- •Варианты построения виртуальных защищенных каналов
- •2. Протоколы формирования защищенных каналов на канальном уровне
- •Протоколы формирования защищенных каналов на сеансовом уровне
- •Настройка сетевого интерфейса в CentOs
- •Настройке сети
- •Настройка dns
- •3.1.1. Функции межсетевых экранов
- •3.1.1.1. Фильтрация трафика
- •3.1.1.2. Выполнение функций посредничества
- •3.1.1.3. Дополнительные возможности межсетевых экранов
- •Коммутация пакетов
- •Достоинства коммутации пакетов
- •Недостатки коммутации пакетов
- •Протокол Spanning Tree Protocol (stp)
- •Протокол Rapid Spanning Tree Protocol (rstp)
- •2.Настройка ios
- •3. Настройка маршрутизации
- •Настройка dhcp pool на маршрутизаторе
- •Локальные учетные записи
- •Управление доменными учетными записями пользователей
- •Структуры распределенных систем управления
- •Понятие защищенной ос
- •Выполнить резервное копирование стандартными средствами ос Windows.
- •Технология преобразования сетевых адресов (nat)
- •Установка
- •Настройка сервера
- •1. Процедуры по обслуживанию ис
- •1.Резервное копирование данных
- •2.Ведение журналов регистрации событий
- •3.Слежение за окружающей средой
- •4.Оперирование с носителями информации и их защита
- •5.Обмен данными и программами
- •6.Рекомендации для аудита
- •7.Квотирование дискового пространства
- •Заголовок ah
- •Заголовок esp
- •Транспортный режим
- •Туннельный режим
- •Политика безопасности
- •1. Управление производительностью, безопасностью сети.
- •Типы резервного копирования
- •Разработка и реализация стратегии резервного копирования. Понятие плана архивации
- •Выбор архивных устройств и носителей
- •Особенности управления доступом
- •Функционирование системы управления доступом
- •1. Составляем список критичных пользовательских ит-сервисов
- •2. Определяем точки отказа пользовательских сервисов
- •3. Определяем зависимости точек отказа
- •2. Определяем необходимые ресурсы и условия для восстановления
- •3. Определяем минимальное гарантируемое время восстановления пользовательского сервиса
- •4. Определяем факторы риска процедуры аварийного восстановления и планируем мероприятия по их контролю
- •5. Определяем ситуации, выходящие за рамки планирования
- •Типы acl
- •Порядок просмотра acl
- •Применение acl
- •15.1.1. Классификация компьютерных вирусов
- •15.1.3. Основные каналы распространения вирусов и других вредоносных программ
3.1.1.2. Выполнение функций посредничества
Функции посредничества firewall выполняет с помощью специальных программ, называемых экранирующими агентами или программами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.
При необходимости доступа из внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также другие защитные функции.
В общем случае программы-посредники, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции:
проверку подлинности передаваемых данных;
фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
разграничение доступа к ресурсам внутренней сети;
разграничение доступа к ресурсам внешней сети;
кэширование данных, запрашиваемых из внешней сети;
идентификацию и аутентификацию пользователей;
трансляцию внутренних сетевых адресов для исходящих пакетов сообщений;
регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов.
Firewalls с посредниками позволяют также организовывать защищенные виртуальные сети VPN, например, безопасно объединить несколько локальных сетей, подключенных к Интернет, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Интернет возможно шифрование не только данных пользователей, но и служебной информации - конечных сетевых адресов, номеров портов и т.д.
3.1.1.3. Дополнительные возможности межсетевых экранов
Помимо выполнения фильтрации трафика и функций посредничества некоторые межсетевые экраны позволяют реализовать ряд других, не менее важных функций, без которых обеспечение защиты периметра внутренней сети было бы неполным.
Идентификация и аутентификация пользователей
Кроме разрешения или запрещения допуска различных приложений в сеть межсетевые экраны могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым межсетевым экраном.
