Руководство по технологиям объединенных сетей Cisco (953103), страница 160
Текст из файла (страница 160)
° Сканер рассылает устройствам сети потоки данных протокола пользовательских дейтаграмм ((3зег Р!айгаш Ргогосо! — 1Л)Р) для выяснения доступности служб протокола (31)Р, таких как ОХБ и БХМР. Сканер зашиты сети используется для проверки уязвимости сетевых служб. Это устройство имеет базу данных, в которую заносятся известные уязвимые места и проверяет не являются ли уязвимыми сетевые службы. Ниже объяснены некоторые механизмы, используемые этим устройством для проверки уязвимости сетевых служб. ° Сканер считывает версию операционной системы. Это называется "снятием отпечатков пальцев" (!)пдегрлпггпд). ° Он считывает версию программного обеспечения, используемого в системе.
° Сканер имитирует реальную атаку на сеть. Например, если сервер некорректно обрабатывает запрос длинного 1)К1., то сканер может послать длинный ОК1. и проверить. Возвращает ли сервер соответствующий код, Ниже приведены некоторые средства защиты, которые можно использовать для обеспечения безопасности сети. ° )%пар представляет собой утилиту открытого источника для исследования сети и аудита безопасности. Эту утилиту можно выполнить на большинстве типов компьютеров; доступны ее консольная и графическая версии. 800 Часть Ч!!!.
Управление сетями ° )ч)еаава прелставляет собой бесплатную утилиту для аудита безопасности, которая способна находить уязвимые места в сети. Более подробная информация приведена на %еЬ-сайте >ччччч.пеззцз.огя. пример отчета, выдаваемого утилитой Хезувз приведен на рис. 52.5. ° Бощагбо)) включает в себя набор бесплатных утилит М)сгозой %(пг)оччз, предназначенных для того, чтобы предоставить сетевом> администратору информацию, необходимую для защиты %)пг)очиз-системы.
Первой утилитой является (>шпрбсс, которая представляет собой программу аудита безопасности в сети лля операционных систем %)пдоччз )уТ и %)пс)оччз 2000. Вторая утилита — )2втрЕчг, являетс программой для %)пг)оугз Ь)Т, которая 1)врлр гйе Ечепг Еоя в фориат, пригодный для импорта в базу данных.
Третьей является утили~а, представляющая собой программу для %)пг)о1чз )Ч)Т апг) %)пдоччв 95, которая йип)ж системный реестр (Вся)зггу), что облегчает нахождение ключей и значений, содержащих некоторую строку. Более подробная информация приведена на %еЬ-сайте упчпч.зотагзой. ° лойп гбе й)ррег представляет собой средство взлома паролей открытого источника, которое способно обнаруживать ненадежные пароли. Более подробная информация приведена на %сЬ-сайте упччч.орепуга)!.Сот/)ойп/. Рае Онро) нир зса».
Нов)(в)' хапаои чвсва р1аувгои»О всап Ораопв, е со»пася) ! дпоптаеы)че "5'СН ВИЫП '. )рая вса» Рив Впввр упр Ро» вса» РРО ВООК» всрп р уве пвсоу(в) апвопппе соп Вепегя Орвадвд ТСР РИЦ 1ргаввип)ваап ~ тСРО1СМР )ВИ 1Оеп14 1»И 1СМР Рив по»1 Р1пв 11пры Рре; ) Веса)ч»О Г 05 ОИЕСООП )вепа оп Овчее Фриаоп пав» -в$ -о -оияопрпвсопхвпави чвс1га 1аувгоипи сп чесага,ус»а,гес 1192,168,0.51; Ргососо1 Вегчссе сор иауссее сор гор сор ве» Сар се1пе1 сор Свае сор Гспаег Сор вупгра сор аис» сор 1гесп сар вхе11 1»аегевсспа рагвв Рога заа1е 13 преп 21 р 22 арво 23 ореп 37 ореп 79 ареп р 113 513 ареп 514 преп 1ср 5епаепсе Ргвосссвсп: с1аве=ге»1сп рсесссче спсгееепсе Рвсссса115=14943 (хасс»у сьа11епве1 вегасе орегасспа вувсеа Ечвев: Среп555 2.2 - 2.3 1»сегевсспв рагсв сп р1еувгсагп'.уааа.пес <192.155,О.111 Р ч о 1 Рис 524.
Препроцессор Ргтир ВО1 Глава 52. Технологии защиты сетей ° Препроцсссор 6ТК-Рдля )ч)гпар доступен для пользователей, которые предпочитают графический интерфейс пользователя интерфейсу командной строки (рис. 52.4), Более подробная информация приведена на %еЬ-сайте ччпчччйпзссцге.огй. Рис 52.5. Пример отчета Метео Резюме В настоящее время глобальная сеть 1пгегпег перестала быть просто средством передачи сообщений злектронной почты и файлов.
