следовать всем правилам информационной безопасности. Любое постороннее устройство (будь то телефон, флешка или же диск) не должно подключаться к корпоративной сети.

Кроме того, руководству компании следует регулярно проводить беседы и проверки по технике безопасности, ведь если сотрудники халатно относятся к безопасности корпоративной сети, то никакая защита ей не поможет.

Защита корпоративной сети от несанкционированного доступа

  1. 1. Итак, в первую очередь необходимо обеспечить физическую безопасность сети. Т.е доступ во все серверные шкафы и комнаты должен быть предоставлен строго ограниченному числу пользователей. Утилизация жестких дисков и внешних носителей, должна проходить под жесточайшим контролем. Ведь получив доступ к данным, злоумышленники легко смогут расшифровать пароли.
  2. 2. Первой «линией обороны» корпоративной сети выступает межсетевой экран, который обеспечит защиту от несанкционированного удалённого доступа. В то же время он обеспечит «невидимость» информации о структуре сети.

В число основных схем межсетевого экрана можно отнести:

  • — использование в его роли фильтрующего маршрутизатора, который предназначен для блокировки и фильтрации исходящих и входящих потоков. Все устройства в защищённой сети имеет доступ в интернет, но обратный доступ к этим устройства из Интернета блокируется;
  • — экранированный шлюз, который фильтрует потенциально опасные протоколы, блокируя им доступ в систему.
  1. 3. Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует возможность проникновения в сеть «червей». В первую очередь необходимо защитить сервера, рабочие станции, интернет шлюзы и систему корпоративного чата.

На сегодняшний день одной из ведущих компаний по антивирусной защите в сети является «Лаборатория Касперского», которая предлагает такой комплекс защиты, как:

  • — контроль защиты рабочих мест – это комплекс сигнатурных и облачных методов контроля за программами и устройствами и обеспечения шифрования данных;
  • — обеспечение защиты виртуальной среды с помощью установки «агента» на одном (или каждом) виртуальном хосте;
  • — защита «ЦОД» (центр обработки данных) – управление всей структурой защиты и единой централизованной консоли;
  • — защита от DDoS-атак, круглосуточный анализ трафика, предупреждение о возможных атаках и перенаправление трафика на «центр очистки».

Это только несколько примеров из целого комплекса защиты от «Лаборатории Касперского».

  1. 4. Защита виртуальных частных сетей (VPN). На сегодняшний день многие сотрудники компаний осуществляют рабочую деятельность удаленно (из дома), в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN.

При этом категорически запрещено использовать ПО для удалённого доступа к рабочей сети.

Одним из минусов привлечения «удалённых работников» является возможность потери (или кражи) устройства, с которого ведется работы и последующего получения доступа в корпоративную сеть третьим лицам.

  1. 5. Грамотная защита корпоративной почты и фильтрация спама.

Безопасность корпоративной почты

Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг–атакам.

Основными способами фильтрация спама, являются:

  • — установка специализированного ПО (данные услуги так же предлагает «Лаборатория Касперского»);
  • — создание и постоянное пополнение «черных» списков ip-адресов устройств, с которых ведется спам-рассылка;
  • — анализ вложений письма (должен осуществляться анализ не только текстовой части, но и всех вложений — фото, видео и текстовых файлов);
  • — определение «массовости» письма: спам-письма обычно идентичны для всех рассылок, это и помогает отследить их антиспам-сканерам, таким как «GFI MailEssentials» и «Kaspersky Anti-spam».

Это основные аспекты защиты информации в корпоративной сети, которые работают, практически в каждой компании. Но выбор защиты зависит также от самой структуры корпоративной сети.

Необходимость защиты локальных вычислительных сетей от несанкционированного доступа через выделенный канал Интернет

За последние 2 года роль сети Интернет в сфере малого и среднего бизнеса особенно выросла. Это связано с понижениями тарифов на выделенные линии, построенные на технологиях ADSL, SDSL, ISDN, а также с необходимостью организаций в оперативном обмене информацией.

