- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
11.3.2 Использование коммутируемых соединений
Использование коммутируемых соединений для организации VPN-соединения имеет ряд отличий от простой сети VPN. Основным отличием является возможность назначать сетевые адреса компьютерам посредством протокола L2TP. Кроме того, на сервере должен быть установлен не только сервис Dial-Up networking, но и служба Routing and Remote Access Service и сервер RADIUS (Remote authentication Dial-In User Service), представляющий собой службу аутентификации пользователей. Для максимальной безопасности пользователи должны пройти процедуру аутентификации до подключения к VPN-структуре. Только после успешной аутентификации и последующего согласования параметров протоколов обмена пользователю предоставляется соединение для удаленного доступа к закрытой сети. Такая процедура аутентификации позволяет надежно защитить все данные, передаваемые по сети VPN.
Отличительной особенностью службы Dial-UP networking, входящей в состав операционной системы Windows 2000, является невозможность установить соединение с любой подсетью, за исключением подсети, с которой в настоящий момент установлено VPN-соединение. Это определяется изменениями в таблице маршрутизации, производимыми по умолчанию при установлении соединения. Однако локальное изменение таблицы маршрутизации в ручном режиме позволяет обойти это ограничение.
11.3.4 Создание и настройка vpn-подключения
Для создания подключения к VPN необходимо:
В папке Network and Dial-UP connections создать новое подключение (Make new connection).
Из списка возможных типов подключения выбрать Connect to a private network through the Internet и явно указать тип начального соединения (например, провайдера услуг Интернета).
Ввести IP-адрес сервера, с которым необходимо установить соединение.
Указать, для каких пользователей доступно это соединение (для любого пользователя рабочей станции или только для текущего). При создании подключения для всех пользователей требуется пользователь с правами локального администратора.
Для разрешения совместного доступа к ресурсам других компьютеров — участников VPN установите флажок Enable shared access for this connection.
Преимущества технологии VPN, позволяющей объединять территориально разобщенные подразделения в единую стройную систему, очевидны. Однако возникает вопрос о целесообразности такого объединения. Как правило, удаленные сотрудники используют технологии шифрации электронной почты перед ее передачей по открытой сети. Тем не менее, если для вашей работы необходим доступ к центральной базе из ряда представительств, вынужденных работать по общественным сетям, то сомнений быть не должно — VPN позволит просто, надежно и безопасно осуществить такое объединение.
12. Защищенные протоколы
12.1 Протокол Рoint-to-point tunneling protocol (pртр)
PPTP, разработанный и популяризируемый компаниями Microsoft и U.S. Robotics, в первую очередь предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол призван активизировать использование удаленного доступа, давая возможность пользователям устанавливать коммутируемые соединения с Internet-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP — протокола, который специфицирует соединения типа точка-точка в IP-сетях. PPP широко используется для организации доступа пользователей в общедоступную сеть Internet и частные корпоративные сети по коммутируемым или широкополосным соединениям. Поскольку PPP функционирует на уровне 2, соединение PPTP, которое инкапсулирует пакеты PPP, позволяет передавать не только IP-пакеты, но и IPX или NetBEUI. Со своей стороны, IPSec функционирует на уровне 3 и способен обеспечивать туннелированную транспортировку IP-пакетов.
Метод шифрования, стандартным образом применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется Microsoft Point-to-Point Encryption (MРPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (DES).
Технология РРТР базируется на протоколах РРР, TCP и GRE (Generic Routing Encapsulation - общий метод инкапсуляции для маршрутизации). Все они являются стандартами Internet.
В любую виртуальную частную сеть, построенную с помощью технологии РРТР, входят:
• клиент удаленного доступа;
• сервер удаленного доступа провайдера;
• сервер РРТР.
Только в том случае, когда и клиент, и сервер РРТР имеют прямое подключение к локальной сети, сервер удаленного доступа провайдера не требуется. Этот способ подключения не будет рассматриваться, так как не предназначен для решения проблемы безопасного удаленного доступа, и используется для обеспечения безопасности информации в локальных сетях.
Наиболее типичным случаем использования технологии РРТР является подключение удаленного клиента к серверу РРТР с помощью локального (по отношению к клиенту) провайдера услуг Internet. Клиент соединяется с сервером удаленного доступа провайдера, который использует протоколы TCP/IP для передачи данных через Internet. После того, как установлено это первоначальное соединение, клиент инициирует дополнительное соединение, используя для этого уже установленное.
Для передачи данных через дополнительное соединение используются IP-пакеты, содержащие инкапсулированные РРР-пакеты. После установления вторичного соединения образуется туннель, и виртуальная частная сеть начинает функционирование. Данный метод требует поддержки РРТР удаленным клиентом и поддержки протокола РРР сервером провайдера.
Если клиент удаленного доступа не имеет средств РРТР (например, это компьютер Microsof Windows NT 3.51, или Microsoft Windows 95, или программное обеспечение удаленного доступа других фирм), то поддержку технологии РРТР должен обеспечить сервер удаленного доступа провайдера. В этом случае он должен выполнять функции клиента РРТР, участвуя в организации туннеля. Пограничными системами туннеля будут являться сервер удаленного доступа провайдера и сервер РРТР.