Главная страница
Навигация по странице:

  • А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков, М.Ю. Щербаков Защита информации в компьютерных сетях Практический курс

  • Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю.

  • ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

    		•

    А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков


    Скачать 9.2 Mb.
    НазваниеА. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков
    АнкорAndronchik.pdf
    Дата15.12.2017
    Размер9.2 Mb.
    Формат файлаpdf
    Имя файлаAndronchik.pdf
    ТипУчебное пособие
    #11552
    страница1 из 20
      1   2   3   4   5   6   7   8   9   ...   20

    Федеральное агентство по образованию
    Уральский государственный технический университет – УПИ
    Серия «Программно-аппаратные средства обеспечения
    информационной безопасности»
    А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский,
    А.С. Коллеров, Н.И. Синадский, Д.А. Хорьков,
    М.Ю. Щербаков
    Защита информации
    в компьютерных сетях
    Практический курс
    Рекомендовано Уральским региональным отделением Учебно-методического
    объединения высших учебных заведений РФ по образованию в области
    информационной безопасности для межвузовского использования в качестве
    учебного пособия для студентов высших учебных заведений, обучающихся
    по специальностям 090102 — «Компьютерная безопасность», 090105 —
    «Комплексное обеспечение информационной безопасности
    автоматизированных систем», 090106 — «Информационная безопасность
    телекоммуникационных систем»
    Под редакцией к.т.н., доцента Н.И. Синадского
    Екатеринбург
    УГТУ–УПИ
    2008

    УДК 681.3.067
    ББК 32.973
    А 66
    Рецензенты: кафедра компьютерной безопасности и прикладной алгебры
    ГОУ ВПО Челябинский государственный университет
    (д-р физ.-мат. наук, проф. А. В. Рожков);
    Д-р тех. наук, проф. А. А. Захаров
    (кафедра информационной безопасности
    ГОУ ВПО Тюменский государственный университет).
    Андрончик А. Н., Богданов В. В., Домуховский Н. А.,
    Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю.
    А 66 ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ.
    ПРАКТИЧЕСКИЙ КУРС: учебное пособие / А. Н. Андрончик,
    В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский,
    Д. А. Хорьков, М. Ю. Щербаков; под ред. Н. И. Синадского.
    Екатеринбург : УГТУ-УПИ, 2008. 248 с.
    ISBN 978-5-321-01219-2
    Учебное пособие раскрывает вопросы практического применения методов и средств защиты информации в компьютерных сетях. В пособии рассмотрены способы анализа се- тевого трафика, сетевые атаки и их обнаружение, организация защищенных виртуальных сетей, вопросы межсетевого экранирования, применения технологий терминального досту- па, организации служб каталогов, аудита безопасности компьютерных сетей. Основной ак- цент в пособии делается на практическое изучение материала.
    Учебное пособие предназначено для студентов вузов, обучающихся по специально- стям 090102 – Компьютерная безопасность, 090105 – Комплексное обеспечение информа- ционной безопасности автоматизированных систем, 090106 – Информационная безопас- ность телекоммуникационных систем, при изучении дисциплины «Программно- аппаратные средства обеспечения информационной безопасности».
    Пособие будет полезно преподавателям, слушателям потоков повышения квалифика- ции по направлению информационной безопасности, а также специалистам-практикам в области защиты компьютерной информации.
    Библиогр.: 22 назв. Рис. 153. Табл. 14.
    УДК 681.3.067
    ББК 32.973
    ISBN 978-5-321-01219-2
    © Андрончик А. Н. и др., 2008
    © Уральский государственный технический университет – УПИ, 2008

    3
    ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
    ACK
    – Acknowledgement field significant
    AD –
    Active
    Directory
    AH
    – Authentication Header
    ARP
    – Address Resolution Protocol
    CDP
    – Cisco Discovery Protocol
    CIFS
    – Common Internet File System
    CVE –
    Common Vulnerabilities and Exposures
    CVSS –
    Common Vulnerability Scoping System
    ESP
    – Encapsulating Security Payload
    FTP
    – File Transfer Protocol
    GRE
    – Generic Routing Encapsulation
    HTTP
    – Hypertext Transfer Protocol
    ICMP
    – Internet Control Message Protocol
    IIS
    – Internet Information Services
    IKE
    – Internet Key Exchange
    IP
    – Internet Protocol
    ISO
    – International Standard Organization
    KDC
    – Key Distribution Centre
    L2F –
    Layer-2
    Forwarding
    L2TP –
    Layer-2
    Tunneling
    Protocol
    LDAP
    – Lightweight Directory Access Protocol
    MAC
    – Medium Access Control
    MSCHAP – Microsoft Challenge Handshake Authentication Protocol
    MSTS
    – Microsoft Terminal Services
    NAT
    – Network Address Translation
    NSS
    – Name Service Switch
    NTP –
    Nessus Transport Protocol
    PAM –
    Pluggable Authentication Modules
    POP3
    – Post Office Protocol

