ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.02.2024
Просмотров: 21
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
оказаться психологически слабые люди, таящие обиду на начальство. Так же стоит учитывать конкурентов, которые подкупают людей, в особенности системных администраторов, для организации утечки информации.
Организации не всегда располагают денежными ресурсами на покупку лицензионного программного обеспечения, антивирусной защиты, межсетевых экранов актуального сетевого оборудования, не говоря о специализированных решениях на подобии систем управления учетными данными (14М), систем предотвращения утечек конфиденциальной информации, систем анализ событий безопасности.
Целью работы являлось разработка рекомендаций по защите локальной сети предприятия с использованием базовых настроек имеющегося оборудования (без покупки специальных систем и средств) от несанкционированного доступа сотрудников (инсайдерских атак) на основе разграничения доступа. Разграничение прав доступа пользователей сети, это настройки, связанные с сегментированием ЛВС-структуры на отдельные части и определение правил взаимодействия этих частей друг с другом. Предлагается использование профилей доступа на основе МАС-адресов.
1.Теоретическая часть
1.1 Описание предметной области
Разграничение (контроль) доступа к ресурсам – это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.
Объект – это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект – это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (чтение, копирование), её модификация (корректировка), уничтожение (удаление) и т.п.
Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурсом (использовать, управлять, изменять настройки и т.п.).
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять),
какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п.
Аутентификация — процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользовательских логинов.
Идентификация в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе.
Браузер, или веб-обозреватель — прикладное программное обеспечение для просмотра страниц, содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями; а также для решения других задач.
Маршрутизатор — специализированное устройство, которое пересылает пакеты между различными сегментами сети на основе правил и таблиц маршрутизации. Маршрутизатор может связывать разнородные сети различных архитектур.
Интегрированная система безопасности (ИСБ) - это программно-аппаратный комплекс, состоящий из связанных друг с другом информационно и функционально подсистем безопасности разного назначения, работающих по единому алгоритму и имеющих общие каналы связи, программное обеспечение, базы данных.
1.2 Постановка задачи
1. Проанализировать существующие методы разграничения доступа к устройствам локальной сети
2. Выбрать наиболее оптимальный метод разграничения доступа
3. Разработка рекомендаций по защите локальной сети предприятия от несанкционированного доступа сотрудников на основе разграничения доступа, с использованием базовых настроек имеющегося оборудования.
3. Сокращение количества лиц, имеющих доступ к информации
4. Реализовать выбранное решение
1.3 Обоснование методов решения задачи
Рассмотрим некоторые возможные варианты разграничения доступа к устройствам локальной сети.
Access Control List (ACL) — список управления доступом, который определяет, кто или что может получать доступ к объекту (программе, процессу или файлу), и какие именно операции разрешено или запрещено выполнять субъекту (пользователю, группе пользователей).
В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.
MAC-фильтр – определяет список MAC-адресов устройств, которые будут иметь доступ к Вашей сети, либо для которых доступ к сети будет запрещен.
MAC-фильтр наряду с шифрованием, аутентификацией и ключом шифрования (паролем от Wi-Fi сети) является еще одной мерой защиты Беспроводной сети. К примеру, если Вы хотите ограничить доступ посторонним лицам к беспроводной сети, или разрешить доступ только своим устройствам. Иногда его используют в качестве функции «родительский контроль» и запрещают подключение к сети устройствам ребенка.
Если все коммутационное оборудование под контролем, то возможно развертывание инфраструктуры 802.1x на базе RADIUS сервера или технологии Network Access Control (у Microsoft это роль Network Policy Server c компонентом Network Access Protection (NAP).
Решение позволяет осуществлять предварительную авторизацию устройств и назначение им IP/VLAN в зависимости от результатов проверки. В случае успешного внедрения получаем возможность динамически размещать узлы по VLAN и проводить разноплановые проверки подключаемых узлов, например - наличие и актуальность антивирусного ПО или межсетевого экрана.
Самым простым и доступным вариантом является MAC-фильтр. Поэтому мы рассмотрим именно этот метод.
1.4 Описание аппаратного обеспечения
Аппаратное обеспечение используемое при решении задачи включает:
При решении задачи был использован домашний персональный компьютер.
Персональный компьютер, используемый в курсовой работе, имеет характеристики, указанные на рисунке ()))(((, другие составные части приведены ниже:
Рисунок 1. Характеристики системы
Также использовались следующие устройства:
1.5 Описание программного обеспечения
Программное обеспечение используемое при решении задачи включает:
Windows 10 - операционная система для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT. Подтверждением лицензионных прав пользователя является Сертификат подлинности (СОА), наклеенный на коробку. В случае OEM-версии (Original Equipment Manufacturer — англ. производитель нового оборудования) покупатель приобретает оборудование с предустановленными программным обеспечением.
