Обеспечение безопасности домашней компьютерной сети

 


 


Содержание

 

ВВЕДЕНИЕ……………………………………………………………………….4

1.Анализ средств безопасности сетей………………………..................................................................................7

1.1 Эволюция угроз в  системе безопасности сетей……………………………..7

1.2 Классификация средств безопасности на современном уровне …………13

2. Структура  и состав домашней компьютерной сети…….25

2.1 Конфигурация и аппаратные  средства сети ……………………………….25

2.2 Программное обеспечение ………………………………………………….27                                                             

3. Обеспечение  безопасности домашней компьютерной сети ……………………………………………………………………………. 35

3.1 Выбор средств защиты ……………………………………………………...35

3.2 Установка и настройка средств защиты …………………………………...41

Заключение ……………………………………………………………….66

Список литературы ………………………………………………………73                                                                                

Приложение А- Расшифровка терминов........................................76                           

 

 

 

 

 

 

 

 

 

 

Введение

 

Данная курсовая работа посвящена теме «Управление сетевой безопасностью домашней сети».

Предметом исследования данной работы является сфера информационных технологий, в частности – компьютерные сети и их безопасность на примере домашней сети.

Объектом исследования данной курсовой работы является механизмы и способы обеспечения безопасности компьютерной сети на примере домашней сети.

Актуальность проблемы защиты информации ни у кого не вызывает сомнения; особенно в последнее время, когда не проходит месяца, чтобы в нашей стране не устраивались конференции или семинары, посвященные этой теме.

В соответствии с утвержденными итогами исследованиями, проводимого компанией Forrester Research, на сегодняшний день в мире существует более 1 миллиарда компьютеров. Причиной такого масштабного роста числа персональных компьютеров указывается, во-первых, значительное снижение цен на их производство, а, во-вторых, бурное развитие различных онлайн сервисов и беспроводных технологий.

Более 80% современных ЭВМ объединены в различные информационно-вычислительные сети, начиная с малых локальных сетей, заканчивая корпоративными сетями и глобальной сетью  Internet. Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как:

    1. ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, оперативное получение и передача писем и файлов;
    2. возможность мгновенного получения любой информации из любой точки земного шара, а также обмен информацией между компьютерами разных фирм производителей работающих под разным программным обеспечением.
    3. корпоративные сети крупных компаний позволяют накапливать, передавать и хранить огромные массивы информации, предоставляя информационную безопасность и надежные хранилища данных.

Такие огромные потенциальные возможности, которые несет в себе вычислительная сеть и тот новый потенциальный подъем, который при этом испытывает информационный комплекс, а так же значительное ускорение производственного процесса, позволяют применять эти достоинства на практике.

В настоящее время невозможно представить работу даже маленькой компании без использования компьютерных технологий, а в связи со стремительным развитием информационных технологий и их проникновением во все сферы человеческой деятельности возросло количество преступлений, направленных против информационной безопасности.

Все вышеперечисленное, несомненно, определяет актуальность и безусловную практическую значимость данной работы.

Объектом исследования данной курсовой работы является механизмы и способы обеспечения безопасности компьютерной сети на примере домашней сети.

Целью данной работы является анализ состояния информационной безопасности в локальных вычислительных сетях, а так же ознакомление с существующими методами и средствами их защиты на примере домашней локальной сети.

Для достижения поставленной цели в рамках данной курсовой работы были определены следующие задачи:

    1. произвести анализ безопасности компьютерных сетей, при этом изучить эволюцию угроз и классификацию средств безопасности на современном уровне;
    2. дать представление структуре и составу домашней компьютерной сети, описать аппаратные средства и программное обеспечение, используемые при построении сети;
    3. рассмотреть способы обеспечения безопасности компьютерной сети, провести анализ средств защиты и описать способы их установки.

В результате выполнения поставленных задач необходимо сделать вывод о принципах управления безопасностью домашней компьютерной сети, с учетом использования возможных аппаратных и программных средств защиты.

