Практическое задание №1

Узнайте MAC адрес своего компьютера, используя команду ipconfig.

Практическое задание №2

Узнайте MAC адрес своего компьютера, используя пару команд ping и arp.

Структура MAC-адреса

Стандарты IEEE определяют 48-разрядный (6 октетов) MAC-адрес, который разделён на четыре части.

Первые 3 октета (в порядке их передачи по сети; старшие 3 октета, если рассматривать их в традиционной бит–реверсной шестнадцатиричной записи MAC–адресов) содержат 24-битный уникальный идентификатор организации (OUI), или (Код MFG – Manufacturing, производителя), который производитель получает в IEEE. При этом используются только младшие 22 разряда (бита), 2 старшие имеют специальное назначение:

• первый бит указывает, для одиночного (0) или группового (1) адресата предназначен кадр;

• следующий бит указывает, является ли MAC-адрес глобально (0) или локально (1) администрируемым.

Следующие три октета выбираются изготовителем для каждого экземпляра устройства. За исключением сетей системной сетевой архитектуры SNA.

Systems Network Architecture (системная сетевая архитектура) — разработанная компанией IBM в 1974 г. общее описание структуры, форматов, протоколов, используемых для передачи информации между программами IBM и оборудованием, создавалось для объединения в глобальные сети мейнфреймов IBM.

Таким образом, глобально администрируемый MAC–адрес устройства глобально уникален и обычно «зашит» в аппаратуру.

Администратор сети имеет возможность, вместо использования «зашитого», назначить устройству MAC–адрес по своему усмотрению. Такой локально администрируемый MAC–адрес выбирается произвольно и может не содержать информации об OUI. Признаком локально администрируемого адреса является соответствующий бит первого октета адреса.

Для того, чтобы узнать MAC–адрес сетевого устройства, используются следующие команды:

Windows – ipconfig /all – более подробно расписывает – какой MAC–адрес к какому сетевому интерфейсу относится, а именно:

• Linux – ifconfig-a | grep HWaddr;

• FreeBSD – ifconfig|grep ether;

• HP-UX – /usr/sbin/lanscan.

Mac OS X – ifconfig, либо в Системных Настройках → Сеть → выбрать подключение → Дополнительно → Ethernet → Идентификатор Ethernet

Практическое задание №3

Узнайте MAC-адрес сетевого устройства.

Смена MAC-адреса

В Windows смену MAC-адреса можно осуществить встроенными средствами ОС. В свойствах сетевой платы, во вкладке «Дополнительно» Свойство: Сетевой адрес, указывается нужный MAC–адрес.

Однако последние драйвера Intel не предоставляют такой возможности.

Поэтому придётся пользоваться утилитами сторонних разработчиков, например, etherchange.

Практическое задание №4

Смените MAC-адрес.

Защита по периметру

Общие сведения о защите периметра информационной системы

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «чёрных» дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

Из каких компонентов должна состоять защита периметра, обеспечивающая минимальный (начальный) уровень информационной безопасности? Чтобы ответить на этот вопрос, необходимо произвести анализ наиболее распространённых угроз информационным ресурсам организации:

1. Сетевые атаки, направленные на недоступность информационных ресурсов (к примеру, Web-серверов, сервисов электронной почты и т.д.) – атаки класса DoS и DDoS;

2. Компрометация информационных ресурсов и эскалация привилегий – как со стороны инсайдеров, так и внешних злоумышленников, как с целью использования ресурсов пользователя, так и с целью нанесения ущерба;

3. Действия вредоносного программного кода (вирусы, сетевые черви, трояны, программы-шпионы и т.д.);

4. Утечка конфиденциальной информации и похищение данных – как через сеть (e-mail, FTP, web и пр.), так и через внешние носители.

5. Различные сетевые атаки на приложения.

Для минимизации угроз информационной безопасности необходимо внедрение многоуровневой системы защиты информации.

Кому необходима защита информационной системы?

