Security_metod
.pdf
Закони
Багато підприємств сьогодні під час встановлення політики безпеки та реалізації програм з підвищення обізнаності приділяють значну увагу дотриманню законів. Професіонали з мережної безпеки повинні бути знайомі з законами і кодексами етики. Більшість країн мають три типи законів: кримінальні, цивільні, та адміністративні.
Кримінальне право має справу зі злочинами, покарання за які може бути у вигляді штрафу або тюремного ув'язнення, або те й інше.
Цивільне право фокусується на виправленні ситуацій, в яких особі була заподіяна шкода, і потребується економічне рішення. Наприклад, одна компанія подає в суд на іншу компанію за порушення патенту. Штраф у цивільному праві, як правило основне рішення, також може бути вимога припинити зазіхати на патент.
Адміністративне право дозволяє урядовим установам зміцнити регулювання. Наприклад, компанія може не виплатити співробітникам відпускні. Адміністративний суд може змусити компанію виплатити відпускні співробітникам, а також стягнути штраф.
Не всі уряди приймають та класифікують закони однаково. Це може перешкоджати переслідуванню за комп'ютерні та мережні злочини за умови перетинання міжнародних кордонів.
Етика
Етика - це стандарт, вищій за закон. Це набір моральних принципів, які регулюють поведінку цивільної людини. Етичні принципи часто стають основою багатьох законів в наш час. Ці принципи часто формалізовані у кодексах етики. Особи, які порушують кодекс етики можуть зіткнутися з такими наслідками, як втрата сертифікації, роботи, і навіть переслідування кримінальним або цивільним судом.
Для професіоналів у галузі інформаційної безпеки існує низка формалізованих кодексів етики:
Кодекс етики (ISC)2 Computer Ethics Institute (CEI) Internet Activities Board (IAB)
Generally Accepted System Security Principles (GASSP)
Кодекс етики (ISC) 2
Захищати суспільство, співдружність, і інфраструктуру.
Діяти з честю, чесно, справедливо, відповідально і на законних підставах. Забезпечити добросовісне і компетентне обслуговування клієнтів. Просувати та захищати професію.
110
CEI код етики
СЕІ формалізував свій код етики, як десять заповідей комп'ютерної етики:
1.Не використовувати комп'ютер, щоб нашкодити іншим людям.
2.Не заважати роботі іншої людини на комп'ютері.
3.Не шпигувати за комп'ютерними файлами інших людей.
4.Не використовувати комп'ютер для здійснення крадіжки.
5.Не використовувати комп'ютер для лжесвідчень.
6.Не копіювати та не використовувати програмне забезпечення, за яке не заплатив.
7.Не використовувати ресурси комп'ютера іншої людини без дозволу або без належної компенсації.
8.Поважати інтелектуальну власність інших людей.
9.Думати про соціальні наслідки написаної програми або розробленої системи.
10.Завжди використовувати комп'ютер у такий спосіб, який забезпечує повагу до інших людей.
Кодекс етики IAB
IAB випустив заяву, що доступ і використання Інтернету є привілеєм, і має саме так розглядатися всіма користувачам цієї системи. Тому неетичною і неприпустимою є будь-яка діяльність, яка навмисно:
Прагне отримати несанкціонований доступ до ресурсів мережі Інтернет.
Порушує цільове використання Інтернету.
Нищить ресурси, такі як люди, здібності, і комп'ютери, за допомогою певних дій.
Порушує цілісність комп'ютерної інформації. Компрометує конфіденційність користувачів.
11.7 Самостійна робота студента
11.7.1 Запитання для самоперевірки
1.Перелічіть та охарактеризуйте 5 фаз SDLC.
2.Які два типи аналізу ризиків Ви знаєте?
3.Які методи керування ризиками існують?
4.Опишіть основні складові Політики безпеки.
5.Які кодекси комп’ютерної етики є загальновідомими?
11.7.2Матеріали для самостійного поглибленого вивчення
1.Знайдіть в Інтернеті та проаналізуйте кодекс етики GASSP.
2.Знайдіть в Інтернеті інструменти, необхідні для тестування безпеки мережі та ознайомтеся з технологією їх використання.
