Безопасность корпоративных сетей
Отчет по практике - Компьютеры, программирование
Другие отчеты по практике по предмету Компьютеры, программирование
?ышленные шпионы, посетители и беспечные пользователи, допускающие ошибки. Разрабатывая систему безопасности, необходимо уделять особое внимание внутренним угрозам.
Второй является угроза подключенным к Интернет хостам общего доступа. Эти системы являются потенциальными объектами атак на уровне приложений и атак типа DoS.
И наконец, еще одна угроза связана с тем, что хакер может попытаться определить ваши телефонные номера, которые используются для передачи данных, с помощью аппаратного и/или программного устройства под названием "war-dialer". Это устройство набирает множество телефонных номеров и определяет тип системы, находящейся на другом конце провода. Наиболее уязвимыми для них являются слабо защищенные персональные системы с программными средствами удаленного доступа, установленными пользователем. Такие системы расположены внутри зоны, защищенной межсетевым экраном, и поэтому хакер пытается получить доступ к ним через хост, поскольку это позволяет обезличить пользователя.
Рисунок 5 - Пробная схема корпоративного кампуса
Модуль управления на рисунке 5 и 6 поддерживает управление конфигурацией практически всех сетевых устройств с помощью двух базовых технологий: маршрутизаторов Cisco IOS, действующих в качестве терминальных серверов, и сетевого сегмента, специально выделенного для управления. Маршрутизаторы выполняют функцию reverse-telnet для доступа к консольным портам на устройствах Cisco по всей корпорации. Более широкие функции управления (изменения ПО, обновления содержания, обобщение лог-данных и сигналов тревоги, управление SNMP) поддерживаются с помощью выделенного сегмента сетевого управления. Все остающиеся неуправляемые устройства и хосты (а их остается крайне мало) управляются через туннели IPSec, которые идут от маршрутизатора управления.
SSH - (англ. Secure SHell - "безопасная оболочка") - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений/- стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в компьютерных сетях, работающих по протоколу IP.
Intrusion Detection System (IDS) - Система обнаружения вторжений
AAA (от англ. Authentication, Authorization, Accounting) - используется для описания процесса предоставления доступа и контроля за ним.
Cisco IOS (от англ. Internetwork Operating System - Межсетевая Операционная Система) - программное обеспечение, используемое в маршрутизаторах Cisco, и некоторых сетевых коммутаторах. Cisco IOS - многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных.(сокращение от IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.
Рисунок 6 - Модуль управления функции предотвращения атак
Корпоративный модуль Интернет
Корпоративный модуль Интернет на рисунке 7 и 8 предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Трафик с этого модуля передается в виртуальные частные сети (VPN) и на модуль удаленного доступа, где происходит терминирование VPN. Этот модуль не предназначен для поддержки приложений электронной коммерции. Более подробная информация об электронной коммерции содержится в разделе "Модуль электронной коммерции".
Основные устройства:
Сервер SMTP - служит мостом между Интернет и серверами Интернет-почты проверяет содержание.
Сервер DNS - служит внешним сервером DNS для предприятия, передает в Интернет запросы внутренних пользователей.
Сервер FTP/HTTP - предоставляет открытую информацию об организации.
Межсетевой экран - защищает ресурсы на уровне сети и производит фильтрацию трафика.
Устройство NIDS - поддерживает мониторинг ключевых сетевых сегментов модуля на Уровнях 4-7.
Сервер фильтрации URL - отфильтровывает несанкционированные запросы URL, исходящие от предприятия.
Предотвращаемые угрозы
Несанкционированный доступ - угроза ликвидируется с помощью фильтрации на уровне провайдера (ISP), периферийного маршрутизатора и корпоративного межсетевого экрана.
Атаки на уровне приложений - ликвидируются с помощью IDS на уровне хоста и сети.
Вирусы и "троянские кони" - ликвидируются с помощью фильтрации содержания электронной почты и системы HIDS.
Атаки на пароли - ограничение возможностей смены паролей, контролируемых средствами операционной системы и IDS.
Отказ в обслуживании (DoS) - борьба с этой угрозой проводится с помощью CAR на периферии ISP
и с помощью контроля установлений сессий TCP на межсетевом экране.
IP-спуфинг - фильтрация RFC 2827 и 1918 на периферии ISP и корпоративном периферийном маршрутизаторе.
Сниффинг пакетов - коммутируемая инфраструктура и система HIDS снижают эффективность сниффинга.
Сетевая разведка - IDS обнаруживает попытки ведения разведки, а фильтрация на уровне протоколов снижает ее эффективность.
Злоупотребление доверием - эта угроза снижается с помощью строгой модели доверия и за счет использования частных сетей VLAN.
Переадресация портов - эта угроза снижается с помощью строгой фильтрации и системы HIDS.
HIDS - англ. Host-based intrusion detection system - Хостовая система обнаружения вторжений - э