1. Коммерческим организациям, подключенным к сетям общего пользования;

2. Государственным организациям, подключенным к сети Интернет;

3. Территориально распределённым организациям;

4. Операторам связи;

5. Финансово-кредитным организациям.

Что такое Защита периметра информационной системы?

Первым уровнем обеспечения информационной безопасности, блокирующей несанкционированный доступ хакеров в корпоративную сеть, является межсетевой экран, который может быть нацелен на защиту как небольших, так и крупных территориально-распределённых информационных систем. В зависимости от технологии обработки информации в организации, межсетевые экраны (устройства защиты периметра) могут поставляться в различной комплектации и обеспечивать различный функционал, в том числе:

1. Разграничение и контроль доступа, выполнение аутентификации пользователей, трансляция IP-адресов (NAT);

2. Организация демилитаризованных зон;

3. Построение различных типов VPN (IPSec и SSL VPN, в том числе сертифицированные по требованиям ФСБ России решения);

4. Функционал контроля контента. Анализ трафика на прикладном уровне, защита трафика от вирусов и различных типов spyware и malware, защита от спама, URL-фильтрация, антифишинг, и пр.;

5. Функционал системы обнаружения и предотвращения сетевых атак и несанкционированной сетевой активности;

6. Высокую доступность и кластеризацию;

7. Балансировку нагрузки;

8. Поддержка качества обслуживания (QoS);

9. Механизмы аутентификации пользователей;

10. Интеграцию с различными системами аутентификации и авторизации (RADIUS, TACACS+, LDAP и др.);

11. Управление списками контроля доступа маршрутизаторов;

12. Ряд других возможностей.

Основным функционалом межсетевых экранов является разграничение и контроль доступа, трансляция адресов и сокрытие топологии пользовательской вычислительной сети от внешнего мира. Однако необходимо отметить, что межсетевые экраны главным образом осуществляют фильтрацию и анализ трафика на третьем и четвёртом уровнях модели OSI, и лишь ограниченно – на более высоких уровнях.

Другим чрезвычайно важным функционалом межсетевых экранов является организация демилитаризованных зон. Это специально защищённые сегменты сети, к которым организован безопасный доступ из внешних сетей (Интернет) и в которых рекомендуется устанавливать сервера, взаимодействующие с внешними сетями – WEB, почтовый, DNS, и т.п.

Однако и сам межсетевой экран может служить мишенью для злоумышленников – так же, как и другие узлы сети, начиная от серверов приложений и Web-серверов и заканчивая почтовыми узлами и базами данных. Для мониторинга и борьбы с атаками и несанкционированной сетевой активностью рекомендуется использовать специализированные продукты сетевые системы обнаружения и предотвращения атак (IDS/IPS).

Система обнаружения вторжений (англ. Intrusion Detection System (IDS)) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.

Система предотвращения вторжений (англ. Intrusion Prevention System (IPS)) – программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

Максимально эффективно использовать данные, получаемые от сенсоров (серверов) обнаружения атак и от межсетевых экранов (об отражённых ими атаках) позволяет использование системы мониторинга информационной безопасности. Система мониторинга ИБ позволяет свести все события и инциденты ИБ в единой консоли, выполняет интеллектуальный анализ атак и их последствий и помогает администраторам выработать контрмеры. Кроме этого, система мониторинга ИБ выполняет регистрацию и хранение всех событий информационной безопасности, что делает возможным использование полученного материала в качестве доказательного при выполнении расследований инцидентов и судопроизводстве.

Итак, базовые элементы защиты периметра – это межсетевые экраны (и VPN-серверы), системы обнаружения и предотвращения сетевых атак и системы мониторинга ИБ. Однако, как показывает практика, этих систем зачастую недостаточно для эффективной защиты от современных угроз они обеспечивают необходимый, но не достаточный уровень защищённости информационной системы. Существует ряд угроз и их становится всё больше и больше, от которых указанные средства защиты малоэффективны. К таким угрозам относятся:

1. Проникновение червей, вирусов и другого вредоносного кода через электронную почту, web-сёрфинг и т.п. Как правило, данная «зараза» не определяется ни межсетевыми экранами, работающими на третьем уровне модели OSI, ни системами обнаружения сетевых атак. Ведь никакой атаки, например, в момент передачи файла, не производится.

