Транспортные и мультисервисные системы и сети связи.-1
.pdf
использовании Жесткого Бумеранга фильтрация IP-пакетов будет производиться по IPадресам назначения и отправки, протоколу передачи и порту работы соединения. При использовании Мягкого Бумеранга фильтрация IP-пакетов будет производиться по IP-адресам назначения и отправки и протоколу передачи.
Настройка параметров безопасности в программах Монитор и Деловая Почта.
Для редактирования параметров безопасности из настроек программы ViPNet «Клиент. Монитор» в панели инструментов необходимо выбрать меню Сервис, Настройка параметров безопасности (Рис.76).
Рис. 76. Меню Сервис
В появившемся окне Настройка параметров безопасности (Рис.77) указаны следующие вкладки: Пользователь – содержит информацию о пользователе, вошедшем в программу «Монитор» или «Деловая Почта», а также предоставляет возможность сменить пользователя. Подпись – предназначена для работы с сертификатами ЭЦП. Шифрование – предназначена для задания параметров шифрования и настройки работы на асимметричных ключах шифрования. Пароль – предназначена для задания параметров пароля и последующей смены пароля.
Ключи – предназначены для задания параметров авторизации (способов входа в основную программу ViPNet) и для работы с контейнерами ключей подписи. Администратор – предназначена для входа в основные программы ViPNet с правами администратора и последующего выхода, а режиме администратора становятся доступны дополнительные настройки. Криптопровайдер – предназначена для настройки работы с контейнерами и сертификатами, необходимыми для работы с криптопровайдером ViPNet CSP.
91
Рис. 77.Окно Настройка параметров безопасности
Настройка фильтров открытой сети.
Как только ПО ViPNet «Клиент» установлено, фильтров в «Открытой сети» у него нет. При необходимости можно прописывать для каждого клиента IP-адреса локальной сети в которую он входит. Для каждого клиента в зависимости от его постребностей можно добавлять различные фильтры открыой сети.
Рис. 78. Фильтры открытой сети
92
4. Испытание системы ViPNet Custom.
Целью испытания является выявления возможности несанкционированного доступа к информации передаваемой между узлами защищенной сети ViPNet Custom. Эксперимент будет проводится в локальной сети компании «Бизнес защита». Два абонентских пункта с ПО ViPNet «Клиент» и подключенных к защищенной сети ViPNet Custom будут обмениваться мгновенными сообщениями, а с третьего абонентского пункта(Злоумышленника) не имеющего ПО ViPNet «Клиент» будет проводится попытка перехвата информации. Злоумышленнику будет известны IP-адреса компьютеров между которыми происходит обмен информацией и время начала обмена.
Злоумышленник будет подключен в общий свитч вместе с компьютерами ViPNet сети. Схема испытания на Рис.79.
Рис. 79. Схема эксперимента
ПО Злоумышленника.
Программа-сниффер Wireshark программа для анализа пакетов Ethernet и некоторых других сетей. Функциональность, которую предоставляет. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в широковещательный режим. Wireshark различает структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня. Wireshark умеет работать с множеством форматов исходных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата.
Программа расшифровки данных. Advanced EFS Data Recovery (AEFSDR) - программа для расшифровки файлов, зашифрованных под операционными системами Windows 2000 и Windows XP, Windows 2003 Server и Windows Vista. Программа позволяет расшифровывать файлы даже в том случае, если система не грузится или повреждены некоторые записи о ключах шифрования. Даже если база пользователей системы защищена SYSKEY, AEFSDR .
Действия злоумышленника
С помощью программы снифер Wireshark во время обмена сообщениями между узлами сети с ПО ViPNet «Клиент», перехватить передаваемые пакеты и экспортировать их в файл.
Спомощью программы расшифровки данных расшифровать информацию содержащуюся
вэкспортированном из Wireshark файле.
93
Ход испытания
С АП с ПО ViPNet «Клиент» с IP-адресом «192.168.1.102» посылается сообщение через службу мгновенного обмена сообщениями ViPNet другому АП с ПО ViPNet «Клиент» с IP-
адресом «192.168.1.104».
Во время обмена сообщениями одного компьютера с другим, злоумышленник начинает «прослушивать» локальную сеть со своего компьютера с помощью снифера Wireshark (Рис 80). Программа обнаруживает сеанс связи между машинами, записывает информацию, проходящую от одного абонента к другому, распознает пакеты и записывает их в файл.
