- •Содержание
- •Раздел 1. Основы работы сетей Тема 1.1 Введение. Основные понятия локальной сети Компьютерная сеть. Классификация сетей
- •Основные топологии сетей: шина, звезда, кольцо, полносвязная.
- •Адресация узлов сети
- •Аппаратные, символьные, числовые составные адреса.
- •Способы передачи данных. Методы доступа и передачи информации
- •Параллельная и последовательная передача
- •Методы передачи информации: аналоговый, цифровой
- •Методы доступа к среде передачи данных
- •Тема 1.2 Структуризация больших сетей Структуризация больших сетей
- •Физическая структуризация сетей
- •Повторитель. Концентратор
- •Логическая структуризация сетей
- •Коммутатор. Маршрутизатор. Мост. Шлюз
- •Модели построения компьютерной сети
- •Тема 1.3 Сетевые модели. Модель osi. Модель ieee Project 802 Сетевые модели. Модель osi
- •М одель osi. Уровни модели osi: физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной
- •Уровни модели osi
- •Модель ieee Project 802.Х
- •Различные виды технологий Ethernet локальных сетей
- •Спецификации физической среды Ethernet
- •Тема 1.4. Пакеты. Маршрутизация пакетов Пакеты. Маршрутизация пакетов
- •Раздел 2 Протоколы передачи данных Тема 2.1 Общие сведения. Стек протоколов tcp/ip Стек протоколов tcp/ip
- •Тема 2.2 Межсетевой протокол ip Межсетевой протокол ip
- •Протоколы udp, icmp, ftp, smtp
- •Тема 2.3 Общие характеристики протокола ipx. Пакет протокола ipx, маршрутизация ipx
- •Раздел 3 Глобальные сети Тема 3.1 Структура и функции глобальных сетей. Высокоуровневые услуги
- •Тема 3.2 Типы глобальных сетей
- •Тема 3.3 Глобальные связи на основе выделенных линий Аналоговые выделенные линии
- •Модемы. Классификация модемов
- •Цифровые выделенные линии
- •Технология плезиохронной цифровой иерархии
- •Технология синхронной цифровой иерархии
- •Сети dwdm
- •Протоколы канального уровня
- •Тема 3.4 Глобальные связи на основе сетей с коммутацией каналов Аналоговые телефонные сети
- •Основные сведения об isdn
- •Цифровые абонентские линии. Технология xDsl
- •Тема3.5 Глобальные связи на основе сетей с коммутацией пакетов Техника виртуальных каналов. Сети х.25
- •Технология atm
- •Сети Frame Relay
- •Тема 3.6 Удаленный доступ Схемы глобальных связей при удаленном доступе
- •Раздел 4 Практическое построение локальных сетей Тема 4.1 Характеристики линий связи Типы линий связи. Характеристики линий связи
- •Беспроводная связь. Спутниковая и сотовая связь
- •Тема 4.2 Аппаратные средства локальных сетей Аппаратные средства локальных сетей
- •Тема 4.3 Стандарты кабелей Стандарты кабелей. Характеристики кабелей
- •Тема 4.4 Сетевые адаптеры
- •Тема 4.5 Концентраторы. Коммутаторы Концентраторы
- •Коммутаторы
- •Раздел 5 Средства анализа и управления сетями Тема 5.1 Функциональные группы задач управления сетями
- •Тема 5.2 Архитектуры системы управления сетями
- •Тема 5.3 Стандарты систем управления сетями на основе протокола snmp
- •Тема 5.4 Мониторинг, анализ и безопасность локальных сетей Классификация средств мониторинга и анализа
- •Настройка безопасности сети с помощью технических устройств
- •Сервис защищенного канала
- •Шифрование информации в сети
Сервис защищенного канала
Сервисы защищенного канала позволяют через публичную сеть передавать безопасно информацию, обеспечивая ее аутентичность, целостность и конфиденциальность.
Наиболее простым средством для предоставления такого сервиса является технология защищенного канала, которая обеспечивает защиту трафика между двумя пользователями. Такая защита осуществляется за счет комплекса средств, опирающихся на различные методы аутентификации пользователей и шифрования трафика. В IP-сетях широко применяют две технологии защищенного канала SSL и IPSec. Протокол SSL работает на уроне представления модели OSI, что делает его непрозрачным для приложений. Протокол IPSec является более универсальным средством, так как относится к сетевому уровню и полностью прозрачен для приложений, которые в случае использования IPSec не требует модификации.
Основное назначение сервиса IPSec (Internet Protocol Security - защищенный протокол IP) состоит в обеспечении безопасной передачи данных по IP- сетям. Применение протокола IPSec гарантирует целостность, аутентичность и конфиденциальность данных. Базовой технологией, на основе которой достигаются эти цели, является шифрование. Для протоколов такого назначения используется обобщенное название – защищенный канал. Термин «канал» подчеркивает тот факт, что защита данных обеспечивается на протяжении всего пути между двумя узлами сети.