2. Заражение пользовательских компьютеров, работающих через криптотуннель (например, внутри SSL-соединения с заражённым web-сервером или IPSec-соединения с заражённой сетью).

3. Атаки, использующие неизвестные уязвимости некоторых приложений.

По этим, и ряду других причин, для полноценной защиты корпоративной информационной системы недостаточно лишь межсетевых экранов (и систем обнаружения атак). В зависимости от особенностей конкретной защищаемой системы и требованиям к уровню защищённости, рекомендуется использовать и другие системы и методы защиты. Очень важно организовать эффективную защиту на уровне хостов (серверов и рабочих станций сети), контроль контента на периметре сети, контроль за утечкой конфиденциальной информации и принять некоторые другие меры.

Под защитой сетевого периметра (network perimeter) подразумевается комплексное обеспечение безопасности всех точек соединения внутренней сети с внешними сетями (например, Internet).

Основные угрозы, исходящие из внешних компьютерных сетей:

1. Сканирование портов и сбор сведений о работающих сервисах, в том числе через сбор «баннеров» (service banners) — приглашений, выдаваемых службой при соединении с ней.

2. Атаки переполнения буфера с целью получения контроля над системой.

3. DoS-атаки.

4. Проникновение вирусов и червей.

Основным методом защиты периметра является применение межсетевых фильтров (firewall), также называемых брандмауэрами. Межсетевой экран (firewall) – программа или аппаратно-программный комплекс, который располагается между сетями с различными уровнями доверия и фильтрует (блокирует или разрешает) пакеты согласно правилам фильтрации, заложенным администратором.

Дизайн сетевого периметра

По дизайну сетевого периметра и размещению межсетевых экранов выделяют следующие сетевые конфигурации:

1. Одиночный межсетевой экран (Bastion host).

2. Межсетевой экран с тремя интерфейсами (Three-legs firewall).

3. Конфигурация с тремя межсетевыми экранами (Back–to–back firewall).

Bastion Host

Самая простая и часто применяемая в небольших сетях конфигурация. Роль межсетевого экрана выполняет компьютер с двумя сетевыми адаптерами или специализированное устройство. Основное достоинство – простота и дешевизна решения, основной недостаток – пониженная безопасность по сравнению с другими конфигурациями. Это особенно проявляется тогда, когда требуется сделать некоторые внутренние ресурсы (например, Web-сервер) доступными для Internet-клиентов.

Three-legs firewall

В данной конфигурации межсетевой экран имеет три интерфейса, поэтому кроме сети организации и Internet появляется также третья сеть. Эту сеть называют демилитаризованной зоной (Demilitarized zone, DMZ) или Screened subnet. В DMZ располагаются серверы, к которым должен быть разрешён ограниченный доступ из Internet (Web/FTP серверы, серверы электронной почты и т.д.). Ограниченность доступа означает то, что из Internet доступны только некоторые службы, работающие на серверах в DMZ. Данная конфигурация более безопасна для публикации ресурсов, так как при «взломе» опубликованного ресурса злоумышленник не окажется сразу во внутренней сети, как в случае сценария Bastion host. Основной её недостаток – сложность настройки правил.

Back–to–back firewall

Наиболее защищённая и наиболее дорогая конфигурация, применяемая, чаще всего, в крупных сетях. Сеть DMZ находится между двумя межсетевыми экранами. Кроме наилучшей защиты внутренней сети, эта конфигурация позволяет упростить настройку правил на индивидуальных межсетевых экранах.

Типы межсетевых экранов

Различают несколько типов межсетевых экранов в зависимости от их «интеллектуальности».