Информационная безопасность в терминальной ферме

На основе проведенной оценки эффективности применения разработанных мер и инструментов информационной безопасности в терминальной ферме, были сделаны следующие рекомендации по дальнейшему развитию системы:Усовершенствование системы мониторинга и реагирования на инциденты информационной безопасности для более оперативного обнаружения и предотвращения угроз.Разработка и внедрение системы автоматизированного аудита безопасности, чтобы обнаружить возможные слабые места в системе.Проведение регулярных тренировок и семинаров для сотрудников по вопросам информационной безопасности, чтобы поддерживать высокий уровень осведомленности и компетентности персонала.Улучшение процедур резервного копирования и восстановления данных для обеспечения надежности и доступности информационных ресурсов.В данной главе была проведена оценка эффективности применения разработанных мер и инструментов по обеспечению информационной безопасности в терминальной ферме. Результаты подтвердили положительное влияние применения этих мер на уровень безопасности информационных ресурсов и систем.Анализ показал, что использование комплексного подхода к обеспечению безопасности, включающего технические и организационные меры, способствует максимальной защите данных. Рекомендации по дальнейшему развитию системы намечены с целью повышения уровня безопасности и эффективности в терминальной ферме. Все это позволит сохранить конфиденциальность, целостность и доступность информации для успешного функционирования организации.4 Внедрение использования VPN для подключения к терминальной фермеИТ-отделы часто (но не всегда) сталкиваются с необходимостью рано или поздно организовать удаленный доступ к корпоративной сети, например, для сотрудников, находящихся в командировке или заболевших. Эта задача может быть решена разными способами. Здесь мы хотели бы представить одно из решений, которое используется на практике в нашей компании. Это решение отличается от многих других по трем основным параметрамНа стороне удаленного пользователя требуется минимальная настройка, используются все стандартные приложения и функции операционной системы Windows;Удаленные пользователи работают на терминальном сервере, предоставляющем им среду, необходимую для выполнения их задачОчень гибкий контроль доступа к ресурсам компании (обеспечивается межсетевым экраном TMGISA на основе доменной аутентификации).Для этого нам нужно:TMG или ISA-сервер.Терминальный сервер.У нас есть оба сервера в виде обычных виртуальных машин, развернутых на hyper-vie.Нам также нужны две пустые подсети. Доступ пользователя к конечным ресурсам можно разделить условно на три этапа:Доступ посредством pptp в изолированную сеть vpn-клиентовДоступ по rdp на сервер терминаловНепосредственный доступ с сервера терминалов к ресурсам ЛВС компании по любой маске доступаНиже приведено описание распространенных методов подключения и соответствующих им этапов.Рисунок 4. Доступ посредством pptp в изолированную сеть vpn-клиентовНам нужен случайный pptp-сервер для реализации этого. Мы используем Cisco, и ничто не мешает нам просто сбросить pptp с пограничного маршрутизатора/брандмауэра на тот же TMGISA, который мы используем для клиентского доступа к ресурсу, и установить там pptp-сервер.vpdn enable!vpdn-group 1! Default PPTP VPDN groupaccept-dialinprotocolpptpvirtual-template 1ippmtuipmtu adjustusernameras_user password 7 010157010906550075581B0C4F044011530F5D2F7A743B6264314255usernameras_guest password 7 120B541640185F3B7E2C713D653075005F025Ainterface GigabitEthernet0/0.3description Internetencapsulation dot1Q 3ip address x.x.x.x 255.255.255.252ipnat outsideip virtual-reassembly max-fragments 64 max-reassemblies 256ip policy route-map Internet-10-144-68nocdp enableinterface Virtual-Template1mtu 1400ip unnumbered GigabitEthernet0/0.3ip access-group 170 iniptcp adjust-mss 1360peer default ip address pool vpn_usersnokeepaliveppp encrypt mppe autoppp authentication ms-chap-v2pppipcpdns 172.22.1.201!ip local pool vpn_users 172.22.4.1 172.22.4.250access-list 170 permit udp 172.22.4.0 0.0.0.255 host 172.22.1.201 eq domainaccess-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq 3389access-list 170 permit icmp any anyaccess-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq