Разработка безопасной сетевой инфраструктуры в управлении МВД России по городу УФЕ

Введение 3
1 Основы обеспечения сетевой безопасности 6
1.1 Общие понятия и принципы защиты сетевой инфраструктуры 6
1.2 Базовые меры на основе сетевого оборудования 10
1.3 Применение дополнительных мер 25
2 Сетевая инфраструктура УМВД России по г. Уфе 35
2.1 Организационно-правовая характеристика ОИТСиЗИ 35
2.2 Анализ состояния сетевой безопасности 38
3 Разработка безопасной сетевой инфраструктуры 46
3.1 Обоснование применения дополнительных механизмов защиты 46
3.2 Экономическое обоснование 50
Заключение 57
Список использованной литературы 60
Приложение А 66
Приложение Б 80
Приложение В 82

Весь текст будет доступен после покупки

В настоящее время, с развитием информационных технологий и все более широким использованием интернета в различных сферах жизни, становится все более актуальной проблема обеспечения безопасности сетевых инфраструктур.
С каждым днем количество угроз нарастает и становится труднее им противостоять компаниям и учреждениям. В связи с этим, возникает необходимость разработки и применения эффективных мер защиты, которые были бы способны обеспечить безопасность и надежность сетей и информационных систем.
Изучение проблем разработки безопасной сетевой инфраструктуры как никогда актуально в современном мире, особенно для органов МВД России. В связи с постоянным ростом киберугроз и киберпреступлений становится все сложнее обеспечить безопасность информационных технологий и систем, используемых МВД России. Одной из ключевых проблем является наличие уязвимостей в инфраструктуре, способных быть использованы киберпреступниками для получения доступа к защищенной информации.
Другой важной проблемой является быстрая адаптация к технологическим изменениям, угрозам и в недостаточной квалификации сотрудников МВД в области информационной безопасности. На фоне быстрого развития технологий, необходимо не только закупать новое оборудование и программное обеспечение, но также поддерживать высокий уровень квалификации сотрудников, занимающихся информационной безопасностью, чтобы обеспечить превентивные меры безопасности.
Таким образом, проблемы безопасной разработки сетевой инфраструктуры являются крайне важными для обеспечения безопасности деятельности МВД России в сфере информационных технологий.
В данной работе будет рассмотрен текущий уровень проблем, связанных с разработкой безопасной сетевой инфраструктуры, а также предложены методы и решения для их решения.

Весь текст будет доступен после покупки

Сетевая инфраструктура, сервисы и данные, которые содержатся в устройствах, подключенных к сетям, представляют собой важные личные и корпоративные активы.
Под сетевой безопасностью подразумевается обеспечение защиты данных в момент передачи по каналам связи в сетевой инфраструктуре и ее защита от несанкционированного доступа. Обеспечение безопасности инфраструктуры сети включает в себя физическую защиту всех устройств, которые необходимы для сетевых подключений, и предотвращение несанкционированного доступа к установленному на них ПО управления .
Нужно понимать, что защита должна осуществляться на каждом уровне топологии сети будь это модель OSI или самая известная и практикующая модель стека TCP/IP на рисунке 1.