Рис. 80. Старт программы Wireshark
Файл, в который были записаны перехваченные пакеты нужно расшифровать при помощи программы (Брутфорс) Advanced EFS Data Recovery (Рис.81, Рис.82).
Рис. 81. Меню программы Advanced EFS Data Recovery
94
Рис. 82. Старт программы Advanced EFS Data Recovery
После старта брутфорсер начинает расшифровывать содержимое ViPNet-пакетов и зависает. После жесткой перезагрузки операционной системы, злоумышленник повторяет попытку расшифровки, после чего процесс длится на протяжении пяти дней без результатов.
Результаты эксперимента и их анализ
В ходе эксперимента было установлено:
Злоумышленнику удалось перехватить ViPNet-пакеты, с помощью специализированной программы Wireshark и записать содержимое в файл.
Содержимое ViPNet-пакета невозможно расшифровать с помощью программы предназначенной для взлома, в течении пяти дней.
Злоумышленнику были предоставлены достаточно благоприятные условия для несанкционированного доступа к защищенной информации ViPNet сети, но даже в этих условиях имея в своем распоряжении программы сниффер и брутфорс, злоумышленнику не удается получить доступ к защищаемой информации.
Заключение
Врезультате проделанной работы была спроектирована защищенная сеть передачи данных использующая открытые каналы связи. Для построения сети было использовано программное обеспечение: ViPNet «Администратор 3.0», ViPNet «Координатор 3.0», ViPNet «Клиент».
На рабочей станции администратора, используя ПО ViPNet «Администратор 3.0 , в адресной администрации, Центра управления сетью.
Были зарегистрированы серверы-маршрутизаторы, криптосервис, абонентские пункты, центр регистрации, сервис публикации. Были созданы межсерверные каналы связи между координаторами. «СМ-Координатор 3.0» и «СМ-Координатор-ОИ3.0» и заданы параметры их работы.
Для «СМ Координатор-ОИ 3 0» включена функция «Сервер Открытого Интернета», для «СМ Координатор 3.0» функция «Туннелирование». Созданы справочники, в которых отображается информация, необходимая для работы прикладных программ ViPNet (Монитор, Деловая Почта и др.), а так же базы данных, которые будут служить для восстановления информации о структуре сети.
ВУдостоверяющем ключевом центре создана ключевая инфраструктура защищенной сети, сформированы дистрибутивы для пользователей созданной защищенной сети. При создании дистрибутива пользователя автоматически формируется его сертификат ЭЦП.
Был развернут защищенный узел Администратора 3.0.
95
На Координаторе сети
Впрограмме «Координатор .Монитор» созданы два сетевых интерфейса внешний «internet» для глобальной сети и внутренний «Local subnet» для локальной сети. На обоих интерфейсах установлен второй режим безопасности.
Произведены настройки сетевых интерфейсов компьютера, заданы режимы безопасности и настройки антиспуфинга.
Вправилах антиспуфинга для каждого сетевого интерфейса заданы диапазоны IP-адресов, пакеты от которых допустимы на интерфейсе. При этом пакеты, в которых IP-адрес отправителя не попадает в допустимый диапазон адресов, указанный на сетевом интерфейсе, будут блокироваться.
Былы настроены параметры и режимы соединения узлов сети, установлены сетевые фильтры в защищенной и открытой сети.
На клиентских рабочих станциях с ПО ViPNet «Клиент», установлены программы: ViPNet «Клиент.Деловая почта», ViPNet «Клиент.Монитор»,
Вкачестве сервера IPадресов выбран Координатор ViPNet сети.
Установлен третий режим безопасности (Разрешить инициативные открытые соединения) разрешает взаимодействие только с теми компьютерами, информацию от которых запросил сам пользователь, работающий за сетевым экраном ViPNet.
Осуществлена настройка фильтров открытой сети.
После завершения создания защищенной сети было произведено испытание.
Целью испытания являлось выявления возможности несанкционированного доступа к информации, передаваемой между узлами защищенной сети ViPNet Custom.
Эксперимент проводился в локальной сети компании «Бизнес защита». Результаты эксперимента приведены в Приложении Б.
Защищенная сеть передачи данных на базе технологии ViPNet Custom найдет широкое применение в организациях, которые заботятся о безопасности своих информационных ресурсах и материальной благополучности, так как восстановить, утраченную информацию, бывает гораздо дороже, чем защитить.