Прежде чем пользователю будет предоставлено право на какой-либо сервис, необходимо убедиться, что он действительно тот, за кого себя выдает. Идентификация и аутентификация пользователей являются важными компонентами концепции межсетевых экранов Авторизация пользователя обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные сервисы.
Идентификация и аутентификация пользователя иногда осуществляются при предъявлении обычного идентификатора (имени) и пароля. Однако эта схема уязвима с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Интернет произошли отчасти из-за уязвимости традиционных многоразовых паролей. Злоумышленники могут наблюдать за каналами в сети Интернет и перехватывать передаваемые в них открытым текстом пароли, поэтому такая схема аутентификации считается неэффективной. Пароль следует передавать через общедоступные коммуникации в зашифрованном виде. Это позволяет предотвратить получение несанкционированного доступа путем перехвата сетевых пакетов.
Более надежным методом аутентификации является использование одноразовых паролей. Для генерации одноразовых паролей используются как программные, так и аппаратные средства - последние представляют собой устройства, вставляемые пользователем в слот компьютера. Для приведения этого устройства в действие пользователю необходимо знание некоторой секретной информации. Например, смарт-карта пользователя генерирует информацию, которую хост использует вместо традиционного пароля. Поскольку смарт-карта работает вместе с аппаратным и программным обеспечением хоста, генерируемый пароль уникален для каждого установления сеанса. Результатом является одноразовый пароль, который, даже если он перехватывается, не может быть использован злоумышленником под видом пользователя для установления сеанса с хостом. Этот пароль будет бесполезен при последующей аутентификации, а вычислить следующий пароль из предыдущего является крайне трудной задачей.
Удобно и надежно также применение цифровых сертификатов, выдаваемых доверенными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.
Ряд межсетевых экранов поддерживают Kerberos - один из распространенных методов аутентификации. Как правило, большинство коммерческих межсетевых экранов поддерживают несколько различных схем аутентификации, позволяя администратору сетевой безопасности сделать выбор наиболее приемлемой схемы для своих условий.
Трансляция сетевых адресов
Для реализации многих атак злоумышленнику необходимо знать адрес своей жертвы. Чтобы скрыть эти адреса, а также топологию всей сети, межсетевые экраны выполняют очень важную функцию - трансляцию внутренних сетевых адресов.
Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов выполняется автоматическое преобразование I Р-адресов компьютеров-отправителей в один «надежный» I Р-адрес.
Трансляция внутренних сетевых адресов может осуществлять двумя способами: динамически и статически. В первом случае адрес выделяется узлу в момент обращения к firewall. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу firewall, из которого передаются все исходящие пакеты. I Р-адрес firewall становится единственным активным I Р-адресом, который попадает во внешнюю сеть. В результате все исходящие из внутренней сети пакеты оказываются отправленными firewall, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью.
При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например в Интернет. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети.
Администрирование, регистрация событий и генерация отчетов
Простота и удобство администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа ведут к образованию дыры, через которую может быть взломана система. Поэтому в большинстве межсетевых экранов реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также проводить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Обычно эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все, что относится к конкретному пользователю или сервису.
Важными функциями межсетевых экранов являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и составление отчетов. Являясь критическим элементом системы защиты корпоративной сети, межсетевой экран имеет возможность регистрации всех действий, им фиксируемых. К таким действиям относятся не только пропуск или блокирование сетевых пакетов, но и изменение правил разграничения доступа администратором безопасности и др. Такая регистрация позволяет обращаться к создаваемым журналам по мере необходимости - в случае возникновения инцидента безопасности или сбора доказательств для предоставления их в судебные инстанции либо для внутреннего расследования.