wwwКлючевой момент на данном этапе — организация сети vpn-клиентов с возможностью коннекта из нее ТОЛЬКО на сервер терминалов на порт rdp.4.1 Доступ к терминальному серверу через rdpТаким образом, клиент подключается к pptp-серверу, получает доступ к терминальному серверу и подключается к нему с помощью удаленного рабочего стола. Здесь необходимо сделать несколько пояснений:Группы безопасности в AD создаются по маскам, и, грубо говоря, есть, например, четыре группы ресурсов, разделенные по проектам: проект1, проект2, проект3 и общий. Таким образом, в AD создаются четыре группы безопасности, первые три из которых входят в группу 'General'. Группе 'General' разрешено входить на терминальный сервер. Кроме того, чтобы подключить средство удаленного доступа к любому пользователю AD, достаточно добавить его в соответствующую группу.Прямой доступ к внутренним ресурсам локальной сети с терминального сервера с использованием любой маски доступаДля выполнения этого шага необходимо настроить TMGISA. При написании этой статьи я не буду вдаваться в подробности настройки брандмауэра, поскольку планировал его только как описание схемы, а не как четкую инструкцию к действию.В TMG внешняя сеть - это наша локальная сеть.Внутренней сетью будет сеть, в которой расположен терминальный сервер.Клиент TMGISA должен быть установлен на терминальном сервере, чтобы правила привязывались к пользователям.Поэтому все правила брандмауэра привязаны к ранее созданным группам безопасности Project1, Project2, Project3 и General.5 Рисование топологии сети с использованием VPN для подключения к терминальной ферме по протоколу SSH5.1 Описание протокола SSHSecureShell (SSH) - это надежный протокол безопасности с широким спектром применений. Чаще всего он используется для обеспечения безопасного доступа к удаленным компьютерам и серверам, но также может применяться для туннелирования, переадресации портов и безопасной передачи файлов.В этом руководстве рассказывается о том, что такое SSH, для чего он используется, история протокола, технические подробности и соображения безопасности.SSH состоит из трех отдельных протоколов: транспортного уровня, уровня аутентификации и уровня соединения. Транспортный уровень, уровень аутентификации и уровень соединения. Вместе они отвечают за проверку того, кто подключается, обеспечивают конфиденциальность с помощью шифрования и проверяют целостность данных. В настоящее время SSH чаще всего используется как собственный SSH-2 или как итерация OpenSSH с открытым исходным кодом.Удаленный доступ - это когда пользователь может войти на другой компьютер или сервер со своей машины. Это используется для доступа к локальным файлам на целевом компьютере или для выполнения какой-либо услуги на этом компьютере без физического присутствия.Такие программы, как telnet и rlogin, также выполняют эту функцию, но им не хватает функций безопасности SSH. Меры шифрования и аутентификации, используемые в SSH, позволяют пользователям безопасно подключаться к другому серверу или компьютеру, даже в потенциально опасной промежуточной сети. Удаленный доступ SSH - это распространенный метод удаленного доступа.Удаленный доступ SSH часто используется для того, чтобы сотрудники могли работать удаленно или ИТ-отделы могли выполнять задачи без необходимости физически подходить к компьютеру. Он может использоваться для удаленного администрирования, управления сетевой инфраструктурой, настройки автоматизации, создания резервных копий и т. д.Переадресация портовПеренаправление портов используется для передачи запросов с одного набора адресов и номеров портов на другой. Трансляция сетевых адресов (NAT) применяется для переадресации портов между локальной сетью и удаленными компьютерами, чтобы устройства могли быть доступны извне сети.Переадресация портов может осуществляться тремя различными способамиЛокальная переадресация портов - локальная переадресация портов позволяет устанавливать соединения между локальными клиентами и внешними сетями. Это полезно для доступа к локально заблокированным веб-сайтам или подключения к базам данных за брандмауэрами.