МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ ГЛАВНОЕ УПРАВЛЕНИЕ ВНЕВЕДОМСТВЕННОЙ ОХРАНЫ
«УТВЕРЖДЕНО» Заместителем начальника ГУВО МВД России генерал-майором полиции А.В. Грищенко 23 декабря 2014 г.
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобальной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ Р 78.36.045-2014
Москва, 2014 г.
Рекомендации разработаны сотрудниками ФКУ НИЦ «Охрана» ГУВО МВД России А.В. Голубевым, Н.В. Николаевым, О.И. Скалозубовым, под руководством А. Г. Зайцева.
Рекомендации «Защита локальных вычислительных сетей пунктов централизованной охраны при использовании глобазьной сети Интернет для передачи данных между объектовым и пультовым оборудованием СПИ». (Р 78.36.038-2013). -М.: НИЦ «Охрана», 2014. - 200 с.
Рекомендации предназначены для инженерно-технических работников подразделений вневедомственной охраны.
© ФКУ НИЦ «Охрана» МВД России, 2015
I
СОДЕРЖАНИЕ
1. Термины и сокращения
2. Введение
качестве среды передачи данных 3.1 Источники угроз в ЛВС ПЦО
3. Угрозы при использовании глобальной сети Интернет в
3.2. Уязвимости протоколов сетевого взаимодействия 13
3.3. Общая характеристика уязвимостей прикладного программного обеспечения 16
3.4. Общая характеристика угроз безопасности ЛВС ПЦО,
реализуемых с использованием протоколов межсетевого взаимодействия 17
3.5 Общая характеристика угроз программноматематических воздействий 36
4. Защита от угроз 41
4.1. Рекомендации производителей технических средств
охраны по защите от угроз из сети Интернет 41
4.1.1 Особенности ПЦН СПИ «Ахтуба» 41
4.2 Защита от угроз при помощи межсетевых экранов 43
4.2.1. Понятие межсетевого экрана 43
4.2.2. Компоненты межсетевого экрана 45
4.2.3. Политика межсетевого экранирования 51
4.2.4. Применение технологии трансляции сетевых адресов 52
5. Выбор маршрутизатора 55
6. Типовые схемы защиты ЛВС ПЦО 57
6.1. Типовая схема для количества охраняемых объектов
до 100 57
6.2. Типовая схема для количества охраняемых объектов от
100 до 1000 62
6.3. Типовая схема для количества охраняемых объектов
более 1000 65
7. Пароль для маршрутизаторов 71
8. Заключение 72
Приложение А. Пример программирования межсетевого экрана на основе маршрутизатора Cisco 75
2
A. 1. Пользовательский интерфейс маршрутизатора и режимы 75 А. 1.1. Команды и процесс программирования маршрутизатора 75 А. 1.2. Пользовательский режим 76
А. 1.3. Привилегированный режим 78
А. 1.4. Команда помощи help 82
А. 1.5. Редактирование 83
А.2. Вывод информации о конфигурации маршрутизатора 87 А.2.1. Компоненты, участвующие в конфигурировании маршрутизатора 89
А.2.2. Режим работы маршрутизатора 90
А.2.3. Применение форм команды show для исследования состояния маршрутизатора 92
А.З. Запуск маршрутизатора и его начальное конфигурирование 95
А.З. 1. Последовательность запуска 95
А.3.2. Команды запуска 96
А.3.3. Диалог конфигурирования системы 97
А.3.4. Начальная установка глобальных параметров 98 А.3.5. Начальная установка параметров интерфейсов 100 А.3.6. Сценарий начальной установки и его использование 101 А.4. Конфигурирование маршрутизаторов 103
А.4.1. Конфигурирование IP-адресов интерфейсов маршрутизатора 103
А.4.1.1. Процессы, используемые для конфигурирования IP-адресов, в том числе логические сетевые адреса и сетевые маски 103
А.4.1.2. Конфигурирование сервера имен 108
А.4.1.3. Команды вывода на экран 107
А.4.1.4. Верификация IP-адресов с использованием команд telnet, ping, trace 108
А.4.2. Конфигурирование маршрутизатора и протоколы маршрутизации RIP и IGRP 113
А.4.2.1. Режим начального конфигурирования маршрутизатора — режим начальной установки 113
А.4.2.2. Команды статической маршрутизации 114