111
ЛАБОРАТОРНИЙ ПРАКТИКУМ
Лабораторні роботи виконуються за курсом CCNA Security Мережної академії Cisco. Виконання лабораторних робіт супроводжує весь теоретичний матеріал. Виконання кожної лабораторної роботи бажано проводити паралельно з вивченням теоретичного матеріалу.
Більшість робіт проводиться з використанням програмного засобу для проектування, моделювання та дослідження комп’ютерних мереж Packet Tracer. Оскільки роботи увесь час оновлюються під сучасне ПЗ, бажано встановити Packet Tracer останньої версії.
До кожної роботи додається інструкція та перевірочний бланк. Необхідно довести кожну роботу до змістовного завершення, про що можна отримати повідомлення у перевірочному бланку. Якщо під час виконання роботи було допущено помилки, вони будуть відображатися у перевірочному бланку.
Хоча в електронному посібнику лабораторні роботи супроводжують увесь теоретичний матеріал, серед них можна виділити найважливіші, які є обов’язковими для успішного опанування курсу.
Лабораторна робота №1: Конфігурування Syslog, NTP, SSH на маршрутизаторі
Задачі:
Налаштувати маршрутизатори у якості клієнтів NTP.
Налаштувати маршрутизатори для оновлення показників апаратного годинника з використанням NTP.
Налаштувати маршрутизатори для запису журнальних повідомлень на syslog сервер.
Налаштувати маршрутизатори для додавання часових міток до журнальних повідомлень.
Створити записи для локальних користувачів.
Налаштувати VTY лінії таким чином, щоб встановлювалися тільки SSH з'єднання.
Створити пару RSA ключів на сервері SSH.
Перевірити SSH підключення з клієнта, встановленого на ПК та з клієнта, встановленого на маршрутизаторі.
112
Лабораторна робота №2: Конфігурування ААА аутентифікації на маршрутизаторі
Задачі:
Налаштувати обліковий запис локального користувача на маршрутизаторі R1 і аутентифікацію на консольній лінії та на лініях VTY з використанням локальної AAA.
Перевірити локальну ААА аутентифікацію з консолі маршрутизатора R1 та з ПК-клієнта.
Налаштувати серверну AAA аутентифікацію з використання TACACS +. Перевірити серверну AAA аутентифікацію з ПК-клієнта.
Налаштувати серверну AAA аутентифікацію з використанням RADIUS. Перевірити серверну ААА аутентифікацію з ПК-клієнта.
Лабораторна робота №3: Конфігурування IP ACL для попередження
атак
Задачі:
Перевірити з'єднання між пристроями до налаштування брандмауера. Використати ACL для того, щоб забезпечити віддалений доступ до маршрутизаторів тільки з ПК, призначеного для адміністрування.
Налаштувати списки ACL на маршрутизаторах R1 і R3 для попередження атак.
Переконатися в функціональності ACL.
Лабораторна робота №4: Конфігурування брандмауера зонної політики (Zone-Based Policy Firewall)
Задачі:
Перевірити з'єднання між пристроями до налаштування брандмауера. Налаштувати брандмауер на основі зонної політики (ZPF) на маршрутизаторі R3.
Переконатися в функціональності брандмауера ZPF, використовуючи утиліти Ping, Telnet і веб-браузер.
Лабораторна робота №5: Конфігурування системи попередження вторгнень IPS
Задачі:
Включити IOS IPS. Налаштувати ведення журналу. Змінити IPS сигнатури. Переконатися, що IPS працює.
113
Лабораторна робота №6: Налаштування безпеки Рівня 2 моделі OSI
Задачі:
Призначити комутатор Central для виконання функції root bridge. Захистити параметри сполучного дерева, щоб запобігти атаці STP маніпуляції.
Включити шторм контроль для запобігання атакам broadcast штормів. Включити port security для запобігання атакам переповнення таблиці
MAC-адрес.
Лабораторна робота №7: Конфігурування VLAN безпеки Рівня 2 моделі OSI
Задачі:
Підключити новий резервний канал між маршрутизаторами SW-1 і SW-2. Налаштувати магістральний канал (trunk) та налаштувати безпеку на новому магістральному каналі між комутаторами SW-1 і SW-2.
Створити нову VLAN керування (VLAN 20) і приєднати ПК керування до цієї VLAN.
Реалізувати ACL для запобігання доступу зовнішніх користувачів до VLAN керування.