Удаленный проброс портов - этот тип проброса позволяет серверным приложениям получать доступ к клиентским службам; удаленный проброс портов SSH позволяет пользователям безопасно подключаться к удаленному серверу со своего локального компьютера путем проброса локального порта на удаленный сервер SSH. Удаленная переадресация портов позволяет пользователям безопасно подключаться к удаленному серверу со своего локального компьютера.Динамическая переадресация портов - несколько SSH-серверов, выступающих в роли прокси-серверов, могут использоваться для отправки данных с определенного порта на удаленный компьютер или сервер.Рисунок 5. ТуннелированиеПротоколы туннелирования используют инкапсуляцию для перемещения данных между сетями. Туннелирование позволяет неродным протоколам проходить через сети, которые обычно не поддерживаются. Еще одно распространенное применение - обеспечение безопасности в незащищенных сетях.Протоколы туннелирования оборачивают критически важные пакеты в полезную нагрузку другого пакета. Туннелирование SSH позволяет пользователям обходить защиту сети, подключать устройства, использующие неродные сетевые протоколы, и защищать передаваемые данные. Обычно он используется для безопасного подключения удаленных пользователей к онлайн-ресурсам организации.5.2 Проектирование и рисование топологии сети с использованием VPN и SSHПроектирование топологии сети является ключевым этапом для обеспечения безопасности и эффективности информационной инфраструктуры терминальной фермы. В данной главе рассмотрим принципы и подходы к проектированию сетевой топологии, а также роль VPN (виртуальной частной сети) и SSH (протокола безопасной оболочки) в обеспечении информационной безопасности.Перед началом проектирования топологии сети необходимо провести анализ существующей инфраструктуры и требований к безопасности. Это позволит определить необходимые компоненты и параметры сети, а также учесть особенности терминальной фермы.Виртуальная частная сеть (VPN) является незаменимым инструментом для обеспечения безопасной коммуникации между удаленными местоположениями и пользователями. В контексте терминальной фермы, VPN позволяет создать защищенное соединение между различными устройствами и серверами.При разработке топологии сети следует учесть следующие принципы использования VPN:Необходимо определить соединения, которые требуют безопасного доступа, например, соединения с удаленными серверами баз данных или системами управления.Распределение сетевых ресурсов и конфигурация серверов VPN должны быть унифицированы и хорошо документированы.Трафик, проходящий через VPN, должен быть зашифрован для обеспечения конфиденциальности данных и исключения возможности несанкционированного доступа.Протокол безопасной оболочки (SSH) является стандартным протоколом для безопасной удаленной администрации систем. SSH обеспечивает шифрование и авторизацию при передаче данных между удаленными местоположениями и серверами.При проектировании топологии сети рекомендуется применять следующие принципы использования SSH:Использование SSH-клиента для удаленного доступа к серверам терминальной фермы должно быть стандартизировано и основано на прописанных правилах безопасности.Шифрование и аутентификация данных, передаваемых между SSH-клиентом и серверами, должны соответствовать определенным стандартам безопасности.Необходимо обеспечить безопасное хранение и обновление ключей безопасности SSH, чтобы предотвратить несанкционированный доступ к серверам.Рисование топологии сети является важным этапом проектирования, поскольку позволяет легко визуализировать конфигурацию сетевых компонентов и связи между ними. В терминальной ферме рекомендуется создать диаграмму, на которой будут отображены все устройства и соединения.При рисовании топологии сети рекомендуется учесть следующие принципы:Применение стандартных символов и значков для обозначения различных устройств и сетевых элементов.Отображение всех линий связи и их характеристик, таких как тип соединения, пропускная способность и защищенность.Включение подробных описаний и меток для каждого устройства, чтобы облегчить понимание структуры сети.6 Производство атак на сеть и оценка ее защищенности6.1 Описание типов атак и используемых инструментовВ современном мире информационные технологии играют ключевую роль во всех сферах деятельности. В частности, терминальные фермы, которые представляют собой сеть из удаленных терминалов, используемых для выполнения вычислительных задач, оказываются особенно уязвимыми перед атаками и вмешательством несанкционированных лиц. Именно поэтому информационная безопасность в терминальной ферме является важной задачей для обеспечения непрерывной и безопасной работы системы.