Security (Лекции по информационной безопасности), страница 18

PDF-файл Security (Лекции по информационной безопасности), страница 18 Информационное обеспечение разработок (13026): Лекции - 11 семестр (3 семестр магистратуры)Security (Лекции по информационной безопасности) - PDF, страница 18 (13026) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Security" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 18 страницы из PDF

Для поддержки высокой производительностиоба модуля пользуются коммутацией Уровня 3, но периферийный распределительный модуль обладаетдополнительными возможностями в области безопасности, поскольку на сетевой периферии требованияк производительности не столь высоки. Периферийный распределительный модуль представляет собойпоследнюю линию обороны для всего трафика, который передается с периферийного модуля на кампусный модуль. Эта линия должна пресекать попытки передачи пакетов с ложных адресов и несанкционированного изменения маршрутов, а также обеспечивать контроль доступа на уровне сети.АльтернативыПодобно серверному модулю и распределительному модулю здания, периферийный распределительныймодуль может объединяться с базовым модулем, если требования производительности не являются такими же жесткими, как в приводимых здесь примерах архитектуры SAFE.

В этом модуле отсутствует система NIDS, однако ее можно установить с помощью модулей IDS, работающих на коммутаторах Уровня 3. Вэтом случае сокращается необходимость в устройствах NIDS на выходе критически важных периферийных модулей, подключаемых к кампусу.

Однако необходимость поддержки высокой производительности(как и в приводимом здесь примере архитектуры SAFE) может потребовать установки средств обнаружения атак на разных периферийных модулях, а не только на периферийном распределительном модуле.äÓÔÓ‡Ú˂̇fl ÔÂËÙÂËflВ данном разделе приводится детальный анализ всех модулей, находящихся на периферии корпоративной сети.40êËÒÛÌÓÍ 48. ÑÂÚ‡ÎË ÍÓÔÓ‡ÚË‚ÌÓÈ ÔÂËÙÂËË — ˜‡ÒÚ¸ 1êËÒÛÌÓÍ 49. ÑÂÚ‡ÎË ÍÓÔÓ‡ÚË‚ÌÓÈ ÔÂËÙÂËË — ˜‡ÒÚ¸ 2äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚКорпоративный модуль Интернет предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Трафик с этого модуля передается в виртуальныечастные сети (VPN) и на модуль удаленногодоступа, где происходит терминированиеVPN.

Этот модуль не предназначен для поддержки приложений электронной коммерции. Более подробная информация об электронной коммерции содержится в разделе«Модуль электронной коммерции».Основные устройства●●●●●●Сервер SMTP — служит мостом между ИнêËÒÛÌÓÍ 50. èÓÚÓÍ ÍÓÔÓ‡ÚË‚ÌÓ„Ó àÌÚÂÌÂÚ-Ú‡ÙË͇тернет и серверами Интернет-почты — проверяет содержание.Сервер DNS — служит внешним сервером DNS для предприятия, передает в Интернет запросы внутренних пользователей.Сервер FTP/HTTP — предоставляет открытую информацию об организации.Межсетевой экран — защищает ресурсы на уровне сети и производит фильтрацию трафика.Устройство NIDS — поддерживает мониторинг ключевых сетевых сегментов модуля на Уровнях 4–7.Сервер фильтрации URL — отфильтровывает несанкционированные запросы URL, исходящие отпредприятия.41êËÒÛÌÓÍ 51.

äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚПредотвращаемые угрозы●●●●●●●●●Несанкционированный доступ — угроза ликвидируется с помощью фильтрации на уровне провайдера (ISP), периферийного маршрутизатора и корпоративного межсетевого экрана.Атаки на уровне приложений — ликвидируются с помощью IDS на уровне хоста и сети.Вирусы и «троянские кони» — ликвидируются с помощью фильтрации содержания электронной почты и системы HIDS.Атаки на пароли — ограничение возможностей смены паролей, контролируемых средствами операционной системы и IDS.Отказ в обслуживании (DoS) — борьба с этой угрозой проводится с помощью CAR на периферии ISPи с помощью контроля установлений сессий TCP на межсетевом экране.IP-спуфинг — фильтрация RFC 2827 и 1918 на периферии ISP и корпоративном периферийном маршрутизаторе.Сниффинг пакетов — коммутируемая инфраструктура и система HIDS снижают эффективностьсниффинга.Сетевая разведка — IDS обнаруживает попытки ведения разведки, а фильтрация на уровне протоколов снижает ее эффективность.Злоупотребление доверием — эта угроза снижается с помощью строгой модели доверия и за счет использования частных сетей VLAN.●Переадресация портов — эта угроза снижается с помощью строгой фильтрации и системы HIDS.êËÒÛÌÓÍ 52.

