Презентация на тему "Обеспечение безопасности в корпоративной сети"

Скачать презентацию (0.13 Мб)
37 загрузок
2.0 оценка

Презентация: Обеспечение безопасности в корпоративной сети

Включить эффекты

1 из 22

ВКонтакте Одноклассники Мой Мир Телеграм

Ваша оценка презентации

Оцените презентацию по шкале от 1 до 5 баллов

2.0

1 оценка

Аннотация к презентации

Посмотреть и скачать презентацию по теме "Обеспечение безопасности в корпоративной сети" по информатике, включающую в себя 22 слайда. Скачать файл презентации 0.13 Мб. Средняя оценка: 2.0 балла из 5. Для студентов. Большой выбор учебных powerpoint презентаций по информатике

Формат

pptx (powerpoint)
Количество слайдов

22
Слова

информатика корпоративные сети информационная безопасность
Конспект

Отсутствует

Содержание

Слайд 1

Владивостокский государственный университет экономики и сервисаИнститут информатики инноваций и бизнес систем Предмет: «Технологии Интернет» Руководитель: Сачко Максим Анатольевич, старший преподаватель
Слайд 2

Тема8 Обеспечение безопасности в корпоративной сети
Слайд 3
Содержание:

1) Задача обеспечения безопасности в корпоративной сети 2) Демон оболочек сервисов (TCP wrapper) 3) Списки доступа на маршрутизаторе 4) Расширенные списки доступа 5) Общие правила составления списков доступа на маршрутизаторе
Слайд 4

4 Защита сети и данных - важная часть работы системного и сетевого администратора. Простые методы защиты строятся на создании фильтров, анализирующих поступающие или исходящие данные с целью принятия решения о пропуске или блокировании трафика. Фильтры могут защищать целую сеть или отдельные сетевые сервисы какого-либо узла. Задачи обеспечения безопасности
Слайд 5

5 Простым средством защиты Unix-хоста от несанкционированного доступа является установка оболочек сервисов (TCP wrappers). Принцип действия оболочек следующий: при поступлении запроса на соединение с каким-либо сетевым сервисом на хосте запускается не демон, обслуживающий этот сервис, а программа-оболочка, которая проверяет, разрешен ли сеанс с удаленным хостом, запросившим соединение, и в случае положительного результата запускает собственно требуемый демон. Демон оболочек сервисов (TCP wrapper)
Слайд 6

6 Для запуска оболочек для тех или иных сервисов следует модифицировать файл inetd.conf так, чтобы при обращении на порты указанных сервисов вместо стандартного демона запускался демон оболочки, а в качестве параметра ему передавался путь к стандартному демону. finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd /usr/sbin/tcpd контролирует доступ к сервису finger
Слайд 7

7 Списки доступа, которыми пользуется демон оболочки, содержатся в файлах /etc/hosts.allow, /etc/hosts.deny. При возникновении попытки соединения адрес хоста ищется сначала в файле hosts.allow, если он найден, то соединение разрешается, иначе производится поиск в hosts.deny. В случае успешного поиска соединение запрещается, иначе разрешается. Списки доступав TCP wrappers
Слайд 8

8 Формат файлов hosts.allow и hosts.deny одинаков, строка в файле имеет вид: сервисы:хосты[:действие] действие - действие, выполняемое, в случае совпадения адреса хоста и требуемого сервиса с данной строкой (например, послать сообщение администратору); поле действие может отсутствовать. В поле хосты допускаются регулярное выражение *, операторы ALL и EXCEPT.
Слайд 9

9 hosts.allow: telnetd:194.84.124.0/255.255.255.0, 193.124.169.58 ftpd:ALL EXCEPT 1.0.0.0/255.0.0.0 hosts.deny: ALL:ALL Пример
Слайд 10

10 Списки досутпа позволяют фильтровать входящий и исходящий трафик в сети в зависимости от адресов источника и приемника, номеров портов, протоколов и т.п. Списки доступа на маршрутизаторе
Слайд 11

11 Для защиты целой сети от несанкционированных соединений можно подключить списки доступа на входном маршрутизаторе (шлюзе). Параметры любой входящей или исходящей дейтаграммы (адрес источника, места назначения, номера портов и т.п.) проверяется по списку и в зависимости от результата дейтаграмма либо пропускается маршрутизатором, либо уничтожается.
Слайд 12

12 Списки доступа строятся командой access-list в режиме глобальной конфигурации (режим доступен через команды enable, затем configure terminal), каждый список определяется номером - числом в диапазоне 0-99. Синтаксис команды для ввода строки в список: access-list номер_списка {deny | permit} адрес_источника [маска] Списков доступа маршрутизаторов Cisco
Слайд 13

