УДК 004.056.5

Виртуальный полигон для учений по кибербезопасности

Жигжитов Максим Владимирович – преподаватель кафедры Информационных технологий Бурятского института инфокоммуникаций Сибирского государственного университета телекоммуникаций и информатики

Нестеров Андрей Сергеевич – доцент кафедры Телекоммуникационных систем Бурятского института инфокоммуникаций Сибирского государственного университета телекоммуникаций и информатики

Аннотация: В работе рассматривается задача построения виртуального полигона для проведения учений по кибербезопасности  объектов информационной и сетевой инфраструктуры. Для эмуляции инфраструктуры используется платформа сетевых лабораторий PNetLab, в которой построены схемы организации связи (топологии) для трех различных организаций, в которые внедрены типичные уязвимости. Рассмотрены способы осуществления ряда сетевых атак на эмулируемые объекты: физическая подмена DHCP-серверов инфраструктуры, генерация мусорных кадров, со случайным MAC-адресом, подмена MAC-адреса и другие, а также методы их предотвращения. Использование полигона позволяет повысить скорость, эффективность и точность реагирования ответственного персонала организаций на инциденты ИБ.

Ключевые слова: виртуальный киберполигон, информационная безопасность, сетевые и компьютерные атаки.

Благодарности: Работа выполнена в рамках Государственного задания № 071-03-2023-001

Приоритетным принципом защиты информационных систем, согласно федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» определено предотвращение компьютерных атак [1]. Для успешного предотвращения угроз необходимы быстрые и эффективные ответные действия, для чего необходимо проведение регулярных учений разного формата по информационной безопасности на специальном учебном полигоне для киберучений. Уменьшить стоимость развертывания полигона можно за счет эмулирования или программной имитации информационной инфраструктуры. Полигон – виртуальная площадка для проведения учений по информационной безопасности, на которой будут эмулироваться бизнес-процессы и информационная инфраструктура типовых организаций ряда важных отраслей. На таком полигоне участникам киберучений могут быть предоставлены технологии и инструменты для получения и отработки практических навыков по защите от кибератак.

Для создания такого полигона может быть использована платформа PNETLab, являющаяся мощным эмулятором сетевых мультивендорных лабораторий, в котором можно конструировать свои сети и виртуальные инфраструктуры, что дает огромные возможности в изучении сетевых технологий и информационной безопасности. Возможность работы с PNETLab в web-браузере без установки специального программного обеспечения на рабочие станции пользователей позволяет, не обращая внимание на корпоративные политики безопасности, работать в полностью изолированной среде.

Основой платформы является серверная часть на основе виртуальной машины PNETLab Box. Для развертывания полигона была использована следующая конфигурация серверной части (рисунок 1):

 image001image002  

Рисунок 1. Конфигурация виртуальной машины.

Для подключения пользователей к площадке используется web-браузер, доступ осуществляется по логину и паролю (рисунок 2).

image003

Рисунок 2. Окно ввода логина-пароля пользователя полигона.

Обучение на полигоне можно проводить на примере эмуляции информационной инфраструктуры нескольких типовых предприятий, в которые добавлены известные уязвимости. Например, на модели № 1, схема организации связи которой показана на рисунке 3, можно изучать следующие уязвимости [2]:

  • физическая подмена DHCP-серверов инфраструктуры;
  • генерация огромного количества фреймов, не несущих данных, но содержащих заголовок отправителя со случайным MAC-адресом;
  • подмена MAC-адрес на сетевой карте компьютера, что позволяет ему перехватывать кадры, адресованные другому устройству;

В рамках модели № 1 возможно отрабатывать навыки работы с функцией коммутаторов Port Security, с технологией DHCP snooping, MAC spoofing.

image004

Рисунок 3. Схема информационной инфраструктуры в модели № 1.

Пример реализации и защиты от атак показан в WorkBook  платформы PNETLab (рисунок 4):

image005image006 

Рисунок 4. Пример реализации и защиты от атак.

Аналогичным образом отрабатываются реализация и защита от остальных компьютерных атак [3]. Таким образом, описываемый полигон позволит:

  • отработать практические навыки проведения аудита безопасности инфраструктуры и тестирования на проникновение;
  • отработать практические навыки выявления компьютерных атак, расследования инцидентов ИБ, внедрения превентивных мер по предупреждению компьютерных атак;
  • обучить персонал ИТ и ИБ подразделений организации работе со средствами обнаружения и предупреждения компьютерных атак (IDS/IPS), а также расследованию инцидентов ИБ на основе анализа данных системы сбора и анализа событий безопасности (SIEM), выявлению их причин и последствий.

Использование полигона для обучения ответственного за ИБ персонала позволит повысить защищённость инфраструктуры предприятия, снизить время реакции на события ИБ и повысить их точность. Развитие полигона в дальнейшем могут быть связаны с добавлением автоматической генерации тестовых атак из более широкого их перечня и добавление в инструментарий программных систем со средствами обнаружения и предупреждения компьютерных атак (IDS/IPS), а также системы сбора и анализа событий безопасности (SIEM).

Список литературы

  1. Олимпиев А.Ю., Стрельникова И.А. Кибербезопасность и ее обеспечение в Российской федерации // Уголовная юстиция. 2021. № 17. С. 104-109.
  2. Бирюков А.А. Информационная безопасность - защита и нападение М.:ДМК Пресс, 2012. – 474 с.
  3. Сердюк В.А. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий. М.: ГУ-ВШЭ, 2011. – 576 с.

Интересная статья? Поделись ей с другими: