работа на тему: «Организация безопасных сетей Cisco» (стр. 1 из 9)

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК

КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Курсовая работа

на тему:

«Организация безопасных сетей Cisco».

Выполнил:

Студент группы № 357

Даханов А.В.

Научный руководитель:

Зав.кафедрой, профессор, д.т.н

Захаров А.А.

Дата сдачи: ______________

Оценка: ______________

Тюмень 2009 г.

0.Введение

Распространение Internet быстро меняет наши представления о том, как следует вести дела, учиться, жить, отдыхать. Особое влияние это оказывает на способы ведения бизнеса и управления на глобальном уровне. Лидеры мирового бизнеса бесспорно признают стратегическую роль Internet в деле сохранения жизнеспособности и конкурентоспособности их компаний в XXI веке. Потребители и конечные пользователи хотят иметь на­дежно защищенные средства коммуникаций и ведения электронной торговли. К сожале­нию, из-за того, что Internet изначально была основана на открытых стандартах, обеспечи­вающих простоту связи, были упущены некоторые ключевые компоненты зашиты, к кото­рым, например, можно отнести контроль удаленного доступа, тайну коммуникаций и защиту от помех в предоставлении сервиса. Необходимость зашиты коммуникаций в Internet вызвала бурное развитие технологий защиты сетей вообще.

Перед деловыми кругами встала пугающая проблема: как реализовать и совершенство­вать средства и методы защиты, чтобы уменьшить уязвимость бизнеса в условиях постоян­ного роста угрозы нарушения защиты, вызванного развитием хакерских методов.

Подходящее для всех решение проблемы сетевой безопасности предложить трудно, по­скольку для локальной сети учебного заведения эффективными могут оказаться одни решения, а для глобальной сети — совсем другие. Некоторые решения защиты хороши для малых предприятий, но оказываются неприемлемыми для крупных организаций по причине трудоемкости, слишком высокой стоимости или чрезмерных затрат времени, требуе­мых на реализацию таких решений в больших сетях. Выход в Internet создает дополни­тельную угрозу безопасности в связи с тем, что сетевой злоумышленник получает потен­циальную возможность доступа к инфраструктуре данных компании.

Проблема защиты, стоящая перед современным бизнесом, сводится к задаче рассмот­рения всего спектра имеющихся решений и выбора правильной их комбинации. Сегодня предлагается немало технологий и соответствующих средств защиты. Трудность реализа­ции защиты сети заключается не в отсутствии подходящей технологии защиты, а в выборе из множества решений такого, которое лучше всего подойдет для вашей конкретной сети и требований вашего бизнеса и при котором затраты на поддержку и сопровождение средств защиты, предлагаемых соответствующим поставщиком, окажутся минимальными.

После того как сетевой инженер или администратор выберет подходящий набор средств защиты для сетевой среды, потребуются также и средства, интегрирующие все это в рамках соответствующего предприятия и обеспечивающие осуществление цело­стной и согласованной политики защиты, что в сегодняшних условиях является со­всем непростым делом. Компания Cisco уже сегодня предлагает широкий спектр средств сетевой защиты, а еще больше аппаратных и программных средств находится в процессе разработки и должны появиться в недалеком будущем. Средства защиты Cisco разрабатываются в рамках архитектуры Cisco SAFE, представляющей собой ди­намический каркас защиты для сетей электронного бизнеса.

1.Причины возникновения проблем защиты

Доступ к внутренней сети, удаленный доступ и доступ в Internet сегодня исполь­зуются довольно широко. Но это порождает определенный риск и ставит целый ряд вопросов безопасности. Сеть и аппаратные средства, используемые для доступа к се­ти, могут содержать дефекты зашиты, могут быть неправильно установлены или на­строены, а также могут неправильно использоваться. После того как мы рассмотрим типы и мотивы поведения нарушителей в сети, необходимость защиты сети станет очевидной. Эти вопросы рассматриваются в следующих разделах.

Существует по крайней мере три основные причины возникновения угроз защиты сети.

• Технологические недостатки. Каждая сеть и каждая компьютерная технология имеют свои проблемы защиты.

• Недостатки конфигурации. Даже самая надежная технология защиты может быть неправильно реализована или использована, результатом чего может оказаться появление проблем защиты.

• Недостатки политики зашиты. Неподходящая или неправильно реализуемая по­литика защиты может сделать уязвимой даже самую лучшую технологию сете­вой защиты.

В мире есть люди, имеющие желание, достаточную квалификацию, а подчас и ма­териальную заинтересованность для того, чтобы использовать известные недостатки защиты, постоянно открывать и эксплуатировать новые.Рассмотрим эти недостатки нескоолько подробнее.

