Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 9 лет назад пользователемГавриил Донцов
1 Разграничение доступа к информационным сетям с помощью групповых политик и IPSec
2 Содержание Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям
3 Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям
4 Защита сетевых коммуникаций: основные требования Основные требования по обеспечению безопасности сетевых коммуникаций: Предотвращение модификации данных при передаче Предотвращение чтения и интерпретации данных при передаче Защита данных от неавторизованных пользователей Защита данных от перехвата и подмены Предотвращение модификации данных при передаче Предотвращение чтения и интерпретации данных при передаче Защита данных от неавторизованных пользователей Защита данных от перехвата и подмены
5 Что такое Internet Protocol Security? Преимущества IPSec: Прозрачен для пользователей и приложений Обеспечивает строго ограниченный доступ к серверам Настраиваемые параметры безопасности Централизованное управление через Active Directory Прозрачен для пользователей и приложений Обеспечивает строго ограниченный доступ к серверам Настраиваемые параметры безопасности Централизованное управление через Active Directory IPSec: Набор открытых стандартов по обеспечению безопасности IP-коммуникаций на основе криптографических методов
6 Режимы работы IPSec IPSec поддерживает два режима работы: Используется для защиты host-to-host коммуникаций Транспорт- ный Используется для защиты трафика между узлом и сетью или между сетями Туннель- ный
7 Транспортный режим End-to-End Host Security Server Isolation
8 Туннельный режим Организация VPN Туннель IPSec Шлюз IPSec Клиент Windows XP FTP-сервер Сайт B Сайт A Шлюз IPSec
9 Принцип работы IPSec TCP Layer IPSec Driver TCP Layer IPSec Driver Защищенные пакеты 3 3 Internet Key Exchange (IKE) 2 2 Политика 1 1 Active Directory
10 Структура политики IPSec Политика IPSec Правила IP filter lists Список фильтров IP filter lists Действия фильтра IP-фильтры Применяется на уровне сайта, домена или подразделения
11 Демонстрация 1: Конфигурация и назначение политики IPSec Сконфигурировать и назначить политику протокола IPSec
12 Использование IPSec для разграничения доступа к сетям Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям
13 Что означает разграничение доступа к сетям? Преимущества защиты на уровне логической изоляции данных: Дополнительный уровень безопасности Контроль доступа к определенной информации Предоставление доступа доверенным системам Защита от вредоносных программ Механизм шифрования передаваемых данных Дополнительный уровень безопасности Контроль доступа к определенной информации Предоставление доступа доверенным системам Защита от вредоносных программ Механизм шифрования передаваемых данных Разграничение доступа к сетям: Возможность разрешить или запретить определенные типы сетевого доступа между компьютерами из одной IP-подсети
14 Доверенные компьютеры Доверенный компьютер: Управляемое устройство, отвечающее минимальным требованиям безопасности Ненадежный компьютер: Устройство, не отвечающее минимальным требованиям безопасности в силу неуправляемости или отсутствия централизованного контроля
15 Цели, достигаемые разграничением доступа к сетям Разграничение доступа к сетям поможет достичь следующих целей: Изолировать доверенные компьютеры домена от ненадежных устройств на сетевом уровне Гарантировать доступ к доверенным системам только устройствам, удовлетворяющим требованиям безопасности Обеспечить обработку входящего трафика только от строго определенных групп доверенных компьютеров Сфокусировать и приоритезировать проактивный мониторинг Сконцентрировать усилия на доверенных системах, к которым необходим доступ с ненадежных устройств Ускорить процессы восстановления после атак Изолировать доверенные компьютеры домена от ненадежных устройств на сетевом уровне Гарантировать доступ к доверенным системам только устройствам, удовлетворяющим требованиям безопасности Обеспечить обработку входящего трафика только от строго определенных групп доверенных компьютеров Сфокусировать и приоритезировать проактивный мониторинг Сконцентрировать усилия на доверенных системах, к которым необходим доступ с ненадежных устройств Ускорить процессы восстановления после атак
16 Неизбежные риски Проблемы, которые не решаются логической изоляцией: Доверенные пользователи раскрывают данные Компрометация учетных данных пользователей Доступ между ненадежными компьютерами Злоупотребление доверенных пользователей своим доверенным статусом Ошибки в системах безопасности доверенных компьютеров Компрометация доверенных систем другими доверенными системами Доверенные пользователи раскрывают данные Компрометация учетных данных пользователей Доступ между ненадежными компьютерами Злоупотребление доверенных пользователей своим доверенным статусом Ошибки в системах безопасности доверенных компьютеров Компрометация доверенных систем другими доверенными системами
17 Разграничение доступа к сетям и уровни сетевой безопасности Политики и процедуры Физическая защита Приложения Компьютер Внутренняя сеть Периметр Данные Логическая изоляция данных
18 Реализация разграничения доступа к сетям Основные компоненты решения: Компьютеры, соответствующие минимальным требованиям безопасности Доверенные узлы Использование IPSec для аутентификации и шифрования данных Аутентифика- ция узла Членство в группах и списки управления доступом Авторизация узла
