Security (Лекции по информационной безопасности), страница 23

PDF-файл Security (Лекции по информационной безопасности), страница 23 Информационное обеспечение разработок (13026): Лекции - 11 семестр (3 семестр магистратуры)Security (Лекции по информационной безопасности) - PDF, страница 23 (13026) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Security" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 23 страницы из PDF

Многие изатак можно отразить и без участия систем обнаружения вторжений, но в некоторых случаях такая возможность окажется далеко не лишней. ВЧС подключаются через межсетевые экраны и/или маршрутизаторы. Удаленные сайты аутентифицируют друг друга по предварительно распределенным ключам, а пользователи аутентифицируются сервером контроля доступа, который встроен в кампусный модуль.52АльтернативыУлучшения этого дизайна могут быть направлены на повышение возможностей сети или на разнесениезащитных функций на отдельные устройства. В ходе этих улучшений дизайн малой сети все более и более походит на дизайн сети среднего размера, который обсуждается в этом же документе ниже. Первымшагом при этом должна стать не общая адаптация дизайна, а введение в структуру выделенного концентратора удаленного доступа по VPN, чтобы повысить управляемость сообществом удаленных пользователей.ä‡ÏÔÛÒÌ˚È ÏÓ‰ÛÎ¸В кампусный модуль входят рабочие станции конечных пользователей, корпоративные Интернет-серверы, серверы управления и соответствующая инфраструктура Уровня 2, необходимая для поддержки устройств.

В случае дизайна малой сети функциональность Уровня 2 входит в состав единого коммутатора.Основные устройства●●●●Коммутация Уровня 2 (с поддержкой виртуальных локальных сетей) — обеспечивает сервисы Уровня 2 длярабочих станций пользователей.Корпоративные серверы — обеспечивают сервисыэлектронной почты (SMTP и POP3) для внутреннихпользователей, а также доставку файлов, печать и услуги DNS для рабочих станций.Рабочие станции пользователей — обеспечивают услуги работы с данными для авторизованных пользователей сети.Хост управления — поддерживает системы обнару- êËÒÛÌÓÍ 64. ÑËÁ‡ÈÌ Í‡ÏÔÛÒÌÓ„Ó ÏÓ‰ÛÎfl χÎÓ„Ó Ô‰ÔËflÚËflжения вторжений, syslog, TACACS+/RADIUS и общее управление конфигурацией.Предотвращаемые угрозы●●Прослушивание пакетов — эффективность прослушивания органичивает коммутируемая инфраструктура.Вирусы и «троянские» приложения — антивирусная проверка на хосте предотвращает большинствовирусов и многие «троянские» программы.●●●●Неавторизованный доступ — такой доступ нейтрализуетсяхостовой системой обнаружения вторжений и приложениями контроля доступа.Атаки уровня приложений — операционные системы, устройства и приложения должны использовать все предлагаемые обновления и программные «заплатки», а также должны быть защищены хостовой системой обнаружения вторжений.Злоупотребление доверием — частные виртуальные локальные сети запрещают излишнее взаимодействие хостов внуêËÒÛÌÓÍ 65.

éÚ‡ÊÂÌË ‡Ú‡Í ‚ ͇ÏÔÛÒÌÓÏ ÏÓ‰ÛÎÂтри подсети.Переадресация портов — серверная система обнаружения вторжений запрещает инсталляцию агентов переадресации портов.Рекомендации по дизайнуГлавными функциями кампусного коммутатора являются коммутация рабочего и управляющего трафика, а также обеспечение связи для корпоративных и управляющих серверов и пользователей. На коммутаторе могут использоваться частные виртуальные локальные сети — это позволяет нейтрализовать атаку типа «злоупотребление доверием» между устройствами.

Например, корпоративным пользователямбывает нужно обратиться к корпоративному серверу, но не требуется общаться между собой. Поскольку кампусный коммутатор не содержит сервисов Уровня 3, то надо помнить, что при подобном дизайневозрастает значение защиты приложений и хостов по причине открытости внутренней сети. Поэтому наважнейшие системы кампуса (в том числе на корпоративные серверы и на системы управления) устанавливаются сетевые системы обнаружения вторжений.АльтернативыПовысить общую защищенность позволяет установка небольшого фильтрующего маршрутизатора илимежсетевого экрана между управляющей станцией и остальной сетью. Это разрешит передачу управляющего трафика только в направлении, заданном администратором.

