Организация безопасного подключения корпоративной сети к интернету

Министерство  образования и науки Российской Федерации

Байкальский государственный университет экономики  и права

Кафедра: «Экономики и государственного управления» 
 
 
 
 

КУРСОВАЯ  РАБОТА 

По дисциплине «Информационные технологии управления»

«Организация  безопасного подключения корпоративной сети к интернету»  
 
 
 
 
 
 
 

Руководитель                                                                                                         Шестаков С.С.

Исполнитель  У-07-2                                                                                             Макарян Г.М.               
 
 
 

Иркутск 2011

                                               Оглавление 

Введение……………………………………………………………………………….. 3
1. Возможные  угрозы, связанные с подключением  к сети Интернет……………... 5
2. Решение  проблемы безопасного использования  Интернет-ресурсов…………... 9
3. Средства  контроля использования Интернет-ресурсов…………………………. 11
    3.1. Классификация  корпоративных средств контроля  использования Интернет-ресурсов……………………………………………………………….
 
14
    3.2. Как выбирать  систему?……………………………………………………...
16
4. SOHO Server™……………………………………………………………………… 28
    4.1. Общая информация………………………………………………………….
28
    4.2. Описание  сервисов…………………………………………………………..
29
      4.2.1. Основные  сервисы……………………………………………………
29
      4.2.2. Дополнительные  модули……………………………………………..
33
Заключение…………………………………………………………………………….. 37
Список  литературы……………………………………………………………………. 39

Введение

 

      В современном деловом мире глобальная сеть Интернет уже стала необходимым  инструментом для развития бизнеса. Однако, при всем удобстве и информационном богатстве, всемирная сеть содержит множество опасностей.

     Подключение организации к глобальной сети, такой  как Интернет, существенно увеличивает  эффективность работы организации  и открывает для нее множество новых возможностей. Одновременно сети, подключенные к Интернет, подвергаются риску быть атакованными злоумышленниками. Ошибки при проектировании сервисов TCP/IP, сложность конфигурирования серверов и ряд других причин в совокупности делают информационные системы организаций объектами посягательств злоумышленников.

     Сегодня никого не удивить рассказами о компьютерных взломах, производимых хакерами, обладающими  мощнейшим инструментарием для  сетевых атак. Но это лишь верхушка айсберга, в большинстве случаев успешные атаки остаются незамеченными. Более того, высококвалифицированных специалистов по сетевому взлому не так уж много, а основная масса взломов производится дилетантами, которые пользуются готовыми средствами, доступными в Интернете. Такие атаки приносят массу вреда и убытков, хотя и являются, по сути, сетевым хулиганством.

     Связанные с этим проблемы, если их игнорировать, могут привести к серьезным последствиям.

     Выбирая данную тему для курсовой работы, я  обозначил следующий круг задач:

    1. Рассмотреть возможные угрозы, связанные с подключением корпоративной сети к глобальной сети Интернет.
    2. Проанализировать способы решения проблемы безопасного использования Интернет-ресурсов.
    3. Познакомится с системой SOHO Server™.

     При работе были использованы руководства и пособия по работе с системой, периодическая специальная литература, практические материалы предприятия. Так же были использованы  материалы некоторых электронных источников: журнальных статей и т.д.

     При написании курсовой работы я руководствовался необходимостью модернизировать системы доступа Интернет и электронной почты на предприятии. Во время подбора информации мной были рассмотрены несколько комплексов, способных решить поставленные задачи, но я остановился на системе SOHO Server™. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1. Возможные угрозы, связанные с подключением  к сети Интернет

Потенциальные угрозы, связанные  с подключением корпоративной  сети к Интернет:

  • Прерывание, то есть прекращение нормальной обработки  информации вследствие разрушения вычислительных средств.
  • Несанкционированный доступ к информационным ресурсам компании со стороны внешних сетей.
  • Утечка конфиденциальной или личной информации.
  • Кража, то есть чтение или копирование информации с целью получения данных, которые могут быть использованы против интересов владельца информации.
  • Модификация информации, то есть внесение несанкционированных изменений в данные, направленных на причинение ущерба владельцу информации.
  • Снижение пропускной способности сети.
  • Разрушение данных, то есть необратимое изменение информации, приводящее к невозможности ее использования.
  • Утрата документов или баз данных.
  • Сбой в работе или авария информационной системы.
  • Распространение компьютерных вирусов.
  • Использование неконтролируемых сетевых протоколов для осуществления атак и организации скрытых каналов утечки информации.
  • Потеря репутации компании.

