Администрирование информационных систем Механизмы обеспечения безопасности передачи данных.

Презентация:



Advertisements
Похожие презентации
Администрирование информационных систем Лекция 10. Маршрутизация и удаленный доступ.
Advertisements

Администрирование в информационных системах Безопасность информационных систем Шифрование.
Администрирование информационных систем Механизмы обеспечения безопасности данных.
Smart-Soft Traffic Inspector. Основные возможности Traffic Inspector: комплексное решение для подключения сети или персонального компьютера к сети Интернет.
СЛУЖБЫ СОЕДИНЕНИЙ Лекция # 2. Виды серверов Web Mail DB Proxy DHCP DNS Котроллер домена Сервер глобального каталога.
Сетевое администрирование на основе Microsoft Windows Server Маршрутизация.
Администрирование ИС Администрирование DNS. Установка сервера DNS DNS-сервер представляет собой дополнительную компоненту операционной системы Windows.
Презентация на тему : « Настройка сервера» Выполнила студентка группы Ди-2А Цыбенко Мария Алексеевна ГОУ СПО КДПИ им. К. Фаберже 36 Г. Москва 2011.
Фильтрация пакетов. Маршрутизатор. Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
Основы функционирования протокола TCP/IP Сетевое администрирование - Тема 3.
Серверы Сетевые службы, виды и назначение серверов irina
Blackberry Mobile Data System BLACKBERRY® ОТ МТС.
Разграничение доступа к информационным сетям с помощью групповых политик и IPSec.
Сетевой Канальный Физический Прикладной Представит. Сеансовый Транспортный Сетевой Канальный Физический Прикладной Представит. Сеансовый Транспортный Сетевой.
Интернет Контроль Сервер Интернет Контроль Сервер (ИКС) - это готовый программный Интернет шлюз с огромным набором функций для решения всех задач взаимодействия.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
Системные службы в локальных сетях Windows Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
Настройка маршрутизации. Основные определения Маршрутизатор или роутер (от англ. router) сетевое устройство, на основании информации о топологии сети.
Администрирование RAS серверов. RAS (Remote Access Server) сервер – это сервер удаленного доступа. Используется для соединения компьютеров по коммутируемым.
Транксрипт:

Администрирование информационных систем Механизмы обеспечения безопасности передачи данных

Цели обеспечения безопасности сети Защита периметра Защита клиентов Обнаружение вторжений Контроль доступа к сети Конфиден- циальность Безопасность удаленного доступа ISA Server Windows Firewall IPSec Network Access Quarantine

Политики, процедуры Физическая защита Модель многослойной защиты Использование многослойной модели защиты позволяет: Уменьшить шанс успеха атаки Уменьшить шанс успеха атаки Увеличить вероятность обнаружения атаки Увеличить вероятность обнаружения атаки Защита ОС, аутентификация, управление обновлениями Брандмауэры, управление карантином доступа Охрана, замки и запирающие устройства Сегментация сети, IPSec Защита приложений, антивирусы ACL, шифрование, EFS Документы по безопасности, обучение пользователей Периметр сети Внутренняя сеть Компьютер Приложения Данные

Политики, процедуры Физическая защита Модель многослойной защиты Использование многослойной модели защиты позволяет: Уменьшить шанс успеха атаки Уменьшить шанс успеха атаки Увеличить вероятность обнаружения атаки Увеличить вероятность обнаружения атаки Защита ОС, аутентификация, управление обновлениями Брандмауэры, управление карантином доступа Охрана, замки и запирающие устройства Сегментация сети, IPSec Защита приложений, антивирусы ACL, шифрование, EFS Документы по безопасности, обучение пользователей Периметр сети Внутренняя сеть Компьютер Приложения Данные

Сегментация сети Одним из средств защиты передачи данных является механизм сегментации сети (деление на подсети). Одним из средств защиты передачи данных является механизм сегментации сети (деление на подсети). Механизм разделения общей сети на отдельные подсети предприятия позволяет скрывать детали отдельных подсетей, обеспечивает возможность контроля трафика на границе подсети. Механизм разделения общей сети на отдельные подсети предприятия позволяет скрывать детали отдельных подсетей, обеспечивает возможность контроля трафика на границе подсети.