А.4.3. Списки управления доступом (ACL) 118
A.4.3.1. Обзор списков управления доступом 118
А.4.3.2. Важность порядка директив при создании списков управления доступом 119
А.4.3.3. Использование списков управления доступом 119 А.4.3.4. Как работают списки управления доступом 120 А.4.3.5. Конфигурирование списков управления доступом 123 А.4.3.6. Группировка списков по интерфейсам 124
А.4.3.7. Назначение номера списку управления доступом 125 А.4.3.8. Использование битов шаблона маски 126
А.4.3.9. Использование шаблона any 129
А.4.3.10. Использование шаблона host 130
А.4.3.11. Стандартные списки управления доступом 131 А.4.3.12. Примеры стандартных списков управления доступом 132 А.4.3.13. Расширенные списки управления доступом 140 А.4.3.14. Использование именованных списков управления доступом 148
А.4.3.15. Использование списков управления доступом с протоколами 152
А.4.3.16. Размещение списков управления доступом 153 А.4.3.17. Использование списков управления доступом с брандмауэрами 155
А.4.3.18. Настройка архитектуры брандмауэров 156
A. 4.3.19. Проверка правильности установки списков
управления доступом 159
Приложение В. Пример настройки маршрутизатора Mikrotik 161
B. 1. Подключение при помощи программы Winbox 161
В.2. Начальные настройки 163
В.З. Конфигурация интерфейсов 165
В.4. Настройка WAN интерфейса 166
В. 5. Настройка локальной сети 173
В.6. Настройка NAT 176
Приложение С. Марки оборудования для защиты ЛВС ПЦО 187
Литература 198
1. Термины и сокращения.
CVE (Common Vulnerabilities and Exposures) -единая база данных уязвимостей.
DNS - (Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).
Ethernet — наиболее распространенная в мире локальная сеть, предложенная фирмой Xerox (топология -шина, метод доступа CSMA/CD, скорость передачи -10 Мбит/с). Удовлетворяет стандарту IEEE 802.3.
АРМ - автоматизированное рабочее место.
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Глобальные сети (Wide Area Network, WAN) - это сети, предназначенные для объединения отдельных компьютеров и локальных сетей, расположенных на значительном удалении (сотни и тысячи километров) друг от друга.
ЗИн - защищаемая информация от УОО на АРМ.
ИСПДн - информационная система персональных данных.
Коммутатор, коммутирующий концентратор, переключатель (switching hub, switch) — концентратор, пере-
5
дающий на другие сегменты только те пакеты, которые адресованы им.
Концентратор (hub) - устройство, служащее для объединения нескольких сегментов единой сети и не преобразующее передаваемую информацию.
Локальная сеть (Local Area Network, LAN или ЛВС -русское название)- компьютеры или другие устройства, соединенные линиями связи для передачи информации между ними на сравнительно небольшие расстояния.
Маршрутизатор (router) — устройство (компьютер), служащее для определения маршрута, по которому наиболее целесообразно пересылать пакет.
МЭ (межсетевой экран) - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
НСД - несанкционированный доступ.
ОС - операционная система.
Отказ в обслуживании - это угрозы, основанные на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
ПО - программное обеспечение.
Программное (программно-математическое)
воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
ПЦО - пункт централизованной охраны.
РД МЭ - Руководящий документ. Решение председателя Гостехкомиссии России от 25 июля 1997 г. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищённости от несанкционированного доступа к информации.
6
CBT - средство вычислительной техники.
СЗИ - средство защиты информации.
СИн - служебная информация.
СПИ - система передачи извещений.
У00 - устройство оконечное объектовое.
