- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Адресация
Еще одним вопросом, который необходимо рассматривать при работе с несколькими провайдерами, является проблема адресации. Как правило, при работе с одним провайдером ISP присваивает адресное пространство организации. ISP настраивает маршрутизацию таким образом, что трафик, направленный в организацию, достигает ее систем. ISP сообщает маршрут для этих адресов другим провайдерам, чтобы трафик из любых мест интернета смог достичь систем организации
Если в архитектуре задействованы несколько провайдеров, необходимо определить, какие будут использоваться адреса. Адреса могут предоставляться одним из двух провайдеров. В данном случае маршрутизация от одного ISP происходит обычным образом, а другой провайдер должен подтвердить свое согласие на передачу маршрута к адресному пространству, принадлежащему первому провайдеру. Данная конфигурация требует основательного понимания работы протокола BGP, чтобы обеспечить правильную маршрутизацию трафика.
Еще одним вариантом является приобретение набора адресов самой организацией. В то время как этот подход решает некоторые проблемы, оба провайдера должны быть готовы к распространению информации о маршрутах на адреса, которые им не принадлежат. Этот подход часто используется в организациях, где требуется контроль над своими собственными адресами.
Наконец, можно использовать адреса обоих провайдеров. При этом некоторым системам могут быть предоставлены адреса от одного провайдера, а другим системам - от другого. Такая архитектура не полностью устраняет проблемы доступности, и ее не следует использовать в случае, если возможен другой вариант.
Вопросы для самопроверки
Каким образом руководство организации может определить, какие службы интернета можно предоставлять пользователям?
Какая точка сбоев является общей для большинства архитектур интернет-сети ?
Проектирование демилитаризованной зоны
DMZ (ДМЗ) - сокращение от demilitarized zone (демилитаризованная зона). Этот термин используется для обозначения фрагмента сети, не являющегося полностью доверенным. DMZ являет собой область в сети, системы в которой отделены от основной сети; смысл создания такого сегмента заключается в том, чтобы отделить системы, к которым осуществляют доступ пользователи интернета, от систем, с которыми работают только сотрудники организации. Демилитаризованные зоны также могут использоваться при работе с партнерами по бизнесу и другими внешними сторонами.
Определение демилитаризованной зоны
DMZ создается посредством реализации полузащищенной сетевой зоны. Данная зона в обычном порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ (см. рис. 16.7). Как правило, любая система, с которой может быть установлен прямой контакт внешним пользователем, должна находиться в демилитаризованной зоне.
Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.
увеличить изображение Рис. 16.7. Основные правила политики DMZ
Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ ко внутренним системам сети. По возможности соединение между внутренней системой и DMZ должно инициироваться внутренней системой. Внутренние системы могут осуществлять доступ к DMZ или в интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.