Также одной из основных задачей данной работы является демонстрация практического применения определенных средств защиты на примере домашней компьютерной сети, которое описывается в заключительной главе.

В ходе написания данной курсовой работы были использованы специализированные источники информации: учебные пособия, книжные издания на тему защиты компьютерных сетей, актуальные и достоверные интернет-ресурсы, а также стать на тему информационной безопасности.

 

 

 

 

 

 

 

 

 

 

 

1.  Анализ средств безопасности сетей

1.1 Эволюция угроз в системе безопасности сетей

 

В качестве вступления, необходимо дать определения основным предметам исследования данной курсовой работы и данной главы в частности.

Сеть - это группа компьютеров, соединенных друг с другом каналом связи. Канал обеспечивает обмен данными внутри сети (то есть обмен данными между компьютерами данной группы). Сеть может состоять из двух-трех компьютеров, а может объединять несколько тысяч ПК. Физически обмен данными между компьютерами может осуществляться по специальному кабелю, телефонной линии, волоконно-оптическому кабелю или по радиоканалу1.

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основных целей обычно три:

  1. целостность данных;
  2. конфиденциальность данных;
  3. доступность данных.

Указанная концепция схематично изображена на схеме 1.

Схема 1 – Основные цели сетевой безопасности

 

Целостность данных, это одна из основных целей сетевой безопасности, гарантия того, что данные не были изменены, подменены или уничтожены2. Второй главной целью сетевой безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности.

Под угрозой обычно понимают потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угрозой интересам субъектов информационных отношений будем называть такое событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты автоматизированной системы (далее АС) может прямо или косвенно привести к нанесению ущерба интересам данных субъектов3.

На сегодняшний день существует значительное число различных видов угроз. Все виды могут быть классифицированы по разным признакам, что позволяет более эффективно использовать средства защиты информации.

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) (Схема 2).

Естественные угрозы — это объективные, не зависимые от человека, факторы, способные нарушить безопасность сети. Искусственные угрозы, напротив, вызваны преднамеренной (умышленные угрозы) или непреднамеренной (неумышленные) деятельностью человека:

    1. неумышленные угрозы — связаны с ошибками в проектировании и развертывании сети, ошибками в программном обеспечении, в действиях персонала и т.п.;
    2. умышленные угрозы — основаны на корыстных устремлениях людей (злоумышленников).

 

Схема 2 – Классификация видов угроз

 

Не формально историю развития сетевых угроз можно разделить на следующие этапы:

    1. Доисторический. Вирусы-легенды и документально подтверждённые инциденты на «мейнфреймах» 1970-80-х годов;
    2. «До-интернетовский». В основном ему присущи «классические вирусы» для MS-DOS;
    3. Интернет-этап. Многочисленные черви, эпидемии, приводящие к колоссальным убыткам;
    4. Современный, криминальный этап. Использование интернета в преступных целях.

История противоборства электронных угроз и средств защиты от них насчитывает уже несколько десятков лет, то есть столько же, сколько угрозы и существуют. Наиболее эффективный способ распространения интернет-угроз - это передача через сети, а чаще всего через глобальную сеть. Конечно, отдельные вирусы, особенно из первых, относящихся к 80-90-м гг. прошлого столетия, были разработаны и для распространения через дисковые накопители. Сегодня такие способы являются, по меньшей мере, неэффективными и экстравагантными. Однако уже тогда «дискетные» угрозы не могли иметь такого же масштаба распространения,   как  сетевые. А потому основные силы создателей компьютерных угроз были направлены на реализацию именно сетевых атак.

Характерной особенностью борьбы средств защиты с сетевыми угрозами является исключительная способность последних видоизменяться и приспосабливаться, в противном случае через определенное время они будут не актуальными. По данной причине специалисты по информационной безопасности ежегодно предлагают новые технологии, ежесезонно новые версии продуктов и ежедневно - обновления для своих клиентов.

