Лаб 6_САПР(оформленная)

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
Брянский государственный технический университет
Утверждаю
Ректор университета
______________А.В. Лагерев
«_____»_____________2007г.
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
ИСПОЛЬЗОВАНИЕ МЕЖСЕТВЫХ ЭКРАНОВ
Методические указания
к выполнению лабораторной работы №6
для студентов очной формы обучения
специальности 220300 – "Системы автоматизированного
проектирования"
Брянск 2007
УДК 004.43
Методы и средства защиты информации. Использование межсетевых
экранов: методические указания к выполнению лабораторной работы
№ 6 для студентов очной формы обучения специальности 220300 –
"Системы автоматизированного проектирования".– Брянск: БГТУ,
2007. - 18 с.
Разработал: С. М. Рощин, доц., канд. техн. наук
А.Е. Фролов, аспирант
Рекомендовано кафедрой «Компьютерные технологии и системы»
БГТУ (протокол № 1 от 6.09.06)
Темплан 2006г., п. 164
Подписано в печать
Формат 60х84 1/16. Бумага офсетная. Офсетная
печать. Усл. печ. л. 0,63 Уч. – изд. л. 0,63 Тираж 50 экз. Заказ
. Бесплатно.
Издательство брянского государственного технического университета,
241035, Брянск, бульвар 50-летия Октября, 7, БГТУ. 54-90-49
Лаборатория оперативной полиграфии БГТУ, ул. Харьковская, 9
3
1. ЦЕЛЬ РАБОТЫ
Цель работы познакомить студентов с имеющимися в
сегодняшний
день
на
рынке
программными решениями
персональных сетевых экранов и разобраться программным
средством VipNet [Персональный сетевой экран].
2. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
Межсетвой экран ZoneAlarm
Программа ZoneAlarm создает firewall (огненная стена) между
Интернет и вашим компьютером. Она контролирует обращения в
Интернет программ, установленных на компьютере, а также попытки
проникновения в ваш компьютер из наружной Сети. Он управляет
«входом и выходом» в ваш компьютер и пропускает только
разрешенный пользователем трафик. При необходимости программа
запрещает доступ к портам вашего компьютера извне и таким
образом защищает вашу информацию (рис.1).
Рис. 1. Окно программы ZoneAlarm
4
ZoneAlarm ведет подробный лог с указанием портов, IP адресов,
времени атаки и т.д. Вы также можете узнать дополнительную
информацию о произведенной атаке, нажав на кнопку More info (Доп.
информация). Причем метод получения информации достаточно
интересен: на сервер ZoneLabs посылается запрос, после чего
отображается web-страница, на которой дается информация об атаке,
ее виде, программе, которая ее произвела и некоторые другие
параметры.
Интересной особенностью программы является возможность
блокирования доступа в интернет с использованием всего одной
кнопки. Причем это действительно работает: байтики перестают
бежать и в ту и в другую сторону. Блокировка Интернета служит для
того, чтобы приостановить взаимодействие с Сетью на некоторое
время, например, когда вы ненадолго покидаете свое рабочее место.
Блокировка может включаться по истечении заданного времени
бездействия подобно тому, как запускается хранитель экрана в MS
Windows.
Главной "фишкой" ZoneAlarm является криптографическая
подпись для тех приложений, которым пользователь доверяет выход
в сеть. Эта функция делает невозможным маскировку одной
программы под другую (как часто делают троянские программы).
Межсетевой зкран Agnitum OutPost FireWall
Agnitum Outpost Firewall - персональный брандмауэр,
обеспечивающий всестороннюю защиту в сети Интернет. По праву
считаясь одной из лучших программ для защиты персональных
компьютеров, Agnitum Outpost Firewall объединяет все последние
достижения в области технологии защиты и является лучшим
решением для обеспечения безопасности Вашей системы. Он
предлагает ряд уникальных функций, благодаря которым
обеспечивается безопасность Вашей системы при соединении с сетью
Интернет (рис. 2).
5
Рис. 2. Окно программы Outpost Firewall
Максимальный уровень защиты компьютера от вторжений
обеспечивается благодаря следующим возможностям:
Безопасность
 Обнаруживает и блокирует все атаки хакеров;
 Предотвращает несанкционированный доступ к данным;
 Скрывает присутствие Вашей системы в сети, делая ее
невидимой для взломщиков;
 Анализирует входящие почтовые сообщения и блокирует
потенциально опасные.
Контроль
 Отслеживает всю сетевую активность Вашей системы;
 Препятствует посещению Вашими детьми или сотрудниками
нежелательных web-сайтов;
 Ведет подробный журнал вcей сетевой активности Вашей
системы и позволяет ее анализировать.