    Целую группу угроз составляют проблемы, связанные с человеческим фактором:

  • Неконтролируемый доступ законных пользователей к ресурсам корпоративной сети.
  • Неконтролируемые обращения пользователей информационной системы к ресурсам общедоступных сетей (Интернет).
  • Неделовой трафик из-за недисциплинированности пользователей, несанкционированных почтовых рассылок (спам).
  • Снижение производительности труда сотрудников.
  • Собственно сам «человеческий фактор»:
    • осознанное или случайное отключение антивирусных программ на рабочих станциях;
    • открытие сомнительных файлов и т.д.

Отдельно  стоит выделить угрозы, связанные  с неконтролируемым использованием электронной почты:

  • Утечка конфиденциальной информации;
  • Передача сообщений неприемлемого содержания;
  • Передача потенциально опасных вложений, вирусов и вредоносных кодов;
  • Передача неприемлемых вложений – большого размера, нежелательного формата и т.д.;
  • Несанкционированные почтовые рассылки (спам);
  • Ошибочное направление писем;
  • Потери рабочего времени, ресурсов или блокирование почтового сервиса.

       Как можно видеть, глобальная сеть Интернет содержит огромное количество потенциальных угроз. Из предоставленного множества можно  выделить шесть интегрированных основных рисков, связанных с подключением, именно их я предлагаю рассмотреть подробнее.

  1. Поскольку Интернет является каналом во внешний мир, он стал основным источником распространения вредоносного мобильного кода (вирусов, червей, троянских программ).
  2. Глобальная сеть стала использоваться в качестве канала, через который осуществляются атаки на локальные вычислительные сети организаций, отдельные серверы и компьютеры. Многие Интернет-ресурсы включают в себя различный программный код – JavaScript, Flash, ActiveX и другие. Злоумышленники могут эксплуатировать этот код для организации атак на корпоративные сети и пользовательские рабочие места.
  3. Интернет стал активно применяться в качестве средства скрытого проникновения в корпоративные локальные вычислительные сети.
  4. В настоящее время Интернет может рассматриваться как один из основных каналов утечки конфиденциальной информации. Например, информационные ресурсы компаний подвергаются серьезным угрозам из-за использования сотрудниками этих компаний бесплатных почтовых ящиков. Согласно статистике, в среднем 80% сотрудников различных компаний помимо внутренних корпоративных почтовых адресов активно используют бесплатные почтовые ящики, предоставляемые различными провайдерами (yandex.ru, hotmail.com, mail.ru, mail.yahoo.com и т.п.). Имея доступ к Интернету со своего рабочего места и зная, что канал не контролируется, любой пользователь может беспрепятственно отправить за пределы организации любую конфиденциальную информацию. Но даже понимая это, только каждая четвертая компания запрещает использовать бесплатные почтовые сервисы, а три четверти позволяют своим сотрудникам решать, как и какую информацию отправить за пределы компании.
  5. Бесконтрольный доступ к Интернету значительно снижает производительность труда в коллективе. Простота освоения, легкость поиска необходимой информации и другие полезные качества Интернета – вот причины того, что данный сервис широко применяется, в том числе и для личных целей. Не секрет что у многих уже давно появилась привычка начинать рабочий день с чтения новостей, просмотра сводок погоды и т.п. По данным компании IDC, около трети своего рабочего времени сотрудники различных организаций и компаний проводят в Интернете в целях, не имеющих прямого отношения к их работе. Это и «походы» в Интернет_магазины, и сетевые игры, и просто поиск информации.
  6. Еще одно следствие неконтролируемого использования Интернета – это снижение пропускной способности сети. Согласно статистике, 44% сотрудников организаций используют корпоративные ресурсы для просмотра видео, прослушивания аудиозаписей (через потоковые аудио- и видеоканалы), играют в сетевые игры, загружают файлы большого объема (например, файлы мультимедиа: графические, музыкальные файлы, фильмы и т.п.), что создает значительную нагрузку на локальные вычислительные сети.

