РАЗГРАНИЧЕНИЕ ДОСТУПА В ЛОКАЛЬНОЙ СЕТИ С ИСПОЛЬЗОВАНИЕМ БАЗОВЫХ НАСТРОЕК СЕТЕВОГО ОБОРУДОВАНИЯ

Целью работы являлась разработка рекомендаций по защите локальной сети предприятия от несанкционированного доступа сотрудников (инсайдерских атак) на основе разграничения доступа, с использованием базовых настроек имеющегося оборудования. Предлагается использование профилей доступа на основе MACадресов (MAC-based Access Control). Рассмотрены проблемы защиты информации на физическом и канальном уровнях, а также наиболее распространенные типы атак. Дано описание, созданной для целей исследования, натурной модели локальной сети организации гостиничного бизнеса, включающей персональные компьютеры, модем ZTE ZXHN H208N с поддержкой функций WiFi-точки доступа и коммутатор DES-1210-52, который обеспечивал объединение указанных устройств в сеть.

Произведено контактное подключение к витой паре с использованием зажимов типа «крокодил» на линиях Tx и Rx. В качестве инструмента для тестирования на проникновение использовался ноутбук с дистрибутивом Kali Linux, утилита tcpdump, фреймворк bettercap, анализатор трафика Wireshark. Был рассмотрен вариант проведения сетевой атаки ARP-spoofing с базовыми настройками сетевого оборудования. Приведены результаты атаки и пассивного исследования модели сети. Рассмотрен вариант повторной атаки после активации и настройки функций привязки IPи МАС-адресов (IP-MAC-Port Binding), а также аутентификации пользователей на основе стандарт IEEE 802.1X (MAC-Based 802.1X). Результаты доказали действенность выбранных мер защиты.

1. Глобальное исследование утечек конфиденциальной информации в 2016 году [Электронный ресурс]: Аналитический центр InfoWatch. 2017. Режим доступа: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_global_report_2014.pdf. – Дата доступа: 10.04.2018.

2. Обзор мирового и российского рынка SIEM-систем 2017 [Электронный ресурс]: Анастасия Сапрыкина, обозреватель Anti-Malware.ru. 2017. Режим доступа: https://www.anti-malware.ru/analytics/Market_Analysis/overview-global-and-russian-market-siem#. – Дата доступа: 10.04.2018.

3. Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования: ГОСТ Р ‎53246–2008 – Введ. – 25.12.2008. – Москва: Стандартинформ, 2009. – 72 с.

4. Kali Linux Revealed. Mastering the Penetration Testing Distribution [Электронный ресурс]: Raphaël Hertzog, Jim O’Gorman, Mati Aharoni. 2017. Режим доступа: https://kali.training/downloads/Kali-Linux-Revealed-1st-edition.pdf/. – Дата доступа: 10.04.2018.

5. Пять шагов, чтобы построить портативную станцию хакера из Raspberry Pi и Kali Linux [Электронный ресурс]. – Режим доступа: http://infoweb.org.ua/portativnuyu-stantsiyu-hakera-iz-raspberry-pi-i-kali-linux. – Дата доступа: 10.04.2018.

6. Пассивный анализ сети [Электронный ресурс]: Stephen Barish. 2008. Режим доступа: https://www.securitylab.ru/analytics/350448.php. – Дата доступа: 10.04.2018.

7. ARP-spoofing в Kali Linux [Электронный ресурс]. – Режим доступа: https://defcon.ru/network-security/3731/. – Дата доступа: 10.04.2018.

8. D-Link DES-3028/DES-3028P/DES-3052/DES-3052P Управляемые коммутаторы 10/100Мбит/ с Fast Ethernet Версия I [Электронный ресурс]: Руководство пользователя. 2007. Режим доступа: http://ftp.dlink.ru/pub/Switch/DES-30283052/Description/DES-3028_28P_52_52P_Manual_v1_01_RUS.pdf/. – Дата доступа: 10.04.2018.