Первым шагом в гарантированной защите терминальной фермы является понимание процесса производства атак на сеть и оценка ее уровня защищенности. Атаки на сеть могут осуществляться различными способами и использовать разнообразные инструменты.Одним из наиболее распространенных способов атаки на терминальную ферму является метод, известный как "отказ в обслуживании" (DistributedDenialofService или DDoS). Этот тип атаки происходит путем перегрузки сети большим количеством запросов, что приводит к ее недоступности для легитимных пользователей. Для осуществления DDoS-атаки злоумышленники используют ботнеты, то есть сеть зараженных компьютеров, которые направляют непрерывные запросы к целевой сети.Еще одним распространенным типом атаки является фишинг. Этот метод основывается на использовании поддельных электронных писем или веб-страниц с целью обмануть пользователей и получить их персональную информацию, такую как пароли или данные банковских карт. Фишингатаки могут быть способность передовера данных через получение дополнительных сведений о потенциальной цели.Другим типом атаки на терминальную ферму является внедрение вредоносного программного обеспечения (малвари). Злоумышленники могут использовать различные методы внедрения малвари, такие как отправка поддельных электронных писем с вложениями или использование незащищенных точек доступа Wi-Fi. Как только малварь попадает на устройство, она может получать доступ к конфиденциальной информации, прослушивать сетевой трафик или даже контролировать само устройство.Оценка уровня защищенности терминальной фермы проводится при помощи различных инструментов. Популярным средством является проведение пентеста (проникновения), позволяющего выявить уязвимости и риски безопасности в сети. Другие инструменты включают анализаторы сетевого трафика и интрузионные детекторы, которые могут обнаруживать необычную активность в сети и предупреждать об возможных атаках.6.2 Проведение атак на сеть терминальной фермы с использованием различных способов.Информационная безопасность сегодня является одним из самых актуальных вопросов для предприятий, особенно тех, которые работают в области терминальных ферм. В данной главе мы рассмотрим различные способы проведения атак на сеть терминальной фермы, а также их возможные последствия.Атаки на фермуФишинг. Одним из самых распространенных способов атаки на сеть терминальной фермы является фишинг. При этом злоумышленники маскируются под легитимные организации или лица, с целью получить доступ к чувствительным данным. Они могут отправлять электронные письма с поддельными ссылками или вредоносными вложениями, а также использовать социальную инженерию для обмана пользователей.Денайл-оф-сервис. Другим распространенным видом атаки является денайл-оф-сервис (DoS). При этом злоумышленник создает большую нагрузку на сеть, например, отправляя огромное количество запросов на сервер терминальной фермы. Это может привести к перегрузке системы и временной недоступности для пользователей.Мальваре. Взломы с использованием вредоносных программ (мальваре) также являются широко распространенными вариантами атак. Злоумышленники могут заражать компьютеры в сети терминальной фермы через вредоносные вложения в электронных письмах, незащищенные ресурсы или уязвимые сервисы.6.3 Анализ результатов атак и оценка эффективности защитных мерПосле проведения атак на сеть терминальной фермы необходимо провести анализ результатов для определения эффективности защитных мер и выявления уязвимостей системы.Первым шагом является идентификация уязвимостей в системе. Для этого используются различные инструменты и методы, например, сканирование уязвимостей и периодическое обновление системы с целью закрытия известных уязвимостей.После идентификации уязвимостей проводится оценка эффективности защитных мер. Это включает анализ существующих механизмов защиты, таких как межсетевые экраны, антивирусные программы и системы обнаружения вторжений. Оценка производится с целью определения необходимости внесения изменений или внедрения новых методов защиты.