Приватность
 Предотвращает утечку частной информации с Вашего
компьютера;
 Отражает посягательства на Вашу конфиденциальность в сети
Интернет;
 Сохраняет в тайне Ваши перемещения и навигацию по
Интернет.
Простота в использовании
6
Работает со всеми операционными системами Windows, при
любом Интернет-соединении и с любыми приложениями;
 Автоматически настраивается для оптимальной защиты данных
во время инсталляции;
Систематически следит за обновлениями через настраиваемую
утилиту в целях обеспечения защиты от новых атак.

VipNet [Персональный сетевой экран]
Персональный сетевой экран является универсальным программным средством, обеспечивающим надежную защиту
компьютера
от
несанкционированного
доступа
к
его
информационным и ап-партным ресурсам по IP- протоколу при
работе компьютера в локальных или глобальных сетях, например. Internet. Надёжная защита достигается за счёт взаимодействия
программы непосредственно с драйвером сетевого устройства, что
обеспечивает независимость программы от операционной системы и
недокументированных возможностей в ней.
При запуске программы необходимо ввести пароль, идентифи
цирующий пользователя, и нажать кнопку Принять (рис. 3) (пароль:
gjkpfjf, «первые три буквы каждого слова фразы «полузащитник за
браковал каблук»)
Рис. 3. Ввод пароля
Программа имеет несколько режимов работы (рис. 4):
Блокировать весь IP-трафик: режим абсолютной защиты рабочего места и эквивалентен полному отключению от сети. В этом
режиме независимо от настроек операционной системы на доступ к
файловым и аппаратным ресурсам к компьютеру доступ к ним будет
полностью блокирован.
Пропускать только разрешёнными сетевыми фильтрами IPтрафик: самый безопасный режим работы в сети, при котором будет
заблокирован
весь
IP-трафик,
за
исключением
7
широковещательных пакетов, и возможна работа только с
зарегистрированными и разрешенными IP-адресами. Режим наиболее
приемлем для работы в локальной и глобальной сетях с весьма
ограниченными или определёнными информационными ресурсами.
Доступ со стороны разрешённых пользователей будет разрешён
только в соответствии с установленными фильтрами. В режиме
ведётся полное наблюдение за атаками и попытками взлома, в том
числе от инициализации различных «троянских коней».
Рис. 4. Режимы работы
Бумеранг: в большей степени предназначен для работы в глобальной сети. Режим устанавливается по умолчанию при установке
программы, обеспечивает защиту как и в предыдущем режиме. Отличием является возможность работы со всеми сетевыми ресурсами,
кроме зарегистрированных и запрещённых. Существует два режима
Бумеранга:
Жесткий бумеранг по IP-адресу и типу IP-пакета: поступающая во время соединения информация анализируется по
большому числу параметров (адрес, протокол, порт) из-за чего атаки
8
на компьютер практически невозможны, даже с компьютера, с
которым в данный момент установлено активное соединение.
Мягкий бумеранг по /Р-адресу и IP-протоколу: поступающая
во время соединения информации анализируется по меньшему числу
параметров (адрес, протокол), данный режим менее безопасен, и его
рекомендуется включать только в случае необходимости.
Пропускать весь IP-трафик: режим полного отключения
фильтрации с ведением протоколирования трафика.
Отключить драйвер: режим полного отключения фильтрации
без ведения протоколирования трафика.
В окне «Обнаружение атак» (рис. 5) можно произвести на
стройки для системы обнаружения атак (intruder detection system,
IDS). Это система обнаружения и предотвращения таких действий со
стороны злоумышленника («хакера» либо «взломщика»), которые
могут привести к проникновению внутрь системы, либо
совершению по отношению к ней каких-либо злоупотреблений.
Рис. 5. Окно «Обнаружение атак»
Система работает на сетевом уровне, благодаря чему имеет ряд
достоинств:
 возможность обнаруживать и блокировать сетевые пакеты до
обработки их стеком TCP/IP и этим защищать стек от атак на
9
него самого (такие атаки, как WinNuke);
 возможность блокировать на ранней стадии атаки, направлен
ные на перегрузку системы, приводящие к отказу от
обслуживания (например, jolt2 (CAN-2OOO-O3O5));
В случае установки ПСЭ на шлюз появляется возможность контроля сразу всех компьютеров, находящихся за этим шлюзом.