1.1Технологические недостатки

Архивы CERT (Computer Emergency Response Team — группа компьютерной "скорой помощи") на странице www.cert.org документируют многочисленные технологические недостатки защиты самых разных протоколов, операционных систем и сетевого обору­дования. Экспертные рекомендации CERT касаются проблем защиты Internet-технологий. Они объясняют суть проблемы, помогают выяснить, имеет ли проблема от­ношение к вашей конкретной сети, предлагают возможные пути ее решения, а также предоставляют информацию о поставщике соответствующего оборудования.

Недостатки TCP/IP

Протокол TCP/IP разрабатывался как открытый стандарт, чтобы упростить связь в сети. Службы, средства и утилиты, построенные на его основе, тоже разрабатывались с целью поддержки открытых коммуникаций. Рассмотрим некоторые особенности TCP/IP и соответствующих сервисов, характеризующие их внутреннюю уязвимость.

• Заголовки пакетов IP, TCP и UDP и их содержимое могут быть прочитаны, из­менены и посланы повторно так, чтобы это не было обнаружено.

• Сетевая файловая система (NFS) позволяет получить незащищенный довери­тельный доступ к хостам. NFS не обеспечивает аутентификацию пользователей и использует случайные номера портов UDP для сеансов связи, что практиче­ски не дает возможности ограничить протокольный и пользовательский доступ.

• Telnet является мощным средством, предоставляющим пользователю возмож­ность доступа ко многим утилитам и службам Internet, которые иначе оказываются недоступными. Используя Telnet и указывая номер порта вместе с именем хоста или IP-адресом, хакеры могут начать интерактивный диалог с сервисами, которые считаются недостаточно защищенными.

• В системе UNIX демон sendmail может позволить доступ к корневому уровню UNIX, в результате чего возможен нежелательный доступ ко всей системе. Сер­вис sendmail представляет собой программу, используемую для обмена элек­тронной почтой в UNIX. Эта сложная программа имеет длинную историю про­блем защиты. Вот некоторые из них:

• sendmail можно использовать для получения доступа к корневому уровню UNIX путем внедрения соответствующих команд в фальсифицированные сообщения электронной почты;

• sendmail позволяет выяснить тип операционной системы, в которой выпол­няется эта программа (по номеру версии, возвращаемой фальсифицирован­ными сообщениями); эта информация может использоваться для того, что­бы начать атаку точек уязвимости конкретной операционной системы;

• sendmail можно использовать для того, чтобы выяснить, какие узлы принад­лежат домену с данным именем;

Недостатки сетевого оборудования

Сетевое оборудование любого производителя имеет свои недостатки защиты, кото­рые тоже должны быть выяснены и в отношении которых должны быть приняты со­ответствующие меры. Примерами таких недостатков являются ненадежная защита па­роля, отсутствие средств аутентификации, незащищенность протоколов маршрутиза­ции и брещи брандмауэров. Выявленные недостатки защиты сетевого оборудования большинство производителей исправляют достаточно быстро. Обычно такие недостат­ки исправляются с помощью программной "заплаты" или путем обновления опера­ционной системы оборудования.

Бреши позволяют неуполномоченным пользователям получить несанкциониро­ванный доступ или повышенные привилегии доступа к системе. Причиной может оказаться дефект аппаратных средств или программного обеспечения. Большинство брешей в сетевом оборудовании и сетевых устройствах хорошо известны и документи­рованы, например, на страницах консультационного центра CERT. Компания Cisco извещает пользователей и сообщество Internet о потенциальных проблемах защиты в продуктах Cisco через консультационный центр защиты Internet (Internet Security Ad­visories, www.cisco.com/warp/customer/707/advisory.htmf). Для доступа к этому ресурсу требуется пароль ССО. Соответствующие материалы, публикуемые Cisco, обычно в реферативном виде можно найти и на Web-странице CERT.

Обратите внимание на то, что предварительные и ограниченные версии программ­ного обеспечения Cisco IOS чаще содержат неизвестные бреши, в отличие от полных и окончательных версий, которые тестируются более тщательно.

1.2.Недостатки конфигурации

Недостатки конфигурации возникают вследствие неправильной конфигурации сетевого оборудования, ис­пользуемого для решения выявленных или потенциальных проблем защиты. Следует заметить, что если недостатки конфигурации известны, их обычно можно легко ис­править с минимальными затратами. Вот несколько примеров недостатков конфигурации:

• Недостаточная защита, обеспечиваемая установками по умолчанию. Установки по умолчанию многих продуктов оставляют открытыми бреши в системе защиты. Пользователи должны проконсультироваться с фирмой-производителем или со­обществом пользователей о том, какие установки по умолчанию порождают слабость защиты и как их следует изменить.