close

Вход

Забыли?

вход по аккаунту

?

ЧАСТЬ 4

код для вставкиСкачать
 4 ПОСТРОЕНИЕ ЗАЩИЩЕННОЙ МОДЕЛИ ОТКРЫТОЙ СЕТЕВОЙ СИСТЕМЫ
В данной главе исследовательской работы будет представлено построение защищенной версии открытой сетевой системы с учетом контрмер, выбранных в Главе 3 и представленных к внедрению для повышения общего уровня защищенности системы а так же увеличения ее производительности.
Рисунок 4.1 - Общая схема внедрения контрмер для повышения безопасности сетевой системы
Как показано на рисунке 4.1 инфраструктура разделена на 8 рубежей, где наиболее целесообразно внедрить контрмеры. Ниже мы рассмотрим каждый из вышеописанных рубежей
Таблица 4.1 - Описание рубежных контрмер
Номер рубежаОписание рубежной контрмерыРубеж 1IDS FirewallРубеж 2Демилитаризированная (DMZ) зонаРубеж 3Сервера резервного копированияРубеж 4SMART система балансировки входящего трафикаРубеж 5Разбиение всей сетевой инфраструктуры на внутренние зоныРубеж 6Контроль трафика при помощи IDSРубеж 7Фильтрация модулем технологии Spam AssassinРубеж 8Использование сетевых концентраторов третьего уровня Рубеж 1: IDS Firewall.
Основываясь на анализе, проведенном в Главе 3.1, ввиду несовершенности функций IDS Firewall на базе Cisco ASA 5520 необходимо заменить его на аналог высшего уровня Cisco ASA 5550 где поддерживается модульная система подключения дополнительных возможностей предусмотренных для модели ASA 5550
Рубеж 2: Демилитаризированная (DMZ) зона. Создание DMZ зоны с резервными серверами при возможных отказах основных. Как показано на рисунке 4.1, мы выделяем две одинаковые сетевые структуры и подключаем к ним сервера резервного копирования в реальном времени, что так же является третьим рубежом безопасности.
Рубеж 3: Сервера резервного копирования.
Необходимость подключения серверов резервного копирования в реальном времени обусловлена важностью и целостностью данных которые обрабатываются на серверах предоставляющих площадку Веб интерфейсов.
Рубеж 4: SMART система балансировки входящего трафика
Задача такой системы распределение процесса выполнения заданий между несколькими серверами сети с целью оптимизации использования ресурсов и сокращения времени вычисления. Это эффективно решает проблему сетевого шторма и DDoS атак, а так же повышает производительность всей системы без потери уровня безопасности. Рубеж 5: Разбиение всей сетевой инфраструктуры на внутренние зоны.
Удобство разделения сетевой структуры на зоны заключается в том что, при таком разделении облегчается задача построения правил для основной системы IDS / Firewall. Так как в каждом сегменте обрабатывается конкретная информация которая специфична для каждого из внутренних сегментов, мы получаем прирост в производительности ввиду исключения обработки информации в сегменте где она обрабатываться не должна. Рубеж 6: Контроль траффика при помощи IDS.
Данная контрмера позволяет эффективно решить проблему с атаками NDR сообщениями, подменами IP адресов субъекта сетевого взаимодействия а так же получаение доступа к ресурсам пользователей с непривилегированных для этого рабочих систем, использую уникальный идентификатор (IP address + MAC address) закодированных в base64 кодировку. Пример идентификатора показан на рис. 4.2.
$ echo "192.100.10.1_AA:BB:CC:DD:EE:FF" | base64
MTkyLjEwMC4xMC4xX0FBOkJCOkNDOkREOkVFOkZGCg==
Рисунок 4.2 - Пример кодирования идентификатора
И обратная функция преобразования показана на рис. 4.3.
$ echo MTkyLjEwMC4xMC4xX0FBOkJCOkNDOkREOkVFOkZGCg== | base64 -d
192.100.10.1_AA:BB:CC:DD:EE:FF