схема ЛВС

По нашей статистике, 2 года назад выделенный интернет-канал имелся только у 5% наших клиентов. На сегодняшний день их около 90%. При этом никто не использует под Интернет отдельно стоящую локальную рабочую станцию (проще говоря, компьютер). Конечно, Интернет нужен всем сотрудникам в организации, даже бухгалтеру.
Поэтому, получив доступ по выделенной линии, у многих (я сужу по опыту работы с клиентами) возникает желание скорее подключить провод в свою локальную сеть, произвести минимальные настройки на рабочих станциях и получать удовольствие от хорошей связи.

Читайте также:  Игра монополия правила в картинках

А теперь о главном.
Вопрос первый:
Насколько рискованно подключать свою локальную сеть к выделенному интернет-каналу?
Проведем эксперимент.
Подключаем провод, ведущий от xDSL-модема в концентратор. Получив доступ в Интернет с любой рабочей станции, заходим на сайт http://grc.com/ и выбираем ссылку ShieldsUP! и далее Test my shields. Вы видите внешний IP-адрес вашего компьютера и все папки компьютеров в локальной сети, у которых открыт доступ. Это значит, что любой пользователь сети Интернет может из этих папок скачать данные, а не сильно продвинутый хакер может добраться и до всей остальной информации. Порой кажется, что клиенты просто не понимают всю катастрофичность данной ситуации.
Мы эту процедуру проделываем всегда, когда хотим протестировать локальную сеть на предмет защиты от проникновения извне. Доходит до смешного: при проверке интернет-портов одной организации мы увидели свободный доступ к базам данных бухгалтерии, а во флоппи-дисководе совершенно открыто «виделась» дискета с цифровой подписью системы клиент-банк! Естественно, в течение дня эта проблема была нами решена.
Другой пример. Огромное здание, в котором арендуют офисы сотни фирм. По всему зданию проложена сеть, доступ в Интернет предоставляет некая фирма, протянувшая себе в это здание оптический канал. Маленькая фирма, у которой 8 компьютеров в локальной сети, подключается в эту общую сеть. И с ужасом обнаруживает в сетевом окружении сотни компьютеров с открытым доступом к информации.

Вопрос второй:
Как сделать надежную защиту локальной сети от несанкционированного доступа извне?

Представьте себе подводную лодку. Как выйти водолазу из лодки, находящейся на глубине? Для того, чтобы при открытии люков не была нарушена герметичность корабля, существует шлюз — специальная камера, запоняемая водой или воздухом, в зависимости от того, что нужно — выйти или войти.
Тот же принцип и в компьютерных сетях: ваша локальная сеть — это корабль, а сеть Интернет — это океан. Для того, чтобы разделить эти две сети, тоже нужен шлюз или маршрутизатор. Он не позволяет этим сетям «видеть» друг друга, но обеспечивает локальную сеть доступом в Интернет, а также почтовым и ftp-доступом.

Для аудита безопасности своей сети прочитайте статьи «как можно защитить Windows системы, изменив номер порта rdp», «Логи брандмауэра Windows«.

План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам.

Общие положения

От обеспечения безопасности информационной вычислительной системы организации во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в вычислительных системах организации в целом; в частности, репутация организации, доля на рынке, снижение издержек и т.п.

Ко всем данным, с которыми работает информационная вычислительная система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований является первостепенным в задачах обеспечения информационной безопасности. Несанкционированный доступ к информационным ресурсам, располагающимся в электронных базах данных и на сетевых ресурсах, как правило имеет целью нарушение этих требований. Как следствие, несанкционированный доступ может нанести организации существенный финансовый, юридический и репутационный ущерб. В связи с этим одной из важнейших задач обеспечения информационной безопасности является задача максимально возможного снижения угрозы несанкционированного доступа.

Для решения этой задачи используется комплексный подход, предполагающий использование технических и программных решений, а также специальные организационные мероприятия.

Классификация объектов защиты и угроз

В качестве объектов защиты выступают массивы электронной информации (а значит и содержащие их хранилища информации), которая является:

  • коммерческой тайной;
  • персональными данными физических лиц;
  • секретной ключевой информацией систем криптографической защиты информации;
  • внутренней служебной информацией, публикация которой по тем или иным причинам нежелательна;
  • иной информацией, по тем или иным причинам не подлежащей свободному распространению.

