- •Устройства, применяемые для построения сети. Назначение и характеристика
- •Принципы классовой адресации
- •3. Принципы разбиения сети на подсети.
- •Принципы бесклассовой адресации
- •Определение и необходимость применения влвс
- •Принципы построения влвс на основе одного коммутатора
- •Принципы построения влвс на основе нескольких коммутаторов
- •Характеристика протоколов isl и ieee 802.1q
- •Характеристика протокол vtp
- •Маршрутизация между сетями vlan
- •Протокол ip, характеристика полей заголовка
- •Фрагментация ip-пакетов
- •Установка tcp соединения
- •Принцип обеспечения достоверности передачи сегментов в протоколе tcp
- •Политика защиты сети, основные разделы политики
- •Характеристика политики защиты открытого типа
- •Характеристика политики защиты ограничивающего типа
- •Характеристика политики защиты закрытого типа
- •Основные направления защиты территориальной сети
- •Защита административного доступа
- •Защита связей между маршрутизаторами
- •Защита коммутаторов Ethernet
- •Основы защиты периметра
- •Функции защиты сети, выполняемые маршрутизатором периметра
- •Демилитаризована зона, бастионный хост, назначение, характеристика
- •Общие принципы построения сетей. Понятие интерфейса, клиента и сервера
- •Общие принципы построения сетей. Физическая передача данных по линиям связи
- •Общие принципы построения сетей. Топология физических связей
- •Общие принципы построения сетей. Понятие коммутации и маршрутизации
- •Модель osi. Канальный уровень. Mac-адреса
- •Модель osi. Технологии Ethernet, fddi, Token Ring
- •Модель osi. Технологии Ethernet, Fast Ethernet, Gb Ethernet – сходства, различия
- •Модель osi. Сетевой протокол icmp
- •Модель osi. Сетевые протоколы arp, rarp
- •Модель osi. Таблицы маршрутизации
- •Модель osi. Сетевые устройства
- •Понятие маршрутизации. Статическая и динамическая маршрутизация
- •Понятие маршрутизации. Алгоритмы маршрутизации
- •Понятие маршрутизации. Протокол маршрутной информации (rip), Расширенный протокол внешнего шлюза (eigrp)
- •Автономная система. Понятие локального и транзитного трафика. Протокол граничного шлюза (bgp)
- •Списки доступа. Стандартные и расширенные
- •Списки доступа. Применение
Защита связей между маршрутизаторами
Включает в себя:
Аутентификация обновлений маршрутизации. Защита файлов конфигурации на сервере TFTP. Управление потоками данных с помощью фильтров:
- запрет объявления маршрутов в обновлениях
- запрет обработки обновлений;
- контроль потока данных.
Рекомендации:
- обеспечить надежную защиту сервера;
- использовать дистанционное защищенное копирование;
- вручную разрешать и запрещать использовать ПО серверов.
Управление потоками данных, с помощью фильтров.
Фильтрация обновлений маршрутизации с помощью списков доступа. Список доступа, запрещающий обновления обновлений маршрутизации от сети 10.1.2.0. Список применен к исходящему трафику интерфейса serial0
Запрет обработки маршрутов, указанных в обновлениях.
Список доступа разрешающий использовать обновлений только от надежной сети 10.2.0.0. Список применяется к входящему тарфику интерфейса serial 0
Использование списков доступа для контроля потока данных.
Политика контроля:
- разрешается весь исходящий трафик, установленный изнутри, чтобы предотвратить возможность фальсификации адресов;
- разрешаются входящие ответы на установленный трафик;
- запрещается какой-либо иной входящий трафик и регистрируется все попытки несанкционированного доступа.
Управление маршрутизатором посредством доступа HTTP:
- по умолчанию доступ HTTP не используется;
- можно поределить доступ, где указываются адреса, которым разрешается иметь доступ к TCP-порту 80 на маршруте;
- HTTP допускает использование направленно защиты подобно доступу к консоле или vty.
Защита коммутаторов Ethernet
Аналогична защите маршрутизаторов:
1.Управление доступом:
- установка паролей;
- шифрование паролей;
- установка времени ожидания сеанса.
2. Использование привилегированных уровней.
3. Использование баннеров.
4. Контроль доступа HTTP.
5. Настройка безопасности портов.
6. Применение списков доступа.
Основы защиты периметра
Периметр сети:
Периметр сети - это условная граница корпоративной сети с внешним миром, т.е. с другими сетями, в том числе с Интернет. Она представляет собой совокупность сетевых устройств, посредством, которых осуществляется обмен информацией между корпоративной сетью и другими сетями и отдельными узлами.
Защита периметра сети с одной демилитаризованной зоной.
Демилитаризованная зона – это изолированная локальная сеть, являющаяся буфером между корпоративной сетью и внешним миром. В зависимости от задач и функций может быть разное количество устройств. Маршрутизатор периметра является маршрутизатором обычного назначения, первая линия защиты.
Функции защиты сети, выполняемые маршрутизатором периметра
Угроза:
- разведка сети, НСД
- модификация и имитация данных обновлений
- модификация данных, НСД, блокирование сервиса
- блокирование сервиса
- перехват данных, нарушение конфиденциальности
- разведка адресов, портов в кооперативной сети
- НСД
- модификация учетных записей
Защита
- управление сервисами TCP/IP
- защита от несанкционированных изменений маршрутов
- управление доступом
- ограничение частоты обращений, перехват ТСР
- шифрование
- NAT, PAT
- подключение встроенного МЭ
- протоколирование событий
Способы защиты
- защита с помощью команд общего назначения
- использование статических маршрутов
- использование стандартных и расширенных списков доступа
- использование контроля за возникновением лавинных атак SYN, ICMP
- использование протоколов CET и IP Sec
- маскировка внутренних адресов сети
- использование доп. возможностей встроенных МЭ в маршрутизаторах
- контроль потока данных с целью регистрации различных видов атак