Настройки обнаружения атак осуществляются с помощью
включения или выключения следующих опций в окне Обнаружение
атак:
 следить за сетевыми атаками во входящем потоке - по
умолчанию опция включена, то есть программа проверяет весь
входящий трафик компьютера;
 следить за сетевыми атаками в исходящем потоке - по умолчанию опция включена. При ее включении программа будет
проверять весь исходящий трафик от компьютера.
В своём составе VipNet имеет средства для ведения статистики и
журнала работы программы.
Окно «Статистика IP-пакетов» имеет следующий вид (рис. 6):
Данные отображается в двух столбцах: первый - входящие IPпакеты, второй - исходящие IP-пакеты. Выводятся следующие
сообщения:
 пропущено
нешироковещательных
IP-пакетов
количество принятых и отправленных пакетов;
 блокировано
нешироковещательных
IP-пакетов
количество входящих и исходящих блокированных пакетов;
 пропущено широковещательных сообщений - количество
принятых и отправленных широковещательных сообщений;
 блокировано широковещательных сообщений - количество
входящих и исходящих блокированных широковещательных
сообщений.
Это окно очень удобно использовать для контроля за трафиком
без детализированного отчёта, например для определения работы
другого ресурса с машиной пользователя без подробного отчёта.
10
Рис. 6. Окно Статистики IP-пакетов
Окно «Журнал IP-пакетов» (рис. 8) предназначено для более
подробного анализа входящего/исходящего трафика с возможностью
ведения архивов журналов за различные временные участки.
Для каждой записи журнала выводится следующая
информация:
 начало интервала - начало создания новой записи для кон
кретного IP-адреса, порта или протокола;
 конец интервала - окончание подсчета количества
обращенийпо данному IP-адресу, порту или протоколу без
создания новых записей, если закончилось время, указанное в
окне Настройка Журнала.В этом случае значение данного
параметра не изменится. Вели указанный временной интервал
еще не завершился, то Конец интервала показывает время
последнего обращения по данному IP-адресу, порту или
протоколу, и если произойдут еще обращения, то значение
данного параметра будет меняться. По окончании времени
для данного IP-адреса, порта или протокола будет создана
новая запись;
 IP-адрес - значение IP-адреса, с которого/по которому про
11







изошло обращение;
имя адресата –имя адресата от которого/к которому
произошло обращение
местный порт - номер местного порта;
внешний порт - номер внешнего порта;
протокол - протокол, по которому происходил обмен;
событие - событие, в соответствии с описанием;
счетчик - количество обращений для конкретного IP-адреса,
порта или протокола в заданный интервал времени.
атрибуты. Атрибуты состоят из двух значений XY, где
X - атрибут направления, может иметь значения:
И - Исходящий пакет;
В - Входящий пакет;
Y - атрибут широковещательного признака:
Ш - Широковещательный пакет;
О - Обычный пакет.
Рис. 7. Окно Журнала IP-пакетов
Рассмотрим работу программы на различных режимах путем
создания нескольких рабочих конфигураций при работе в глобальной
сети Internet. Для этого в окне сетевые фильтры добавим папку Internet, в которую будут добавлены фильтры определённых сетевых
ресурсов. Сетевые фильтры имеют древовидную структуру, что
12
позволяет вести полноценное структурирование и
систематизирование
информационных ресурсов (рис.8).
Рис. 8. Добавление папки в сетевые фильтры.
Для выполнения этой задачи нажатием правой кнопки мыши на
сетевые фильтры вызываем контекстное меню и добавляем папку Internet. Нажав правую кнопку мыши на папке Internet, пользователь
сможет добавить другие папки и соответственно в них другие, что
позволяет вести работу с сетевыми фильтрами как с обычным программным средством «проводник» MS Windows.
Для добавления конкретного сетевого ресурса нажатием правой
кнопки мыши на созданной папке Internet выбираем Правила
доступа/Добавить IP-адрес (рис. 9).
13
Рис. 9. Добавление правила
В появившемся окне (рис. 10) необходимо ввести либо
доменное имя сетевого ресурса, либо его IP-адрес.
Рис. 10. Ввод IP-адреса
После введения доменного имени или IP-адреса необходимо нажать Добавить, затем VipNet определит IP-адрес или имя, соответственно. В окне можно сразу разрешить или блокировать сетевой ре-
14
сурс. Для окончания регистрации сетевого фильтра необходимо нажать Принять.
В таком порядке регистрируем следующие сетевые фильтры:
WWW.APORT.RU
WWW.FOMENKO.RU
WWW.ALTAVISTA.RU
WWW.TFLEX.RU
WWW.SOLIDWORKS.RU
WWW.YA.RU
WWW.WFOTECS.RU
WWW.RUMBLER.RU
Далее в основном меню заходим в конфигурации и выбираем
Создать новую конфигурацию (рис.11).