После Windows 8.1 система получила номер 10, минуя 9. Серверные аналоги Windows 10 — Windows Server 2016 и Windows Server 2019.
Минимальными системными требованиями для использования Windows 10 можно стичать:
Opera — веб-браузер и пакет прикладных программ для работы в Интернете, выпускаемый компанией Opera Software. Разработан в 1994 году группой исследователей из норвежской компании Telenor. С 1995 года — продукт компании Opera Software, образованной авторами первой версии браузера.
2 Практическая часть
2.1 Описание алгоритма решения задачи
MAC-адрес (от англ. Media Access Control — управление доступом к среде, также Hardware Address) — это уникальный идентификатор, присваиваемый каждой единице активного оборудования компьютерных сетей.
MAC-адрес должен быть уникальным в локальной сети.
Если в сети LAN есть два или более устройств с одинаковым MAC-адресом, эта сеть не будет работать.
Предположим, что три устройства A, B и C подключены к сети через коммутатор. MAC-адреса этих устройств — 11000ABB28FC, 00000ABB28FC и 00000ABB28FC соответственно. Сетевые адаптеры устройств B и C имеют одинаковый MAC-адрес. Если устройство А отправит кадр данных на адрес 00000ABB28FC, коммутатор не сможет доставить этот документ в пункт назначения, так как у него есть два получателя этих данных.
Как коммутаторы узнают МАС адрес. Поскольку у коммутатора есть некоторый интеллект, он может автоматически создать таблицу MAC адресов. Следующая часть иллюстрирует, как коммутатор узнает MAC адреса.
Рисунок 2. Коммутатор и персональные компьютеры
Посередине есть коммутатор, а вокруг 3 компьютера. У всех компьютеров есть МАС адрес, но они упрощены как АА, ВВВ и ССС. Коммутатор имеет таблицу МАС-адрсов и узнает, где находятся все МАС адреса в сети. Теперь, предположим, что компьютер А собирается отправить что-то на компьютер В:
Рисунок 3. Компьютер А отправляет данные на компьютер В
Компьютер A будет отправлять некоторые данные, предназначенные для компьютера B, поэтому он создаст канал Ethernet, который имеет MAC адрес источника (AAA) и MAC адрес назначения (BBB). Коммутатор имеет таблицу MAC адресов, и вот что произойдет:
Рисунок 4. Результат отправки данных
Коммутатор создаст таблицу MAC адресов и будет учиться только по исходным MAC адресам. В этот момент он только что узнал, что MAC адрес компьютера A находится на интерфейсе 1. Теперь он добавит эту информацию в свою таблицу MAC адресов. Но коммутатор в настоящее время не имеет информации о том, где находится компьютер B. Остался только один вариант, чтобы вылить этот фрейм из всех его интерфейсов, кроме того, откуда он поступил. компьютер B и компьютер C получат этот Ethernet фрейм.
Рисунок 5. Компьютер B и компьютер C получат этот Ethernet фрейм
Поскольку компьютер B видит свой MAC адрес в качестве пункта назначения этого Ethernet фрейма, он знает, что он предназначен для него, компьютер C его отбросит. Компьютер B ответит на компьютер A, создаст Ethernet фрейм и отправит его к коммутатору. В этот момент коммутатор узнает MAC адрес компьютера B. Это конец нашей истории, теперь коммутатор знает как и когда он может «переключаться» вместо переполнения Ethernet фреймов. Компьютер C никогда не увидит никаких фреймов между компьютером A и B, за исключением первого, который был залит. Вы можете использовать динамическую команду show mac address-table, чтобы увидеть все MAC адреса, которые изучил коммутатор. Здесь следует подчеркнуть еще один момент: таблица MAC адресов на коммутаторе использует механизм устаревания для динамических записей. Если MAC адреса компьютеров A и B не обновляются в течение времени их старения, они будут удалены, чтобы освободить место для новых записей, что означает, что фреймы между компьютером A и B будут снова залиты на компьютер C, если A хочет передать информацию в В.
При проектировании стандарта Ethernet было предусмотрено, что каждая сетевая карта (равно как и встроенный сетевой интерфейс) должна иметь уникальный шестибайтный номер (MAC-адрес), прошитый в ней при изготовлении. Этот номер используется для идентификации отправителя и получателя кадра, и предполагается, что при появлении в сети нового компьютера (или другого устройства, способного работать в сети) сетевому администратору не придётся настраивать MAC-адрес.
Организации не всегда располагают денежными ресурсами на покупку лицензионного программного обеспечения, антивирусной защиты, межсетевых экранов актуального сетевого оборудования, не говоря о специализированных решениях на подобии систем управления учетными данными (14М), систем предотвращения утечек конфиденциальной информации, систем анализ событий безопасности.