Возможность провести успешную сетевую  атаку дают следующие  ситуации:

  • Отсутствие  межсетевых экранов.
  • Отсутствие антивирусных программ.
  • Ошибки системных администраторов в настройке сетевой безопасности системы.
  • Разглашение конфиденциальной информации или ее передача по сетям общего доступа в открытом виде.
  • Уязвимость программных средств (так называемые "дыры", которые могут быть использованы злоумышленниками или вирусами для получения доступа к управлению компьютером).
  • Незащищенность внутренних ресурсов от несанкционированного доступа и атак из внешних сетей.
  • Отсутствие контроля использования ресурсов внешних сетей и сервисов информационного обмена.
  • Отсутствие мониторинга и контроля защищенности информационной системы.
  • Отсутствие регистрации и анализа событий безопасности.
  • Децентрализованное управление политикой безопасности периметра.

2. Решение проблемы  безопасного использования  Интернет-ресурсов

 

       Проблему  безопасного и продуктивного  использования Интернет-ресурсов можно решить двумя способами. Первый – радикальное запрещение использования Интернета без необходимости. Если принят принцип «запрещено все, что явно не разрешено», пользователям разрешается доступ только к строго определенным сайтам. Второй способ – более гибкий, он позволяет пользователям действовать по принципу «разрешено все, что не запрещено». В этом случае сотрудник может свободно пользоваться ресурсами Интернета, однако его действия находятся под контролем. Это значит, что если пользователь выполнит действия, противоречащие политике безопасности, это будет обнаружено и пресечено.

       В настоящее время «радикальный»  способ по-прежнему находит применение. Он используется, в первую очередь, организациями, в которых циркулирует  информация с грифом «секретно». К  таким организациям относятся различные научно-исследовательские институты, военные организации, государственные органы и специальные службы. В таких «секретных» организациях существуют инструкции и документы, которые строго регламентируют поведение пользователей, связанное с получением информации и ее передачей за пределы организации. А это значительно облегчает деятельность контролирующих служб по обеспечению должного уровня защиты.

       Другой  пример «радикального» способа –  применение в компаниях так называемых Интернет-киосков, когда пользователям предоставляется доступ к Интернет-ресурсам через выделенные терминалы. Как правило, в этом случае действия пользователей строго регламентируются, а трафик, проходящий через данный терминал, контролируется специальными средствами.

       Большинство же коммерческих организаций и компаний предпочитают более гибкий способ регламентации  общения с внешним миром. Далее  рассматривается именно этот способ, поскольку именно при его применении возникают существенные проблемы. И  состоят они в том, что практически невозможно однозначно определить, к какой информации следует запретить доступ. Чтобы обеспечить гибкий контроль использования Интернет-ресурсов, необходимо ввести в компании соответствующую политику использования ресурсов. Эта политика может реализовываться как «вручную», так и автоматически. «Ручная» реализация означает, что в организации имеется специальный штат сотрудников, которые в режиме реального времени или по журналам маршрутизаторов, прокси-серверов или межсетевых экранов ведут мониторинг активности пользователей. Естественно, такой мониторинг является проблематичным, поскольку требует больших трудозатрат. Кроме того, он требует не только отслеживания активности пользователя, но и категоризации сайтов, которые посещают пользователи, а провести работу по категоризации сайтов силами сотрудников ИТ-подразделения отдельной компании практически невозможно.

       Чтобы избежать описанных выше проблем  и обеспечить гибкий контроль использования  Интернет-ресурсов, компания должна дать администратору инструмент для реализации политики использования ресурсов компании.

       Этой  цели служит так называемая контентная фильтрация (или фильтрация по содержимому). Ее суть заключается в декомпозиции объектов информационного обмена на компоненты, анализе содержимого этих компонентов, определении соответствия их параметров принятой в компании политике использования Интернет-ресурсов и осуществлении определенных действий по результатам такого анализа. В случае фильтрации веб-трафика под объектами информационного обмена подразумеваются веб-запросы, содержимое веб-страниц, передаваемые по запросу пользователя файлы и т.д. Объективная потребность вызвала к жизни множество программных продуктов, предназначенных для контроля содержимого информационного обмена. Все они в той или иной степени выполняют возложенную на них задачу. Однако необходимо иметь в виду, что никакая автоматическая система не дает 100% гарантии безопасности без деятельного участия человека в процессе фильтрации. Любая технология – только дополнительный инструмент в руках администратора. И от того, насколько система адекватна задачам, которые ставит перед собой администратор, будет зависеть, удастся ли снизить уровень рисков, связанных с использованием Интернета.