При высоком уровне взаимного доверия внутри сети можно обойтись и без сетевой системы обнаружения вторжений, хотя это не рекомендуется.çÂÁ‡‚ËÒËÏ˚Â Ë ÙËΡθÌ˚ ‡ÎËÁ‡ˆËËДля филиальной реализации не требуется функциональность ВЧС удаленного доступа, поскольку онаобычно предоставляется штаб-квартирой. В дальнейшем управляющие хосты, как правило, будут размещаться в центре, и потребуется возможность обратного отслеживания управляющего трафика по подключению ВЧС к штаб-квартире.ÑËÁ‡ÈÌ ÒÂÚË Ò‰ÌÂ„Ó ‡ÁÏÂ‡Дизайн SAFE средней сети состоит из трех модулей: корпоративного модуля Интернет, кампусного модуля и модуля территориальных сетей. Как и в случае дизайна малой сети, корпоративный модульИнтернет имеет подключение к Интернет и поддерживает со своей стороны ВЧС и трафик общедоступных сервисов (DNS, HTTP, FTP и SMTP).

На этот же модуль выведен трафик входящего дозвона. К кампусному модулю относится инфраструктура коммутации Уровня 2 и Уровня 3, а также корпоративные пользователи, управляющие серверы и интранет-серверы.С точки зрения территориальныхсетей, в рамках этого дизайна существуют два способа подключения удаленных сайтов. Первыйспособ — это подключение по частным каналам, а второй — IPSecВЧС внутри корпоративного Интернет-модуля. Основные вопросы, связанные с этим дизайном,относятся к работе сети головногоофиса корпорации, а также к специфическим изменениям в случаеиспользования в качестве сетифилиала.êËÒÛÌÓÍ 66. ÑËÁ‡ÈÌ ÒÂÚË Ò‰ÌÂ„Ó Ô‰ÔËflÚËfl53äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚЗадача корпоративного модуля Интернет–предоставить внутренним пользователямдоступ к услугам Интернет, а пользователям внешним обеспечить доступ к информации на общедоступных серверах (HTTP,FTP, SMTP и DNS).

Кроме этого, модульподдерживает трафик ВЧС от удаленныхсерверов и пользователей, а также трафикобычных пользователей, подключающихсяпри помощи дозвона. Корпоративныймодуль Интернет не предназначен для поддержки приложений электронной коммерции.êËÒÛÌÓÍ 67. ÑËÁ‡ÈÌ ÏÓ‰ÛÎfl àÌÚÂÌÂÚОсновные устройства●●●●●●●●54●Сервер дозвона (удаленного доступа) — аутентифицирует отдельных пользователей и поддерживаетих аналоговые подключения.Сервер DNS — служит авторизованным внешним сервером DNS для средней сети; передает внутренние запросы в Интернет.Сервер FTP/http — предоставляет открытую информацию предприятия.Межсетевой экран — обеспечивает защиту ресурсов на сетевом уровне и динамическое фильтрование трафика; поддерживает дифференцированную защиту удаленных пользователей; проводит аутентификацию удаленных сайтов и поддерживает подключения по туннелям IPSec.Коммутатор Уровня 2 (с поддержкой частных виртуальных локальных сетей) — обеспечивает подключение устройств по Уровню 2.Применение сетевых систем обнаружения вторжений — обеспечивает наблюдение по Уровням 4 – 7за важнейшими сегментами сети.Сервер SMTP — выполняет промежуточную роль между внутренними почтовыми серверами и Интернет; контролирует пересылаемое содержание.Концентратор ВЧС — аутентифицирует отдельных удаленных пользователей и со своей стороны поддерживает с ними туннели IPSec.Оконечный маршрутизатор — обеспечивает базовое фильтрование и подключение к Интернет поУровню 3.Предотвращаемые угрозыВ рамках этого модуля наиболее вероятными объектами атаки являются открытые и общедоступные серверы.

Ниже приведены предполагаемые угрозы:●Неавторизованный доступ — нейтрализуется фильтрованием у Интернет-провайдера, на оконечноммаршрутизаторе и корпоративном межсетевом экране.●Атаки уровня приложений — нейтрализуются системой обнаружения вторжений в сетевом и хостовом вариантах.●Вирусы и «троянские» атаки — нейтрализуются фильтрованием электронной почты, сетевой системой обнаружения вторжений и антивирусным сканированием хостов.●Атаки на пароли — сокращаются путем уменьшения сервисов, уязвимыхдля прямого перебора.

