- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Разработка архитектуры соединений
При разработке архитектуры соединений с интернетом, имеющихся в организации, самыми важными вопросами являются требования к пропускной способности и доступности. Пропускная способность - это свойство, о котором необходимо договариваться с поставщиком услуг интернета (провайдером). Провайдер должен порекомендовать использовать соответствующие линии соединений для работы с предлагаемыми службами.
Требования доступности соединения должны устанавливаться организацией. Например, если интернет-соединение будет использоваться только сотрудниками для функций, не критичных для бизнеса, то требования доступности будут невысокими, и сбой в электропитании незначительно повлияет на дела организации. Если в организации планируется создать сайт электронной коммерции и вести бизнес главным образом через интернет, то требование доступности является ключевым требованием для успешной деятельности организации. В данном случае структура интернет-соединения должна включать в себя возможности по предотвращению сбоев и восстановлению.
Доступ через один канал
Доступ в интернет через один канал является наиболее широко используемой архитектурой интернета. ISP предоставляет организации один канал связи с соответствующей пропускной способностью, как показано на рис. 16.1.
Как правило, провайдер предлагает подключить маршрутизатор и модуль обслуживания канала (CSU) непосредственно для кабеля, который соединяет оборудование организации с центральным офисом (CO) телефонной компании. В определенном месте неподалеку будет находиться точка присутствия провайдера (POP). Соединение с провайдером фактически оканчивается на ближайшей точке присутствия. Даже если POP расположена не на ближайшем CO, локальное циклическое соединение потребует прохождения соединения через ближайший CO. Из POP соединение проходит через сеть провайдера в интернет.
Если проанализировать соединение на рис. 16.1, станет видно, что существует набор точек, в которых сбой оборудования вызовет прерывание работы системы. Например:
может выйти из строя маршрутизатор;
может выйти из строя модуль обслуживания канала;
локальное циклическое соединение может быть разорвано;
центральный офис может подвергнуться проявлению угрозы;
точка присутствия провайдера может дать сбой.
Следует заметить, что не все эти ошибки равновероятны. Например, маршрутизатор может выйти из строя с гораздо большей вероятностью, нежели вероятность нанесения ущерба центральному офису организации. Однако в соединениях сбои возникают внезапно, и это может вызвать значительный простой в работе. В приведенном списке также не учтены сбои, которые могут произойти внутри самого провайдера. Такие сбои время от времени происходят из-за погодных условий, повреждения кабелей или воздействия атак, направленных на отказ в обслуживании.
увеличить изображение Рис. 16.1. Стандартная архитектура с доступом через один канал
Принимая во внимание возможность потенциальных сбоев, рекомендуется использовать данную архитектуру только в том случае, если интернет-соединения не играют важной роли в ведении бизнеса.