Сегментация сети LAN Отдельные сегменты сети Маршрутизатор

Сегментация сети Для обеспечения разделения внутренней сети организации на отдельные сегменты возможно использование аппаратных (коммутаторы) и программно-аппаратных (маршрутизаторы) решений. Для обеспечения разделения внутренней сети организации на отдельные сегменты возможно использование аппаратных (коммутаторы) и программно-аппаратных (маршрутизаторы) решений. Серверная платформа Windows 2000/2003 позволяет создание эффективного маршрутизатора с возможностями усиления безопасности на границах сетей. Инструментом является служба Удаленный доступ и маршрутизация (RRAS). Серверная платформа Windows 2000/2003 позволяет создание эффективного маршрутизатора с возможностями усиления безопасности на границах сетей. Инструментом является служба Удаленный доступ и маршрутизация (RRAS).

Служба Маршрутизация и удаленный доступ Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows 2003 представляет собой программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как учетные записи и групповые политики. Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows 2003 представляет собой программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как учетные записи и групповые политики. Служба поддерживает маршрутизацию между различными ЛВС, между ЛВС и WAN- каналами, VPN- и NAT- маршрутизацию в IP- сетях. Служба поддерживает маршрутизацию между различными ЛВС, между ЛВС и WAN- каналами, VPN- и NAT- маршрутизацию в IP- сетях.

Особенности Службы маршрутизации и удаленного доступа Кроме того, служба может быть сконфигурирована для особого вида маршрутизации: Кроме того, служба может быть сконфигурирована для особого вида маршрутизации: Многоадресные ip-рассылки; Многоадресные ip-рассылки; Маршрутизация вызовов по требованию; Маршрутизация вызовов по требованию; Ретрансляция DHCP; Ретрансляция DHCP; Фильтрация пакетов Фильтрация пакетов В службу включена поддержка протоколов динамической маршрутизации – RIP (routing information protocol) и OSPF (open shortest path first). В службу включена поддержка протоколов динамической маршрутизации – RIP (routing information protocol) и OSPF (open shortest path first).

Запуск службы Маршрутизация и удаленный доступ При установки Windows server 2003 служба Маршрутизация и удаленный доступ отключена. При установки Windows server 2003 служба Маршрутизация и удаленный доступ отключена. Ее активация выполняется с помощью Мастера настройки сервера маршрутизации и удаленного доступа. Ее активация выполняется с помощью Мастера настройки сервера маршрутизации и удаленного доступа. Если сервер маршрутизации является рядовым членом домена Active Directory, то он должен быть включен в группу Серверы RAS и IAS. Если сервер маршрутизации является рядовым членом домена Active Directory, то он должен быть включен в группу Серверы RAS и IAS. Контроллеры домена в дополнительной настройке не нуждаются. Контроллеры домена в дополнительной настройке не нуждаются.

Консоль управления Маршрутизация и удаленный доступ Консоль управления Маршрутизация и удаленный доступ представляет собой стандартную оснастку консоли управления в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС. Консоль управления Маршрутизация и удаленный доступ представляет собой стандартную оснастку консоли управления в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС.

Создание интерфейсов Сетевой интерфейс в консоли управления – программный компонент, подключаемый к физическому устройству (модему или сетевой плате). Сетевой интерфейс в консоли управления – программный компонент, подключаемый к физическому устройству (модему или сетевой плате). В процессе настройки необходимо, чтобы все интерфейсы, через которые необходимо маршрутизировать трафик присутствовали в консоли управления. В процессе настройки необходимо, чтобы все интерфейсы, через которые необходимо маршрутизировать трафик присутствовали в консоли управления. Если необходимо сконфигурировать маршрутизацию через подключение по требованию или постоянное подключение по коммутируемой линии, VPN или PPOE-подключение (Point-to-Point Protocol over Ethernet), необходимо выполнить конфигурирование интерфейсов в ручную. Если необходимо сконфигурировать маршрутизацию через подключение по требованию или постоянное подключение по коммутируемой линии, VPN или PPOE-подключение (Point-to-Point Protocol over Ethernet), необходимо выполнить конфигурирование интерфейсов в ручную.

