- •Модель тср/ip
- •Уровень соединений:
- •Сетевой уровень
- •Транспортный уровень
- •Прикладной уровень
- •Протокол ip
- •Формат заголовка пакета ip
- •Классовая модель ip-адресов
- •Специальные iPадреса
- •«Серая» адресация
- •Бессклассовая модель (cidr)
- •Маршрутизация
- •Протоколы транспортного уровня
- •Протокол udp
- •Протокол тср
- •Контроль целостности сообщения
- •Управление потоком
- •Установка соединения
- •Методы реализации защиты в модели тср/ip
- •Безопасность на сетевом уровне
- •Безопасность на транспортном уровне
- •Безопасность на прикладном уровне
- •Виртуальные частные сети (vpn)
- •Заголовок аутентификации ан
- •Ан в транспортном или туннельном режимах
- •Протокол esp
- •Esp в транспортном или туннельном режимах
- •Комбинации защищенной связи
- •Протокол ssl. Защита потока данных в web.
- •Протокол записи ssl
- •Пипш – протокол изменения параметров шифрования
- •Классификация удаленных атак
- •Методы реализации сетевых атак Сканирование портов
- •Атаки на сетевом уровне
- •Атаки на транспортном уровне
- •Атаки на прикладном уровне
- •Классификация средств сетевой защиты
- •Программно-аппаратные методы защиты от удаленных атак
- •Классификация и определение политики мсэ
- •Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- •Мсэ прикладного уровня Proxy Server
- •Типы окружения мсэ-ов
- •Расположение ресурсов в dmz-сетях
- •Служба аутентификации keeberos
- •Простейший диалог аутентификации
- •Диалог аутентификации
- •Области взаимодействия kerberos
- •Технические ограничения
Программно-аппаратные методы защиты от удаленных атак
1) Аппаратные шифраторы сетевого трафика;
2) Использование межсетевых экранов, как программных, так и программно-аппаратных;
3) Защищенные сетевые криптопротоколы;
4) Программно-аппаратный анализатор сетевого трафика;
5) Защищенная сетевая ОС;
6) Защищенные системы аутентификации сетевых ресурсов (Керберс).
Классификация и определение политики мсэ
Firewall, брандмауэр.
МСЭ представляют основное устройство сетевой защиты. МСЭ может анализировать содержимое пакетов любого уровня из модели ТСР/IP,это позволяет осуществить более точную настройку его политики. Может поддерживать дополнительные сервисы – это трансляция сетевых адресов (NAT), функция прокси-сервера, поддержка протокола DHCP (динамическая конфигурация хостов), быть конечной точкой UPN шлюза.
1) Пакетные фильтры. Является простейшим МСЭ, составной частью устройств маршрутизации, которые управляются на уровне сетевых адресов и коммуникационных сессий.
Анализируется следующее информационное содержание в заголовке сетевого и транспортного уровней:
-
Адрес источника;
-
Адрес назначения;
-
Тип сессии или сетевой протокол, используемый для взаимодействия систем;
-
Характеристики коммуникационных сессий (номера портов);
-
Информация об интерфейсе роутера, с которого пришел пакет;
-
Информация, характеризующая направление;
-
Свойства, относящиеся к созданию log-ов для данного пакета.
Основное место сетевой инфраструктуры, в которой устанавливается пакетный фильтр, является пограничный роутер.
«+»:
1) Скорость работы, т.к. количество анализируемой информации минимально;
2) пакетный фильтр прозрачен для пакетов и серверов, т.к. не разрывает сетевые соединения.
«-»:
1) невозможность предотвратить атаки, использующие уязвимости приложений»
2) ограниченная информация для ведения логов;
3) нет возможности аутентификации пользователя;
4) уязвимы для атак подмены IP адреса;
5) сложности конфигурации.
Пример политики для пакетного фильтра
Для каждого правила политики возможно указание следующих видов деятельности:
1) ACCEPT, ALLOW, PASS - разрешение
Пакет, попадающий под это правило, Firewall пропускает, при этом может происходить создание лога или нет.
2) Deny – пакет, попадающий под это правило, возвращается без передачи, при этом источнику возвращается сообщение об ошибке, типа HOST UNREACHABLE или DESTINATION UNREACHABLE, при этом создание лога производится или нет.
3) DISCARD, BLOCK, UNREACH. Firewall отбрасывает пакет, попадающий под это правило, и не возвращает сообщение об ошибке источнику, т.е. Firewall не обнаруживает себя для внешней стороны, лог создается или нет.
Адрес источника |
Порт источника |
Адрес получателя |
Порт получателя |
Действия |
192.168.1.2 |
Any |
Any |
Any |
Allow |
Any |
Any |
192.168.1.2 |
>1023 |
Allow |
192.168.1.1 |
Any |
Any |
Any |
Deny |
Any |
Any |
192.168.1.1 |
Any |
Deny |
Any |
Any |
192.168.1.3 |
80 |
Allow |
Any |
Any |
192.168.1.4 |
25 |
Allow |
Any |
Any |
Any |
Any |
Deny |