    4
    PPP
    – Point-to-Point Protocol
    PPTP
    – Point-to-Point Tunneling Protocol
    RDP
    – Remote Desktop Protocol
    RFC
    – Request For Comments
    RST
    – Reset the connection
    S/MIME –
    Secure
    Multipurpose Internet Mail Extension
    SHTTP –
    Secure
    HTTP
    SKIP
    – Simple Key management for Internet Protocol
    SMB
    – Server Message Blocks
    SMTP
    – Simple Mail Transfer Protocol
    SOA –
    Start of Authority
    SSL
    – Secure Socket Layer
    SYN
    – Synchronize sequence numbers
    TCP
    – Transmission Control Protocol
    TGT
    – Ticket Granting Ticket
    TLS
    – Transport Layer Security
    UDP
    – User Datagram Protocol
    VPN
    – Virtual Private Network
    АИС –
    Автоматизированная информационная система
    ИП –
    Инструментальные проверки
    МЭ –
    Межсетевой экран
    ОС –
    Операционная система
    ПИБ –
    Подсистема информационной безопасности
    ПК –
    Персональный компьютер
    ПО –
    Программное обеспечение
    СЗИ –
    Средство защиты информации
    СОА –
    Система обнаружения атак
    СОИБ

    Система обеспечения информационной безопасности
    ЦС –
    Центр сертификации
    ЭЦП –
    Электронно-цифровая подпись

    5
    СОДЕРЖАНИЕ
    Введение....................................................................................................................... 8 1.
    Основы захвата и анализа сетевого трафика ..................................................... 12 1.1.
    Общие сведения о программе ...................................................................... 12 1.2.
    Установка программы и подготовка к захвату........................................... 13 1.3.
    Пользовательский интерфейс программы .................................................. 15 1.4.
    Фильтр отображения пакетов....................................................................... 16 1.5.
    Поиск кадров.................................................................................................. 22 1.6.
    Выделение ключевых кадров ....................................................................... 23 1.7.
    Сохранение данных захвата ......................................................................... 23 1.8.
    Печать информации....................................................................................... 24 1.9.
    Просмотр кадра в отдельном окне............................................................... 25 1.10.
    Анализ протоколов Ethernet и ARP ............................................................. 25 1.11.
    Анализ протоколов IP и ICMP ..................................................................... 28 1.12.
    Анализ протокола TCP.................................................................................. 30 2.
    Выявление сетевых атак путем анализа трафика.............................................. 34 2.1.
    Этапы сетевой атаки...................................................................................... 34 2.2.
    Исследование сетевой топологии ................................................................ 34 2.3.
    Обнаружение доступных сетевых служб.................................................... 39 2.4.
    Выявление уязвимых мест атакуемой системы ......................................... 43 2.5.
    Реализации атак ............................................................................................. 44 2.6.
    Выявление атаки на протокол SMB ............................................................ 45 3.
    Защита компьютерной сети с использованием межсетевых экранов............. 50 3.1.
    Понятие межсетевого экрана ....................................................................... 50 3.2.
    Компоненты межсетевого экрана ................................................................ 51 3.3.
    Политика межсетевого экранирования ....................................................... 55 3.4.
    Архитектура МЭ............................................................................................ 56 3.5.
    Пример реализации политики МЭ............................................................... 58 3.6.
    Сетевая среда лабораторной работы ........................................................... 61 3.7.
    Применение МЭ на основе двудомного узла ............................................. 62 3.8.
    Применение МЭ на основе фильтрующего маршрутизатора................... 64 3.9.
    Применение МЭ на основе экранирующего узла ...................................... 70 3.10.
    Применение технологии трансляции сетевых адресов ............................. 72

