- •Устройства, применяемые для построения сети. Назначение и характеристика
- •Принципы классовой адресации
- •3. Принципы разбиения сети на подсети.
- •Принципы бесклассовой адресации
- •Определение и необходимость применения влвс
- •Принципы построения влвс на основе одного коммутатора
- •Принципы построения влвс на основе нескольких коммутаторов
- •Характеристика протоколов isl и ieee 802.1q
- •Характеристика протокол vtp
- •Маршрутизация между сетями vlan
- •Протокол ip, характеристика полей заголовка
- •Фрагментация ip-пакетов
- •Установка tcp соединения
- •Принцип обеспечения достоверности передачи сегментов в протоколе tcp
- •Политика защиты сети, основные разделы политики
- •Характеристика политики защиты открытого типа
- •Характеристика политики защиты ограничивающего типа
- •Характеристика политики защиты закрытого типа
- •Основные направления защиты территориальной сети
- •Защита административного доступа
- •Защита связей между маршрутизаторами
- •Защита коммутаторов Ethernet
- •Основы защиты периметра
- •Функции защиты сети, выполняемые маршрутизатором периметра
- •Демилитаризована зона, бастионный хост, назначение, характеристика
- •Общие принципы построения сетей. Понятие интерфейса, клиента и сервера
- •Общие принципы построения сетей. Физическая передача данных по линиям связи
- •Общие принципы построения сетей. Топология физических связей
- •Общие принципы построения сетей. Понятие коммутации и маршрутизации
- •Модель osi. Канальный уровень. Mac-адреса
- •Модель osi. Технологии Ethernet, fddi, Token Ring
- •Модель osi. Технологии Ethernet, Fast Ethernet, Gb Ethernet – сходства, различия
- •Модель osi. Сетевой протокол icmp
- •Модель osi. Сетевые протоколы arp, rarp
- •Модель osi. Таблицы маршрутизации
- •Модель osi. Сетевые устройства
- •Понятие маршрутизации. Статическая и динамическая маршрутизация
- •Понятие маршрутизации. Алгоритмы маршрутизации
- •Понятие маршрутизации. Протокол маршрутной информации (rip), Расширенный протокол внешнего шлюза (eigrp)
- •Автономная система. Понятие локального и транзитного трафика. Протокол граничного шлюза (bgp)
- •Списки доступа. Стандартные и расширенные
- •Списки доступа. Применение
Характеристика политики защиты открытого типа
Характеризуется прозрачноcтью доступа пользователей
Технологии защиты, обеспечивающие минимум безопасности.
Аутентификация:
- протокол паролирования РАР (удаленные клиенты и филиалы);
- пароли (узлы территориальной сети).
Управление доступом:
- списки доступа в маршрутизаторе WAN и шлюзе;
- отсутствие отдельных МЭ;
- отсутствие шифрования.
Особенности: позволяется все, что явно не запрещается; простота настройки и администрирования; простота в работе для пользователей; стоимость защиты 70$ на раб.место.
Характеристика политики защиты ограничивающего типа
Характеризуется прозрачностью доступа пользователей и одновременно макс. защитой. Технологии защиты, обеспечивающие средний уровень безопасности:
Аутентификация:
- одноразовые пароли (удаленные клиенты и Интернет);
- пароли (узлы территориальной сети);
- идентификационные карты;
- централизованная аутентификация.
Управление доступом:
- Ссписки доступа в маршрутизаторе WAN и шлюзе
- МЭ между предприятием и Интернет;
- аутентификация маршрутов;
- шифрование связей с филиалами.
Особенности: более сложная настройка и администрирование; больше сложностей в работе для пользователей; стоимость защиты 250$ за раб. место.
Характеристика политики защиты закрытого типа
Характеризуется максимальной защитой. Технологии защиты, обеспечивающие максимальный уровень безопасности:
Аутентификация:
- цифровые сертификаты (удаленный доступ, филиалы);
- пароли (узлы территориальной сети);
- идентификационные карты;
- централизованная аутентификация.
Управление доступом:
- списки доступа в маршрутизаторе WAN и шлюзе;
- МЭ между предприятием и Интернет;
- аутентификация маршрутов;
- шифрование (удаленный доступ, связь с филиалами, частично территориальная сеть). Особенности: наиболее сложная настройка и администрирование; наибольшие сложности в работе для пользователей; стоимость защиты 350$ на раб. Место.
Основные направления защиты территориальной сети
Компоненты защиты инфраструктуры сети:
- защита физических устройств;
- защита административного интерфейса;
- защита связей между маршрутизаторами;
- защита коммутаторов Ethernet.
- защита физических устройств:
Разработка политики защиты объекта, плана контроля:
- выполнение требований к выбору помещений;
- ограничение доступа к сетевому оборудованию;
- организация контроля доступа к сетевому оборудованию;
- обеспечение защиты линий связи;
- обеспечение надежного электропитания и его резервирование;
- разработка плана восстановления в чрезвычайных ситуациях.
Защита административного доступа
Включает:
1.Защита доступа к консоли;
2.Использование шифрования паролей;
3. Настройка времени ожидания сеансов.
4.Использование информационных баннеров.
5.Управление доступом Telnet.
6.Управление доступом SNMP.
Защита доступа к консоли: Правила парольной политики:
1. Не использовать пароли, установленные по умолчанию.
2. Привилегированный пароль должен отличаться от пароля доступа.
3. Пароль должен быть длинным и случайным. Нельзя использовать слова, имена, адреса и т.п.
4. Не записывать пароли.
5. Пароль должен регулярно меняться.
6. Используйте шифрование паролей. Переход из непривилегированного режима в привилегированный. Пароли можно скрыть двумя способами, используя команды: Команда service password-encryption (Заставляет систему хранить все пароли в зашифрованном виде) router(config)#enable password [level уровень] {пароль [тип шифрования] шифрованный пароль} level уровень - определяет уровень привелегий для которого устанавливается пароль. Пароль – пароль, требуемый от пользователя для перехода в привилегированный режим. Тип шифрования – алгоритм шифрования – 7. Шифрованный пароль - вводимый шифрованный пароль издругой области конфигурации маршрутизатора. Ограничение времени работы консоли. Без сопровождения 2 мин 30 сек.
4. Настройка привилегий:
5. Использование информационных баннеров: баннерные сообщения используются, чтобы информировать о том, кому позволено, а кому не позволено входит в сеть.
6. Ограничить доступ созданием списков доступа.