Она изменила нашу повседневную жизнь и стиль работы компаний. Обеспечение сетевой безопасности стало играть ключевую роль в достижении своих целей как частными лицами, так и коммерческими компаниями. Частным лицам требуется чтобы при онлайновых покупках или регистрации для онлайнового обучения сохранялась конфиденциальность их личной информации. Правительства требуют от компаний обеспечения сохранности данных, которые хранятся в их сетях. Типичными угрозами для сетей являются: попытки несанкционированного доступа, попьпки обойти ненадежную аутентификацию, взлом паролей, использование анализаторов пакетов, атаки уровня приложений, вирусы, черви, "троянские кони", подделка 1Р-адресов и 1еоБ-атаки.
Политика безопасности в сети представляет собой документально зафиксированную стратегию, которая определяет уровень безопасности в сети и описывает соответствующие требования к пользователям. Политика безопасности определяет каким образом пользователи, являющиеся сотрудникам компании могут использовать сеть, какие действия должны предприниматься в случае инцидентов, связанных с угрозами сетевой безопасности и каким образом компания осуществляет связь с сетями своих партнеров. Концентрическое решение проблемы сетевой безопасности основано на принципе создания нескольких периметров защиты сети, образующих защитные зоны.
Каждая зона обеспечивает дополнительные механизмы защиты для того, чтобы в слу- ВО2 Часть ЧШ. Управление сетями чае прорыва какого-либо периметра зашиты следуюшая зона не допустила успешного завершения атаки. Методы устранения угроз и защиты сети зависят от типа возникшей угрозы.
Для устранения угроз, связанных со взломом паролей используется метод периодической замены паролей. Для устранения угрозы подделки !Р-адреосв используются методы входной и выходной Фильтрации, описанные в КГС 2827. Для повышения уровня сетевой безопасности системные администраторы могут использовать сканеры портов, сканеры уязвимых мест и средства проверки надежности паролей. Сканеры портов позволяют определить какие сетевые устройства и службы являются доступными извне. Сканеры уязвимых мест находят уязвимые места устройств сети, таких как маршрутизаторы, коммутаторы, серверы и настольные персональные компьютеры. Средства проверки надежности паролей помогают повысить надежность паролей путем выявления паролей, которые не отвечают требованиям надежности.
Контрольные вопросы 1. Чем обусловлена важность обеспечения безопасности в сети? 2. Как повлияли на проблемы безопасности в сетях рост 1пгегпес и новые технологии? 3. Как влияет на работу сети компании проводимая в ней политика безопасности? 4. Приведите пример последовательного решения проблемы безопасности? 5. Каковы основные типы атак на сеть? б. Какой тип атак на сеть приводит к лавинообразному заполнению сети нежелательными пакетами? 7. Какой тип атак включает в себя рассылку приложений к сообщениям электронной почты? Каким образом отражается такая атака? 8.
Каким образом отражаются атаки, связанные с подделкой 1Р-адресов? 9. Каким образом коммутируемая инфраструктура позволяет отражать атаки, связанные с использованием анализаторов пакетов? 10. Какое средство обеспечения безопасности обнаруживает доступные в сети устройства и службы? 1!. Какое средство обеспечения безопасности обнаруживает уязвимые места сетевых устройств? 12, Какое средство обеспечения безопасности обнаруживает ненадежные пароли? Дополнительные источники ЧЧеЬ-сайты ° СЕКТ, ввв.сег!.ог8 ° С!зсо БАГЕ, ввв.с!хсо.сов/йо/хате ° Гас! Б!1еег оп Е1! Рпчасу 17!гесг!че, ввв.г!зз.згаге.сг.цз/б!8йа!/ецрг!ч.'ягой! ° Неа!гй Рпчасу Рго!есг, ввв.!зеа!Г!зрпчасу.огй/ воз Глава 52. Технологии защиты сетей ° КРС 1918, АгЫгезз Айосайоп !ог РгЬаге 1Чегвог!гз, вввйегГ.огй/г(с/гГс1918 гхг ° КРС 2196, 8!ге Бесцг(гу Напс)ьоо1с, вввйегГог8/гГс/г!с2196.гхг ° КРС 2827, Ыегвог1г Аг)дгезз Гпйгеьз Р11(ег!п8, ввчглег(ог8/гГс/гГс2827.гх! Книги ° Сапег, Еаг1.