ÅÓ¸·‡ Ò Û„ÓÁ‡ÏË Ò ÔÓÏÓ˘¸˛ ÍÓÔÓ‡ÚË‚ÌÓ„Ó ÏÓ‰ÛÎfl àÌÚÂÌÂÚРекомендации по дизайнуВ основе модуля лежит пара отказоустойчивых межсетевых экранов, защищающих общедоступные услуги Интернет и внутренних пользователей. Экраны проверяют трафик, передаваемый во всех направлениях, и гарантируют пропускание только санкционированного трафика. Кроме средств, обеспечивающих устойчивость на Уровнях 2 и 3, и средств аварийного подхвата, все остальные элементы модуля нацелены на безопасность и борьбу с угрозами.42Начиная с маршрутизатора, находящегося на периферии сети заказчика ISP, происходит отбрасываниенесущественного трафика, объем которого превышает заранее установленные пороговые значения, чтов значительной степени снижает угрозу атак типа (D)DoS. Кроме того, на выходе маршрутизатора ISPпроизводится фильтрация RFC 1918 и 2827, что снижает угрозу спуфинга адресов локальных сетей ичастных адресов.На входе первого маршрутизатора корпоративной сети производится базовая фильтрация, которая пропускает только ожидаемый (по адресам и IP-услугам) трафик.

Этот фильтр «грубой очистки» помогаетбороться с большинством наиболее распространенных атак. Здесь же происходит фильтрация RFC 1918и RFC 2827 для подкрепления фильтрации, проведенной на уровне ISP. Кроме этого, ввиду огромной угрозы, исходящей от фрагментированных пакетов, маршрутизатор настраивается на отбрасывание большинства таких пакетов, которые обычно не соответствуют стандартным типам трафика Интернет. Происходящие при этом потери санкционированного трафика считаются приемлемыми, если принять вовнимание огромный риск, который несут в себе фрагментированные пакеты. И наконец, любой трафикIPSec, адресованный на модуль VPN / удаленного доступа, передается по назначению.

Фильтры, установленные на входе VPN пропускают только трафик IPSec, передаваемый с авторизованных узлов на авторизованные узлы. В сетях VPN с удаленным доступом IP-адрес системы, отправившей входящее сообщение, как правило, остается неизвестным, и поэтому фильтрация производится по центральным сетевымузлам, с которыми непосредственно связывается удаленный пользователь.Устройство NIDS, которое находится на общедоступной стороне межсетевого экрана, производит мониторинг атак, анализируя Уровни 4–7 и сравнивая результаты с известными сигнатурами.

Поскольку ISPи периферийный маршрутизатор корпоративной сети отфильтровывают некоторые диапазоны адресови портов, NIDS может сконцентрировать усилия на борьбе с более изощренными атаками. И все же этоустройство NIDS работает в менее строгом режиме, чем аналогичные устройства, находящиеся с внутренней стороны межсетевого экрана. Это происходит, потому, что замеченная им несанкционированнаяактивность представляет собой не прорыв обороны, а лишь попытку такого прорыва.Межсетевой экран контролирует состояние соединения и производит тщательную фильтрацию проходящих через него сессий.

Серверы общего доступа получают некоторую защиту от переполнения TCPSYN за счет использования лимитов полуоткрытых соединений на межсетевом экране. Эти экраны нетолько ограничивают трафик на серверах общего доступа по определенному набору адресов и портов, нои фильтруют трафик, идущий в обратном направлении. Если хакер получил контроль над одним из серверов (обойдя межсетевой экран и системы HIDS и NIDS), такому серверу нельзя позволить стать платформой для дальнейших атак.

Для этого используется специальная фильтрация, отбраковывающая любые несанкционированные запросы, которые генерируются серверами общего доступа для передачи влюбом направлении. К примеру, web-сервер может фильтроваться таким образом, чтобы не генериро-вать собственные запросы, а лишь отвечать на запросы клиентов. Это не позволит хакеру после первойудачной атаки загрузить на сервер дополнительные утилиты. Одним из примеров возможной атаки такого типа может служить генерация xterm с web-сервера через межсетевой экран на машину хакера.

Кроме того, частные сети VLAN не позволяют серверу общего доступа атаковать другие серверы, находящиеся в одном и том же сегменте. Такой трафик не проходит через межсетевой экран, поэтому использование здесь частных сетей VLAN является критически важным.В сегменте инспекции содержания передается только трафик, связанный с запросами URL, идущими отмежсетевого экрана к устройству, которое осуществляет фильтрацию URL. Кроме этого, разрешаютсяавторизованные запросы от корпоративного устройства URL-фильтрации к мастер-серверу для обновления информации в базе данных.

Свежие статьи
Популярно сейчас
Зачем заказывать выполнение своего задания, если оно уже было выполнено много много раз? Его можно просто купить или даже скачать бесплатно на СтудИзбе. Найдите нужный учебный материал у нас!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4986
Авторов
на СтудИзбе
470
Средний доход
с одного платного файла
Обучение Подробнее