При правильно настроенной системе фиксации сигналов о подозрительных событиях межсетевой экран может дать детальную информацию о том, были ли межсетевой экран или сеть атакованы либо зондированы. Собирать статистику использования сети и доказательства ее зондирования важно по ряду причин. Прежде всего, нужно знать наверняка, что межсетевой экран устойчив к зондированию и атакам, и определить, адекватны ли меры защиты межсетевого экрана. Кроме того, статистика использования сети важна в качестве исходных Данных при проведении исследований и анализе риска для формулирования требований к сетевому оборудованию и программам.
Многие firewalls содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют провести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов firewalls могут выполнить удаленное оповещение об определенных событиях в режиме реального времени.
Билет 8.
Типы коммутации. Настройка коммутатора. Протокол STP, RSTP. Подключение коммутатора к маршрутизатору.
Методы снижения угроз безопасности ИС, вызванных дефектами программных средств и баз данных.
Развернуть готовую виртуальную машину АТС VM Elastix и настроить 2 локальных телефона. Убедиться в возможности разговора между данными абонентами.
1. В общем случае решение каждой из частных задач коммутации — определение потоков и соответствующих маршрутов, фиксация маршрутов в конфигурационных параметрах и таблицах сетевых устройств, распознавание потоков и передача данных между интерфейсами одного устройства, мультиплексирование/демультиплексирование потоков и разделение среды передачи — тесно связано с решением всех остальных. Комплекс технических решений обобщенной задачи коммутации в совокупности составляет базис любой сетевой технологии. От того, какой механизм прокладки маршрутов, продвижения данных и совместного использования каналов связи заложен в той или иной сетевой технологии, зависят ее фундаментальные свойства.
Среди множества возможных подходов к решению задачи коммутации абонентов в сетях выделяют два основополагающих:
коммутация каналов ( circuit switching );
коммутация пакетов ( packet switching ).
При коммутации каналов коммутационная сеть образует между конечными узлами непрерывный составной физический канал из последовательно соединенных коммутаторами промежуточных канальных участков. Условием того, что несколько физических каналов при последовательном соединении образуют единый физический канал, является равенство скоростей передачи данных в каждом из составляющих физических каналов. Равенство скоростей означает, что коммутаторы такой сети не должны буферизовать передаваемые данные.
В сети с коммутацией каналов перед передачей данных всегда необходимо выполнить процедуру установления соединения, в процессе которой и создается составной канал. И только после этого можно начинать передавать данные.
Техника коммутации каналов имеет свои достоинства и недостатки.
Достоинства коммутации каналов
Постоянная и известная скорость передачи данных по установленному между конечными узлами каналу. Это дает пользователю сети возможности на основе заранее произведенной оценки необходимой для качественной передачи данных пропускной способности установить в сети канал нужной скорости.
Низкий и постоянный уровень задержки передачи данных через сеть. Это позволяет качественно передавать данные, чувствительные к задержкам (называемые также трафиком реального времени) — голос, видео, различную технологическую информацию.
Недостатки коммутации каналов
Отказ сети в обслуживании запроса на установление соединения. Такая ситуация может сложиться из-за того, что на некотором участке сети соединение нужно установить вдоль канала, через который уже проходит максимально возможное количество информационных потоков. Отказ может случиться и на конечном участке составного канала — например, если абонент способен поддерживать только одно соединение, что характерно для многих телефонных сетей. При поступлении второго вызова к уже разговаривающему абоненту сеть передает вызывающему абоненту короткие гудки — сигнал "занято".
Нерациональное использование пропускной способности физических каналов. Та часть пропускной способности, которая отводится составному каналу после установления соединения, предоставляется ему на все время, т.е. до тех пор, пока соединение не будет разорвано. Однако абонентам не всегда нужна пропускная способность канала во время соединения, например в телефонном разговоре могут быть паузы, еще более неравномерным во времени является взаимодействие компьютеров. Невозможность динамического перераспределения пропускной способности представляет собой принципиальное ограничение сети с коммутацией каналов, так как единицей коммутации здесь является информационный поток в целом.
Обязательная задержка перед передачей данных из-за фазы установления соединения.