13 Для аннулирования списка доступа следует ввести команду no access-list номер_списка Для применения списка доступа к дейтаграммам, проходящим через определенный интерфейс, нужно в режиме конфигурации этого интерфейса ввести команду ip access_group номер_списка {in | out}
Слайд 14

14 Расширенные (extended) списки доступа, имеющие большее количество параметров и предлагающие более богатые возможности для контроля трафика. Расширенные списки доступа создаются также с помощью команды access-list в режиме глобальной конфигурации, но номера этих списков лежат в диапазоне 100-199. Расширенные списки доступа
Слайд 15

15 Расширенный спискок для контроля TCP-соединений: access-list номер_списка {deny | permit} tcp адрес_источника маска [оператор порт [порт]] адрес_назначения маска [оператор порт [порт]] [established] Маски для адреса источника и хоста назначения определяются так же, как и в стандартных списках. Оператор должен иметь одно из следующих значений: lt (строго меньше), gt (строго больше), eq (равно), neq (не равно), range (диапазон включительно).
Слайд 16

16 Запретить установление соединений с помощью протокола telnet со всеми хостами сети 172.16.252.0 netmask 255.255.252.0 со стороны всех хостов Интернет, причем в обратном направлении все соединения должны устанавливаться access-list 100 permit tcp any 172.16.252.0 0.0.3.255 eq 23 established access-list 100 deny tcp any 172.16.252.0 0.0.3.255 eq 23 access-list 100 permit tcp any any Пример
Слайд 17

17 access-list номер_списка {deny | permit} icmp адрес_источника маска адрес_назначениямаска [icmp-тип [icmp-код]] где icmp-тип и, если требуется уточнение, icmp-код определяют ICMP-сообщение. Обычно в целях безопасности не пропускаются ICMP-сообщения типа Redirect (Изменить маршрут), т.е. сообщения типа 5. Контроль за ICMP сообщениями
Слайд 18

18 Запретить source-routing - использование опции протокола IP, позволяющей фиксировать маршрут дейтаграммы (опасность подстановки ложных адресов отправителя). Создать окна для пропуска необходимого TCP-трафика, например, разрешить доступ из Интернет к WWW, email, FTP серверам предприятия, разрешить любой доступ в Интернет из сети предприятия. Доступ извне по порту 53/TCP (передача зоны вторичному серверу DNS) разрешить только вторичным серверам DNS. Правила составления списков доступа на маршрутизаторе
Слайд 19

19 Весь остальной TCP-трафик запретить. Запретить пропуск любых пакетов, приходящих извне с адресом отправителя, принадлежащим внутренней сети (такие пакеты либо ошибочны, либо отправлены злоумышленником). Запретить все соединения по UDP кроме порта 53 (DNS) (UDP - протокол без установления соединения, поэтому его сложнее контролировать). Запретить передачу ICMP-сообщений типа Redirect. Правила составления списков доступа на маршрутизаторе
Слайд 20
Вопросы для самопроверки:

Опишите, что происходит при подключении клиента к серверу удаленного доступа на базе Unix (протокол PPP). Какие программы запускаются, в какой последовательности, что они делают? Опишите принцип работы демона оболочек сервисов TCP wrapper? Сформулируйте основные угрозы безопасности корпоративной IP-сети. Дайте сравнительные характеристики различных типов брандмауэров. Чем отличаются стандартные и расширенные списки доступа на маршрутизаторах CICSO?
Слайд 21
Рекомендуемая литература:

Мамаев М., Петренко С. Технологии защиты информации в Интернете. Специальный справочник. – СПб: "Питер", 2005. К. Хант. Персональные компьютеры в сетях TCP/IP: Руководство администратора сети/ Пер. с англ. – СПб.: ЗАО "ЭлектроникаБизнесИнформатика", Киев: "BHV", 2003. UNIX для системных администраторов: Энциклопедия пользователя/ Пер.с англ. – Киев: ДиаСофт, 2008. Chapman and Zwicky. Building Internet Firewalls. – O’Reily and Associates, Inc.Huitema C. Routing in the Internet. – Prentice-Hall PTR, 2003.
Слайд 22

Использование материалов презентации Использование данной презентации, может осуществляться только при условии соблюдения требований законов РФ об авторском праве и интеллектуальной собственности, а также с учетом требований настоящего Заявления. Презентация является собственностью авторов. Разрешается распечатывать копию любой части презентации для личного некоммерческого использования, однако не допускается распечатывать какую-либо часть презентации с любой иной целью или по каким-либо причинам вносить изменения в любую часть презентации. Использование любой части презентации в другом произведении, как в печатной, электронной, так и иной форме, а также использование любой части презентации в другой презентации посредством ссылки или иным образом допускается только после получения письменного согласия авторов.