Информация по своему месторасположению по отношению к компьютеру лица, пытающегося получить к ней доступ, может:

  • Располагаться на компьютере пользователя, быть локальной (Local);
  • Располагаться в открытом для доступа сетевом каталоге другого компьютера (сервера) локальной вычислительной сети организации (Network);
  • Располагаться в базе данных одной из систем управления базами данных (СУБД) (Database);
  • Располагаться на сетевом ресурсе, доступ к которому осуществляется посредством соответствующего сетевого сервиса (например, web-сайт) (WWW).

Классификация информационных угроз:

  • Несанкционированный доступ к ресурсам и данным системы; подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
  • перехват и подмена трафика (подделка платежных поручений, атака типа «злоумышленник посередине»);
  • IP-спуфинг (подмена сетевых адресов);
  • отказ в обслуживании (DoS);
  • атака на уровне приложений;
  • сканирование сетей или сетевая разведка;
  • использование отношений доверия в сети;
  • выполнение сотрудником организации (инсайдером) поиска, копирования, анализа, консолидации и т.п. действий, выходящих за рамки его служебных обязанностей, с информацией, доступ к которой сотруднику разрешен.

Причины, приводящие к появлению уязвимости от перечисленных угроз:

  • отсутствие гарантии конфиденциальности и целостности передаваемых данных;
  • недостаточный уровень проверки участников соединения;
  • недостаточная реализация или некорректная разработка политики безопасности;
  • отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
  • существующие уязвимости используемых операционных систем, программного обеспечения, СУБД, веб-систем и сетевых протоколов;
  • непрофессиональное и слабое администрирование систем;
  • проблемы при построении межсетевых фильтров;
  • сбои в работе компонентов системы или их низкая производительность;
  • уязвимости при управлении ключами.

Основные виды атак на финансовые сообщения и финансовые транзакции, проистекающие от соответствующих информационных угроз;

  • раскрытие содержимого документа;
  • представление документа от имени (другого) участника (маскарадинг);
  • несанкционированная модификация содержимого документа;
  • повтор переданной информации:
  • блокирование передачи документа.
Читайте также:  Восстановление smart жесткого диска

Архитектура системы информационной безопасности, покрывающая основные классы угроз, должна содержать следующие обязательные компоненты:

  • подсистему аутентификации и авторизации пользователей;
  • антивирусную подсистему;
  • подсистему межсетевого экранирования;
  • подсистему криптографической защиты информации;
  • подсистему физической защиты;
  • подсистему защиты внутренних сетевых ресурсов;
  • подсистему защиты Web-pecypcoв и рекомендуемые компоненты:
  • подсистему обнаружения и предотвращения вторжений;
  • подсистему контроля содержимого Интернет-графика;
  • подсистему протоколирования, отчета и мониторинга средств защиты;
  • подсистему протоколирования действий пользователей и администраторов;
  • подсистему защиты рабочих станций;
  • подсистему управления информационной безопасности.

    Защита от НСД и других угроз извне ЛВС организации

    Вследствие достаточно надежной защиты периметра локальной вычислительной сети средствами брандмауэра прямые атаки на информационные ресурсы, находящиеся внутри защищаемого периметра, со стороны лиц, находящихся вне этого периметра, малоэффективны, а поэтому маловероятны.

    Гораздо более вероятную опасность представляют так называемые DoS-атаки, вызывающие «отказ в обслуживании» со стороны информационных сервисов организации, таких, как интернет сайт организации, электронная почта или со стороны технических сервисов, таких как VPN, RDP и т.п.

    Методы обнаружения DoS атак:

    • сигнатурные — основанные на качественном анализе трафика;
    • статистические — основанные на количественном анализе трафика;
    • гибридные — сочетающие в себе достоинства двух предыдущих методов;
    • реакционные — основанные на получении информации о необычно медленной реакции информационной системы, недоступности ее сервисов.

    План действий при DoS атаке:

    1. При получении информации о необычно медленной реакции информационной системы или иных обоснованных подозрений о происходящей DoS атаке необходимо проинформировать начальника управления автоматизации и администратора информационной безопасности.
    2. Отделу телекоммуникаций необходимо прекратить (физически или логически) внешний доступ к атакуемому сетевому сервису.
    3. При этом необходимо собрать как можно больше информации о характере атаки, ее интенсивности, источниках, возможных целях. Для этого использовать информацию из системных журналов соответствующих систем.
    4. На основе полученной информации об источнике атаки применять как пассивные защитные меры (фильтрация адресов, протоколов, портов, уклонение, т.е. увод непосредственной цели атаки (доменного имени или IP- адреса) от других ресурсов сети), так и активные — воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера

    В качестве превентивных мероприятий следует использовать:

    • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.
    • Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.
    • Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.
    • Наращивание ресурсов.
    • Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.

