Пояснительная записка (1209853), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

В дальнейшем будет приведена реализацию на OpenVPN на ОС CentOS. Это позволит решить все поставленные задачи выпускной квалификационной работой:

• уменьшение риска компрометации, путём введения двухфакторной аутентификации пользователей при удалённом подключении;

• получение пользователями удалённого доступа в защищённом исполнении к корпоративным ресурсам компании;

• разграничение доступа пользователей только к тем информационным ресурсам компании, которые им необходимы для выполнения должностных обязанностей;

• мониторинг и контроль удаленного доступа пользователей.

3 Разработка проекта защиты информационных ресурсов компании при удалённом доступе пользователей

3.1 Требования к пользователям

В компании должен быть назначен администратор по безопасности, на которого возлагаются задачи организации работ по настройке защищённого удалённого доступа, проведения соответствующих инструкций для пользователей, а также контроль за соблюдением приведенных требований.

Правом удалённого доступа к корпоративным ресурсам должны обладать только определенные лица, прошедшие соответствующую подготовку. Администратор безопасности должен ознакомить каждого пользователя, применяемым СКЗИ, с документацией на СКЗИ, а также с другими нормативными документами, созданными на её основе.

Пользователь СКЗИ должен принять на себя обязательства по нераспространению доверенных ему конфиденциальных сведений (в частности, ключевой информации). Такие обязательства могут включаться непосредственно в текст контракта (договора). Пользователь допускается к работе с СКЗИ после подписания обязательств, определяющих его материальную или иную форму ответственности за возможные нарушения.

3.2 Требования к мобильным устройствам

Под мобильными техническими средствами понимается портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны).

Все мобильные технические средства должны принадлежать компании, и должен проводиться учет всех мобильных технических средств с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Мобильные устройства должны выдаваться пользователям только для выполнения их должностных обязанностей и предоставления удалённого доступа к корпоративным ресурсам. Данная выдача может производиться только после того, как получат одобрение заявки на предоставление удалённого доступа. Данная выдача должна так же фиксироваться в журнале (учетной карточке). В случае увольнения сотрудника, мобильное устройство должно быть изъято и зафиксировано фактом изъятия в журнале. Учётные данные старого пользователя должны быть полностью удалены.

На мобильных устройствах должны быть обеспечены меры по идентификации, аутентификации пользователя, управлению доступом, регистрации событий безопасности и антивирусной защитой, согласно принятой политике безопасности компании.

Администратором по безопасности должны осуществляться выборочные проверки мобильных технических средств (на предмет их наличия) и хранящейся на них информации (например, на предмет отсутствия информации, которая является конфиденциальная для данного пользователя).

3.3 Требования к разграничению доступа пользователей

Сотрудникам компании для выполнения их должностных обязанностей не требуется доступ ко всем ресурсам. Поэтому в целях безопасности доступ к различным ресурсам корпоративной сети требуется разграничить, согласно их должности.

Определим ресурсы, к которым пользователям будет разрешён удалённый доступ. Согласно перечню информационных ресурсов определённых в анализе информационной системы:

• IP-телефонии Asterisk;

• электронный документооборот;

• ИС 1С: Торговля и Склад;

• ИС 1С: Бухгалтерия;

• ИС ДЭСК-КОНТРОЛЬ;

• ИС Метрология;

• почтовый сервис.

Из определённого перечня информационных ресурсов исключается ИС 1С: Бухгалтерия, данная ИС не подключена к локальной сети в целях безопасности и установлена на отдельном АМРе. Ко всем остальным ресурсам удалённый доступ будет предоставлен.

Для разграничения доступа к определённым информационным ресурсам необходимо пользователей разделить на группы:

• администраторы;

• сервисные инженеры;

• сотрудники лаборатории;

• сотрудники по работе с клиентами;

• начальники.

Базовый подход к разграничению доступа:

• выделить каждой группе собственный диапазон IP-адресов;

• контролировать доступ к машинам, установив брандмауэрные правила, которые основываются на виртуальном IP-адресе клиента.

Предполагается, что количество сотрудников будет меняться. Поэтому данный подход к распределению IP будет состоять в том, чтобы поместить группы в разные диапазоны IP-адресов, а потом выдать фиксированные IP-адреса каждому сотруднику.

Одним из требований к этому подходу заключается в том, что на серверной машине OpenVPN есть программный брандмауэр, который дает вам возможность задавать конкретные брандмауэрные правила. В примере предполагается использование брандмауэра – iptables.

Сначала определяется, по каким IP-адресам будут доступны информационные ресурсы, к которым будет настраиваться удалённый доступ согласно таблице 3.4.1:

Таблица 3.4.1 – Составление информационных ресурсов и IP-адреса

Информационный ресурс	IP-адрес доступа
IP-телефония Asterisk	192.168.10.5/24
Электронный документооборот	192.168.10.6/24
Почтовый сервис	192.168.10.7/24
ИС ДЭСК-КОНТРОЛЬ	192.168.10.10/24
ИС Метрология	192.168.10.11/24
ИС 1С: Торговля и Склад	192.168.10.14/24

Затем создаётся карта виртуальных IP-адресов в соответствии с каждой группой пользователей как показано в таблице 3.4.2:

Таблица 3.4.2 – Сопоставление доступа групп пользователей к информационным ресурсам

При настройке правил разграничения доступа пользователей администратор по безопасности должен руководствоваться данными требованиями. Также при создании учётных записей для подключения должен учитывать поле CommonName и задавать логины с рекомендуемыми префиксами в таблице 3.2.

