Определение сетевой инфраструктуры и безопасности Модуль 8
Цели Навыки/концепции Описание предметной области Номер предметной области Основные принципы построения сетей за пределами LAN Основные концепции Интернета, интрасети и экстрасети 1.1 Общая информация об устройствах и зонах Основные концепции Интернета, интрасети и экстрасети 1.1
Интернет это глобальная система подключенных компьютерных сетей. Устройства, которые подключаются к Интернету, используют пакет протоколов TCP/IP. Интернет содержит огромный объем информации, множество ресурсов и служб: Серверы всемирной сети (World Wide Web, WWW) с размещенным контентом. Инфраструктура, поддерживающая работу электронной почты. Средства подключения одноранговых сетей. Интернет
Всемирная сеть (WWW) это огромная система взаимосвязанных гипертекстовых документов, доступ к которым осуществляется с помощью веб-браузера. Взаимосвязанные гипертекстовые документы могут содержать текст, графические материалы и видео. Современная всемирная сеть вступила в новую фазу развития и получила название Web 2.0. Web 2.0 обеспечивает интерактивное взаимодействие в Интернете (в отличие от предыдущей версии 1.0). Всемирная сеть
Интрасеть это частная компьютерная сеть или единый корпоративный веб-сайт, предназначенный для совместного использования данных сотрудниками из разных стран. Для получения доступа к информации в интрасети пользователь должен пройти проверку подлинности. В идеальном случае такие меры безопасности позволяют не допускать обычных пользователей из Интернета в интрасеть. Интрасеть
Функции экстрасети схожи с функциями интрасети. Отличие состоит в том, что экстрасеть предназначена для пользователей, находящихся за пределами компании, для дочерних предприятий или отдельных организаций. Для получения доступа к информации в интрасети пользователь также должен пройти проверку подлинности. Обычные пользователи из Интернета не имеют доступа к экстрасети. Экстрасеть
Доступ к корпоративным данным Компания может предоставлять информацию различным группам. Интрасеть для внутренних сотрудников. Экстрасеть для партнеров. Веб-сервер для обычных пользователей из Интернета. Партнер Обычные пользователи из Интернета Удаленные пользователи
Частная виртуальная сеть (Virtual Private Network, VPN) это подключение между двумя или несколькими компьютерами (или устройствами), находящимися в разных частных сетях. Инкапсуляция и шифрование данных позволяют предоставлять доступ к устройству VPN только авторизованным пользователям или сеансам. Через используемые локальные и глобальные сети создается «туннель». VPN Интернет/ поставщик услуг Интернета
Протокол PPTP (Point-to-Point Tunneling Protocol): инкапсулирует кадры точка-точка (PPP-кадры) в IP- дейтаграммы для передачи по IP-сети (по умолчанию данные не шифруются). Протокол L2TP с протоколом IPsec (L2TP/IPSec) это комбинация протоколов PPTP и пересылки по уровню 2 (L2F), технологии компании Cisco Systems, Inc. Протокол IPSec используется для шифрования сообщений. Популярные VPN-протоколы
Протокол PPTP обеспечивает шифрование многопротокольного трафика, а затем инкапсулирует его в IP-заголовок для отправки через IP-сеть или общедоступную IP-сеть. Протокол PPTP может использоваться для удаленного доступа и VPN-подключений типа «сеть-сеть». Протокол PPTP инкапсулирует PPP-кадры в IP-дейтаграммы для их передачи по сети. Протокол PPTP использует ТCP-подключение для управления туннелем, а измененную версию протокола универсальной инкапсуляции маршрутов (GRE) для инкапсуляции PPP-кадров. Полезная нагрузка инкапсулированного PPP-кадра может быть зашифрована и сжата. Протокол PPTP IP-заголовок GRE-заголовок PPP-заголовок Полезная нагрузка PPP-кадра (IP-дейтаграмма) Зашифрованный PPP-кадр