3. Средства контроля  использования Интернет-ресурсов

 

       В этом разделе кратко описаны имеющиеся  на рынке средства фильтрации веб-трафика. Эти средства можно условно разделить  по типам и методам фильтрации. В настоящее время известно три  типа средств, способных в той  или иной степени обеспечить контроль использования Интернет-ресурсов на корпоративном уровне. К первому типу относятся межсетевые экраны, прокси-серверы, маршрутизаторы и подобные им средства фильтрации. Второй тип – это современные антивирусные программы, обладающие базовыми возможностями контентной фильтрации. К третьему типу относятся специализированные средства, разработанные непосредственно для контроля использования Интернет-ресурсов.

       Каждый  тип средств контроля использования  Интернет-ресурсов предназначен для  фильтрации на разных уровнях сетевой иерархии. Средства первого и второго типов напрямую не предназначены для контроля содержимого информационного обмена по каналам Интернета. Так, межсетевые экраны, прокси-серверы и маршрутизаторы осуществляют фильтрацию трафика на сетевом и транспортном уровнях. Специализированные средства контентной фильтрации осуществляют ее на прикладном уровне. Если говорить об антивирусных программах, то со средствами третьего типа их объединяет именно способность осуществлять некоторые базовые функции контентной фильтрации.

       В общем, средства первого и второго  типов можно считать достаточно эффективными для компаний, в которых  контроль содержимого информационного  обмена не является первостепенной задачей (например, там, где конфиденциальная информация не циркулирует в корпоративной сети). В организациях же, где активно используется Интернет и при этом актуальны задачи контроля доступа пользователей к Интернет-ресурсам и защиты от утечки конфиденциальной информации, применение таких средств недостаточно. Это обусловлено следующими недостатками средств первого и второго типов:

       • ограниченное количество параметров, по которым возможна фильтрация трафика;

       • ограниченные возможности по фильтрации текста в запросах пользователей  и загружаемых страницах;

       • невозможность декомпозиции объектов информационного обмена, следовательно, отсутствие более глубокой фильтрации (например, тип файлов определяется по декларированному, а значит, не обязательно  реальному расширению, при этом отсутствуют  средства для определения реального типа файла по сигнатуре);

       • отсутствие необходимой гибкости при  реализации политики использования  Интернет-ресурсов;

       • отсутствие функциональности, обеспечивающей контентную фильтрацию. Например,не все  межсетевые экраны и прокси-серверы  поддерживают контроль передаваемых данных на уровне команд протоколов.

       Специализированные  программные средства контроля использования  Интернет-ресурсов предназначены для проверки передаваемых данных на соответствие тем или иным условиям информационного обмена и выполнения соответствующих действий по итогам проверки. Программное обеспечение этого типа можно разделить по месту использования на клиентское и серверное. Клиентское программное обеспечение работает на каждой рабочей станции, где требуется обеспечить контроль использования Интернет-ресурсов.

       Применение  клиентского программного обеспечения  в организациях неэффективно, исключая отдельные специфические случаи. Клиентское программное обеспечение  постоянно работает на компьютере пользователя и ненадежно с точки зрения безопасности, поскольку потенциально его конфигурация и настройки могут быть искажены (подделаны) опытным пользователем или специализированным вредоносным кодом. Кроме того, такое программное обеспечение требует больших трудозатрат на настройку и сопровождение, поскольку эти операции осуществляются для каждой рабочей станции в отдельности.

       В корпоративной среде наиболее эффективно применение программного обеспечения, функционирующего на выделенном сервере, поскольку оно разработано специально для использования в корпоративных сетях и наиболее полно соответствует требованиям по функциональности и безопасности. К таким требованиям относятся:

       • централизованное размещение (обеспечивает удобство установки, настройки и  сопровождения);

       • размещение на сервере и ограничение доступа к настройкам ПО (обеспечивает безопасность, поскольку исключена возможность изменения настроек пользователями). 

