- •ВВЕДЕНИЕ
- •1. ОСНОВЫ ЗАХВАТА И АНАЛИЗА СЕТЕВОГО ТРАФИКА
- •1.1. Общие сведения о программе
- •1.2. Установка программы и подготовка к захвату
- •1.3. Пользовательский интерфейс программы
- •1.4. Фильтр отображения пакетов
- •1.5. Поиск кадров
- •1.6. Выделение ключевых кадров
- •1.7. Сохранение данных захвата
- •1.8. Печать информации
- •1.9. Просмотр кадра в отдельном окне
- •1.10. Анализ протоколов Ethernet и ARP
- •1.11. Анализ протоколов IP и ICMP
- •1.12. Анализ протокола TCP
- •2. ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК ПУТЕМ АНАЛИЗА ТРАФИКА
- •2.1. Этапы сетевой атаки
- •2.2. Исследование сетевой топологии
- •2.3. Обнаружение доступных сетевых служб
- •2.4. Выявление уязвимых мест атакуемой системы
- •2.5. Реализации атак
- •2.6. Выявление атаки на протокол SMB
- •3. ЗАЩИТА КОМПЬЮТЕРНОЙ СЕТИ С ИСПОЛЬЗОВАНИЕМ МЕЖСЕТЕВЫХ ЭКРАНОВ
- •3.1. Понятие межсетевого экрана
- •3.2. Компоненты межсетевого экрана
- •3.3. Политика межсетевого экранирования
- •3.4. Архитектура МЭ
- •3.5. Пример реализации политики МЭ
- •3.6. Сетевая среда лабораторной работы
- •3.7. Применение МЭ на основе двудомного узла
- •3.8. Применение МЭ на основе фильтрующего маршрутизатора
- •3.9. Применение МЭ на основе экранирующего узла
- •3.10. Применение технологии трансляции сетевых адресов
- •4. СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
- •4.1. Сигнатурный анализ и обнаружение аномалий
- •4.2. Обнаружение в реальном времени и отложенный анализ
- •4.3. Локальные и сетевые системы обнаружения атак
- •4.4. Распределенные системы обнаружения атак
- •4.5. Система обнаружения атак Snort
- •4.5.1. Общие сведения
- •4.5.2. Установка и запуск программы
- •4.5.3. Описание языка правил
- •4.5.4. Использование СОА Snort
- •4.5.5. Выявление факта сканирования портов
- •5. ОРГАНИЗАЦИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ
- •5.1. Задачи, решаемые VPN
- •5.2. Туннелирование в VPN
- •5.3. Уровни защищенных каналов
- •5.4. Защита данных на канальном уровне
- •5.5. Организация VPN средствами протокола PPTP
- •5.5.1. Постановка задачи
- •5.5.2. Установка и настройка VPN
- •5.5.3. Анализ защищенности передаваемой информации
- •5.6. Защита данных на сетевом уровне
- •5.6.1. Протокол SKIP
- •5.6.2. Протокол IPSec
- •5.7. Организация VPN средствами СЗИ VipNet
- •5.7.1. Постановка задачи
- •5.7.2. Настройка сетевых соединений виртуальных машин
- •5.7.3. Установка СЗИ VipNet
- •5.7.4. Настройка СЗИ VipNet
- •5.8. Использование протокола IPSec для защиты сетей
- •5.8.1. Шифрование трафика с использованием протокола IPSec
- •5.8.2. Проверка защиты трафика
- •5.8.3. Настройка политики межсетевого экранирования с использованием протокола IPSec
- •5.9. Организация VPN средствами СЗИ StrongNet
- •5.9.1. Описание системы
- •5.9.2. Постановка задачи
- •5.9.3. Генерация и распространение ключевой информации
- •5.9.4. Настройка СЗИ StrongNet
- •5.9.5. Установка защищенного соединения
- •5.10. Защита на транспортном уровне
- •5.11. Организация VPN средствами протокола SSL в Windows Server 2003
- •5.11.1. Активизация IIS
- •5.11.3. Настройка SSL-соединения
- •5.12. Организация VPN прикладного уровня средствами протокола S/MIME и СКЗИ КриптоПро CSP
- •5.12.1. Организация почтового обмена
- •5.12.2. Активизация IIS
- •5.12.3. Установка СКЗИ КриптоПро CSP
- •5.12.4. Установка Центра сертификации в ОС Windows Server 2003
- •5.12.5. Получение сертификатов открытых ключей
- •5.12.6. Организация защищенного обмена электронной почтой
- •6. ПРИМЕНЕНИЕ ТЕХНОЛОГИИ ТЕРМИНАЛЬНОГО ДОСТУПА
- •6.1. Общие сведения о технологии терминального доступа
