- •2. Классификация и архитектура информационно-вычислительных сетей и сетей телекоммуникаций. Информационно - телекоммуникационная структура современного общества.
- •3. Информационные ресурсы глобальной сети, российский сегмент Интернет. Виды, организация, этапы и системы информационного поиска сети Интернет.
- •4. Способы адресной доставки сообщений в системах передачи данных, программное и аппаратное обеспечение адресной доставки.
- •6. Виртуальные частные сети (vpn). Назначение, основные возможности, принципы функционирования и варианты реализации vpn. Структура защищенной корпоративной сети.
- •7. Представление непрерывных сигналов в цифровой форме. Дискретизация. Квантование и его виды. Возникновение ошибок дискретизации и квантования в ис. Кодирование. Примеры кодирования сигнала в ис.
- •Файл-серверная архитектура
- •Клиент-серверная архитектура
- •Многоуровневые ис:
- •2.5 Уровневая клиент-серверная архитектура
- •Вопрос 11.Принципы работы, ограничения и возможности коммутаторов, концентраторов, маршрутизаторов, мостов и шлюзов. Технология мультиплексирования.
- •Принцип работы
- •Преимущества и недостатки
- •Функциональные возможности беспроводных маршрутизаторов
- •Применение
- •Принципы работы мостов Мосты
- •Технология
- •Основные применения
- •Сетевой и транспортный уровни
- •5.2. Управление потоками данных в сетях.
- •Виды адресации в компьютерных сетях
- •Система доменных имен
- •Понятие url
- •13. Прикладные протоколы tcp/ip (smtp, pop3,imap4, http,ftp). Принципы работы. Протоколы прикладного уровня
- •Протоколы
- •Протокол telnet
- •Протокол ftp
- •Протокол smtp
- •Протокол snmp
- •14. Системное администрирование. Баланс функцион-ти, безопасности и надежности сети. Экономические аспекты.
- •Функциональная модель подсистемы
- •Ограничения
- •15. Меры по обеспечению безопасности (физической и информационной), (защита данных, резервное копирование, проектирование устойчивости к сбоям). Системы безопасности в ip-сетях. Firewall, ips,ids.
- •Физическая безопасность
- •Шифрование
- •Межсетевой экран
- •Аутентификация
- •16. Технологии передачи данных в магистральных цифровых сетях. (pdh,sdh)/ Синхронизация данных.
- •17. Локальные компьютерные сети, среда передачи данных. Топология сети, Аппаратное и программное обеспечение сетевого взаимодействия.
- •Смешанная топология
- •Методы обмена данными в локальных сетях
- •1. Кабель
- •Сетевые карты
- •Повторители
- •Концентраторы
- •Коммутаторы
- •Маршрутизаторы
- •Программные средства Сетевые операционные системы
- •18. Общие принципы организации глобальных сетей. Интернет: аппаратные средства и протоколы обмена информацией, аресация, доступ. Сервисы Интернет и иих применение в предметной области.
- •19. Телекоммуникационные системы. Основные части и характеристики этих систем. Особенности и варианты симплексных, дуплексных и полудуплексных систем. Методы уплотнения каналов.
- •Функции телекоммуникационной системы
- •Протоколы
- •Сотовая связь.
- •21.Сетевое оборудование: повторители, концентраторы, мосты и коммутаторы. Функции и назначение отдельных устройств. Технико-экономическое обоснование проектных решений.
- •22. Цифровые сети связи, особенности их функционирования. Технологии реализации, протоколы обмена данными и электронными сообщениями.
- •Сообщения о недостижимости узла назначения
Межсетевой экран
Для защиты корпоративной сети обычно используется межсетевые экраны, которые с тем же успехом могут быть использованы и для защиты VoIP-инфраструктуры. Единственное, что необходимо сделать - добавить ряд правил, учитывающих топологию сети, местоположение установленных компонентов IP-телефонии и т.д.