Рисунок1 - Сравнение модели OSI и стека TCP/IP

Основной целью безопасности сетевой инфраструктуры являются конфиденциальность, целостность и доступность.
Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями. Информация, которая может считаться конфиденциальнои?. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата .
Целостность – это гарантирование того, что информация остается неизменнои?, корректнои? и аутентичнои? в процессе передачи. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут являться меры, гарантирующие, что почтовое сообщение не было изменено при пересылке.
Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может являться защита доступа и обеспечение пропускнои? способности почтового сервиса .
Уязвимость – слабое место в системе, с использованием которого может быть осуществлена атака.
Общей уязвимостью, существующих как в проводных, так и в беспроводных сетях, является «несанкционированный доступ» к сети, так как злоумышленник может подключить свое устройство к сети через незащищенный порт сетевого оборудования.
Угроза – это потенциально возможное событие, явление или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба.
Риск – вероятность того, что конкретная атака будет осуществлена с использованием конкретнои? уязвимости. В конечном счете, каждая организация должна принять решение о допустимом для нее уровне риска. Это решение должно наи?ти отражение в политике безопасности, принятои? в организации .
Атака - это любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы.
Классификация сетевых атак подразделяется на следующие варианты по механизму реализации:
1. Пассивное прослушивание. Механизм, при котором со стороны нарушителя не производится каких-либо активных действий (например, в сеть вообще не передается какой-либо трафик). Поэтому обнаружение таких атак – сложная задача. Пример: перехват трафика сетевого сегмента и последующий поиск в нем конфиденциальной информации. Кстати, один из методов сбора информации о сети (так называемый «passive fingerprinting») основан на анализе перехватываемого трафика. В этом случае цель – построить карту сети, сделать предположение о роли в сети отдельных узлов, определить установленные на них операционные системы ;
2. Подозрительная активность, сканирование. Этот механизм, как правило, используется для сбора информации о предполагаемом объекте атаки (топология сети, активные хосты и их операционные системы, номера версий для всего обнаруженного ПО). Но, в отличие о предыдущего механизма, подразумевает какие-то действия со стороны нарушителя. Пример: сканирование портов (служб) объекта атаки, попытки определения операционной системы путем анализа стека TCP/IP, появление в сети нестандартных пакетов (нетипичный размер, неиспользуемый протокол и т. д.). Использование данного механизма в большинстве случаев легко может быть обнаружено;
3. Бесполезное расходование вычислительного ресурса. Для этого механизма характерно отсутствие уязвимости, послужившей причиной атаки (особенность проектирования). Пример: исчерпание ресурсов атакуемого узла путем выполнения многократных подключений к нему с использованием ложного адреса отправителя. Часто этот механизм называют «отказ в обслуживании» (DDoS-атака) ;
4. Нарушение навигации (создание ложных объектов и маршрутов), подмена доверенного объекта сети (spoofing). Изменение маршрута сетевых пакетов таким образом, чтобы они проходили через узел нарушителя, изменение соответствия информации различных уровней стека TCP/IP. Пример: ARP-spoofing, DHCP snooping, IP snooping, MAC-spoofing;
5. Выведение из строя. Механизм, направленный на выключение какой-либо службы, вызов перезагрузки узла и т. п. В отличие от бесполезного расходования вычислительного ресурса, здесь основная причина – ошибки реализации (т. е. к выведению из строя приводят не многократные подключения, а посылка специальным образом построенного запроса). Пример: посылка запроса определенного типа на атакуемый узел, приводящая к отказу узла или работающей на нем службы (WinNuke и др.);
6. Запуск кода на объекте атаки. При использовании этого механизма на объекте атаки запускается программа (присутствующая в памяти или загруженная с диска). Пример: передача управления враждебной программе путем переполнения стека, выполнение вредоносного мобильного кода, встроенного в Web-страницу.
1.2 Базовые меры на основе сетевого оборудования
Прежде чем прибегать к таким средствам защиты как: системы мониторинга и управления инцидентами/анализа трафика (SIEM/NTA), обнаружения утечки данных (DLP), обнаружения/предотвращения вторжений (IDS/IPS). Нужно задуматься какими меры можно предпринять своими усилиями для построения или укрепления сетевой безопасности, отсюда следует фундамент безопасности – это грамотно построенная архитектура сети и настроенное сетевое оборудование, а также правильно выстроенный процесс сопровождения сети.