Лабораторна робота №8: Конфігурування Site-to-Site IPsec VPN
Задачі:
Перевірити з’єднання між пристроями в мережі.
Налаштувати маршрутизатор R1 для підтримки site-to-site IPsec VPN з маршрутизатором R3.
Налаштувати IPsec параметри на маршрутизаторі R3. Перевірити роботу IPsec VPN.
Лабораторна робота №9: Базові налаштування Cisco ASA та налаштування брандмауера
Задачі:
Перевірити підключення та дослідити ASA.
Виконати основні налаштування ASA та рівні безпеки інтерфейсів. Налаштувати маршрутизацію та політику інспекції.
Налаштувати DHCP, ААА, і SSH. Налаштувати DMZ, статичний NAT та ACL.
114
Лабораторна робота №10: Відпрацювання комплексних практичних навичок з налаштування безпеки в Packet Tracer
Задачі:
Виконати базові налаштування маршрутизатора. Виконати базові налаштування комутатора. Налаштувати локальну ААА ідентифікацію. Налаштувати SSH.
Виконати налаштування проти атак доступу.
Налаштувати Site-to-Site IPsec VPN.
Налаштувати брандмауер і IPS.
Виконати базові налаштування безпеки ASA та налаштувати брандмауер.
115
КОНТРОЛЬНА РОБОТА
Задана наступна схема топологічної діаграми:
Задача 1: Побудова топології
В Packet Tracer побудуйте топологію відповідно до схеми, зв’язки між пристроями мають відповідати таблиці 1.
Таблиця 1: Зв’язки між пристроями
Пристрій |
Інтерфейс |
З’єднати з |
Інтерфейс |
|
|
|
|
R1 |
Fa 0/0 |
Switch - A |
Fa 0/1 |
|
|
|
|
R1 |
S 0/0/1 |
R2 |
S 0/0/1 |
|
|
|
|
R3 |
Fa 0/0 |
Switch - B |
Fa 0/1 |
|
|
|
|
R2 |
Fa 0/0 |
Switch - S |
Fa 0/1 |
|
|
|
|
R2 |
S 0/0/0 |
R3 |
S 0/0/0 |
|
|
|
|
Server-Web |
NIC |
Switch - S |
Fa 0/2 |
|
|
|
|
PC-A1 |
NIC |
Switch - A |
Fa 0/2 |
|
|
|
|
PC-A2 |
NIC |
Switch - A |
Fa 0/3 |
|
|
|
|
PC-B1 |
NIC |
Switch - B |
Fa 0/2 |
|
|
|
|
PC-B2 |
NIC |
Switch - B |
Fa 0/3 |
|
|
|
|
116
Задача 2: Проектування адресного простору
Адресний простір і вимоги до кількості хостів задані в таблиці 2. Під час поділу мереж на підмережі потрібно використовувати VLSM.
Таблиця 2: Адресний простір і вимоги до підмереж
Номер |
Адресний |
Кількість |
Кількість |
Кількість |
|
адрес в |
адрес в |
адрес в |
|||
варіанту |
простір |
||||
мережі А |
мережі В |
мережі S |
|||
|
|
||||
|
|
|
|
|
|
1 |
172.16.48.0/24 |
70 |
50 |
5 |
|
|
|
|
|
|
|
2 |
172.16.15.0/25 |
60 |
10 |
3 |
|
|
|
|
|
|
|
3 |
172.20.48.0/24 |
65 |
47 |
5 |
|
|
|
|
|
|
|
4 |
172.20.26.0/25 |
50 |
10 |
5 |
|
|
|
|
|
|
|
5 |
192.168.1.0/24 |
70 |
40 |
3 |
|
|
|
|
|
|
|
6 |
192.168.2.0/24 |
80 |
60 |
3 |
|
|
|
|
|
|
|
7 |
192.168.3.0/25 |
50 |
12 |
5 |
|
|
|
|
|
|
Мережа W1 розташована між R1 і R2 для всіх варіантів.
Мережа W2 розташована між R2 і R3 для всіх варіантів.
У звіті надайте розрахунки. Для кожної підмережі як мінімум має бути представлена наступна інформація:
Префікс / скільки хостів він забезпечує.
Маска.
Адреса мережі.
Broadcast адреса.
Діапазон адрес хостів.
Задача 3: Призначення адрес всім пристроям
Домовленості щодо адресації пристроїв:
Інтерфейсу маршрутизатора призначається найбільша адреса з прийнятного діапазону.
