- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Трансляция сетевых адресов
NAT – технология трансляции одного или нескольких адресов в другие адреса. В большей части сетей выполняет МЭ или маршрутизатор. МЭ прикладного уровня реализуют НАТ как одну из своих возможностей. Из внешней среды виден только один ип-адрес МЭ. НАТ выполняет функцию безопасности, так как скрытые адреса невидимы из Интернет, т.е. нельзя выполнить адресацию и отправить пакеты данных.
Частные адреса:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
Ни один из этих адресов не является маршрутизируемым в интернете.
Динамическая НАТ отличается от статической тем, что с одним реальным адресом связывается множество внутренних адресов, вместо связи «один к одному». МЭ отслеживает соединения и используется для каждого соединения отдельный порт. Это обуславливается предельное практическое число одновременных НАТ-соединений, равное 64к.
Безопасность беспроводных соединений. Современные беспроводные технологии. Стандартные архитектуры. Безопасность передачи данных. Стандарт WEP. Вопросы безопасности беспроводных соединений. Безопасность точки доступа, рабочей станции, сервера.
Группа стандартов 802.11х. Эти стандарты позволяют объединять рабочие станции каналами с пропускной способностью до 54 Мбит/с. Стандарты предусматривают обмен А данными, а также шифрование информации.
Для эффективного использования WLAN необходимо обеспечить достаточную зону покрытия. В помещениях радиус действия может достигать 500м. Еще одним дополнением является использование DHCP-сервера, предоставляющего IP.
Безопасность. Стандарт 802.11х определяет протокол WEP для защиты информации при ее передаче через WLAN. WEP предусматривает обеспечение трех основных аспектов:
Аутентификация
Конфиденциальность
Целостность.
А. Рабочая станция рассматривается как А-я, если она отправляет ответный пакет с MAC-адресом в процессе начального обмена данными с точкой доступа. В реальных условиях данная форма А не обеспечивает доказательства того, что к точке доступа подключается конкретная рабочая станция, а не какой-либо другой компьютер.
WEP предусматривается возможность использования механизма криптографической А. Данный механизм базируется на знании общего секрета, который обрабатывается алгоритмом RC4. При обмене А-ными данными используется система вызов/ответ. Не существует механизма обратной А на рабочей станции, поэтому при использовании этого метода рабочая станция остается открытой для подключения других точек доступа. Обмен данными также не защищен от атак через посредника.
Конфиденциальность. Механизм базируется на RC4. Атаковать его довольно сложно. RC4 используется для генерирования псевдослучайной последовательности ключей, комбинируемой с информацией для формирования шифрованного текста. Этот механизм защищает всю информацию заголовка протокола и данные протокола 802.11х.
Многие инсталляции WEP базируются на использовании статических ключей. На всех рабочих станциях сети используются одни и те же ключи.
Целостность. Спецификация протокола WEP включает контроль целостности для каждого пакета. Используемая проверка целостности представляет собой циклическую 32-битную проверку избыточности CRC. Несмотря на то, что CRC небезопасна, она защищается шифрованием. Используемая здесь система шифрования может быть достаточно надежной, если алгоритм шифрования обладает достаточной мощностью. Однако недостатки WEP представляют собой угрозу для целостности пакетов.
Идентификатор набора служб (SSID) – 32-битная строка, используемая в качестве сетевого имени. Чтобы связать рабочую станцию с ТД, обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не может связаться с точкой доступа и соединиться с сетью. SSID распространяется многими точками доступа. Это означает, что любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить саму себя в соответствующую сеть.
MAC-адрес. ТД позволяют использовать МАК для А. В данной конфигурации ТД настроена на разрешение соединения только по тем МАК, о которых известно ТД. МАК сообщается ТД администратором, который добавляет МАК в список разрешенных. Однако, МАК должны передаваться в открытом виде, в противном случае сеть функционировать не будет. Если злоумышленник прослушивает трафик, он может определять авторизованные МАК и настраивать свою собственную систему на использование одного из них.
WEP. Предусматривает использование службы А. Однако, эта служба осуществляет только А рабочей станции относительно ТД. Она не обеспечивает взаимную А, поэтому РС не получает доказательства того, что ТД действительно является авторизованной ТД в данной сети. Таким образом, использование WEP не предотвращает перехват данных или атаки через посредника.
Протокол 802.1х. Разработан в качестве надстройки для всех протоколов контроля доступа 2 уровня, включая Ethernet и WLAN. Использованием протокола 802.1х позволяет применить более надежный механизм А, нежели возможности, доступные 802.11х.
Протокол предназначен для обеспечения обобщенного механизма А при доступе в сеть и предусматривает следующий набор элементов:
Аутентификатор. Устройство, осуществляющее поиск других объектов для А.
Соискатель. Объект, которому требуется доступ. М.б. РС.
Сервер А. Источник служб А. 802.1х разрешает централизацию этой функции. Напр, сервер RADIUS
Сетевая ТД. Точка присоединения РС к сети. По сути – порт на коммутаторе или концентраторе. В беспроводном смысле – связь между РС и ТД.
Процесс доступа через порт (PAE) – процесс, выполняющий протоколы А.
Расширяемые протокол А (EAP). Протокол, используемый при обмене А-ными данными. Поверх EAP могут работать и другие протоколы А более высокого уровня.