Рисунок 4.3 - Пример декодирования идентификатора
Такое преобразование системой занимает в среднем 0,0019 секунд (среднее значение 1000 преобразований) и является оптимальным решением для высоконагруженных систем, которые используются в нашем исследовании.
Рубеж 7: Фильтрация модулем технологии Spam Assassin.
Данных тип контрмеры предполагает решение проблем с атаками NDR и фишинг атаками, направленными на клиентов компании SMTP Inc. Реализация представляет собой программный модуль на базе технологии Spam Assassin которой передается на анализ все входящие письма которые предполагают прием или отсылку через почтовые сервера компании. Рубеж 8: Использование сетевых концентраторов третьего уровня.
Данная контрмера на рубеже 8 решает вопрос физической привязки серверов а так же их идентификации на базе уникальных параметров сервера (hostname, IP address, MAC address) внутри каждого из распределнных сегментов сети
Основываясь на рисунке 4.1, а также на таблицах 3.2, 3.5, 3.7, 3.9 построим сводную таблицу рубежей и контрмер на данных рубежах:
Таблица 4.2 Реализация контрмер на рубежах безопасности
УгрозаУязвимостьКонтрмераИспользуемый рубеж безопасностиОтказ в обслуживанииУязвимость в ядре системы Использование PCI сетевых карт и модулей обработки перед передачей информации ядруРубеж 1
Рубеж 4
Рубеж 6
Рубеж 8Среднее предельное значение обьема буфера сетевого контроллераИспользование PCI сетевых карт с динамическим буферомРубеж 1
Рубеж 4
Рубеж 6
Рубеж 8Подмена IP адреса доверенного субьекта сетевой коммуникацииОтсутствие дополнительного фильтра в системе IDSЗамена IDS Cisco ASA 5520 на Cisco ASA 5550Рубеж 1Публичная доступность данных о сетевой системеИспользвание FQDN значений для такой информации, ограничение DNS запросов из неблагополучных сетейРубеж 2Частичное отсутствие безопасных каналов передачи информации со стороны клиентаИдентификация клиента с помошью алгоритма base64.
Использование хешированого значение MAC+IP для идентификации клиента
Рубеж 5
Рубеж 6
Рубеж 8Подмена IP адреса клиента для доступа к ресурсам открытой сетевой системыИспользование динамческих сетей доступаИспользование хешированого значение MAC+IP Рубеж 5Отсутствие контроля параллельных соединений удаленной стороныЗамена IDS Cisco ASA 5520 на Cisco ASA 5550Рубеж 1Атака NDR сообещниямиОтсутствие фильтра защиты от Null Sender Bomb Модуль к MTA Momentum для проверки Null Sender Bomb и верификации отправителяРубеж 7ФишингОтсутствие проверки гиперссылок в письмеФильтр почты Spam Assasin как модуль к MTA Momentum Рубеж 7Завышенные параметры маркировки фишинг сообщенийНастройка фильтра на базе анализа реализованных вторженийРубеж 7 Рисунок 4.2 Соотношение вероятности реализации угроз до и после внедрения контрмер
На рис. 4.2 показано соотношение вероятности реализации каждой из угроз, рассмотренных в Главе 2, до внедрения контрмер противодействия и после. Исходя из расчетов табл. 3.8, суммарная вероятности реализации всех угроз через описанные уязвимости и с учетом всех контрмер примененных для минимизации ущерба, снижена на 25%.
Общая производительности системы так же может быть увеличена¸ ввиду внедрения контрмер, которые отсекают объем работы связанный с неуспешными попытками атак и высвобождают ресурсы системы, повышая ее общую производительность. Освобожденная производительность, может быть использована для повышения уровня обслуживания клиентов.
72
Документ
Категория
Рефераты
Просмотров
30
Размер файла
142 Кб
Теги
часть
1/--страниц
Пожаловаться на содержимое документа