Основными базовыми мерами для сетевой безопасности являются:
- контроль доступа (ИАФ, ACL, ограничение, защита удаленного доступа);
- отказоустойчивые механизмы;
- резервное копирование;
- сегментация сети;
- применение антивирусов, межсетевых экранов;
- создание DMZ-зон, включающая в себя защиту почтовых серверов
- port-security;
- использование VPN.
Разберем каждую меру подробно. Контроль доступа разделяется на:
- ограниченный доступ;
- защиту границ сети .
Ограниченный доступ реализуется такими процедурами как идентификация, аутентификация, авторизация.
Защита границ сети подразумевает фильтрацию доступа из сетей, конечных точек (АРМ), за это в основном отвечает межсетевой экран.
Ограничение доступа к сетевым устройствам играет немаловажную роль, является одним из первых шагов для реализации сетевой безопасности. Так как компрометация сетевых устройств приводит к выходу из строя сети. Можно использовать современные технологии для комплексной безопасности сети, так и для отдельных серверов и приложений, но забывать о таком важном аспекте как контроль доступа и авторизация, категорически не стоит. Как, например, нельзя оставлять без внимания пользовательский режим на сетевых устройствах.
Злоумышленники могут получить доступ к консоли и узнать информацию о сети, такую как ip-адреса, модели устройств и их версии прошивки, даже не зная пароль от привилегированного режима, используя пользовательский режим. Причина заключается в том, что версии прошивки могут иметь известные уязвимости, о которых злоумышленники могут знать. Также, не стоит рассчитывать на ограничение через удаленный доступ, поскольку проведенный выше пример может быть реализован физически, например, в самом серверном помещении. Злоумышленники имеют задачу создания своих настроек для удаленного подключения и могут пройти дальше пользовательского режима.
Здесь речь идет о правильном зашифрованном пароле. В некоторых сетевых устройствах используется алгоритм MD5-хеш, который обеспечивает повышенную безопасность. Этот алгоритм представляет собой одностороннюю функцию хеширования, что делает невозможным восстановление исходного пароля при наличии только хеш-значения. Данный алгоритм представляет собой удобный и эффективный способ предотвращения попыток несанкционированного доступа к сетевым ресурсам.
Для эффективной защиты сети, в которой присутствует большое количество устройств и пользователей, рекомендуется использование централизованной аутентификации. Данный подход может быть реализован с помощью технологий RADIUS и Kerberos, которые позволяют хранить пользовательскую информацию в едином месте и хорошо интегрированы с системами управления учетными записями. К примеру, в Astra Linux ALD-pro имеется возможность настройки данных технологий, таких как LDAP, Kerberos 5 и CIFS.
Ограничение доступа к оборудованию также можно реализовать следующими способами:
1. Out-of-band (СОВ) - управление сетью по выделенному каналу, когда управляющий трафик изолируется от пользовательского. При этом не обязательно под управляющим трафиком понимается SSH или Telnet сессия, но и такой трафик, работающий с протоколами SNMP и Log.
Существуют два способа изолировать трафик от общего:
- физически – это когда маршрутизаторами и коммутаторами можно управлять через выделенный порт – management port (mgmt). Отсюда следует, что сетевым оборудованием может управлять только тот АРМ, находящийся физически в управляющейся сети;
- логически - управляющии? трафик отделяется от пользовательского посредством выделения в отдельныи? логическии? сегмент - VLAN. Но логическое изолирование не приемлимо в распределенной сети, если при этом невозможно «проникнуть» управляющий VLAN до удаленного порта.
2. In-band (IB) – управление оборудованием по общим каналам. Такой способ является часто используемым и подвергается несанкионированным доступам. Единственное решение такой проблемы – это использование списка контроля доступа.
Говоря о списках контроля доступа (Access Control List - ACL), то в данном случае подразумевается список с авторизованными пользователями, точнее имена их хостов или IP-адреса, к сетевым оборудованиям, многие из них могут быть настроены со списками доступа.
Списки контроля доступа – это сетевые фильтры, которые устанавливаются на интерфейсах маршрутизаторов. Списки доступа обеспечивают базовый уровень безопасности и определяют, к каким доменам сети открыт доступ, а к каким закрыт. Его можно использовать в случаях, когда нет возможности вынести управляющий трафик в VLAN.