Рис. 11. Окно работы с конфигурациями
Переименовываем данную конфигурацию в конфигурацию
«Поиск» (рис. 12) и устанавливаем её как текущую, нажатием пункта
меню Установить данную конфигурацию.
15
Рис. 12. Установка конфигурации
Далее необходимо выбрать режим 2, «Пропускать только разрешенный сетевыми фильтрами IP-трафик», и в сетевых фильтрах
разрешить/заблокировать следующие ресурсы (рис. 13)
Рис. 13. Разрешение/блокирование сетевых ресурсов
Повторением
вышеобозначенных
действий
создаём
конфигурацию «Работа» и устанавливаем её как текущую.
Разрешаем/блокируем следующие сетевые ресурсы (рис. 14):
16
Рис. 14. Разрешение/блокирование сетевых ресурсов
Далее создаём конфигурацию «Ограниченный», устанавливаем
режим №3, «Жесткий бумеранг» и разрешаем/блокируем следующие
сетевые ресурсы (рис.15.)
Рис. 15. Разрешение/блокирование сетевых ресурсов
При дальнейшей работе пользователь может легко и удобно
поменять текущую конфигурацию и даже сразу же выбрать её при
запуске программе (Рис. 16):
Рис. 16. Выбор конфигурации
При выборе конфигураций:
«Поиск» - будет доступна работа только с зарегистрированными
поисковыми ресурсами;
17
«Работа» - будет доступна работа только с зарегистрированными
рабочими ресурсами (TFlex, Solid Works, Infotecs);
«Ограниченный» - пользователь сможет работать со всеми
сетевыми ресурсами, за исключением зарегистрированных и
блокированных (www.fomenko.ru). Во всех режимах будет
производится защита от сетевых атак.
3. УСЛОВИЯ РАБОТЫ
При выполнении работы необходимо выполнить следующие
действия:
1. В сетевых фильтрах создать папку LAN и зарегистрировать
в ней IP-адреса DNS-сервера и шлюза..
2. Создать в сетевых фильтрах папку Internet.
3. В созданной папке зарегистрировать IP-адреса нескольких
поисковых сайтов, посвященных САПР, развлекательных
сайтов.
4. Создать две конфигурации, которые:
 Первая - разрешает работу только с поисковыми сайтами
 Вторая – разрешает работу только с сайтами посвященными
системам проектирования.
В этих конфигурациях должна быть запрещена работа с
развлекательными сайтами.
5. Создать конфигурацию в двух различных режимах VipNet
[Персональный сетевой экран].
6. Перезапустить программу, убедится в правильности
составления режимов.
7. Удалить созданные конфигурации и зарегистрировать
сетевые фильтры
.
4. СОДЕРЖАНИЕ ОТЧЕТА
Отчет по лабораторной работе должен быть оформлен в
соответствии с требованиями университета на листах белой бумаги
формата А4 в печатном или рукописном виде. В случае оформления
отчёта в рукописном виде, его необходимо оформить чертёжным
подчерком.
18
5. КОНТРОЛЬНЫЙ ВОПРОСЫ
1. Что такое VIPNET персональный сетевой экран?
2. За счет чего обеспечивается защита компьютера?
3. Охарактеризуйте режимы работы VIPNET персональный
сетевой экран?
4. Для чего нужно “окно” обнаружения атак?
5. Какие достоинства имеет система при обнаружении атак?
6. Для чего нужна статистика IP-пакетов?
7. Охарактеризуйте
формализованные
сообщения
характеристики IP-пакетов?
8. Для чего нужен журнал IP-пакетов?
9. Охарактеризуйте формат записи журналов IP-пакетов?
10. Для чего используют и что содержат атрибуты записи журнал
IP-пакетов?
11. Для чего нужны и как настраиваются фильтры VIPNET
персональный сетевой экран?
12. Можно ли с помощью программы VIPNET персональный
сетевой экран защитить несколько компьютеров?
6. СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ
1. Завгородний В.И. Комплексная защита информации в
компьютерных системах. Учебное пособие. – М.:Логос; ПБЮЛ Н.А.
Егоров, 2001
2. Программно-аппаратные средства обеспечения информационной
безопасности. Защита программ и данных. Учебное пособие для
вузов / П.Ю. Белкин, О.О. Михальский, А.С. Першаков и др. – М.:
Радио связь, 2000
3. Терри Оглтри Firewalls. Практическое применение межсетевых
экранов. - ;ДМК пресс, 2000
4. П.Б. Хорев Методы и средства защиты информации в
компьютерных системах. – Академия; 2006