Целью работы являлось разработка рекомендаций по защите локальной сети предприятия с использованием базовых настроек имеющегося оборудования (без покупки специальных систем и средств) от несанкционированного доступа сотрудников (инсайдерских атак) на основе разграничения доступа. Разграничение прав доступа пользователей сети, это настройки, связанные с сегментированием ЛВС-структуры на отдельные части и определение правил взаимодействия этих частей друг с другом. Предлагается использование профилей доступа на основе МАС-адресов.
1.Теоретическая часть
1.1 Описание предметной области
Разграничение (контроль) доступа к ресурсам – это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.
Объект – это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект – это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (чтение, копирование), её модификация (корректировка), уничтожение (удаление) и т.п.
Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурсом (использовать, управлять, изменять настройки и т.п.).
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять),
какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п.
Аутентификация — процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользовательских логинов.
Идентификация в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе.
Браузер, или веб-обозреватель — прикладное программное обеспечение для просмотра страниц, содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями; а также для решения других задач.
Маршрутизатор — специализированное устройство, которое пересылает пакеты между различными сегментами сети на основе правил и таблиц маршрутизации. Маршрутизатор может связывать разнородные сети различных архитектур.
Интегрированная система безопасности (ИСБ) - это программно-аппаратный комплекс, состоящий из связанных друг с другом информационно и функционально подсистем безопасности разного назначения, работающих по единому алгоритму и имеющих общие каналы связи, программное обеспечение, базы данных.
1.2 Постановка задачи
1. Проанализировать существующие методы разграничения доступа к устройствам локальной сети
2. Выбрать наиболее оптимальный метод разграничения доступа
3. Разработка рекомендаций по защите локальной сети предприятия от несанкционированного доступа сотрудников на основе разграничения доступа, с использованием базовых настроек имеющегося оборудования.
3. Сокращение количества лиц, имеющих доступ к информации
4. Реализовать выбранное решение
1.3 Обоснование методов решения задачи
Рассмотрим некоторые возможные варианты разграничения доступа к устройствам локальной сети.
Access Control List (ACL) — список управления доступом, который определяет, кто или что может получать доступ к объекту (программе, процессу или файлу), и какие именно операции разрешено или запрещено выполнять субъекту (пользователю, группе пользователей).
В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.
MAC-фильтр – определяет список MAC-адресов устройств, которые будут иметь доступ к Вашей сети, либо для которых доступ к сети будет запрещен.
MAC-фильтр наряду с шифрованием, аутентификацией и ключом шифрования (паролем от Wi-Fi сети) является еще одной мерой защиты Беспроводной сети. К примеру, если Вы хотите ограничить доступ посторонним лицам к беспроводной сети, или разрешить доступ только своим устройствам. Иногда его используют в качестве функции «родительский контроль» и запрещают подключение к сети устройствам ребенка.
Если все коммутационное оборудование под контролем, то возможно развертывание инфраструктуры 802.1x на базе RADIUS сервера или технологии Network Access Control (у Microsoft это роль Network Policy Server c компонентом Network Access Protection (NAP).
Решение позволяет осуществлять предварительную авторизацию устройств и назначение им IP/VLAN в зависимости от результатов проверки. В случае успешного внедрения получаем возможность динамически размещать узлы по VLAN и проводить разноплановые проверки подключаемых узлов, например - наличие и актуальность антивирусного ПО или межсетевого экрана.
Самым простым и доступным вариантом является MAC-фильтр. Поэтому мы рассмотрим именно этот метод.
1.4 Описание аппаратного обеспечения
Аппаратное обеспечение используемое при решении задачи включает:
При решении задачи был использован домашний персональный компьютер.
Персональный компьютер, используемый в курсовой работе, имеет характеристики, указанные на рисунке ()))(((, другие составные части приведены ниже:
-
Материнская плата семейства GAMING на базе чипсета Intel® Z590 Express, -
Процессор AMD Ryzen 9 5950X, AM4, 4,9 Ghz -
Оперативная память DDR4 16Gb -
Видеокарта MSI GeForce RTX 3090 Ventus 3X OC 24GB -
Стандарный кабель Ethernet LAN
Рисунок 1. Характеристики системы
Также использовались следующие устройства:
-
Ноутбук -
Монитор -
Компьютерная мышь -
Клавиатура -
Маршрутизатор -
Кабель питания DEXP 2шт.
1.5 Описание программного обеспечения
Программное обеспечение используемое при решении задачи включает:
-
Лицензионная версия Windows 10.
Windows 10 - операционная система для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT. Подтверждением лицензионных прав пользователя является Сертификат подлинности (СОА), наклеенный на коробку. В случае OEM-версии (Original Equipment Manufacturer — англ. производитель нового оборудования) покупатель приобретает оборудование с предустановленными программным обеспечением.