Рис. 83. Защищенная сеть на базе технологии ViPNet Custom
96
Рис. 84. Шифрование на прикладном уровне
Рис.85. Шифрование на сетевом уровне
97
Порядок испытаний защищенной сети ViPNet Custom
Объект испытаний: защищенная сеть передачи данных ViPNet Custom.
Цель испытаний: выявления возможности несанкционированного доступа к информации, передаваемой между узлами защищенной сети ViPNet Custom.
Время ценности информации один день. Программные средства для исследования.
1.Две рабочие станции с ПО ViPNet «Клиент».
2.Рабочая станция (Злоумышленник) с программй-сниффер Wireshark и брутфорс Advanced
EFS Data Recovery.
Результаты испытаний.
1.С рабочей станции подключенной в сеть с ViPNet Custom произведен перехват информации передающейся между двумя клиентами ViPNet сети при помощи программы Wireshark.
2.Перехваченные пакеты распознаны и записаны в файл программой Wireshark.
3.Произведена попытка расшифровать записанный файл с перехваченными информационными пакетами при помощи программы Advanced EFS Data Recovery.
4.Программа Advanced EFS Data Recovery не смогла расшифровать файл в течении пяти суток.
5.Перехваченная информация потеряла свою ценность нерасшифрованной.
Выводы
В результате проведения испытаний системы.
Злоумышленнику удалось перехватить ViPNet-пакеты, с помощью специализированной программы Wireshark и записать содержимое в файл.
Содержимое ViPNet-пакета невозможно расшифровать с помощью программы предназначенной для взлома, в течении пяти суток.
Злоумышленнику были предоставлены достаточно благоприятные условия для несанкционированного доступа к защищенной информации ViPNet сети, но даже в этих условиях имея в своем распоряжении программы сниффер и брутфорс, злоумышленнику не удается получить доступ к защищаемой информации.
Защищенная сеть передачи данных ViPNet Custom является криптостойкой.
5.Рекомендованная литература.
1.Чефранова А. О. Игнатов В. В. Уривский А. В. И др. Виртуальные защищенные сети
VIPNet. Курс лекций: Учебное пособие.-3 изд., переработанное. - М.: Изд-во «Прометей», 2008. – 172 с.
2.Чефранова А. О. Горбачук А. П. Стародубов А. Г. Технология построения виртуальных защищенных сетей VIPNet версии 3.0: Практикум: Учебно-методическое пособие. – М.: Изд-во «11-формат», 2008. -260 с.
3.Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — СПб.: Изд-во «Питер», 2001.-672с.
4.Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: Изд-во «КУДИЦ-ОБРАЗ», 2001. - 368 с.
5.Запечников С. В. , Милославская Н. Г. , Толстой А. И. . Основы построения виртуальных частных сетей. Курс лекций: Для высших учебных заведений. – М.: Издво «Горячая Линия – Телеком», 2003. – 248 с.
98
Лабораторная работа 2. Исследование характеристик системы IPвидеонаблюдения на основе стандарта IEEE 802.11 и технологии VPN
1.Цель работы
-Исследование информационной безопасности беспроводных сетей.
-Изучение основных стандартов и принципов построения, работы и защиты беспроводных сетей.
-Исследование модели Системы IP-видеонаблюдения на основе технологии Wi-Fi VPN.
2.Краткие теоретические сведения
Введение
Целью данной работы является ознакомление с информацией по информационной безопасности беспроводных сетей и создание макета системы IP-видеонаблюдения посредством технологии Wi-Fi.
Беспроводные технологии — подкласс информационных технологий, служат для передачи информации на расстояние между двумя и более точками, не требуя связи их проводами. Для передачи информации может использоваться инфракрасное излучение, радиоволны, оптическое или лазерное излучение.
Сейчас существует множество беспроводных технологий, наиболее часто известных пользователям по их маркетинговым названиям, таким как Wi-Fi, WiMAX, Bluetooth. Каждая технология обладает определѐнными характеристиками, которые определяют еѐ область применения.
Внастоящее время широкое распространение стали получать системы наружного видеонаблюдения, устанавливаемые на зданиях и других объектах на улицах наших городов.
Взависимости от предназначения системы видеонаблюдения (СВН) могут иметь различные масштабы. Это может быть система, обслуживающая одно здание, комплекс зданий, охраняемых частной охранной организацией. В этом случае система разворачивается сразу в полном объеме и в будущем подвергается не слишком сильной трансформации. Либо это может быть СВН, охватывающая группу жилых зданий, квартал, улицу, а иногда и целый населенный пункт для передачи информации на пульт дежурных отдела внутренних дел, управления вневедомственной охраны или других структур, обеспечивающих безопасность населения. В этом случае структура СВН должна быть изначально разработана таким образом, чтобы в будущем допускать простое масштабирование путем подключения дополнительных устройств видеонаблюдения без внесений кардинальных изменений в структуру системы.
