- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Понятие трансляции сетевых адресов
На первый взгляд IP-адресация не является обширной темой, которой можно посвятить целую книгу. Адресация систем является только вопросом администрирования. Что ж, это не совсем так. В любой организации, планирующей установить межсетевой экран, приходится считаться с вопросами адресации. Действительно, адресация, недостаточно хорошо продуманная и настроенная, может вызвать множество проблем. Корень всех бед заключается в недостатке разрядов IP-адреса. Дело в том, что количество знакомых нам 32-битных адресов, записываемых через точки (xxx.yyy.zzz.aaa), просто подходит к концу. По этой причине провайдеры предпочитают не выделять клиентам большие блоки адресов. Большая часть провайдеров предоставляет блоки от 16 до 32 адресов (что, по сути, означает от 14 до 30 адресов, если принимать в расчет адреса пересылки). Тридцати адресов недостаточно для небольшой организации, не говоря уж о средних и крупных компаниях. В большей части организаций присутствует более 30 систем. Так что же делать? Решением данной проблемы является трансляция сетевых адресов (NAT).
Что такое трансляция сетевых адресов?
NAT - это технология трансляции одного или нескольких адресов в другие адреса. Каким же образом она может помочь? При построении сетей мы используем 30 (или около того) адресов, предоставляемых провайдером, которые должны быть видны из интернета. Внутри сети мы используем адреса, невидимые из внешней среды, но являющиеся транслированными для связи с интернетом.
В большей части сетей межсетевой экран выполняет функции NAT. Маршрутизаторы также при необходимости могут выполнять эту функцию. Межсетевые экраны прикладного уровня реализуют трансляцию сетевых адресов как одну из своих функциональных возможностей (см. лекцию 10). Так как все соединения заканчиваются на межсетевом экране, из внешней среды виден только адрес межсетевого экрана. Межсетевые экраны с фильтрацией пакетов также имеют эту возможность, однако ее необходимо конфигурировать в процессе установки межсетевого экрана.
NAT выполняет также функцию безопасности, так как скрытые адреса внутренних систем являются невидимыми из интернета. Если система невидима, нельзя осуществить ее адресацию и направить на нее пакеты данных.
Примечание
NAT не обеспечивает полную защиту от атак, и не стоит полагаться на эту технологию и пренебрегать другими мерами защиты. Если злоумышленник находится внутри организации или имеет прямой доступ ко внутренней сети через VPN или телефонное соединение, то NAT и вовсе никак не сможет защитить сеть.
Частные адреса
Итак, у нас есть технология NAT, однако нам по-прежнему требуются адреса для внутренней сети. Неправильный выбор внутренних адресов может привести к возникновению всевозможных проблем маршрутизации. В RFC (Request for Comment - запросы на комментарий, в которых публикуется стандарты интернета) 1918 приводится определение того, что такое частные адреса. Эти адреса предназначены для использования во внутренних сетях, защищенных межсетевым экраном, выполняющим трансляцию сетевых адресов.
В RFC указывается, что следующие адреса являются частными:
10.0.0.0 - 10.255.255.255 (10.0.0.0 с 8-битной маской);
172.16.0.0 - 172.31.255.255 (172.16.0.0 с 12-битной маской);
192.168.0.0 - 192.168.255.255 (192.168.0.0 с 16.битной маской).
Использование этих адресов предоставляет организации широкие возможности по разработке своей внутренней схемы адресации. Во внутренней сети организации могут использоваться любые комбинации указанных адресов - нет никаких ограничений.
Ни один из этих адресов не является маршрутизируемым в интернете. Если попытаться выполнить команду ping, направленную на частный адрес, в ответ будут получены пакеты network unreachable (сеть недоступна).