Стоит отметить важность защиты удаленного доступа к оборудованию, так как это один из самых важных пунктов в любой политике безопасности.
По умолчанию используется протокол telnet, который использовать категорически не стоит, поскольку все данные передаются в открытом виде. Очевидное решение – это использование протокола SSH. Протокол создает виртуальный информационный канал между двумя устройствами. Существует две версии протокола: SSHv1, SSHv2. Рекомендуется использовать 2 версию так как он более безопасен засчет алгоритмов 3DES/AES .
Для удаленной защиты первое что необходимо сделать – это четко определить с каких компьютеров будет возможно удаленное подключение к устрои?ствам. Как правило это компьютер системного администратора. Разумеется IP-адрес этого компьютера должен быть статическим. При этом, если использовать в сети DHCP сервер, следует заранее зарезервировать данныи? адрес, чтобы он не был случаи?но выдан другому пользователю .
Не рекомендуется использовать удаленное подключение из сети интернет, даже если сессия использует такой защищенный протокол, как SSH. Гораздо безопаснее если организация VPN- соединения, где АРМ удаленного пользователя будет возможен доступ к оборудованию. Но надо иметь ввиду, что удаленное подключение не во всех организациях практикуется, если говорить о правоохранительных органах, то такой способ работы запрещен. Таким образом, если злоумышленник будет удаленно несанкционированно получать доступ к информации, необходимо в правильно настроить списки контроля доступа
Следующая базовая мера сетевой безопасности - это аутентификация. Если в сети используется больше 10 АРМ, то необходимо использовать AAA- сервер (Аутентификация, авторизация, учет). Перечислим его преимущества:
1. Удобное администрирование, простое добавление нового пользователя. Безопасность учетных записеи?. В случае с локальнои? базои? пользователеи? (login local), при несанкционированном доступе к устрои?ству, злоумышленник потенциально получает доступ ко всем паролям, которые как правило одинаковы для всех коммутаторов и маршрутизаторов. При использовании AAA-сервера, все пароли хранятся централизованно, а на устрои?ствах отсутствуют какие-либо записи. Здесь есть и свои нюансы. Если злоумышленник сможет получить доступ к AAA-серверу, то вся сеть окажется скомпрометирована. Поэтому безопасность AAA-серверу тоже необходимо уделять ;
2. Простота соблюдения парольнои? политики. Смена паролей (обязательна согласно парольной политике) занимает малость во времени.
Процесс работы с AAA-сервером выглядит следующим образом:
1. Пользователь пытается подключиться к маршрутизатору по telnet или ssh;
2. Маршрутизатор запрашивает у пользователя учетные данные - username и password;
3. Пользователь вводит свои учетные данные;
4. Маршрутизатор обращается к серверу AAA с вопросом: «Разрешать доступ этому пользователю?». Далее передает введенные данные;
5. ААА-сервер ищет учетные данные пользователя. Находит (или нет) их. В данном случае пользователь прошел (или не прошел) аутентификацию (authentication);
6. ААА-сервер также находит уровень привилегии? для данного пользователя, которыи? определяет его права. Это уже авторизация (authorization);
7. Маршрутизатору дается ответ: «Можно пустить этого пользователя с уровнем привилегии? Х?», где Х - от 0 до 15;
8. Маршрутизатор разрешает пользователю доступ к команднои? строке с определенным уровнем привилегии?.

Весь текст будет доступен после покупки

1. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 08.06.2020) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 08.06.2020) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения 10.05.2023). – Текст: электронный.
2. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.04.2020) «О персональных данных» (с изм. и доп., вступ. в силу с 24.04.2020) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения 10.05.2023). – Текст: электронный.
3. Постановление Правительства РФ от 01.11.2012 №1119 ««Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61238/ (дата обращения 10.05.2023). – Текст: электронный.
4. Приказ ФСТЭК России от 11.02.2013 № 17 (ред. от 28.05.2019) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 № 28608) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_147084/ (дата обращения 10.05.2023). – Текст: электронный.
5. Приказ Управления МВД России по городу Уфе от 30.08.2017 г. № 1200 «Об утверждении положения об отделе информационных технологий, связи и защиты информации Управления МВД России по городу Уфе». URL: https://base.garant.ru/72120666/ (дата обращения 15.05.2023). – Текст: электронный.

Весь текст будет доступен после покупки