- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
11. Виртуальные частные сети
Традиционные средства удаленного доступа позволяют обеспечить связь на любых расстояниях, однако их применение не всегда целесообразно по двум причинам.
Пропускная способность линий передачи данных может оказаться недостаточной, так как телефонная линия позволяет передавать данные со скоростью, не превышающей нескольких десятков килобит в секунду. Хотя существуют решения, позволяющие объединять в группу несколько линий передачи данных (например, Muitilink РРР - многозвенный РРР, ISDN Channel Bonding - связка каналов ISDN) им свойственны существенные ограничения.
Затраты на организацию связи на больших расстояниях в большинстве случаев являются чрезмерными, так как приходится оплачивать связь по тарифам международных телефонных звонков.
Как правило, в этой ситуации используются три возможных решения, рассмотренных ниже.
Собственная (частная) территориальная сеть передачи данных (Wide Area Network - WAN),.
Данные сети передачи данных, охватывают значительное географическое пространство (регион, страну, несколько стран). Для этого организация создает, покупает или берет в аренду линии передачи данных. Эти линии связывают между собой точки присутствия (point-of-presence - POP), в которых размещается оборудование передачи данных. К этому оборудованию подключаются локальные сети и компьютеры, которые находятся в этих сетях и они получают доступ к территориальной сети. Удаленные компьютеры, которые находятся неподалеку (обычно в пределах нескольких километров), связываются с сервером удаленного доступа в точке присутствия и также получают доступ к территориальной сети. Преимуществом такого подхода является то, что организация получает возможность самостоятельно спроектировать сеть, отвечающую ее нуждам, использовать в этой сети любое оборудование передачи данных, любые протоколы и соглашения. К сожалению, расходы по организации и эксплуатации линий передачи данных оказываются неприемлемыми для большинства организаций.
Подключение к существующей территориальной сети передачи данных общего пользования.
То есть к сети передачи данных, принадлежащей компании-оператору (поставщику услуг). Эта компания предоставляет услуги по подключению к сети других организаций, которые становятся ее абонентами. Сеть общего пользования обеспечивает транспортировку данных между устройствами абонентов сети. Как правило, компьютеры абонентов с помощью стандартных средств удаленного доступа связываются с сервером удаленного доступа, расположенного в точке присутствия компании, предоставляющей услуги по подключению. Такой подход позволяет избежать расходов, связанных с организацией и эксплуатацией линий передачи данных, но зато в расходы включается абонентская плата оператору. Кроме того, для передачи данных через сеть общего пользования организация-абонент вынуждена использовать единые для всей сети протоколы, а также придерживаться общих соглашений по адресации, именованию и т.д. Так как линии передачи данных не контролируются абонентом, а в сети находятся и другие абоненты, то возникают дополнительные проблемы, связанные с безопасностью информации. Самой крупной сетью передачи данных общего пользования является Internet. Компании, предоставляющие доступ к этой сети, называются провайдерами Internet (Internet Service Provider - ISP).
Виртуальная частная сеть (Virtual Private Network - VPN) - это третий подход к решению проблемы, применяемый в последние годы.
Виртуальная частная сеть (VPN) представляет собой комплекс программных и технических средств. Она предназначена для установления по требованию (то есть на период времени, когда требуется передавать данные) соединения пограничного устройства локальной сети с удаленным компьютером (или с пограничным устройством удаленной локальной сети) по маршруту, называемому также туннелем, проложенному по линиям передачи данных сети общего пользования.
Сети VPN создаются, как правило, для решения двух задач. Во-первых, они служат для организации взаимодействия индивидуальных пользователей с удаленной сетью через Internet, а во-вторых, — для связи двух сетей. В первом случае они используются в качестве альтернативы удаленному доступу. Вместо того чтобы устанавливать соединение с корпоративной средой по междугородней или международной связи, мобильные пользователи и работающие на дому сотрудники локально подключаются к Internet и связываются с сетью компании. Во втором — они часто применяются для организации так называемых виртуальных выделенных линий. Одним из очевидных примеров является организация взаимодействия между сетью дочернего отделения компании и сетью центрального офиса по постоянному или коммутируемому соединению Internet. Другое популярное приложение, обычно называемое Extranet, позволяет связывать с сетью компании через Internet сети ее заказчиков, поставщиков и партнеров.
Виртуальные частные сети обеспечивают следующие возможности и преимущества:
• использование принятых в локальных сетях организации протоколов сетевого уровня и прикладных служб;
• использование принятых в локальных сетях организации соглашений, например, по адресации и именованию узлов;
• применение средств безопасности, включающих в себя аутентификацию пользователей или узлов и шифрование данных.
Пограничное устройство (называемое также конечной точкой, или сервером виртуальной частной сети) выполняет функции шлюза, обеспечивая стыковку локальной сети с туннелем виртуальной частной сети.
При передаче данных через туннель применяются стандартные для сети общего пользования протоколы и соглашения. Как правило, применяется технология инкапсуляции (передача пакета сетевого уровня или кадра в поле данных пакета сети общего пользования). При этом протокол удаленного доступа, например, РРР, используется не только для связи с сервером удаленного доступа, через который организуется вход в сеть передачи данных общего пользования, но и для взаимодействия с сервером виртуальной частной сети через туннель.
Одним из пограничных устройств туннеля является сервер виртуальной частной сети, другим - либо сервер удаленного доступа провайдера, либо сам удаленный узел.
В первом случае:
Удаленный узел связывается с сервером удаленного доступа провайдера,
Сервер удаленного доступа провайдера приняв вызов, обращается к серверу виртуальной частной сети и сообщает ему данные для аутентификации удаленного пользователя.
Если аутентификация завершилась успешно, то сервер удаленного доступа провайдера и сервер виртуальной частной сети образуют туннель.
По установленному туннелю удаленный узел и сервер виртуальной частной сети проводят завершающие стадии установки сеанса связи, например, выбор и настройку протоколов, в том числе присвоение сетевого адреса.
Во втором случае:
Удаленный узел сначала устанавливает связь с сервером провайдера, проходит аутентификацию, согласование и настройку протоколов.
Затем он по только что установленному соединению организует туннель до сервера виртуальной частной сети, указывая его сетевой адрес.
Через туннель данные переносятся с помощью стандартного протокола удаленного доступа (чаще всего РРР). Для того, чтобы обеспечить безопасность передаваемых данных, они шифруются (либо средствами протокола удаленного доступа РРР, либо предусмотренными в самой технологии виртуальной частной сети средствами) и затем передаются через сеть.
Как видно, виртуальная частная сеть (VPN) создается между инициатором туннеля и терминатором туннеля. Обычная маршрутизируемая сеть IP, — она не обязательно включает в себя общедоступную сеть Internet, — определяет маршрут между инициатором и терминатором. Инициатор туннеля инкапсулирует пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, в принципе, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты протоколов не поддерживающих маршрутизацию, таких, как NetBEUI. Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования. Поскольку методов шифрования данных существует множество, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешного дешифрования данных они должны иметь возможность обмена ключами. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать. Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления изменений или удалений.