CC BY
69
Лапонина О.Р.
МГУ им. Ломоносова, ф-т ВМК, г. Москва, научный сотрудник, [email protected]
Обучение технологиям обеспечения сетевой
безопасности
КЛЮЧЕВЫЕ СЛОВА
Информационная безопасность, сетевая безопасность, межсетевые экраны, технологии туннелирования, D-Link DFL 860E.
АННОТАЦИЯ
В статье рассматриваются вопросы обучения технологиям сетевой безопасности. Приведен пример топологии учебного класса, позволяющей поочередное проведение в классе курса, использующего реальное сетевое оборудование и обычных компьютерных курсов.
Обеспечение информационной безопасности остается наиболее актуальной проблемой в ИТ. Количество используемых на сегодняшний день в этой области технологий огромно. При этом ни одна из используемых технологий не может гарантировать 100% защиты. Специалисты в этой области с одной стороны должны обладать глубокими математическими знаниями, с другой стороны иметь широкий кругозор, необходимый для грамотной оценки и выбора именно той технологии и реализующего ее инструментального средства, которое лучше всего подходит для их конкретного случая.
Как и в любой другой области, в области сетевой безопасности важно не только грамотно оценить существующие технологии и выбрать из них наиболее подходящую, но и уметь использовать их на практике. Именно такие специалисты наиболее востребованы на рынке труда.
Поэтому было принято решение разработать учебное пособие, которое бы охватывало основной спектр используемых в области обеспечения сетевой безопасности технологий и содержало большой лабораторный практикум, который позволял бы готовить специалистов, умеющих применить полученные теоретические знания на практике.
Разработанное учебное пособие предназначено для студентов и аспирантов высших учебных заведений, обучающихся по специальностям 010400 «Прикладная математика и информатика» и 010300 «Фундаментальная информатика и информационные технологии», для сетевых администраторов, которые хотят получить более глубокие теоретические знания в области информационной безопасности и приобрести практические навыки работы на сетевом оборудовании ведущего производителя, а также для всех, кто интересуется данной
проблематикой. Учебному пособию присвоен гриф УМО по классическому университетскому образованию.
Учебное пособие состоит из двух частей: межсетевое экранирование и технологии туннелирования.
В первой части основное внимание уделяется изучению базовых принципов создания надежной и безопасной ИТ-инфраструктуры. В основу была положена общая модель, а также взаимосвязи и понятия, относящиеся к информационной безопасности, описанные в Общих Критериях (Common Criteria for Information Technology Security Evaluation, 2009г.) и в связанных с ними документах NIST 800 серии. Основой безопасной ИТ-инфраструктуры является триада сервисов - Конфиденциальность, Целостность, Доступность - Confidentiality, Integrity, Availability (CIA). Эти сервисы служат фундаментом информационной безопасности. Для реализации этих трех основных сервисов требуется выполнение дополнительных сервисов -идентификации, аутентификации, авторизации, невозможности отказа от выполненных действий и других.
Далее рассматриваются способы сегментирования сетей на канальном уровне, способы классификации межсетевых экранов и создание политик межсетевых экранов. Подробно рассмотрена технология трансляции адресов (NAT).
Рассмотрены основные технологии и способы классификации систем обнаружения и предотвращения проникновений, способы приоритезации трафика и создания альтернативных маршрутов.
Во второй части основное внимание уделяется изучению наиболее важных сервисов и механизмов защиты информации в сети интернет, а именно, криптографических алгоритмов и протоколов, в которых используются эти алгоритмы. В частности рассмотрены основные алгоритмы симметричного шифрования: DES, 3DES, ГОСТ 28147, Rijndael, а также режимы их использования; рассмотрены алгоритмы шифрования с открытым ключом RSA, Диффи-Хеллмана и DSS, рассмотрены принципы распределения открытых ключей, стандарт Х.509 третьей версии и принципы создания инфраструктуры открытого ключа, рассмотрены наиболее широко используемые протоколы сетевой безопасности и создания виртуальных частных сетей.
Virtual Private Network (VPN) - это различные технологии, которые позволяют создавать логические сети, использующие в качестве транспорта другие сетевые протоколы. При этом характеристики безопасности созданной логической сети могут отличаться от характеристик безопасности сети, которая используется в качестве транспорта. Такие сети могут создаваться на разных уровнях стека OSI исходной транспортной сети. Создаваемая логическая сеть не обязательно должна быть маршрутизируемой, она может обеспечивать соединение типа точка-точка.
VPN используются в двух основных сценариях:
Для соединения двух удаленных локальных сетей, используя в качестве транспорта сеть с другими параметрами безопасности.
Для входа удаленного пользователя в локальную сеть, используя в качестве транспорта сеть с другими параметрами безопасности.
При создании VPN всегда следует помнить, что безопасность компьютерной системы и сетевого трафика зависит от многих факторов. Развертывание VPN с использованием той или иной технологии является только частью комплексного подхода к обеспечению безопасности.
Безопасность, обеспечиваемая VPN, зависит от многих параметров операционного окружения, в котором VPN выполняется. Например, от безопасности ОС, источника случайных чисел, способов управления системой и т.д.
Рассмотрены основные протоколы создания VPN и проанализированы их характеристики с точки зрения безопасности создаваемых соединений, возможностей масштабирования и наличия каких-либо дополнительных возможностей. Большое внимание уделено совместному использованию различных протоколов, например, совместному использованию протоколов IPSec и L2TP, и совместному использованию различных технологий, например, совместному использованию протоколов IPSec и технологии NAT. Трансляция адресов позволяет хостам в частной сети прозрачно взаимодействовать с получателем во внешней сети и наоборот. Существуют различные варианты NAT, терминология преобразования адресов в этих случаях может несколько отличаться. Стандартные режимы IPSec, в которых IP-адреса конечных точек не изменяются, не работают с NAT. В фазе I протокола IPSec выполняется определение поддержки прохождения NAT обоими участниками и определение того, что между участниками имело место преобразование NAT. Для возможности прохождения NAT добавлено два новых инкапсулирующих режима: UDP-Encapsulated-Tunnel и UDP-Encapsulated-Transport.
Рассмотрены также различные способы хранения учетных записей, а именно используя протокол RADIUS и протокол LDAP.
Большое внимание уделено практическим вопросам. Учебное пособие содержит описание двадцати шести лабораторных работ на реальном сетевом оборудовании компании D-Link.
Для проведения этих лабораторных работ был специальным образом оборудован компьютерный класс.
Особенность выделенного нам компьютерного класса состоит в том, что в нем к каждому компьютеру подведено два сетевых кабеля, таким образом, в классе существует две параллельные сети. Одна сеть используется в учебном процессе на компьютерных курсах ВМК. К другой подключены наши межсетевые экраны. В результате мы имеем возможность работать с реальным сетевым оборудованием и не бояться, что в результате наших возможных ошибок при настройке маршрутизации, правил фильтрования или при создании тех или иных туннелей мы сорвем
занятия на других курсах, если они не смогут получить доступ в интернет в результате наших ошибок.
Для проведения лабораторных работ введено понятие рабочего места. Одно рабочее место - это один межсетевой экран D-Link DFL-860E и три рабочие станции под управлением Windows XP. В компьютерном классе создано семь таких рабочих мест.
Межсетевой экран D-Link DFL-860E имеет следующие характеристики:
• Два wan-порта, обозначенные wanl и wan2.
• Один dmz-порт.
• 8 lan-портов.
В учебном классе создана следующая топология сети.
Рисунок 1. Топология сети в учебном классе Wan2-порты межсетевых экранов слушателей соединены с lan-портом межсетевого экрана преподавателя. На этом lan-порту настроен DHCP-сервер, который раздает IP-адреса, шлюз по умолчанию и DNS-сервер wan2-портам межсетевых экранов слушателей.
Слушатели имеют доступ к рабочим станциям под студенческим аккаунтом с минимальными правами, поэтому была необходима начальная настройка их межсетевых экранов, так как IP-адреса рабочие станции должны получать по DHCP. Также в настоящий момент у нас нет сервера сот-портов, с помощью которого каждый слушатель мог бы выполнить начальную настройку своего межсетевого экрана с заводских настроек.
Начальная конфигурация межсетевых экранов слушателей состояла в следующем. На lan-интерфейсах каждого межсетевого экрана был настроен DHCP-сервер, который раздает IP-адреса, шлюз по умолчанию и DNS-сервер двум рабочим станциям, подключенным к lan-интерфейсу.
Для dmz-интерфейса DHCP-сервер настраивается слушателем самостоятельно. После этого на lan-интерфейсе создаются два vlan-интерфейса, к которым подключаются рабочие станции. Для этих vlan-интерфейсов создаются DHCP-сервера и правила фильтрования, обеспечивающие DNS-сервисы и выход в интернет с рабочих станций.
Одной из главных целей описанной выше начальной настройки межсетевых экранов, которую выполняют сами слушатели, является знакомство с веб-интерфейсом и интерфейсом командной строки D-Link DFL-860E.
При настройке протоколов туннелирования используются два межсетевых экрана, между которыми создается туннель. Пример топологии сети.
¿tljl
С
192.15а. 1.0734~
J»n:-1B2.168.1.10 I
МЭ 1
192
\J
111
16 L
ifiil'îi.lbS.lS.lû
охал
1ап:132.1й8 2.20
llljl
'"T.'У 11,20
Winî!l32.168.îfcî0
МЭ 2
Рисунок 2. Пример топологии сети при настройке протоколов туннелирования
Литература
Лапонина О.Р. Основы сетевой безопасности. Часть 1. Межсетевые экраны: Учебное пособие М.: Национальный Открытый Университет «ИНТУИТ» , 2014г. — 378 с. Лапонина О.Р. Основы сетевой безопасности. Часть 2. Технологии туннелирования / О.Р. Лапонина— М.: Национальный Открытый Университет «ИНТУИТ» 2014г. — 474 с. D-Link Corporation «Network Security Firewall User Manual NetDefendOS ver. 2.27.03», 2010г. 552с.
