Безопасность корпоративных сетей
Отчет по практике - Компьютеры, программирование
Другие отчеты по практике по предмету Компьютеры, программирование
чтобы исключить возможность прямого взлома. Вы можете обратиться и к другим документам, где описана защита маршрутизаторов. Эти документы более детально рассматривают следующие вопросы:
блокировка доступа к маршрутизатору из сетей связи общего доступа;
блокировка доступа к маршрутизатору через протокол SNMP;
управление доступом к маршрутизатору через TACACS+;
отключение ненужных услуг;
вход в систему на определенных уровнях;
аутентификация обновлений маршрутов.
Цель - коммутаторы
Коммутаторы (обычные и многоуровневые), как и маршрутизаторы, имеют свои требования к безопасности. Однако данные об угрозах для безопасности коммутаторов и о смягчении этих угроз распространены гораздо меньше, чем аналогичные данные для маршрутизаторов. Большинство соображений, приведенных в предыдущем разделе для маршрутизаторов, годятся и для коммутаторов. Кроме того, в случае с коммутаторами вы должны предпринимать следующие меры предосторожности:
Если порт не должен подключаться к транку, то параметры транковых соединений на нем должны не устанавливаться в положение "auto", а отключаться (off). В результате хост не сможет стать транковым портом и получать трафик, который обычно поступает на такой порт.
Убедитесь в том, что транковые порты используют уникальный номер VLAN (виртуальной локальной сети), который не используется ни в каком другом месте этого коммутатора. В результате пакеты, имеющие метку с тем же номером, будут передаваться в другую сеть VLAN только через устройство
Объедините все неиспользуемые порты коммутатора в сеть VLAN, которая не имеет выхода на Уровень 3. Будет еще лучше, если вы вообще отключите все порты, которые реально не используются. В результате хакеры не смогут подключаться к таким портам и через них получать доступ к другим сетевым ресурсам.
Старайтесь не использовать технологию VLAN в качестве единственного способа защиты доступа между двумя подсетями. Постоянно присутствующая вероятность ошибок, а также тот факт, что сети VLAN и протоколы маркирования VLAN разрабатывались без учета требований безопасности, - все это не позволяет рекомендовать применение этих технологий в чувствительной среде. Если вы все-таки используете сети VLAN в защищенной среде, обратите особое внимание на конфигурации и рекомендации, перечисленные выше.
В существующей сети VLAN дополнительную защиту для некоторых сетевых приложений могут дать виртуальные частные локальные сети (private VLAN). Основной принцип их работы состоит в том, что они ограничивают число портов, которым разрешается связываться с другими портами в пределах одной и той же сети VLAN. Порты, которые относятся к определенному сообществу, могут сообщаться только с другими портами того же сообщества и портами общего доступа (promiscuous ports). Порты общего доступа могут связываться с любым портом. Это позволяет минимизировать ущерб от хакерского проникновения на один из хостов. Рассмотрим в качестве примера стандартный сетевой сегмент, состоящий из web-сервера, сервера FTP и сервера доменных имен (DNS). Если хакер проник на сервер DNS, для работы с двумя другими серверами ему уже не нужно преодолевать межсетевой экран. Но если у вас имеются виртуальные локальные частные сети, то в случае проникновения хакера на одну из систем она не сможет связываться с другими системами. Единственными целями для хакера остаются хосты, находящиеся по другую сторону межсетевого экрана.
Цель - хосты
Хост является наиболее вероятной целью хакерской атаки. Кроме того, хост создает самые сложные проблемы для обеспечения безопасности. Существует множество аппаратных платформ, операционных систем и приложений - и все это периодически обновляется, модернизируется и корректируется, причем в разные сроки. Поскольку хосты предоставляют другим хостам услуги по требованию, их очень хорошо видно в сети. К примеру, многие посещали сайт Белого Дома
По этим причинам хосты чаще других устройств становятся жертвами удачных атак. Зачастую web-сервер в сети Интернет работает на аппаратной платформе одного производителя с сетевым адаптером другого производителя, с операционной системой третьего поставщика и серверным программным обеспечением, которое либо является открытым, либо поставлено четвертой компанией. Кроме того, на этом web-сервере могут работать приложения, свободно распространяемые через Интернет. И, наконец, этот сервер может связываться с сервером базы данных, где все "разнообразие" повторяется еще раз. Мы не хотим сказать, что угроза безопасности происходит из-за разнородности источников сетевых устройств. Цель у нас другая: показать, что по мере увеличения сложности системы повышается вероятность сбоев и отказов. Для защиты хоста необходимо внимательно следить за всеми компонентами системы. Все они должны быть самыми свежими, со всеми "заплатками" и коррекционными модулями. В частности, следите за тем, как эти модули влияют на функционирование других системных компонентов. Прежде чем установить модуль или новую версию в производственную среду, тщательно протестируйте их в испытательной среде. Если этого не сделать, новый модуль может привести к отказу в обслуживании (denial of service- DoS).
Цель - хосты
Самая ужасная атака- та, которую вы не мож?/p>