ЗаключениеСуществующие методы защиты терминального доступа не представляют серьезной угрозы для злоумышленников или специально разработанных вредоносных программ. Использование стандартизированных протоколов и методов для доступа к информации, обычно получаемой с помощью терминального доступа, может значительно облегчить защиту этой информации и уменьшить потенциальный ущерб.Обязательное использование терминального доступа должно осуществляться на местном уровне с соблюдением необходимых административных и технических мер предосторожности на подстанциях, как и при других операциях в электроустановках.Вопрос обеспечения безопасной среды, особенно в отношении ноутбуков инженеров, намеренно не рассматривается в данном отчете.Список литературыБолгарский А.И. Защита информации вгосударственных информационных системах //Вестник УрФО. Безопасность в информационной сфере. 2011. № 2. С. 48–50.URL: https://elibrary.ru/item.asp?id=17321318Сабанов А.Г., Мельниченко П.А. Предоставление защищенного доступа к информационным системам массового использования приоказании государственных услуг в электронномвиде // Вестник Российской таможенной академии. 2011. № 3. С. 73–78. URL: https://elibrary.ru/item.asp?id=16713868Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: утв.постановлением Правительства Рос. Федерацииот 1 ноября 2012 г. № 1119 // Российская газета,№ 256, 07.11.2012.Проект методического документа. Методика определения угроз безопасности информации в информационных системах [Электрон.ресурс] // Федеральная служба по техническому и экспортному контролю России. Режимдоступа: https://fstec.ru/component/attachments/download/812Об информации, информационных технологиях и о защите информации (с изменениямина 23 апреля 2018 года): федеральный закон Российской Федерации от 27 июля 2006 г. №149–Ф3. // Российская газета, № 165, 29.07.2006.О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации ивывода из эксплуатации государственных информационных систем и дальнейшего хранениясодержащейся в их базах данных информации(с изменениями на 11 мая 2017 года): утвержденпостановлением Правительства РоссийскойФедерации от 6 июля 2015 г. № 676 // Собрание законодательства Российской Федерации,№ 28, 13.07.2015, ст.4241.7. Об утверждении Состава и содержанияорганизационных и технических мер по обеспечению безопасности персональных данных приих обработке в информационных системах персональных данных (с изменениями на 23 марта 2017 года) :утверждем приказом ФСТЭК от18 февраля 2013 г. № 21 // Российская газета,№ 107, 22.05.2013.Об утверждении Требований по защитеинформации, не составляющей государственную тайну, содержащейся в государственныхинформационных системах (с изменениямина 15 февраля 2017 года): утвержден приказомФСТЭК от 11 февраля 2013 г. № 17 // Российская газета, № 136, 26.06.2013.Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России от 11 февраля 2014 г.Лемке Е.А., Лубкин И.А. Создание защищенной терминальной системы // Решетневские чтения. 2013. Т. 2. № 17. С. 306–308.Agrawal A., Ahmed C. M., Chang E. Poster. Physics-BasedAttack Detection for an Insider Threat Model in a Cyber-PhysicalSystem // In Proceedings of the 2018 on Asia Conference on Computerand Communications Security, 2018. Pp. 821–823.Mead N., Shull F., Vemuru K., Villadsen O. A. Hybrid ThreatModeling Method // Software Engineering Institute, Carnegie MellonUniversity. 2018. URL: http://resources.sei.cmu.edu/library/asset-view.cfm? AssetID=516617Khan R., McLaughlin K., Laverty D., SezerSakir. STRIDE‑based Threat Modeling for Cyber-Physical Systems // In Proceedingsof the 2017 IEEE PES Innovative Smart Grid TechnologiesConference Europe.Shevchenko N., Chick T. A., O’Riordan P., Scanlon T. P.,WoodyC. Threat modelling: A summary of available methods // CarnegieMellon University Software Engineering Institute. 2018. Pp. 1–24.Yue Li, Teng Zhang, Xue Li, Ting Li. A Model of APT attack Defense Based On Cyber Threat Detection // Communications inComputer and Information Science, Cyber Security,15th InternationalAnnual Conference, CNCERT 2018. Pp. 122–134.Cao X., Gong N. Z. Mitigating Evasion Attacks to DeepNeural Networks via Region-based Classification // Proceedings of the2017 Annual Computer Security Applications Conference (ACSAC).ACM, 2017. Pp. 278–287.