Поэтому, говоря о средствах защиты, мы должны отталкиваться от эволюции самих угроз. Когда системы безопасности  изменяются  так, чтобы успешно бороться с угрозами, последние начинают видоизменяться, пытаясь проникать по сетям в компьютеры пользователей.

В общем случае можно выделить две причины, почему угрозы изменяются. Во-первых, как мы уже говорили выше, угрозы вынуждены изменяться, чтобы выжить. В противном случае системы безопасности не дадут им и шанса. Адаптация средств защиты сегодня происходит довольно быстро. Во-вторых, изменяются цели, которые вредоносному коду, а лучше сказать, сетевым злоумышленникам, необходимо достичь.

Первые компьютерные угрозы, появившиеся в начале 1980-х гг., были, скорее, экспериментами. Их с натяжкой можно назвать вредоносным кодом, потому что никакого существенного вреда они не приносили, да и принести не могли в принципе, так как функционалом таким не наделялись. Большинство первых вирусов были ориентированы на обычное размножение и проникновение в компьютерные сети. Вирусы занимали место и без того на скромных по объему накопителях компьютеров, отнимали системные ресурсы. Но, самое главное, их идеология не была связана с разрушением. Те вирусы не несли вреда жертвам, а, скорее, служили средством познания цифрового мира для своих авторов. Они являлись практическими опытами, которые исследователи ставят для того, чтобы подтвердить или опровергнуть свои теоретические выкладки и изыскания4.

Затем, когда вирусы получили более широкое распространение, началось их вредоносное использование. Распространялись программы, которые нарушали работу компьютеров, изменяли их программное обеспечение, удаляли файлы. Крайне неприятными оказались вирусы, изменяли BIOS (Приложение А).

К этому же времени относится и появление «троянов» - вредоносных программ, распространяемых под видом полезных или вместе с полезными программами, файлами. С широким распространением Интернета очень актуальными стали сетевые черви (приложение А).

Электронные угрозы той поры уже несли настоящий вред жертвам, однако сами создатели далеко не всегда извлекали практическую пользу. И даже наоборот. Созданные в правоохранительных органах специальные подразделения по борьбе с электронными преступлениями достаточно активно взялись за дело. В результате ловились инициаторы многих крупных эпидемий, которых наказывали как штрафами, так и серьезными сроками лишения свободы.

Вышеприведенная информация относилась к периоду развития сетевых угроз до 2000 года. В разработчики сетевых угроз повышают свое мастерство, все более детально изучая компьютеры пользователей и их поведение. Постепенно злоумышленники начали мыслить в практической плоскости, ставя перед собой цель – получить материальную выгоду от разработки новых сетевых угроз5.

В настоящее время большинство сетевых угроз направлено на извлечение прибыли - будь то кража пользовательского логина от аккаунта провайдера интернет-услуг или пароля для доступа в систему онлайн-банкинга. Эпоха «некоммерческих» вирусов уже прошла. Превращению обычного вредительства в выгодное ремесло в немалой степени способствовал сам технический прогресс, развитие компьютерной техники, расширение и популяризация сетей. Если раньше компьютеры использовались для различных вспомогательных целей, сегодня они для многих людей являются основным средством коммуникации, заработка, развлечения, осуществления различных финансовых операций6.

В заключении данного раздела хотелось бы отметить, что современные сетевые угрозы весьма многогранны. Заказ и распространение спама, взлом учетных записей к различным Web-сервисам, перехват паролей для платежных систем, фишинг (приложение А), социальная инженерия и многое, многое другое. Следует также отметить, что перечисленные угрозы довольно редко встречаются сами по себе.

Современные угрозы информационной безопасности (далее ИБ) весьма сложны. Нередко сложно даже определить, к какому классу вредоносных программ относится экземпляр: троян, вирус, эксплойт (Приложение А) или что-то другое. Поэтому и обычные антивирусы сегодня уже являются не узкоспециализированными программами, а целыми комплексами, защищающими от самых разнообразных угроз.