Протокол L2TP позволяет инкапсулировать многопротокольный трафик, а затем передать его с помощью любого средства, которое поддерживает доставку дейтаграммы в режиме «точка-точка». L2TP использует IPSec в транспортном режиме для поддержки служб шифрования. Инкапсуляция пакетов L2TP/IPSec состоит из двух уровней: Инкапсуляция L2TP: PPP-кадр упаковывается при помощи заголовка L2TP и UDP. Инкапсуляция IPSec: сообщение L2TP упаковывается при помощи заголовка IPSec Encapsulating Security Payload (ESP) и индекса завершения, а также индекса завершения проверки подлинности IPSec. L2TP с IPSec IP- заголовок Заголовок IPSec ESP UDP- заголовок L2TP- заголовок PPP- заголовок Полезная нагрузка PPP-кадра (IP- дейтаграмма) Индекс завершения IPSec ESP Индекс завершения проверки подлинности IPSec Зашифровано с помощью IPSec IP- заголовок UDP- заголовок L2TP- заголовок PPP- заголовок Полезная нагрузка PPP-кадра (IP- дейтаграмма)
ДЕМОНСТРАЦИЯ: пользовательская настройка RRAS и просмотр параметров VPN-подключения
Брандмауэры используются для защиты сети от вредоносных атак и вторжений. Это один из самых распространенных типов устройств, обеспечивающих безопасность в сети периметра организации. Брандмауэры
Такие устройства безопасности, как брандмауэры, обеспечивают основную защиту корпоративных сетей: локальных, глобальных, интрасетей и экстра сетей. Сети периметра предоставляют доступ к определенным корпоративным ресурсам конкретным пользователям или обычным пользователям из Интернета. При этом доступ к остальной части корпоративной информации не предоставляется. Устройства и зоны безопасности Партнер Обычные пользователи из Интернета Удаленные пользователи
Функция фильтрации пакетов обеспечивает проверку всех пакетов, которые проходят через брандмауэр, и принимает или отклоняет их на основе набора правил. При проверке пакетов с неизменным состоянием сведения о пакетах, прошедших через брандмауэр, не сохраняются. Функция проверки пакетов с отслеживанием состояния (Stateful Packet Inspection, SPI) обрабатывает контекст активных сеансов. Фильтрация пакетов
Функция фильтрации NAT, также известная как фильтрация конечных точек NAT, выполняет фильтрацию трафика в соответствии с портами (TCP или UDP). Существует три способа фильтрации: Использование базовых возможностей подключения конечных точек. Сопоставление входящего трафика с соответствующим подключением исходящего IP-адреса. Сопоставление входящего трафика с соответствующим IP- адресом и портом. Фильтрация NAT
Шлюз уровня приложения (Application-level Gateway, ALG) обеспечивает преобразование адреса и порта, а также проверяет, разрешен ли тип трафика приложения. Этот шлюз позволяет повысить уровень безопасности, однако требует дополнительных ресурсов. Шлюз уровня приложения
Шлюз сеансового уровня работает на сеансовом уровне модели OSI, когда устанавливается подключение TCP или UDP. При фильтрации на сеансовом уровне проверяются сеансы, а не подключения или пакеты. После подключения пакеты могут передаваться между узлами без дальнейшей проверки. Шлюзы сеансового уровня скрывают информацию о частной сети, но не фильтруют отдельные пакеты. Шлюз сеансового уровня
Прокси-сервер действует как посредник между локальной сетью и Интернетом. Прокси означает «располагаться между»; прокси-сервер действует как посредник между частной и общедоступной сетью. Прокси-сервер анализирует запросы от клиентов. Если эти запросы соответствуют определенным критериям, прокси- сервер пересылает их соответствующему серверу. Прокси-сервер
Кэширующий прокси-сервер пытается обслужить запрос клиента, не подключаясь к удаленному серверу. Существуют FTP и SMTP прокси-серверы. Однако чаще всего используется кэширующий прокси-сервер HTTP, известный также как веб-прокси. Он кэширует веб-страницы, получаемые от серверов в Интернете. Копии страниц хранятся в кэше заданное время. Кэширование экономит полосу пропускания корпоративного канала подключения к Интернету и ускоряет обработку запросов клиента. Кэширующий прокси-сервер
IP-прокси обеспечивает безопасность сети, сохраняя анонимность ее компьютеров. Он это делает с помощью NAT. IP-прокси
Фильтр интернет-контента или просто фильтр контента. Как правило, фильтр используется программным обеспечением на уровне приложения. Фильтруются различные типы действий в Интернете: доступ к конкретным веб-сайтам, электронной почте, службе мгновенных сообщений и т. д. Фильтр интернет-контента