Создание интерфейсов по вызову Для создания интерфейса по вызову, необходимо включить такую возможность в Свойствах сервера маршрутизации. Для создания интерфейса по вызову, необходимо включить такую возможность в Свойствах сервера маршрутизации. Для создания подключения используется Мастер интерфейса по требованию Для создания подключения используется Мастер интерфейса по требованию

IP - маршрутизация Узел ip – маршрутизация используется дла настройки основных параметров по протоколу IP. Узел ip – маршрутизация используется дла настройки основных параметров по протоколу IP. По умолчанию содержится три подузла: По умолчанию содержится три подузла: Общие Общие Статические маршруты Статические маршруты NAT / простой брандмауэр NAT / простой брандмауэр

Настройка параметров службы маршрутизации и удаленного доступа

Управление таблицей маршрутизации Мрашрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соответствии с информацией, хранящейся в таблицах маршрутизации. Мрашрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соответствии с информацией, хранящейся в таблицах маршрутизации. Отдельные записи таблицы маршрутизации называются маршрутами. Отдельные записи таблицы маршрутизации называются маршрутами. Существуют три типа маршрута: Существуют три типа маршрута: Маршрут узла – определяет ссылку на определенный узел или широковещательный адрес. Маска маршрута – ; Маршрут узла – определяет ссылку на определенный узел или широковещательный адрес. Маска маршрута – ; Маршрут сети – определяет маршрут к определенной сети, а соответствующее поле в таблицах маршрутизации может содержать произвольную маску; Маршрут сети – определяет маршрут к определенной сети, а соответствующее поле в таблицах маршрутизации может содержать произвольную маску; Маршрут по умолчанию – один маршрут, по которому отправляются все пакеты, чей адрес не совпадает ни с одним адресов таблицы маршрутизации. Маршрут по умолчанию – один маршрут, по которому отправляются все пакеты, чей адрес не совпадает ни с одним адресов таблицы маршрутизации. Просмотр таблицы маршрутизации может быть выполнен с помощью команд Просмотр таблицы маршрутизации может быть выполнен с помощью команд route print route print netstat -r netstat -r

Защита периметра сети Защита периметра сети предусматривает создание условий препятствующих проникновению постороннего трафика из внешней сети во внутреннюю сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю). Защита периметра сети предусматривает создание условий препятствующих проникновению постороннего трафика из внешней сети во внутреннюю сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю). Одним из средств защиты является использование брандмауэров. Одним из средств защиты является использование брандмауэров.

Функции сетевых брандмауэров Фильтрация пакетов Фильтрация пакетов Проверка установки соединений Проверка установки соединений Проверка трафика на уровне приложений Проверка трафика на уровне приложений Internet Многоуровневая проверка (включая фильтрацию на уровне приложений)

Защита клиентов МетодОписание Прокси-функции Обработка всех запросов клиентов и запрет прямых соединений Поддержка клиентов Возможность поддержки подключений клиентов без специального ПО. Использование специального ПО (ISA Firewall) обеспечивает дополнительную функциональность Правила Доступ к веб-ресурсам может быть ограничен на основе имени пользователя, IP-адреса клиента, URL сервера или по расписанию Add-ons Дополнительные компоненты обеспечвают расширение функциональности брандмауэра и возможность использования решений третих фирм

Защита веб-серверов Правила веб-публикаций Правила веб-публикаций Защита веб-серверов, находящихся позади брандмауэра предотвращает внешние атаки на сервера путем проверки HTTP входящего трафика Защита веб-серверов, находящихся позади брандмауэра предотвращает внешние атаки на сервера путем проверки HTTP входящего трафика Проверка Secure Socket Layer (SSL) трафика Проверка Secure Socket Layer (SSL) трафика Расшифровка и проверка входящего зашифрованного веб-трафика на предмет соответствия заданным правилам и стандартам Расшифровка и проверка входящего зашифрованного веб-трафика на предмет соответствия заданным правилам и стандартам Возможна перешифровка трафика перед пересылкой на веб-сервер Возможна перешифровка трафика перед пересылкой на веб-сервер

HTTP фильтрация Интернет приложения используют HTTP для туннелирования трафика приложений Интернет приложения используют HTTP для туннелирования трафика приложений ISA Server 2004 включает HTTP фильтры для: ISA Server 2004 включает HTTP фильтры для: Обеспечения контроля за всем HTTP трафиком Обеспечения контроля за всем HTTP трафиком Обеспечения URLScan функциональности по периметру сети организации Обеспечения URLScan функциональности по периметру сети организации Возможность объединения с URLScan внутренних веб- серверов для обеспечения согласования разрешенного трафика Возможность объединения с URLScan внутренних веб- серверов для обеспечения согласования разрешенного трафика HTTP фильтры могут обеспечить фильтрацию: HTTP фильтры могут обеспечить фильтрацию: На основе анализа HTTP запросов, ответов, заголовков и содержания контента На основе анализа HTTP запросов, ответов, заголовков и содержания контента На основе расширений файлов, методов передачи и цифровых подписей На основе расширений файлов, методов передачи и цифровых подписей