3.4 Требования к логинам и паролям

Для подключения клиента к серверу OpenVPN необходимо создавать сертификат и закрытый ключ. При создании сертификата нужно указать поле CommonName и пароль. Каждому пользователю при предоставлении удалённого доступа должны присваиваться учётные данные, которые должны соответствовать следующим требования.

Необходимо разработать и применить политику назначения логинов и паролей, использовать фильтры логинов в соответствии со следующими правилами:

• логин должен содержать рекомендуемые префиксы таблицей 3.4.2;

• логин должен идентифицировать пользователя (Фамилия, Имя);

• логин не должен содержать сокращённых Имён или Прозвищ;

• смена логина возможна при смене должности или фамилии.

К паролям предъявляются более строгие фильтры:

• длина пароля должна быть не менее 6 символов;

• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п .);

• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т. д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т.п.);

• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;

• пароль не должен повторять пароль от учётной записи ОС;

• личный пароль пользователь не имеет права сообщать никому;

• периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев.

Логины и пароли всех пользователей должны храниться в единой БД, доступ к которой должен быть только у администратора по безопасности. Так же данная база данных будет использоваться не только для хранения учётных данных, но и для авторизации пользователей OpenVPN. Помимо этого учётные данные должны быть записаны в специальный журнал, где будет произведено соответствие пользователя с его учётными данными, а также выдаваемым ему виртуальным IP-адресом.

3.5 Порядок предоставления удаленного доступа пользователям

Общие положения:

• удаленный доступ пользователей к ресурсам и сервисам компьютерной сети компании обеспечивается на основе зарегистрированных персональных учетных записей с использованием технологии OpenVPN;

• под пользователем понимается один человек (сотрудник), которому необходим доступ к ресурсам и сервисам локальной сети;

• не допускается удаленный доступ в локальную сеть с использованием не персонифицированных, групповых и анонимных учетных записей;

• удаленный доступ в локальную сеть предоставляется лицам, имеющим учетную запись в локальной сети компании, предоставленной системным администратором;

• в случае возникновения опасности причинения ущерба пользователям сети или организации удаленный доступ к локальной сети может быть заблокирован системным администратором, отвечающим за безопасность.

Для получения доступа в соответствии с должностным регламентом к корпоративной сети:

• пользователем пишется заявка «На предоставление услуги удаленного доступа» с указанием ФИО и занимаемой должности на имя директора компании;

• директор компании рассматривает заявку и принимает решение, при разрешении предоставления удалённого доступа передаёт на согласование системному администратору по безопасности;

• администратор по безопасности принимает окончательное решение; если пользователю согласно его должности необходим удалённый доступ, то принимает соответствующее решение.

После разрешения предоставления удалённого доступа пользователю, администратор должен сделать следующее:

• выдать мобильное устройство и соблюдать требования пункта 3.2;

• составить учётные данные для OpenVPN согласно пункту 3.4;

• добавить учётные данные для авторизации OpenVPN, описанной в пункте 3.9;

• создать сертификат и закрытый ключ;

• настроить на мобильном устройстве клиент OpenVPN согласно пункту 3.8;

• добавить соответствующие правила разграничения доступа в фаервол, описанные в пункте 3.10;

• провести инструктаж пользователя по удалённому доступу.

После этого пользователь должен принять на себя обязательства по нераспространению доверенных конфиденциальных сведений (в частности, ключевой информации). Пользователь допускается к работе с СКЗИ после подписания обязательств, определяющих его материальную или иную форму ответственности за возможные нарушения

3.6 Порядок формирования сертификатов

Для создания самозаверенных сертификатов администратору необходимо выбрать АРМ, где безопасно можно хранить созданные сертификаты. После выбора такого АРМа, требуется скачать дистрибутив OpenVPN с официального сайта компании. Данный АРМ может быть и OpenVPN сервером одновременно.

Для настройки собственного удостоверяющего центра (CA) будет использоваться сервер CentOS, на базе которого в дальнейшем будет также настроен сервер OpenVPN.

1. Для установки OpenVPN необходимо в терминале ввести следующую команду:

#yum install openvpn

1. Установка центра сертификатов

Для установки собственного центра сертификатов (CA) и генерации сертификатов с секретными ключами для OpenVPN сервера и множества клиентов будет использоваться утилита easy-rsa. Так как будут изменяться файлы данной утилиты, рекомендуется сделать резервную копию и работать с ней. Для этого необходимо создать новый каталог и копировать содержимое каталога easy-rsa в него. Чтобы выполнить данные действия нужно войти под суперпользователем(root) и выполнить следующие команды:

#mkdir /etc/openvpn/desk

Характеристики

Список файлов ВКР