    6 4.
    Системы обнаружения атак..................................................................................76 4.1.
    Сигнатурный анализ и обнаружение аномалий..........................................76 4.2.
    Обнаружение в реальном времени и отложенный анализ.........................79 4.3.
    Локальные и сетевые системы обнаружения атак......................................80 4.4.
    Распределенные системы обнаружения атак ..............................................81 4.5.
    Система обнаружения атак Snort..................................................................82 5.
    Организация виртуальных частных сетей ..........................................................94 5.1.
    Задачи, решаемые VPN..................................................................................94 5.2.
    Туннелирование в VPN..................................................................................96 5.3.
    Уровни защищенных каналов.......................................................................97 5.4.
    Защита данных на канальном уровне...........................................................99 5.5.
    Организация VPN средствами протокола PPTP .......................................103 5.6.
    Защита данных на сетевом уровне .............................................................108 5.7.
    Организация VPN средствами СЗИ VipNet...............................................114 5.8.
    Использование протокола IPSec для защиты сетей..................................125 5.9.
    Организация VPN средствами СЗИ StrongNet ..........................................130 5.10.
    Защита на транспортном уровне ................................................................135 5.11.
    Организация VPN средствами протокола SSL в Windows Server 2003..137 5.12.
    Организация VPN прикладного уровня средствами протокола
    S/MIME и СКЗИ КриптоПро CSP .............................................................144 6.
    Применение технологии терминального доступа ...........................................150 6.1.
    Общие сведения о технологии терминального доступа ..........................150 6.2.
    Обеспечение безопасности ОС Windows Server 2003 ..............................152 6.3.
    Настройки сервера MSTS............................................................................161 6.4.
    Настройки протокола RDP ..........................................................................163 7.
    Службы каталогов...............................................................................................173 7.1.
    Общие сведения о службах каталогов .......................................................173 7.2.
    Структура каталога LDAP...........................................................................177 7.3.
    Система единого входа в сеть на основе протокола Kerberos.................184 7.4.
    Создание единого пространства безопасности на базе Active Directory193 8.
    Аудит информационной безопасности компьютерных систем .....................198 8.1.
    Понятие аудита информационной безопасности......................................198 8.2.
    Методика проведения инструментальных проверок................................202 8.3.
    Постановка задачи для проведения инструментальных проверок .........204

    7 8.4.
    Обнаружение сетевых узлов ...................................................................... 207 8.5.
    Сканирование портов и идентификация ОС ............................................ 213 8.6.
    Использование DNS для обнаружения и выяснения назначения сетевых узлов.............................................................................................. 216 8.7.
    Создание карт сети ...................................................................................... 219 8.8.
    Использование сканера безопасности Nessus........................................... 222 8.9.
    Анализ защищенности web-серверов ........................................................ 233
    Список литературы ................................................................................................. 239
    Перечень программного обеспечения................................................................... 241
    Приложение 1 Применение технологии виртуальных машин для имитации сетевых соединений ........................................................................................... 242
    Приложение 2 Перечень сетевых служб ОС Windows Server 2003 ................... 244

    8
    ВВЕДЕНИЕ
    Принципы и методы защиты информации в компьютерных сетях под- робно излагаются во многих источниках. Вместе с тем ощущается недостаток пособий, в которых защита в компьютерных сетях была бы описана в виде минимально необходимом и в то же время достаточном для практического ос- воения основных принципов защиты на примере доступного программного обеспечения.
    Развитие компьютерных сетей, интеграция локальных сетей в одну об- щую сеть приводят к росту происшествий и атак. Для защиты от атак челове- чество придумывает все новые механизмы, и в то же самое время хакерские атаки становятся все более и более изощренными. Однако основные принци- пы сетевой защиты сформулированы уже достаточно давно и остаются неиз- менными. В пособии мы не будем описывать изощренные технологии атак, часть из которых реализована только в теории. Соответственно не будем при- водить и способы защиты от изощренных атак, так как считаем, что, разо- бравшись с основными принципами защиты от стандартных «классических» атак, читатель с успехом сможет освоить механизмы защиты и от более слож- ных. В процессе изложения будем предполагать, что защищается небольшая компьютерная сеть, в которой не обрабатывается критичная информация или информация, составляющая государственную тайну, так как требования к за- щите таких сетей предъявляются существенно более высокие.
    Цель пособия — дать возможность читателям на практических примерах изучить способы защиты информации в небольшой компьютерной сети от стандартных сетевых атак.
    По мере изложения теоретического материала читателям предлагаются практические задания, обозначенные абзацем «ВЫПОЛНИТЬ!». Выполнение заданий, а также получение ответов на содержащиеся в них вопросы являются необходимым условием освоения учебного материала. В процессе выполне- ния заданий в ряде случаев необходимо обеспечить функционирование в сети нескольких узлов, что зачастую бывает сложно организовать в компьютерных классах и невозможно на отдельно стоящем компьютере. Для изучения пред- лагается применять систему виртуальных машин VMware Workstation, позво- ляющую на одном компьютере имитировать наличие нескольких сетевых уз- лов.
    Познакомившись с теоретической частью пособия и выполнив практи- ческие задания, читатели смогут, во-первых, обоснованно применять методы сетевой защиты в процессе своей практической деятельности, во-вторых, са- мостоятельно освоить те средства и системы, которые остались за рамками данного пособия.
    Учебное пособие разработано на основе раздела «Защита в компьютер- ных сетях» дисциплины «Программно-аппаратные средства обеспечения ин- формационной безопасности».