существует два типа межсетевых экранов, которые могут быть использованы для защиты компонентов IP-телефонии. Первый из них, корпоративный, ставится на выходе из корпоративной сети и защищает сразу все ее ресурсы. Примером такого МСЭ является CiscoSecure PIX Firewall. Второй тип - персональный, защищающий только один конкретный узел, на котором может стоять абонентский пункт, шлюз или диспетчер. Примерами таких персональных МСЭ являются RealSecure Desktop Protector или BlackICE PC Protector. Кроме того, некоторые операционные системы (например, Linux или Windows 2000) имеют встроенные персональные межсетевые экраны, что позволяет задействовать их возможности для повышения защищенности инфраструктуры VoIP.
Аутентификация
Различные IP-телефоны поддерживают механизмы аутентификации, которые позволяют воспользоваться его возможностями только после предъявления и проверки пароля или персонального номера PIN, разрешающего пользователю доступ к IP-телефону. Однако надо заметить, что данное решение не всегда удобно для конечного пользователя, особенно в условиях ежедневного использования IP-телефона. Возникает обычное противоречие "защищенность или удобство".
безопасности беспроводных сетей угрожают:
нарушение физической целостности сети;
подслушивание трафика;
вторжение в сеть.
Угрозу сетевой безопасности могут представлять природные явления и технические устройства, однако только люди (недовольные уволенные служащие, хакеры, конкуренты) внедряются в сеть для намеренного получения или уничтожения информации и именно они представляют наибольшую угрозу
Нарушение физической целостности сети
Целостность же проводной сети может быть нарушена в результате случайного или преднамеренного повреждения кабельной проводки и сетевого оборудования. Нарушение может быть предотвращено ограничением доступа к сети потенциальных злоумышленников и поэтому маловероятно.
Целостность же беспроводной сети может быть нарушена в результате действия случайных или преднамеренных помех в радиоканале. Источники случайных помех - природные явления, приводящие к увеличению уровня шумов, и технические средства: действующие СВЧ-печи, медицинское и промышленное СВЧ-оборудование и другие устройства, работающие в том же диапазоне. В качестве источников преднамеренных помех могут быть использованы все эти средства, а также специальные генераторы помех. Результатом вмешательства может быть полное или частичное нарушение целостности сети в течение всего времени работы источников помех.
Прослушивание трафика сети
Реализация прослушивания трафика сети - суть промышленного шпионажа.
Применительно к проводным сетям опасность прослушивания реальна в случае сетей на неэкранированной витой паре, излучение которой может быть довольно просто перехвачено и дешифровано при помощи современных технических средств. (Такие шпионские средства обычно размещаются за пределами зданий, в которых развернута сеть.) В сетях на экранированной витой паре или коаксиальном кабеле излучение существенно ниже и вероятность перехвата и прослушивания информационных потоков мала.
Для снижения угрозы прослушивания стандарт IEEE 802.11 предусматривает шифрование информации по алгоритму WEP с 40-разрядным ключом и 24-разрядным вектором инициализации. Существуют также разновидности беспроводного оборудования, использующие 104-разрядный ключ с 24-бит вектором инициализации (например, беспроводные сетевые адаптеры WaveLAN Gold фирмы Lucent Technologies), однако экспорт подобных продуктов за пределы стран-изготовителей запрещен
резервное копирование — запись ценной информации на независимый носитель, хранимый отдельно от компьютера
Устройства, которые применяют для резервного копирования, обязаны иметь съемные носители. Конкретное устройство зависит от объема копируемой информации. Для этой цели чащ;' всего применяют гибкие диски, съемные диски, записываемые компакт-диски и стримеры — устройства для записи информации на магнитную .letny. Существуют разные виды таких носителей, позволяющие записать любой необходимый объем информации..
Для того чтобы добиться полного эффект ;i от резервного копирования, оно должно проводиться регулярно, в рамки « етко организованной процедуры. Предпочтительно использовать как минимум два сменных набора носителей, что позволяет сохранять предыдущу *»копию и, тем самым, защититься даже от порчи данных в ходе резервного копирования. Частота резервного копирования определяется ценностью сохраняемой информации: обычно используют ежедневное или еженедельное копирование.
IPSec - это протокол транспортного уровня передачи данных, созданный для обеспечения безопасного соединения компьютеров по протоколу IP. Так как сам по себе протокол IP не имеет никаких механизмов безопасности, то при его использовании можно перехватывать IP-пакеты с последующим их анализом, уничтожением, изменением или фальсификацией. С целью предотвращения ситуаций подобного рода сообществом Internet Engineering Task Force (IETF) и был создан протокол IPSec.
