- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
11.2 Классификация по типу реализации.
VPN на основе брандмауэров
Разграничительная линия между брандмауэрами и VPN оказывается порой весьма нечеткой, так как оба типа продуктов обычно устанавливаются на передней линии защиты сети, к тому же многие брандмауэры поддерживают функции VPN. Как правило, такого рода продукты применяются, когда вы не можете быть полностью уверены в удаленных пользователях и вынуждены укрепить защиту против возможного проникновения злоумышленников в сеть.
Существует довольно тонкая взаимосвязь между брандмауэрами и VPN. Если туннели завершаются на оборудовании провайдера Internet, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Internet в незащищенном виде. Если конечная точка находится на вашей территории, но расположена за брандмауэром, то туннелируемый трафик можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст. Более того, конечную точку будет связывать с брандмауэром нешифруемый канал.
Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет партнер, заказчик или поставщик, стратегия защиты которого неизвестна или не внушает доверия. Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов туннелирования состоит в том, что вы можете открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети.
Одним из первых среди основных производителей брандмауэров на рынок VPN вышла Check Point Software Technologies (http://ww\v.checkpoint.com). Вот уже несколько лет компания является лидером по объему продаж брандмауэров, и она довольно рано поняла целесообразность интеграции в брандмауэр функций VPN. VPN-1 Gateway базируется на Firewall-1, но он также поддерживает функции шифрования и туннелирования. Помимо этого продукта компания продает также VPN-1 RemoteLink — аппаратно-программное решение для филиалов с функциями Firewall-1 и VPN.
Автономные аппаратные VPN.
Как правило, аппаратные продукты надежнее и устойчивее ко взлому, чем программные, к тому же их производительность на операциях шифрования выше. Однако, в то же время, им не хватает гибкости, особенно если дело касается конфигурации, изменений и диагностирования на стороне клиента. Вместе с тем сегодня многие подобные продукты имеют клиентское программное обеспечение и другой управляющий инструментарий, что упрощает внесение изменений.
3. Использование специализированных коммутаторов, маршрутизаторов
В 1998 году Cisco выпустила на рынок 1720 VPN Access Router. Этот продукт предлагает филиалам и небольшим компаниям универсальное решение задачи доступа в Internet и организации VPN. Маршрутизатор осуществляет высокоскоростное шифрование и содержит туннельный сервер для создания защищенных соединений. Он поставляется с двумя слотами глобальной сети и портом локальной сети на 10/100 Мбит/с.
Программная реализация VPN
Итак, рынок автономного оборудования, в том числе продаваемого вместе с клиентским программным обеспечением и компонентами управления, предлагает множество продуктов. Хотя и не столь популярные, как их аппаратные аналоги, продукты на базе программного обеспечения предоставляют несколько любопытных возможностей. Зачастую они оказываются более гибкими, позволяя осуществлять избирательное туннелирование (например, по протоколу или адресу) вместо туннелирования всего трафика. Например, очень часто направлять через туннель имеет смысл только важный трафик, например запрос к базе данных или электронную почту, но не трафик Web. Кроме того, программным продуктам, как правило, не требуется выделенного компьютера, так что компании могут использовать имеющееся оборудование
Клиент-серверный продукт Aventail ExtraNet Center выполняется на Windows NT и нескольких разновидностях UNIX, в том числе AIX, Digital Unix, HP-UX, Solaris и Linux. В противовес общей тенденции использовать IPSec для шифрования и аутентификации, Aventail является твердым сторонником SOCKS 5. Aventail ExtraNet Center поддерживает также множество схем шифрования и аутентификации, таких, как RADIUS, Challenge Handshake Authentication Protocol (CHAP), Windows NT Domain, NDS и цифровые сертификаты Х.509. Продукт работает с рядом приложений, в том числе Web, Java и ActiveX, а также с приложениями от SAP, Oracle и PeopleSoft. Клиентский компонент Aventail Connect выполняется в фоновом режиме, с его помощью пользователи могут осуществлять безопасную навигацию в системах Windows NT.