При подключении компьютера к Интернету, он сразу подвергается опасности. На электронный почтовый ящик могут попасть фишинговые письма и вредоносные программы, враждебные веб-сайты с помощью инструмента ActiveX попытаются получить контроль над компьютером, программные боты могут прослушивать порты брандмауэра, чтобы найти в них дыры. Однако от любого нападения можно разработать средства защиты. Приведем два вида обороны:
Первая линия обороны строится между Интернетом и компьютером, то есть на уровне кабеля. В этом случае лучше использовать устройства, совмещающие в себе модем и брандмауэр. В качестве примера можно указать много функциональные модели от компании ZyXEL. Встроенный брандмауэр этих аппаратов можно применять «на стыке» с Интернетом. Если используется непосредственное подключение ADSL модема к компьютеру, то в этом случае нужно добиться того чтобы кто-то снаружи не смог манипулировать снаружи.
Вторая линия обороны образуют отдельные компьютеры сети. Специальные утилиты не позволяют цифровым вредителям, как вирусы, трояны или программы – шпионы, навредить компьютеру. Наиболее выгодным в этом случае является создание учетной записи с правами отличными от прав администратора и пользоваться этой учетной записью всегда, когда не требуется прав администратора.
Для обеспечения безопасности беспроводной сети, не следует забывать, что радиосеть является «дверью» в которую могут войти мошенники, получив доступ в сеть.
Для защиты доступа в сеть с помощью ADSL модема, без брандмауэра, следует изменить имя пользователя и пароль, которыми защищен доступ к его настройкам. Обычно в качестве стандартного пароля используются слова «admin» или «administrator», которые легко угадает любой злоумышленник. Не меньшей популярностью пользуются у различных производителей слова «user» и «guest», а иногда применяется само название фирмы. В этом случае хакер сможет изменить конфигурацию компьютера.
Не менее важным является защита комбинированного устройства, чтобы узнав пароль, нужно было предпринимать и другие действия.
Далее следует активировать брандмауэр встроенный ADSL-роутер, указать какие порты следует разблокировать, а какие не стоит. Чаще всего у многих маршрутизаторов, разрешение на открытие портов выполняется в подпунктах меню типа «Защита от хакеров».
Защита беспроводной сети
Многие современные маршрутизаторы, оснащены точкой доступа для работы в беспроводных сетях, имеют специальный МАС-фильтр. Каждому сетевому устройству принадлежит уникальный МАС-адрес, благодаря которому его можно однозначно идентифицировать – этот адрес передается с пакетами данных. В целях безопасности можно настроить точку доступа таким образом, что она будет принимать пакеты только от устройств с авторизованными МАС-адресами. Для этого включают МАС-фильтр и вводят в таблицу все адреса устройств, имеющихся в составе сети. Но и этот метод может оказаться не надежным так как МАС-адреса в сети передаются открытым текстом. Поэтому атакующий с помощью специальных программ может быстро найти активные МАС-адреса и «подсунуть» точке доступа фальшивые пакеты, которые якобы идут от компьютера с разрешенным адресом. Это распространенный вид мошенничества в Интернете получил название MAC-spoofing (мистификация, розыгрыш, обман).
Из-за некоторых конструктивных особенностей радиосети не так безопасны, как проводные. Данные передаются в них не по экранированному кабелю, а по радио – через точку доступа. Поэтому сигналы можно принимать не только в доме или офисе, но и по соседству. В принципе каждый, кто находится в зоне приема, может перехватить их с помощью своего ноутбука, оснащенного Wi-Fi – адаптером. Поскольку технически совершенное избавление от любителей чужих секретов связано с очень высокими накладными расходами, единственной эффективной защитой остается шифрование потока данных. Хотя и в этом случае хакер может перехватить отдельные пакеты, ему не удастся их расшифровать и прочесть. Надежным методом шифрования является WPA (Wi-Fi Protected Access) и WPA2. Если все клиенты сети поддерживают WPA2, то лучше всего использовать данный метод шифрования. Кроме всего прочего следует задать ключ, который нельзя угадать и который может выдержать массированную словарную атаку. Он должен включать в себя строчные и прописные буквы, цифры и специальные символы, не менее 20 символов (aksflal88823jkjaaaaw22lllfkfC8~63). Ключ необходимо ввести в точке доступа и на всех клиентах (в программах конфигурирования WLAN). Чаще всего следует выбрать в меню настройки роутера «WLAN / Безопасность», где следует выбрать опцию «Включить шифрование WPA» и в пункте «Режим WPA» отметить «WPA» или «AES/WPA2».