Сервер має передостанню адресу з прийнятного діапазону, він є HTTP і DNS сервером.
Комп’ютерам призначаються адреси з початку діапазону. Комутаторам адреси не призначають.
Заповніть інформацію для конфігурації інтерфейсів (при відсутності таких параметрів для пристрою – поставте прочерк) за зразком таблиці 3:
117
|
|
|
|
|
Таблиця 3 |
|
|
|
|
|
|
|
|
Пристрій |
Інтерфейс |
IP адре- |
Маска |
Шлюз по за- |
DNS |
|
са |
мовчуванню |
сервер |
|
|||
|
|
|
|
|||
|
Fa 0/0 |
|
|
|
|
|
R1 |
|
|
|
|
|
|
S 0/0/1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Задача 4: Застосування адресної схеми
Адресну схему застосуйте до топології в Packet Tracer. Зробіть надписи щодо адрес мереж, вузлів та назв інтерфейсів.
Топологічну схему наведіть у звіті.
Задача 5: Налаштування статичної маршрутизації
Налаштуйте статичну маршрутизацію (всі мережі доступні для всіх хостів). Продемонструйте використання маршруту по замовчуванню і використання маршруту до конкретної мережі.
В звіті надайте таблиці маршрутизації для всіх маршрутизаторів.
Задача 6: Безпека адміністративного доступу
Налаштуйте безпеку адміністративного доступу до маршрутизаторів. Призначте паролі на привілейований режим EXEC, на вхід через консольний порт, на вхід через лінії віртуального термінала, встановіть банер дня.
Задача 7: Налаштування списків контролю доступу
Запишіть до звіту кілька правил, які дозволяють або забороняють певні види доступу. Налаштуйте один стандартний список контролю доступу і один розширений.
У звіті наведіть скріншоти конфігурації кожного з маршрутизаторів (ко-
манда show run).
118
ГЛОСАРІЙ
Вірус – шкідлива програма, яка приєднується до іншої програми для виконання певних небажаних, часто шкідливих функцій на комп'ютері.
Експлойт - (від англ. exploit — експлуатувати) — це комп'ютерна програма, фрагмент програмного коду або послідовність команд, що використовують вразливості в ПЗ та призначені для проведення атаки на обчислювальну систему.
Троянський кінь – застосунок, написаний таким чином, щоб виглядати схожим на легітимну програму. Коли заражена програма або файл завантажена і відкрита, троянський кінь може атакувати кінцевий пристрій зсередини.
Хробак – зловмисне ПЗ, яке виконує певний код і встановлює свої копії в па- м'яті зараженого комп'ютера, розповсюджується самостійно. Основне призначення хробака автоматично копіювати себе і поширювати мережею від системи до системи.
AAA – authentication, authorization and accounting – аутентифікація, авторизація та облік.
ACL – Access Control List, список контролю доступу, список прав доступу до об’єкта, який визначає хто або що може отримувати доступ до нього і які саме операції дозволено або заборонено цьому суб’єкту проводити над об’єктом.
IPsec - (скорочення від IP Security) — набір протоколів для забезпечення захисту даних, які передаються за допомогою протоколу ІР, дозволяє здійснювати підтвердження справжності та/або шифрування IP-пакетів.
NAT – Network Address Translation, трансляція мережних адрес.
NTP – Network Time Protocol, протокол мережного часу, за допомогою якого синхронізують системний час комп’ютера користувача із системним часом сервера.
RSA – абревіатура від прізвищ Rivest, Shamir та Adleman, криптографічна система з відкритим ключем.
SDLC – System Development Life Cycle, описує процес планування, створення, тестування та впровадження інформаційної системи.
Spoofing атака - ситуація, в якій одна людина або програма успішно маскується під іншу шляхом фальсифікації даних і отримує незаконні права.
SSH - Secure Shell, мережний протокол рівня застосунків, який дозволяє проводити віддалене керування комп’ютером. Схожий за функціональністю з протоколом Telnet.
VLAN – Virtual LAN, логічна сукупність користувачів, що мають загальний домен для широкомовних повідомлень.
Wardriving – процес пошуку та зламу вразливих точок доступу бездротових мереж людиною, яка оснащена переносним ПК з Wi-Fi-адаптером.
119