С годами меняются не только угрозы ИБ, но и сами разработчики этих угроз, меняется их инструментарий, меняются цели. Но также непрестанно эволюционируют и средства борьбы.

 

 

 

1.2 Классификация средств безопасности на современном уровне

 

По способам осуществления все меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные) [6,22].

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения компьютерных сетей в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают7:

    1. мероприятия, осуществляемые при проектировании, строительстве и оборудовании сетей и других объектов систем обработки данных;
    2. мероприятия по разработке правил доступа пользователей к ресурсам сетей (разработка политики безопасности);
    3. мероприятия, осуществляемые при подборе и подготовке персонала;
    4. организацию охраны и надежного пропускного режима;
    5. организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
    6. распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
    7. организацию явного и скрытого контроля за работой пользователей;
    8. мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам сетей и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратные) меры защиты основаны на использовании различных электронных устройств, входящих в состав КС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Программные методы защиты предназначаются для непосредственной защиты информации по трем направлениям: а) аппаратуры; б) программного обеспечения; в) данных и управляющих команд.

Для защиты информации при ее передаче обычно используют различные методы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой. Как показывает практика, методы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Все программы защиты, осуществляющие управление доступом к машинной информации, функционируют по принципу ответа на вопросы: кто может выполнять, какие операции и над какими данными.

Доступ может быть определен как:

    1. общий (безусловно предоставляемый каждому пользователю);
    2. отказ (безусловный отказ, например разрешение на удаление порции информации);
    3. зависимый от события (управляемый событием);
    4. зависимый от содержания данных;
    5. зависимый от состояния (динамического состояния компьютерной системы);
    6. частотно-зависимый (например, доступ разрешен пользователю только один или определенное число раз);
    7. по имени или другим признаком пользователя;
    8. зависимый от полномочий;
    9. по разрешению (например, по паролю);
    10. по процедуре.

Также к эффективным мерам противодействия попыткам несанкционированного доступа относятся средства регистрации. Для этих целей наиболее перспективными являются новые операционные системы специального назначения, широко применяемые в зарубежных странах и получившие название мониторинга (автоматического наблюдения за возможной компьютерной угрозой).

Так как выбранная тема работы относится к обеспечению безопасности домашней сети, то подробно рассматривать законодательные, моральные и организационные меры обеспечения нет необходимости, то перейдем к рассмотрению программно-аппаратных средств защиты. Охарактеризую только некоторые из них, в общем, разделив средства защиты информации на три вида:

    1. физические средства защиты;
    2. аппаратные средства защиты;
    3. программные средства защиты информации.

К физическим средствам защиты относятся меры, которые позволяют предохранить информацию, хранящуюся в компьютерной сети, от физического воздействия. Данные меры включает в себя подготовку помещения, где будут располагаться серверы компьютерной сети и кабели связи, соблюдения правил подачи электропитания, резервное копирование.

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС [3].

Наиболее подробно остановимся на рассмотрении программных средств защиты, а именно специализированных современных программных средств защиты информации.

 Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.

К основным программным средствам защиты информации относятся:

    1. программы идентификации и аутентификации пользователей КС;
    2. программы разграничения доступа пользователей к ресурсам КС;
    3. программы шифрования информации;
    4. программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки8.

Firewalls - брандмауэры (дословно firewall — огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик  сетевого/транспортного уровней  между локальной и глобальной  сетями запрещается полностью  — попросту отсутствует маршрутизация  как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Рассмотрим подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами.  Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильрацией пакетов [packet-filtering firewall] - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера портов и др.).

Брандмауэр экспертного уровня [stateful inspecthion firewall] - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI (приложение А) - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание  брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (Рисунок 1). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

 

Рисунок 1 – Экран, как средство разграничения доступа.

 

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу «перебросить» за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (Рисунок 2).

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet.

 

 

Рисунок 2 – Экран, как последовательность фильтров.

 

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Обеспечение безопасности домашней компьютерной сети