IPSec устанавливает четыре основных признака безопасного соединения по IP и надежной передачи данных:
конфиденциальность данных (Confidentiality),
их целостность (Integrity),
идентификацию другой стороны и данных (Authentification) и
фиксацию авторства (от данных нельзя отказаться - Non-Repudiation).
Для обеспечения этих требований в IPSec используются стандартные механизмы криптографии - информация защищается путем хэширования и шифрования. Для защиты информации в нем используется алгоритм и ключ.
Алгоритм - последовательность математических действий, с помощью которых происходит преобразование информации,
Ключ - секретный скрытый код (числовая последовательность), который необходим для чтения, изменения или проверки данных.
Сейчас доступно для использования большое количество различных алгоритмов:
Diffie-Hellman
DES
TripleDES (3DES)
MD5
AES
SHA-1
OpenSSL
Blowfidh
и другие.
Способы безопасной передачи данных в IPSec
В IPSec возможно использование двух способов передачи: транспортного и туннельного. Перед передачей данных, IPSec согласовывает с партнером по сеансу связи уровень защиты, который будет использоваться в сеансе. Во время этого процесса определяются алгоритмы аутентификации, хэширования, туннелирования и шифрования. Туннелирование используется только в качестве дополнительной меры предосторожности только в тех случаях, если выбран туннельный способ передачи данных. Шифрование тоже не используется по умолчанию - его необходимо дополнительно определить с помощью политик IPSec. На этапе установления сеанса IPSec также создаются ключи, с помощью которых в дальнейшем будет проверяться подлинность данных. Ключи создаются только на локальных машинах и никогда не передаются по сети.
При транспортном способе передачи реальный IP-заголовок и IP-адрес не изменяется, а заголовок IPSec вставляется между заголовком IP и остальными заголовками или данными. В этом случае, данные могут быть защищены только аутентификацией и шифрованием.
При туннельном режиме заменяется весь заголовок IP-пакета вместе с IP-адресом, создается другой заголовок IP с другими IP-адресами.
Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства для обнаружения и предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.
IDS/IPS используются для обнаружение аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например: попытки использования уязвимостей ПО; попытки повешение привилегий; несанкционированный доступ к конфиденциальным данным; активность вредоносных программ
Межсетевое экранирвание. Классификация firewall’ов и определение политики firewall’а Исследуются существующие технологии firewall’ов: пакетные фильтры, stateful inspection firewall’ы, прокси прикладного уровня. Рассматривается также сервис NAT. Приводятся примеры использования firewall’ов различного типа: выделенные прокси-серверы, host-based firewall’ы, персональные firewall’ы
Firewall’ы защищают компьютеры и сети от попыток несанкционированного доступа с использованием уязвимых мест, существующих в семействе протоколов ТСР/IP. Дополнительно они помогают решать проблемы безопасности, связанные с использованием уязвимых систем и с наличием большого числа компьютеров в локальной сети. Существует несколько типов firewall’ов, начиная от пакетных фильтров, встроенных в пограничные роутеры, которые могут обеспечивать управление доступом для IP-пакетов, до мощных firewall’ов, которые могут закрывать уязвимости в большом количестве уровней семейства протоколов ТСР/IP, и еще более мощных firewall'ов, которые могут фильтровать трафик на основании всего содержимого пакета.
Современные firewall’ы могут работать совместно с такими инструментальными средствами, как системы обнаружения проникновений и сканеры содержимого e-mail или web с целью нахождения вирусов или опасного прикладного кода. Но в отдельности firewall не обеспечивает полной защиты от всех проблем, порожденных Интернетом. Как результат, firewall’ы являются только одной частью архитектуры информационной безопасности. Обычно они рассматриваются как первая линия обороны, однако их лучше воспринимать как последнюю линию обороны в организации; организация в первую очередь должна делать безопасными свои внутренние системы. Для внутренних серверов, персональных компьютеров и других систем должны своевременно выполняться все обновления как самих систем, так и других систем обеспечения безопасности, например, антивирусного ПО.