- •6.2. Обеспечение безопасности ОС Windows Server 2003
- •6.2.1. Ограничение возможности сетевого доступа
- •6.2.2. Ограничение возможности расширения полномочий при осуществлении локального доступа
- •6.3. Настройки сервера MSTS
- •6.4. Настройки протокола RDP
- •7. СЛУЖБЫ КАТАЛОГОВ
- •7.1. Общие сведения о службах каталогов
- •7.2. Структура каталога LDAP
- •7.2.1. Схема LDAP
- •7.2.2. Система имен LDAP
- •7.2.3. Инструментарий для работы с LDAP-каталогом
- •7.3.1. Общие сведения о протоколе Kerberos
- •7.3.3. Реализация Kerberos в ОС Windows Server 2003
- •7.3.4. Пример реализации системы SSO
- •7.4.1. Технология PAM
- •7.4.2. Технология NSS
- •8. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ
- •8.1. Понятие аудита информационной безопасности
- •8.1.1. Активный аудит
- •8.1.2. Экспертный аудит
- •8.1.3. Аудит на соответствие стандартам ИБ
- •8.2. Методика проведения инструментальных проверок
- •8.3. Постановка задачи для проведения инструментальных проверок
- •8.4. Обнаружение сетевых узлов
- •8.5. Сканирование портов и идентификация ОС
- •8.6. Использование DNS для обнаружения и выяснения назначения сетевых узлов
- •8.7. Создание карт сети
- •8.8. Использование сканера безопасности Nessus
- •8.9. Анализ защищенности web-серверов
- •ПЕРЕЧЕНЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
113
−Подмена/маскарад. Механизм: все пакеты и их адресная информация аутентифицируются и защищаются от подделки криптосуммой по пакету, разделяемому секрету и текущему времени.
−Перехват сессий. Механизм: в сеть может войти только владелец разделяемого секрета.
−Атака Man-in-the-middle. Механизм: подписанные ЦС сертификаты.
−Анализ топологии сети. Механизм: топология сети полностью скрывается туннелированием всех исходящих из сети пакетов.
−Криптоанализ. Механизм: большая длина пакетных ключей (до 256 бит); частая смена пакетных ключей – через каждые 5-10 IPпакетов; отсутствие данных для криптоанализа разделяемого секрета — он не используется непосредственно для криптообработки.
−Атака: отказ в обслуживании. Механизм: нейтрализуется для всех DoS атак, ведущихся на уровне выше чем IP. В сеть пропускаются пакеты только от владельца разделяемого секрета.
Вместе с тем, защита от ряда атак протоколом не реализуется:
−осуществляется защита лишь части трафика, например направленного в удаленный филиал. Остальной трафик (например, к web-серверам) проходит через VPN-устройство без обработки;
−нет защиты от действий пользователей, имеющих санкционированный доступ в корпоративную сеть.
5.6.2. Протокол IPSec
Протокол IPSec позволяет осуществлять две важнейшие функции сетевой защиты — осуществлять криптографическую защиту трафика и выполнять фильтрацию входящих/исходящих пакетов. Протокол реализован в ОС Windows 2000/XP. Протокол обеспечивает аутентификацию участников сетевого обмена (протокол IKE — Internet Key Exchange), защиту целостности (заголовок аутентификации AH — Authentication Header) и шифрование (ESP — Encapsulating Security Payload)
Аутентифицирующий заголовок (AH) выполняет защиту от атак, связанных с несанкционированным изменением содержимого пакета. Для этого особым образом применяется алгоритм MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа, затем от объединения полученного результата и преобразованного ключа.
Заголовок ESP служит для обеспечения конфиденциальности данных, предполагает возможность использования любого симметричного алгоритма шифрования.
Протокол обмена ключами IKE отвечает за первоначальный этап установки соединения, способ инициализации защищенного канала, процедуры обмена секретными ключами, выбор метода шифрования. Предполагает три