         
 
 
 
 
 
 
 
 
 
 
 
 

Рис.1. Классификация корпоративных средств  контроля использования Интернет-ресурсов

       3.1. Классификация корпоративных средств контроля использования Интернет-ресурсов

       Далее рассматриваются серверные (а значит, корпоративные) средства фильтрации веб-трафика. Говоря об их классификации (см. рис. 1), необходимо выделить основные признаки, по которым они различаются:

       • используемые методы фильтрации;

       • место размещения в инфраструктуре сети и способ воздействия на трафик (технологии pass-by и pass-through);

       • возможность выбора режима функционирования – standalone (автономные) и integrated (встраиваемые);

       • глубина политики фильтрации;

       • подход к оповещению о действиях  пользователей;

       • возможность генерации различных  видов отчетов по данным фильтрации.

       Когда говорят о классификации по методам  фильтрации, классы определяются набором  параметров, по которым производится проверка содержимого информационного обмена. Системы используют различные наборы проверок в зависимости от возложенных на средства фильтрации задач.

       Наиболее  типичны и распространены системы, в которых основным способом фильтрации веб-трафика является проверка адресов Интернет-ресурсов (URL). Конечно, эти системы применяют и другие способы (фильтрация по командам протоколов, именам пользователей, IP-адресам рабочих станций и типам файлов), однако именно результат проверки адреса сайта служит основанием для решения о блокировании сайта. Такие системы, как правило, фильтруют только запросы пользователей, не проверяя загружаемые сайты на наличие запрещенного политикой безопасности содержимого.

       Существуют  системы, в которых реализован комплексный  подход к фильтрации трафика. В них проверки равноценны по значимости, а состав набора проверок определяется задачами, возлагаемыми на систему контроля. Отличием таких систем является то, что они обладают наиболее широким набором проверок, среди которых одной из важнейших является проверка содержания текста запросов и сайтов.

       Существующие  системы различаются по месту  размещения в корпоративной сети. Их можно разделить на две крупные  группы – работающие как прокси-серверы (технология pass-through) и работающие как анализаторы пакетов (packet sniffer), перехватывающие пакеты нужных протоколов и проверяющие их на наличие запрещенного содержимого (технология pass-by).

       Системы, использующие технологию pass-through, работают как обычные HTTP-прокси. Как правило, их устанавливают между клиентскими местами и внешним прокси-сервером или межсетевым экраном. Клиентские места должны быть настроены так, чтобы они использовали нужный прокси-сервер.

       К достоинствам систем, использующих технологию pass-by, можно отнести их прозрачность для пользователя и возможность установки без перенастройки клиентских мест. Недостатком является то, что они не всегда могут справляться с большим потоком данных, передаваемых по контролируемым протоколам.

       Говоря  о режимах функционирования системы, различают автономные (standalone) и встраиваемые решения (integrated). Автономные системы, устанавливаемые «в разрыв» и работающие независимо от других подсистем, более надежны с точки зрения качества фильтрации. В них возможность ошибок при фильтрации снижена до минимума за счет полного контроля над передаваемыми данными. Обычно такие решения используются совместно с внешними прокси-серверами в целях увеличения скорости доступа за счет кэширования данных.

       Некоторые компании поставляют программное обеспечение для контроля использования Интернет-ресурсов в виде встраиваемых модулей к существующим прокси-серверам или межсетевым экранам. Достаточно часто модули фильтрации создаются для широко используемого прокси-сервера Microsoft ISA.

       Кроме того, некоторые системы фильтрации поставляются в виде отдельных серверов, а доступ к ним осуществляется по протоколу ICAP, который является стандартом для контроля и модификации запросов и ответов, проходящих через прокси-сервер, поддерживающий данный протокол. Достаточно часто в виде ICAP-серверов реализуются антивирусные комплексы (Symantec Antivirus, Dr.Web, TrendMicro). К достоинствам продуктов, реализованных в виде таких серверов, можно отнести то, что они могут взаимодействовать с разными типами прокси-серверов и межсетевых экранов, которые реализуют функцию клиента ICAP, а также то, что серверы могут выполнять проверку только определенных типов данных. Недостатком этого подхода следует считать то, что при использовании протокола ICAP сервер фильтрации может не иметь полного контроля над передаваемыми данными.

       3.2. Как выбирать систему?

       Каков же определяющий фактор при выборе средств фильтрации веб-трафика? Ответ  прост – функциональность. Именно этим и различаются представленные на рынке средства контроля использования Интернет-ресурсов. А вот какую именно функциональность выбрать, зависит от задач, стоящих перед организацией.

Организация безопасного подключения корпоративной сети к интернету