Вертикальная модель сети

В предыдущем разделе была рассмотрена горизонтальная модель сети, отличающаяся от вертикальной тем, что она затрагивает лишь анализ угроз, которые возникают в сети на некотором одном уровне. Это уровень среды функционирования системы, в которой “обитают” конечные пользователи, системные администраторы, программы.

Однако, угрозы для системы могут обнаружиться и на разных уровнях, соответствующих семиуровневой сетевой модели (OSI – Open System Interconnection).

Рассмотрим меры защиты, которые можно применить на каждом уровене семиуровневой сетевой модели.

Физическийуровень. Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. Для того, чтобы злоумышленники не смогли считать передаваемые данные, находясь за пределами корпусов университета, для связи между ними используется оптоволоконный кабель. В корпусах университета используется витая пара, что хотя и не предотвращает возможность считывания передаваемой информации с помощью специальных устройств, но это и не требуется для класса безопасности 1Г.

Канальный уровень. На канальном уровне предприняты следующие меры:

­ Привязка к конкретным портам коммутаторов MAC-адресов, что устраняет угрозу подмены рабочего места пользователя.

Привязка MAC-адресов будет выглядеть примерно следующим образом:

[привязать MAC - 1 к порту Port - 1]

После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к порту данного коммутатора.

­ Использование протокола WPA для кодирования информации, передаваемой по радиоканалу.

Сетевой уровень. Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. На данном уровне рекомендуется предпринять следующие меры:

­ Организация VLAN: данная технология позволит поставить барьер на пути широковещательных запросов (разгрузить сеть). Для этого необходимо каждый порт коммутаторов уровня распределения (сервиса) приписать к определенному VLAN, а взаимосвязь различных VLAN между собой организовать на маршрутизаторах. Структура VLAN рекомендуется следующая: уровень ядра системы (сервера) и уровень распределения выделить в отдельные VLAN, уровень доступа подразделить на VLAN в соответствии с обрабатываемой информацией. Учебные компьютерные классы не должны иметь доступа к серверу БД (и к системе).

­ Для достижения большего эффекта от разбиения сети необходимо использовать листы доступа (ACCESS – листы).

Транспортный уровень.На данном уровне необходимо организовать списки доступа (ACCESS – листы) аналогичные листам доступа на сетевом уровне, однако, здесь можно указывать не адреса сетей, а адреса конкретных сервисов. Такие списки доступа можно настроить на серверах и брандмауэрах.

Прокси-сервер, DNS-сервер, ftp-сервер подключены к фаерволу PIX 515, такой же PIX 515 является защитным «барьером» на пути к серверу БД, Web-серверу, контроллеру домена ist. Одной из функций данного межсетевого экрана является функция фильтрации трафика, настраиваемая в соответствии с правилами политики безопасности сети.

Прикладной уровень. Это уровень сетевой модели, отвечающий за взаимодействие пользовательского приложения и сетью. На данном уровне при доступе к приложению применяется Windows аутентификация на сервере (проверка наличия данного пользователя в списке Active Directory, проверка достоверности имени и пароля) пользователей, и в соответствии с группой, к которой относится пользователь, ему предоставляются соответствующие права на клиенте и на сервере (доступ к соответствующим данным). Беспарольных пользователей в системе быть не должно.

Сюда также можно отнести аудит, который ведется на сервере БД и в самой ИС при экспорте различных отчетов в редакторы (MS Word, MS Excel).