Система обнаружения вторжений в сеть (Network Intrusion Detection System, NIDS) это тип IDS, программного обеспечения, которое обнаруживает вредоносные действия в сети (например, сканирование портов и атаки типа «отказ в обслуживании»), используя постоянный мониторинг сетевого трафика. При правильной настройке NIDS направляет администратору сети отчеты обо всех выявленных проблемах. Система предупреждения вторжений в сеть (Network Intrusion Prevention System, NIPS) предназначена для проверки трафика. Эта система может не только обнаруживать вредоносный трафик, но и удалять, задерживать или перенаправлять его. Выполняемые системой действия зависят от настроек и политики безопасности. Обнаружение вторжений в сеть и их предупреждение
Сеть периметра это небольшая сеть, установленная отдельно от частной локальной сети компании и Интернета. Она называется сетью периметра, так как обычно располагается на границе локальной сети. Однако стандартным отраслевым термином является DMZ (демилитаризованная зона). Сеть периметра позволяет пользователям, находящимся за пределами корпоративной локальной сети, получать доступ к конкретным службам, размещенным в DMZ. Если сеть периметра настроена правильно, то эти пользователи не получают доступ к корпоративной локальной сети. В сети периметра может располагаться коммутатор с подключенными к нему серверами, на которых размещены службы электронной почты, веб- сайт и другие службы. Сети периметра
Сеть с двумя сетевыми экранами. При такой конфигурации сеть периметра располагается между двумя брандмауэрами, которые могут быть «черными ящиками» или серверами Microsoft Internet Security and Acceleration (ISA). Трехступенчатая конфигурация сети периметра. В этом сценарии сеть периметра обычно соединена с корпоративным брандмауэром через отдельное подключение. Таким образом, брандмауэр имеет три подключения: первое к корпоративной локальной сети, второе к сети периметра и третье к Интернету. Конфигурации сети периметра
Мы обсудили отличия Интернета, интрасети и экстрасети. Мы рассмотрели брандмауэры и научились инициировать сканирование портов, позволяющее убедиться в том, что порты закрыты. Мы познакомились с другими устройствами и зонами периметра: прокси-серверами, фильтрами интернет-контента, NIDS, NIPS и сетью периметра. Заключение
Дополнительные ресурсы и дальнейшие шаги Книги Экзамен «Основы построения сетей МТA» (Официальный академический курс Майкрософт) Обучение под руководством инструктора 40033A «Операционная система Windows и основы Windows Server»: сдвоенный курс для желающих сдать экзамены MTA и MTA (5 дней) A «Основы операционной системы Windows»: экзамен MTA (3 дня) A «Основы построения сетей и обеспечения безопасности»: сдвоенный курс для желающих сдать экзамены MTA и MTA (5 дней) A «Основы построения сетей»: экзамен MTA Экзамены и сертификаты Экзамен «Основы построения сетей» Удаленный рабочий стол (плакат) us/download/confirmation.aspx?id= us/download/confirmation.aspx?id=3262
© Корпорация Майкрософт, 2012 г. Все права защищены. Microsoft, Windows, Windows Vista и другие названия продуктов являются или могут являться зарегистрированными торговыми марками и (или) торговыми марками в США и (или) других странах. Вся информация в данном документе предоставлена исключительно в информационных целях и отражает точку зрения корпорации Майкрософт на освещаемые в документе вопросы на дату этой презентации. Поскольку корпорация Майкрософт должна реагировать на изменяющиеся условия рынка, ничто в этом документе не может расцениваться как обязательства корпорации Майкрософт. Это означает, что корпорация Майкрософт не может гарантировать точность какой-либо информации, представленной в данном документе, после даты этой презентации. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ДАЕТ В ДАННОМ ДОКУМЕНТЕ НИКАКИХ ЯВНЫХ ИЛИ СКРЫТЫХ ГАРАНТИЙНЫХ ОБЯЗАТЕЛЬСТВ.