    9
    При проведении практических занятий применяются либо свободно распространяемые программные продукты, либо демонстрационные версии коммерческих систем.
    Читаемый курс строится следующим образом. Сначала слушатели изу- чают особенности анализа сетевого трафика с целью выявления признаков се- тевых атак. В курсе излагаются самые распространенные сетевые атаки, цель которых привести сетевые узлы в неработоспособное состояние. Чтобы не до- пустить причинения ущерба компьютерным системам, изучаются лишь те се- тевые атаки, которые на сегодняшний день потеряли актуальность. В то же время, изучив описываемые атаки и разобравшись в их природе, слушатели самостоятельно смогут найти информацию о современных атаках в Интернет и в изданиях по компьютерной безопасности.
    Получив представление о сетевых атаках, слушатели изучают меры за- щиты, начиная с межсетевого экранирования. Цель занятий — научиться за- щищать клиентскую сеть от внешнего проникновения. Изучаются программ- ные фильтрующие маршрутизаторы и персональные сетевые фильтры.
    Далее изучаются средства обнаружения сетевых атак, которые предна- значены для выявления не только внешних атак, но и атак, исходящих из внутренней сети, например от вредоносных программ.
    Большое внимание в курсе уделяется построению виртуальных частных сетей. Рассматриваются как средства, встроенные в ОС Windows 2000/XP, так и сертифицированные программные комплексы.
    Отдельно в курсе изучаются способы повышения защищенности Win- dows-систем путем уменьшения количества функционирующих сетевых служб и упрощения их конфигурации. Рассматривается минимально необхо- димая для функционирования ОС конфигурация, позволяющая рабочей стан- ции решать задачи по обеспечению, например, делопроизводства в ЛВС.
    Также в курсе рассматривается перспективная с точки зрения обеспече- ния безопасности технология обработки конфиденциальных документов и баз данных с применением терминального доступа. Занятия проводятся на приме- ре компонента Terminal Server, встроенного в ОС Windows Server 2003.
    Завершается курс изучением вопросов аудита безопасности компьютер- ных систем. Демонстрируются средства, позволяющие не только найти уяз- вимые места в настройке сетевых узлов, но и предложить конкретные меры по их устранению. Кроме того, с целью противодействия подобному сканирова- нию, осуществляемому извне и несанкционированно, описываются приемы, которые используют сканеры безопасности для анализа уязвимостей. Допол- нительно изучаются средства, позволяющие выяснить степень соответствия используемых защитных механизмов требованиям нормативных документов, в частности стандарту ISO 17799.
    Практические занятия по разделу проводятся по следующим темам:
    1. Мониторинг состояния элементов сети с использованием анализаторов се- тевого трафика MS Network Monitor, Ethereal.