    Другой опасностью, проникающей в локальную вычислительную сеть извне, но действующей внутри периметра защиты, являются компьютерные вирусы. Ввиду их скрытного действия и существенных возможностей по несанкционированному доступу и даже уничтожению информации, меры профилактической защиты от вирусных атак являются важной компонентой информационной безопасности.

    К основным способам защиты от вирусных атак относятся программные (антивирусные мониторы и антивирусные сканеры) и организационные (выполнение сотрудниками организации требований информационной безопасности; прививание пользователям культуры работы с электронной почтой, в интернет и т.п.).

    План превентивных антивирусных мероприятий:

    1. На каждом компьютере банка должно быть установлено антивирусное программное обеспечение, имеющее в своем составе как антивирусный монитор, так и антивирусный сканер. Рекомендуется использовать только программное обеспечение ведущих производителей антивирусов.
    2. База данных вирусных сигнатур должна обновляться не реже одного раза в день. Рекомендуется более частое обновление с использованием централизованного распространения базы сигнатур.
    3. Антивирусный монитор должен быть постоянно включен.
    4. На компьютерах тех сотрудников, которые не работают в интернет и не ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в месяц.
    5. На компьютерах тех сотрудников, которые работают в интернет и/или ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в неделю.
    6. Рекомендуется при сканировании (особенно при подозрении о наличии вирусов) помимо основного сканера использовать антивирусные сканеры (например, бесплатно распространяемые) других производителей. Практика показывает, что использование одного антивирусного продукта не всегда эффективно — часть вирусов может быть пропущена при сканировании.
    7. При приеме на работу в организацию сотрудники должны быть проинструктированы администратором информационной безопасности о мерах по обеспечению информационной безопасности и необходимости строгого выполнения соответствующих требований.
    8. Регулярно (не реже одного раза в год) администратор информационной безопасности должны проводиться краткие повторные инструктажи сотрудников с доведением до них информации о новых опасных особенностях вирусов, троянских программ и другого вредоносного программного обеспечения.
    9. После проведения повторного инструктажа не реже одного раза в год должна проводиться аттестация сотрудников организации по теме «Информационная безопасность».

      Защита от несанкционированного доступа изнутри ЛВС организации

      Защита информационных ресурсов от несанкционированного доступа со стороны легальных пользователей сети — гораздо более трудная задача. Это обусловлено тем, что пользователи локальной вычислительной сети уже зарегистрированы в системе и наделены теми или иными полномочиями при доступе к информации.

      Читайте также:  Вся информация про интернет

      Для обеспечения высокого уровня информационной безопасности локальной вычислительной сети рекомендуется проводить следующие процедуры при организации работы персонала организации:

      • фиксировать в трудовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству;
      • по возможности распределять основные функции между сотрудниками так, чтобы ни одна существенная операция не могла быть выполнена одним человеком от начала до конца;
      • обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации;
      • регулярно (не реже одного раза в год) проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты;
      • иметь нормативные правовые документы по вопросам защиты информации;
      • постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности;
      • рекомендуется создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации;
      • проводить служебные расследования в каждом случае нарушения политики безопасности.

      План мероприятий по снижению угрозы несанкционированного доступа от легальных пользователей локальной вычислительной сети:

      1. Сотрудникам категорически запрещается передавать свои имя и пароль другим лицам.
      2. Рекомендуется, чтобы пользователи локальной вычислительной сети были объединены в логические группы, отражающие функциональные обязанности этих пользователей. Принцип — все пользователи, входящие в некую группу, имеют права доступа к информации, соответствующие этой группе, и в этой части функциональные обязанности пользователей совпадают.
      3. Рекомендуется разрешать доступ к информационным ресурсам только группам. При этом вид доступа (чтение содержимого каталога, чтение файла, модификация файла и т.п.) должен строго соответствовать функциям сотрудника при работе с соответствующим массивом информации. Кроме этого, должен применяться принцип возможной минимизации доступа: если без ущерба для функциональности возможно не предоставлять один из видов доступа, то его не следует предоставлять.
      4. При изменении должностных обязанностей сотрудника, переводе его на другую работу, руководитель соответствующего подразделения должен немедленно уведомить администратора о необходимости изменить (исключить) членство сотрудника в логических группах доступа.
      5. При проектировании и разработке пользовательских интерфейсов программных продуктов, используемых в организации, настоятельно рекомендуется избегать (кроме особых случаев) подходов, при которых, во время работы пользователя с программой, её интерфейс позволяет просматривать большие объемы информации и/или сохранять её на электронные носители, передавать по электронной почте или в интернет.
      6. При проектировании приложений, использующих доступ к серверным базам данных, рекомендуется использовать механизм ролей и разграничения доступа пользователей к компонентам СУБД, применяя принцип минимально возможных прав. При этом не рекомендуется давать пользователям СУБД непосредственный доступ к её таблицам. Доступ пользователей к данным, хранящимся в таблицах, должен осуществляться преимущественно посредством хранимых процедур и представлений (view). Эти процедуры и представления, в свою очередь, должны представлять пользователю только необходимый для его работы набор записей, содержащих только необходимые поля.
      7. При организации структуры каталогов для хранения таблиц не серверных СУБД необходимо использовать подход, аналогичный организации доступа к сетевым каталогам файловых серверов. При этом для хранения различных файлов-таблиц рекомендуется создавать подкаталоги, объединяющие эти таблицы по функциональному назначению и позволяющие использовать механизм разграничения доступа логических групп ЛВС к этим каталогам.

      План мероприятий по снижению риска несанкционированного доступа со стороны лиц, подключившихся к локальной вычислительной сети организации нелегально:

      1. Не устанавливать точки подключения к локальной вычислительной сети организации (розетки) в местах, где возможно неконтролируемое подключение к ним со стороны посторонних лиц.
      2. Администратор информационной безопасности проводить регулярное (ежедневное) сканирование локальной вычислительной сети организации с целью выявления несанкционированных подключений к ней.
      3. При необходимости предоставления доступа в интернет и/или к другим ресурсам сотрудникам сторонних организаций, необходимо создание отделом технического обеспечения виртуальных сетей (VLAN), максимально ограничивающих возможности этих сотрудников по доступу в локальной вычислительной сети организации и/или сканированию сетевого трафика организации.
      4. При конфигурировании VPN сети организации рекомендуется ограничивать доступ из дочерних подразделений сети (соответствующих сетям филиалов и дополнительных офисов), разрешая его только к необходимым для работы ресурсам (серверам, протоколам, портам) центральной локальной вычислительной сети организации.
      5. Не использовать беспроводные сети, кроме случаев организации малых временных сетей, не имеющих выхода в основную локальную вычислительную сеть организации. При этом в обязательном порядке необходимо применять имеющиеся в протоколе беспроводной связи средства защиты. В частности, групповой пароль для подключения к концентратору должен быть нетривиальным по набору символов, его длина должна быть достаточной для обеспечения криптостойкости (не менее 10 символов). В случаях длительного использования беспроводных сетей следует менять групповой пароль не реже 1 раза в месяц.
      6. Все стандартные пароли доступа к серверам, настройкам оборудования и т.п. еще до осуществления настроек соответствующих систем, серверов или оборудования в обязательном порядке должны быть изменены на нетривиальные, отвечающие требованиям парольной защиты.
      7. Рекомендуется использовать аутентификацию пользователей при доступе их к интернету и электронной почте.

      Отделу технического обеспечения отключать в кроссировочных шкафах соединения с неиспользуемыми розетками локальной вычислительной сети, установленными в помещениях организации.

      Скачать ZIP файл (25405)

      Пригодились документы — поставь «лайк» или поддержи сайт материально :

      Post Views: 7

      Похожие записи:

      1. Бюджетный телефон с очень хорошей камерой
      2. Где находится терморегулятор в холодильнике атлант
      3. Документ содержит макросы как убрать
      4. Как включить расширения в инкогнито яндекс

      admin

      More Posts

      Добавить комментарий

      Ваш e-mail не будет опубликован. Обязательные поля помечены *