С!зсо Весите 1п!гцз!оп Пе!есйоп, С!зсо Ргегк !пг!!апаро!!з, 2001. ° Дзвид Чепмен, Энди Фокс. Брандмауэры Сосо 5есяге Р1Х. ИД "Вильямс", 2003. ° Мазоп, Апбгев. С!зсо 8есцге У!пца! РгЬаге Ыегвог!гз, !пбЬпаро!к Спсо Ргеяь 2001. ° 'ггеппгот, Мкйае), Малей!п8 С!ко Ыегвог), 8есцпгу, 1пб!апаро!к Спсо Ргезз, 2001.
Группа новостей ° ВпйГгай ща!11п8 1ЬГ, вввожсцпГуГосгксот ° СЬсо Яесигйу Сопзп)г!пй 8еспг1гу Вугез, ввв.сЬсо,согп/еп/118/пегьо!/пз1!0/па!29/ пз!31/пз267/пегвог1г!пК зо1щюпз певз1ецегз !1зг,йгпз1 ° г !ТВцйггай гпай!п8 Вм, ввв.пгьпйггагг.сощ Глоссарий Аутентификация (ап!Ьепйса!1оп).
Процесс проверки идентичности обращающегося к сети устройства. Стандарт шифрования данных (1)а1а Епсгурйоп В!апг!агг! — 1)ЕЯ). Стандарт правительства США (РР046), определяющий алгоритм шифрования данных (Оага Епсгурйоп А)йог)гйгп) и политику его использования для защиты неклассифицированных чувствительных данных. Безопасность протокола 1пгегпе! (1п!егпег Ргогосо! Яеспг!гу — 1РЯес). Общее название архитектуры и набора протоколов служб обеспечения безопасности для потоков данных протокола 1Р.
См. вввйег(.ог8/гГс/г(с2401.гхг. Обнаружение вторжения (Гп!гпз!оп бе!есйоп). Служба обеспечения безопасности, которая осуществляет мониторинг событий в системе и анализирует их с целью нахождения и обеспечения предупреждений реального времени и пеаг-геа1-гппе о попытках несанкционированного доступа к системным ресурсам. Одноразовый пароль (опе-!!пю рааавогб — ОТР).
Простой метод аутентификации, в котором пароль используется лишь один раз в качестве аутентификационной информации для проверки идентичности пользователя. Этот метод позволяет предотвратить угрозу атаки воспроизведения пароля, которая основана на воспроизведении перехваченного пароля, р)пй звеер (р!пй звеер). Тип атаки на сеть, при котором посылаются зхо-запросы (р!п8-запросы) протокола 1СМР (КРС 792) диапазону! Р-адресов с целью нахождения станций, в которых есть уязвимые места. Уязвимость (тп!пегаЫВ(у). Пробел в проектировании, реализации, функционировании или управлении системы, который может быть использован для нарушения политики безопасности в сети. 804 Часть з/!!1.
Управление сетями ° приведены начально сведения обьектногориентировайнов' ййформационного -', моделированизг" -' „".в ° Приведене'круткое опиййне каталогов Ф ° Выпалней обзор 0ЕХ:,-;. ь' . Дй ° Описано использование, РЕЯ в продуктах С!все . ~;:ФФ: уу ' Ф' ,ф'. ' -'-'Ь-з : г. '~ф Ф' га $ ' ьа ф ,4 е ,-Ф .ф Р'" ;ф '$р. д% 'а,, ф 4ь ', ф Ъ ф 'Ф. ьь "' "ыф« -'Ф-, "г "„„, ь. .ф.-' .е~,'Ф ::;,.;-,Сетевые каталоги '-'.,':Ъ,, ',-:- Сеийвйг"каталоги представляют собой не продукт и даже не технологию. Скорее это.(билософяя, описанная спецификацией )))гес1огу-ЕпаЫег) )Чеггчог)гз (РЕЯ) и позвол((юшая)с))язэауь службы, доступные в сети и клиентов, использующих эту сеть, Спецйфикацйй",ВЕК'позволяет приложениям расширить возможности сети и одновре,.
менно повйситькачество обслуживания этих приложений сетью. Фактически 1)ЕХ состоит из следующих двух частей. '4,' '; 1, Спецйфикац«я':объективно-ориентированной информационной модели, описывающей сетевые:элементы и службы как часть управляемой среды, независимо от типа хранилища. г « лу ,: .,$. Преобразование эт))й информации в форму, удобную для реализации в каталоге, который цспользует в качестве протокола доступа 1.1)АР или Х.500. '';Более подробные сведения о сетевых каталогах содержатся в книге Джона Страсснера ()опп Бггаэзпег) Юиесгогу ЕлаЫег) Менгса: в а. Объективно-ориентированное .моьделлирование информации Йнформационьиая модель принципиально отличается от модели данных или схемы (рис, '53.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