Хост (от англ, host — «хозяин, принимающий гостей») или узел — любое устройство, предоставляющее сервисы формата «клиент-сервер» в режиме сервера по каким-либо интерфейсам и уникально определённое на этих интерфейсах. В более частном случае под хостом могут понимать любой компьютер, сервер, подключённый к локальной или глобальной сети. Иногда при упоминании конкретного устройства в сети, также используют термин «узел» (очевидно, по аналогии с прототипом компьютерной сети, ведь реальная сеть, например рыболовная, состоит из нитей, соединённых между собой множеством узлов). Под «хостом» без дополнительных комментариев подразумевается хост протокола TCP/IP, то есть сетевой интерфейс устройства, подключённого к IP-сети. Как и всякий другой хост, этот имеет уникальное определение в среде сервисов TCP/IP (IP-адрес). С хостом протокола TCP/IP может быть также связана необязательная текстовая характеристика — доменное имя.
Шлюз (gateway) — устройство (компьютер), служащее для объединения сетей с совершенно различными протоколами обмена.
7
2. Введение
Настоящие рекомендации предназначены для инженерно-технического персонала ПЦО, ответственного за обеспечение бесперебойной работы СПИ ПЦО. Категории данных специалистов указаны в приказе МВД России от 29.06.2012 №650. В типовом штатном расписании федерального государственного казённого учреждения - управления (отдела) вневедомственной охраны территориального органа МВД России на региональном уровне предусмотрена должность «инженер-программист (программист)» в группе обеспечения и обслуживания. В типовом штатном расписании управления (отдела, отделения) вневедомственной охраны (по району, городу, и иному муниципальному образованию, в том числе по нескольким муниципальным образованиям, закрытому административно-территориальному образованию, на особо важных и режимных объектах, на комплексе «Байконур») - филиала федерального государственного казённого учреждения -управления (отдела) вневедомственной охраны территориального органа МВД России на региональном уровне предусмотрена должность «инженер-программист (программист)» в отделе (отделении, группе, направлении) материально-технического и хозяйственного обеспечения.
Технические специалисты, ответственные за эксплуатацию локальных вычислительных сетей на ПЦО, обладающие соответствующими профессиональными навыками и знакомые с основами и принципами построения и организации сетей при наличии установленной и отстроенной локальной сети на ПЦО, обеспечивают решение задачи по безопасному использованию сети Интернет для организации связи АРМ с устройствами оконечными.
Компьютерные сети, Интернет стали неотъемлемой частью нашей повседневной жизни. Наш быстроразвивающийся, насыщенный технологиями мир с каждым днем все больше становится зависимым
8
от компьютерных технологий и сетей. Однако эта зависимость возникла не внезапно. С каждым годом финансирование компьютерных технологий значительно возрастало, и неудивительно, что эти технологии проникли практически во все сферы деятельности человека, в том числе во вневедомственную охрану.
В настоящее время огромное количество сетей объединено посредством Интернет. Поэтому очевидно, что для безопасной работы такой огромной системы необходимо принимать определенные меры безопасности, поскольку практически с любого компьютера можно получить доступ к любой сети любой организации. Опасность значительно возрастает по той причине, что для взлома компьютера к нему вовсе не требуется физического доступа.
Каждый год ущерб от компьютерных преступлений составляет сотни миллионов долларов. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности.
Наибольший ущерб наносит манипулирование доступом во внутреннее информационное пространство: кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж. Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет.
Учитывая эти факты, можно с уверенностью сказать, что проблема безопасности сетей остается неразрешенной и на сегодняшний день, поскольку у подавляющего большинства компаний не решены вопросы обеспечения безопасности, в результате чего они несут финансовые убытки.
Помимо кражи информации, опасность могут представлять атаки типа «отказ в обслуживании».
Некоторые ПЦО, до подключения к сети Интернет не сталкивавшиеся с вопросами защиты информации, могут оказаться неподготовленными к изменившейся