Впоследнее время все большую популярность приобретают системы видеонаблюдения на базе сетевых или иначе IP-видеокамер, так как они имеют ряд несомненных преимуществ по сравнению с аналоговыми системами. Отметим некоторые из них: возможность построения распределенных систем с использованием публичных сетей (например, Интернет) для передачи видео, возможность предоставления доступа к просмотру видео или к архиву большому числу пользователей, удаленный доступ к системе и другие.
Существует мнение, что самой слабой точкой систем IP-видеонаблюдения является использование стандартного сетевого оборудования, что позволяет говорить об их общей ненадежности и незащищенности перед злоумышленниками.
При правильном выборе сетевого оборудования и его настройке процесс обеспечения безопасности сети для IP-видеонаблюдения принципиально ничем не отличается от корпоративной компьютерной сети, и, более того, эти сети могут сосуществовать в пределах одной корпоративной компьютерной сети. Системы IP-видеонаблюдения не только не
99
уступают аналоговым системам по показателям безопасности, но и, при условии грамотного применения механизмов защиты, значительно более защищены от воздействий как неопытных хакеров, так и достаточно квалифицированных злоумышленников.
1 Теоретическая часть
1.1 IEEE 802.11
IEEE 802.11 - набор стандартов связи, для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 2,4; 3,6 и 5 ГГц.
Пользователям более известен по названию Wi-Fi, фактически являющийся брендом, предложенным и продвигаемым организацией Wi-Fi Alliance. Получил широкое распространение благодаря развитию в мобильных электронно-вычислительных устройствах: КПК и ноутбуков.
Изначально стандарт IEEE 802.11 предполагал возможность передачи данных по радиоканалу на скорости не более 1 Мбит/с и опционально на скорости 2 Мбит/с. Один из первых высокоскоростных стандартов беспроводных сетей - IEEE 802.11a - определяет скорость передачи уже до 54 Мбит/с. Рабочий диапазон стандарта 5ГГц.
Вопреки своему названию, принятый в 1999 году стандарт IEEE 802.11b не является продолжением стандарта 802.11a, поскольку в них используются различные технологии: DSSS (точнее, его улучшенная версия HR-DSSS) в 802.11b против OFDM в 802.11a. Стандарт предусматривает использование нелицензируемого диапазона частот 2,4 ГГц.Скорость передачи до 11Мбит/с
Продукты стандарта IEEE 802.11b, поставляемые разными изготовителями, тестируются на совместимость и сертифицируются организацией Wireless Ethernet Compatibility Alliance (WECA), которая в настоящее время больше известна под названием Wi-Fi Alliance. Совместимые беспроводные продукты, прошедшие испытания по программе «Альянса WiFi», могут быть маркированы знаком Wi-Fi.
В настоящее время IEEE 802.11b - самый распространѐнный стандарт, на базе которого построено большинство беспроводных локальных сетей.
Проект стандарта IEEE 802.11g был утверждѐн в октябре 2002 г. Этот стандарт предусматривает использование диапазона частот 2,4 ГГц, обеспечивая скорость передачи 54 Мбит/с и превосходя, таким образом, ныне действующий стандарт IEEE 802.11b, который обеспечивает скорость передачи 11 Мбит/с. Кроме того, он гарантирует обратную совместимость со стандартом 802.11b. Обратная совместимость стандарта IEEE 802.11g может быть реализована в режиме модуляции DSSS, и тогда скорость передачи будет ограничена одиннадцатью мегабитами в секунду либо в режиме модуляции OFDM, при котором скорость составляет 54 Мбит/с. Таким образом, данный стандарт является наиболее приемлемым при построении беспроводных сетей.
1.2 Подходы к классификации беспроводных технологий
Существуют различные подходы к классификации беспроводных технологий. 1. По дальности действия можно выделить:
Беспроводные персональные сети (WPAN - Wireless Personal Area Networks). Примеры технологий - Bluetooth.
Беспроводные локальные сети (WLAN - Wireless Local Area Networks). Примеры технологий -Wi-Fi.
Беспроводные сети масштаба города (WMAN - Wireless Metropolitan Area Networks).
Примеры технологий - WiMAX. I. По топологии:
"Точка-точка".
100