После Windows 8.1 система получила номер 10, минуя 9. Серверные аналоги Windows 10 — Windows Server 2016 и Windows Server 2019.
Минимальными системными требованиями для использования Windows 10 можно стичать:
-
Процессор с частотой не менее 1 ГГц -
ОЗУ от 1 Гб (для 32х систем) и 2 Гб (для 64х систем) -
От 16 до 20 Гб свободного места на жестком диске -
Наличие DirectX 9 и выше -
Для мобильных устройств системные требования несколько иные:
-
Экран с разрешением не менее 800х480 -
Оперативная память 512 Мб и выше
-
Веб-обозреватель (браузер) Opera.
Opera — веб-браузер и пакет прикладных программ для работы в Интернете, выпускаемый компанией Opera Software. Разработан в 1994 году группой исследователей из норвежской компании Telenor. С 1995 года — продукт компании Opera Software, образованной авторами первой версии браузера.
2 Практическая часть
2.1 Описание алгоритма решения задачи
MAC-адрес (от англ. Media Access Control — управление доступом к среде, также Hardware Address) — это уникальный идентификатор, присваиваемый каждой единице активного оборудования компьютерных сетей.
MAC-адрес должен быть уникальным в локальной сети.
Если в сети LAN есть два или более устройств с одинаковым MAC-адресом, эта сеть не будет работать.
Предположим, что три устройства A, B и C подключены к сети через коммутатор. MAC-адреса этих устройств — 11000ABB28FC, 00000ABB28FC и 00000ABB28FC соответственно. Сетевые адаптеры устройств B и C имеют одинаковый MAC-адрес. Если устройство А отправит кадр данных на адрес 00000ABB28FC, коммутатор не сможет доставить этот документ в пункт назначения, так как у него есть два получателя этих данных.
Как коммутаторы узнают МАС адрес. Поскольку у коммутатора есть некоторый интеллект, он может автоматически создать таблицу MAC адресов. Следующая часть иллюстрирует, как коммутатор узнает MAC адреса.
Рисунок 2. Коммутатор и персональные компьютеры
Посередине есть коммутатор, а вокруг 3 компьютера. У всех компьютеров есть МАС адрес, но они упрощены как АА, ВВВ и ССС. Коммутатор имеет таблицу МАС-адрсов и узнает, где находятся все МАС адреса в сети. Теперь, предположим, что компьютер А собирается отправить что-то на компьютер В:
Рисунок 3. Компьютер А отправляет данные на компьютер В
Компьютер A будет отправлять некоторые данные, предназначенные для компьютера B, поэтому он создаст канал Ethernet, который имеет MAC адрес источника (AAA) и MAC адрес назначения (BBB). Коммутатор имеет таблицу MAC адресов, и вот что произойдет:
Рисунок 4. Результат отправки данных
Коммутатор создаст таблицу MAC адресов и будет учиться только по исходным MAC адресам. В этот момент он только что узнал, что MAC адрес компьютера A находится на интерфейсе 1. Теперь он добавит эту информацию в свою таблицу MAC адресов. Но коммутатор в настоящее время не имеет информации о том, где находится компьютер B. Остался только один вариант, чтобы вылить этот фрейм из всех его интерфейсов, кроме того, откуда он поступил. компьютер B и компьютер C получат этот Ethernet фрейм.
Рисунок 5. Компьютер B и компьютер C получат этот Ethernet фрейм
Поскольку компьютер B видит свой MAC адрес в качестве пункта назначения этого Ethernet фрейма, он знает, что он предназначен для него, компьютер C его отбросит. Компьютер B ответит на компьютер A, создаст Ethernet фрейм и отправит его к коммутатору. В этот момент коммутатор узнает MAC адрес компьютера B. Это конец нашей истории, теперь коммутатор знает как и когда он может «переключаться» вместо переполнения Ethernet фреймов. Компьютер C никогда не увидит никаких фреймов между компьютером A и B, за исключением первого, который был залит. Вы можете использовать динамическую команду show mac address-table, чтобы увидеть все MAC адреса, которые изучил коммутатор. Здесь следует подчеркнуть еще один момент: таблица MAC адресов на коммутаторе использует механизм устаревания для динамических записей. Если MAC адреса компьютеров A и B не обновляются в течение времени их старения, они будут удалены, чтобы освободить место для новых записей, что означает, что фреймы между компьютером A и B будут снова залиты на компьютер C, если A хочет передать информацию в В.
При проектировании стандарта Ethernet было предусмотрено, что каждая сетевая карта (равно как и встроенный сетевой интерфейс) должна иметь уникальный шестибайтный номер (MAC-адрес), прошитый в ней при изготовлении. Этот номер используется для идентификации отправителя и получателя кадра, и предполагается, что при появлении в сети нового компьютера (или другого устройства, способного работать в сети) сетевому администратору не придётся настраивать MAC-адрес.