Эту угрозупозволяют отследить операционнаясистема и системы обнаружениявторжений.●Отказ в обслуживании — управление полосой пропускания на стороне Интернет-провайдера и контрольсоединений TCP на межсетевом экране.●Подмена адресов IP (spoofing) — нейтрализуется фильтрованием согласно RFC 2827 и RFC 1918 на выходе отИнтернет-провайдера и на оконечном маршрутизаторе сети среднейвеличины.êËÒÛÌÓÍ 68. éÚ‡ÊÂÌË ‡Ú‡Í ‚ ÏÓ‰ÛΠàÌÚÂÌÂÚ●●●●Прослушиватели пакетов — эта угроза снижается благодаря коммутируемой инфраструктуре и хостовым системам обнаружения вторжений.Изучение сети — система обнаружения вторжений распознает попытку изучения, а фильтрованиепротоколов снижает ее эффективность.Злоупотребление доверием — запретительная модель доверия и частные виртуальные локальные сети для ограничения атак на основе доверия.Переадресация портов — запретительное фильтрование и хостовая система обнаружения вторжений, ограничивающая атаки.В этом модуле объектами атак являются также сервисы удаленного доступа и сети ВЧС между сайтами.Для этих объектов существуют следующие угрозы:●Раскрытие топологии сети — списки контроля доступа (Access control lists — ACLs) на входном маршрутизаторе ограничивают доступ из Интернет к VPN-концентратору, межсетевому экрану (когдаони используются для поддержки со своей стороны IPSec-туннелей к удаленным сайтам), к InternetKey Exchange (IKE) и Encapsulating Security Payload (ESP).●Атаки на пароли — атаки методом перебора нейтрализуют одноразовые пароли.●Неавторизованный доступ — трафик от неавторизованных портов после расшифровки пакетов запрещают сервисы межсетевого экрана.●Атаки «посредника» — такие атаки нейтрализуются шифрованием удаленного трафика.●Прослушивание пакетов — эффективность прослушивания ограничивается коммутируемой инфраструктурой.Рекомендации по дизайнуВ этом разделе подробно описываются функции устройств, входящих в корпоративный модульИнтернет.Маршрутизатор Интернет-провайдераВажнейшей задачей оконечного маршрутизатора у Интернет-провайдера является обеспечение связи пользователейс сетью Интернет.

На выходе маршрутизатора задаются некоторые пределы, которые ограничивают некритичный исходящий трафик, превышающий заданный порог, что позволяет нейтрализовать атаки DDoS. Организованное на выходе маршрутизатора Интернет-провайдера фильтрование нейтрализует подделки адресов локальной сети и частныхадресных пространств.Оконечный маршрутизаторФункции оконечного маршрутизатора в средней сети заключаются в том, чтобы разграничивать сеть Интернет-провайдера и сеть предприятия. Базовое фильтрование на входе оконечного маршрутизатора ограничивает доступ, пропуская только разрешенный IP-трафик и блокируя большинство известных атак. Здесь же в качестве проверки проводится фильтрование по RFC 1918 и RFC 2827. В дополнение к этому маршрутизатор конфигурируется на сброс фрагментированных пакетов, которые в обычных типах Интернет-трафика не видны, а для защиты сети являются серьезной опасностью.

Эта опасность настолько велика, что считается допустимым терять из-за такого фильтрования дажечасть разрешенного трафика. Наконец, маршрутизатор пересылает любой IPSec-трафик, предназначенный для концентратора ВЧС или межсетевого экрана. Поскольку для ВЧС удаленного доступа IP-адрес удаленной системы не разглашается, то фильтруется трафик только отвечающего хоста (концентратора ВЧС), к которому обращается удаленный пользователь. При ВЧС-подключении «сайт с сайтом» IP-адрес удаленного сайта, как правило, известен, и поэтому фильтровать трафик можно в обоих направлениях.Межсетевой экранГлавная задача межсетевого экрана — выполнять принудительное и подробное фильтрование инициированных через него сессий связи.

Свежие статьи
Популярно сейчас
Зачем заказывать выполнение своего задания, если оно уже было выполнено много много раз? Его можно просто купить или даже скачать бесплатно на СтудИзбе. Найдите нужный учебный материал у нас!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4980
Авторов
на СтудИзбе
471
Средний доход
с одного платного файла
Обучение Подробнее