    10 2. Создание защищенных сегментов при работе в Интернет с использованием межсетевых экранов. Применение фильтрующих маршрутизаторов.
    3. Безопасная настройка клиентского программного обеспечения. Защита ра- бочих станций с использованием персональных сетевых фильтров.
    4. Организация VPN средствами протокола PPTP в ОС Windows 2000/XP.
    5. Защита сетевого трафика с использованием протокола IPSec в ОС Windows
    2000/XP.
    6. Применение программного комплекса ViPNet для организации виртуаль- ной частной сети.
    7. Организация VPN средствами протокола SSL в ОС Windows Server 2003.
    8. Применение СОА Snort для обнаружения скрытого сканирования, атак, использующих преднамеренное нарушение структуры сетевых пакетов, атак вида «отказ в обслуживании».
    9. Применение программных средств аудита информационной безопасности с целью тестирования состояния защищенности компьютерных систем от несанкционированного доступа и выработки мер защиты от выявленных угроз.
    Пособие состоит из восьми глав, библиографического списка, перечня программного обеспечения и двух приложений:
    Глава 1. Основы захвата и анализа сетевого трафика. Рассмотрена мето- дика работы с сетевыми анализаторами с целью определения структуры сете- вых пакетов. Материал рассматривается на примере свободно распространяе- мой программы Ethereal. Сведения, изложенные в главе, необходимы для изу- чения материала последующих глав.
    Глава 2. Выявление сетевых атак путем анализа трафика. В главе рас- сматриваются основные широко известные сетевые атаки. Основной упор де- лается на то, чтобы научиться распознавать данные атаки в массиве сетевого трафика. Рассматриваются этапы сетевого проникновения и выявляются при- знаки сетевых атак.
    Глава 3. Защита компьютерной сети с использованием межсетевых эк- ранов. Содержит сведения о назначении и типах межсетевых экранов. Прак- тические задания предназначены для получения навыков настройки межсете- вых экранов на основе свободно распространяемых программных средств.
    Глава 4. Системы обнаружения атак. Излагается теория обнаружения атак, практические приемы выявления сетевых атак изучаются на примере распространенной СОА Snort. Подробно описывается интерфейс СОА Snort и приводятся примеры правил обнаружения распространенных атак.
    Глава 5. Организация виртуальных частных сетей. Данная глава являет- ся наибольшей по объему и количеству практических заданий. В ней рассмат- риваются протоколы VPN, применяемые на различных уровнях сетевой моде- ли. Практические задания предназначены для изучения как стандартных средств организации VPN, реализованных в ОС Windows 2000/XP, так и спе- циализированных программных пакетов на примере широко распространен-

    11
    ной системы VipNet. Слушатели осваивают технологии построения VPN с ис- пользованием протоколов PPTP, IPSec и SSL. Раздел, в котором описывается
    СЗИ VipNet, не подменяет документацию по данному программному продук- ту и специализированные учебные курсы. В разделе приводится методика ор- ганизации занятий по изучению СЗИ VipNet в компьютерных классах общего назначения с использованием технологии виртуальных машин.
    Глава 6. Применение технологии терминального доступа. В главе рас- сматривается комплексная задача по организации защищенной обработки конфиденциальной информации в АИС на базе ЛВС с применением техноло- гии терминального доступа. В качестве основы выбирается встроенная в ОС
    Microsoft Windows Server 2003 служба терминального доступа. На практиче- ских заданиях читатели отрабатывают предлагаемую в пособии методику ор- ганизации защиты информации в ЛВС.
    Глава 7. Службы каталогов. Излагаются общие сведения о назначении и реализациях служб каталогов, описывается структура популярного протокола доступа к службе каталогов LDAP, организация принципа единой регистра- ции в сети на основе протокола Kerberos. Практические задания предполагают подробное изучение протоколов на основе взаимодействия рабочих станций под управлением ОС Linux и серверов на основе ОС Microsoft Windows Server
    2003.
    Глава 8. Аудит информационной безопасности компьютерных систем. В главе вводится понятие аудита информационной безопасности и трех его ос- новных типов. В результате выполнения практических заданий читатели по- лучают навыки выполнения важнейшей составляющей активного аудита – ин- струментальных проверок. Читателям предлагается провести весь комплекс инструментальных проверок – от получения первичной информации о сете- вых узлах до написания итогового отчета по результатам тестирования.
    Библиографический список содержит 22 наименования источников, включая техническую документацию и учебные пособия, требующиеся для углубленного изучения отдельных тем.
    Главы 1 и 3 написаны А. Н. Андрончиком, глава 2 — Н. И. Синадским, глава 4 — Д. А. Хорьковым, глава 5 — Н. И. Синадским, Д. А. Хорьковым, глава 6 — А. С. Коллеровым, Н. И. Синадским, М. Ю. Щербаковым, гла- ва 7 — Н. А. Домуховским, глава 8 — В. В. Богдановым, Н. И. Синадским,
    Д. А. Хорьковым.

    12
      1   2   3   4   5   6   7   8   9   ...   20

    написать администратору сайта