19 Контроль доступа с применением IPSec и групп сетевого доступа (NAG) Логическая изоляций данных Взаимодействие на уровне компьютеров (IPSec) Права доступа к узлу IPSec Policy 2 2 Права доступа к папке Group Policy Dept_Computers NAG Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec
20 Контроль доступа с применением групп сетевого доступа (NAG) Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 4: Проверка прав доступа к узлу Шаг 5: Проверка прав доступа к папке Шаг 1: Пользователь пытается открыть папку на сервере Шаг 2: Согласование IKE Шаг 3: Выбор метода защиты IPSec Шаг 4: Проверка прав доступа к узлу Шаг 5: Проверка прав доступа к папке Логическая изоляций данных Взаимодействие на уровне компьютеров (IPSec) Права доступа к узлу IPSec Policy Group Policy Dept_Computers NAG 4 4 Dept_Users NAG Права доступа к папке 5 5
21 Демонстрация 2: Применение групп сетевого доступа Конфигурация групп сетевого доступа для повышения безопасности
22 Сценарии разграничения доступа к сетям Обзор протокола IPSec Использование IPSec для разграничения доступа к сетям Сценарии разграничения доступа к сетям
23 Проектирование разграничения доступа к информационным сетям Процесс проектирования включает в себя: Проектирование основных групп Создание списков исключений Планирование групп компьютеров и NAG Создание дополнительных групп изоляций Моделирование трафика Настройка членства в группах компьютеров и NAG Проектирование основных групп Создание списков исключений Планирование групп компьютеров и NAG Создание дополнительных групп изоляций Моделирование трафика Настройка членства в группах компьютеров и NAG
24 Проектирование основных групп Ненадежные системы Изолированный домен Граничная группа
25 Создание списков исключений Причины занесения узла в список исключений: Узел, не поддерживающий IPSec, должен быть доступен для доверенных систем На узле запущено приложение, некорректно работающее при включении IPSec На узле наблюдаются проблемы с производительностью Узел является контроллером домена Узел, не поддерживающий IPSec, должен быть доступен для доверенных систем На узле запущено приложение, некорректно работающее при включении IPSec На узле наблюдаются проблемы с производительностью Узел является контроллером домена
26 Планирование групп компьютеров и NAG Группы компьютеров: Содержат членов из одной группы изоляции Используются в GPO для настройки заданных параметров безопасности Содержат членов из одной группы изоляции Используются в GPO для настройки заданных параметров безопасности Группы сетевого доступа: Бывают двух типов: «Разрешить», «Запретить» Используются в GPO для предоставления или запрета доступа Бывают двух типов: «Разрешить», «Запретить» Используются в GPO для предоставления или запрета доступа
27 Создание дополнительных групп изоляции Возможные причины создания дополнительных групп: Требования к шифрованию Альтернативные требования к сетевому трафику Требования ограниченного доступа для компьютера или пользователя Требования к шифрованию Альтернативные требования к сетевому трафику Требования ограниченного доступа для компьютера или пользователя Изолированный домен Граничная группа Изоляция с шифрованием Спец. требования Ненадежные системы
28 Моделирование трафика Доверенные устройства Изолированный домен Граничная группа Ненадежные устройства Списки исключений IPSec Нешифрованный трафик
29 Настройка членства в группах компьютеров и NAG На последнем этапе определяется членство в созданных группах: Поместите компьютеры в группы, основываясь на требованиях к свойствам соединения Членство в группах компьютеров Поместите пользователей и компьютеры в группы в соответствии с требуемыми разрешениями Членство в NAG
30 Демонстрация 3: Применение групп изоляций Применить изоляцию, используя компьютерные группы безопасности
31 Дополнительные вопросы Дополнительно необходимо учесть: Максимальное количество одновременных IPSec- соединений (для серверов) Максимальный размер маркера доступа для узлов, использующих IPSec Максимальное количество одновременных IPSec- соединений (для серверов) Максимальный размер маркера доступа для узлов, использующих IPSec
32 Предварительный анализ Перед внедрением логической изоляции данных следует проанализировать: Наиболее интенсивно используемые устройства Несовместимые устройства Схему IP-адресации Изолируемые компьютеры Изолируемые службы Использование сетевой балансировки и кластеров Наиболее интенсивно используемые устройства Несовместимые устройства Схему IP-адресации Изолируемые компьютеры Изолируемые службы Использование сетевой балансировки и кластеров
33 Итоги Внедряйте IPSec для аутентификации устройств и шифрования трафика Используйте для логической изоляции IPSec в сочетании с групповыми политиками и группами Используйте граничные зоны в качестве отправной точки при внедрении групп изоляций на базе IPSec Применяйте дополнительные группы для изоляции ресурсов и обеспечения требуемой конфигурации
34 Дополнительная информация Мероприятия Microsoft по безопасности: Подписка на информационный бюллетень по безопасности: Дополнительные утилиты и материалы: Дополнительные курсы:
35 Вопросы и ответы
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.