9b zabezpieczenia sieci.pdf
(
172 KB
)
Pobierz
17758326 UNPDF
METODY
I TECHNIKI
ZABEZPIECZANIA
SIECI
-
1-
Podstawowe grupy narz
ę
dzi i
technik
Log systemowy (syslog)
–narz dzie pozwalajce na zapis
wybranych zdarze z pracy systemu do rejestru. Zdarzenia
mog
zwizek z atakami, eksploatacj
systemu oraz
działaniami awaryjnymi.
Uwierzytelnianie w systemie
– dobry system
uwierzytelniania pozwoli na podniesienie poziomu
bezpieczestwa w elementach podsystemu bezpieczestwa.
Uzyskuje si to przez zapewnienie odpowiedniego poziomu
bezpieczestwa przy przesyłaniu, przechowywaniu oraz przy
tworzeniu haseł.
Odpowiednia architektura systemów zabezpiecze
–
logiczne umiejscowienie elementów systemu ochrony.
Hosty bastionowe
– systemy komputerowe pracujce w sieci
ochrony.
NAT
– translacja adresów IP.
Filtry pakietów
– systemy odpowiedzialne za filtrowanie
przepływajcych pakietów, czyli okrelenie na podstawie
charakterystyki pakietu czy jest on legalny (bezpieczny).
Systemy Proxy
(pełnomocnik, porednik) – ogól systemów
działajcych na zasadzie poredniczenia i przekazywania
usług.
Szyfrowane tunelowanie
– nazywane równie wirtualnymi
sieciami prywatnymi (VPN – virtual private networks),
szyfrowane kanały łczce sieci prywatne przez Internet.
Systemy IDS
(Intrusion Detection Systems – systemy
wykrywania intruzów) – ogół systemów, których zadaniem
-
2-
mie
jest wykrycie nielegalnej działalnoci na podstawie szeroko
rozumianej analizy pracy chronionego systemu.
Inne
–do szeroka klasa systemów, narzdzi, metod, które
wr kach dowiadczonego operatora podnios
poziom
bezpieczestwa systemu.
Podstawowe strategie tworzenia
zabezpiecze
ń
Minimalne przywileje
– strategia ta okrela, ekady obiekt
(uytkownik, aplikacja, system) powinien posiada tylko te
przywilej, które s mu niezbdne do wykonywania
realizowanych przez niego zada.
bna obrona
– polega to na braku zaufania do jednego
mechanizmu zabezpieczajcego niezalenie od poziomu jego
skutecznoci. Dokonuje si instalacji wielu systemów
zabezpiecze tak, aby awaria jednego mechanizmu nie
wyłczyła wszystkich. Moetosi objawia przez budow
nadmiarowych zabezpiecze lub dublowania tych samych
zasad na wielu poziomach np. filtru pakietów.
W
skie przej
cie
- zmusza napastników do uywania
kanału, który mona kontrolowa i monitorowa. W sieci
wskim przejciem jest np. Proxy, który jest jedyn
drog
przejcia z Internetu do orodka.
Najsłabszy punkt
– strategia ta wynika z podstawowej
zasady wszelkiego bezpieczestwa: kady łacuch jest tak
silny jak najsłabsze jego ogniwo.
Bezpiecze
stwo w razie awarii
– kolejna zasada wskazuje,
eby system był jak najbardziej bezpieczny w razie
uszkodzenia. Oznacza to przyjcie zasady, e zajcie awarii
-
3-
Dogł
w systemie bezpieczestwa uniemoliwi dostp o
chronionych zasobów nie za otworzy ten dostp.
Powszechna współpraca
– mówi nam o koniecznoci
współpracy (lub nie przeszkadzania) ze strony członków
organizacji, aby system zabezpiecze działał efektywnie.
Zró
nicowana obrona
–jestcile powizana z głbokoci
obrony. Według tej strategii potrzebne jest nie tylko wiele
warstw obrony, ale równie, aby obrona była rónego
rodzaju.
Prostota
–wynikatoztego,e prostsze rzeczy mona
łatwiej zrozumie,aje li co
jest nie zrozumiałe to nie
wiadomo czy jest bezpieczne.
Zabezpieczenie przez utajnienie
–polegatonatym,e
wykorzystujemy kolejn płaszczyzn bezpieczestwa przez
blokad informacji na temat szczegółów zabezpiecze ich
typów, topologii, istniejcych hostów. Jeli uruchamiamy
nowy host, czy uruchomimy usług ftp na porcie innym ni
standardowy, nie jest konieczne
eby wszyscy o tym
wiedzieli poza uprawnionymi.
Architektury systemów
zabezpiecze
ń
Architektury jednoelementowe:
Architektura z routerem ekranujcym – jest to prosta i
tania architektura zbudowana na podstawie routera, który
jednoczenie pełni rol systemu ochrony poprzez
instalacje w nim filtra pakietów. Przyjcie takiej
architektury moliwe jest w sieciach o bardzo dobrze
chronionych serwerach i stacjach roboczych, kiedy
-
4-
potrzeba
jest
maksymalnej
wydajnoci
lub
nadmiarowoci.
Internet
Router ekranuj
cy
Laptop
Stacja robocza
Serwer
Drukarka
Stacja robocza
Architektura dwusieciowego serwera dostpowego.
Podobnie jak poprzednia architektura jest prosta i tania.
Rol routera pełni tutaj serwer posiadajcy dwa interfejsy
sieciowe, który moe równie pełni role ochronn
poprzez instalacje systemów zabezpiecze. Architektura
ta jest lepsza pod wzgldem bezpieczestwa, z uwagi na
moliwoci implementacji zabezpiecze w rw e
dostpowym i przy dbałej konfiguracji moe zapewni
stosunkowo dobry system ochrony.
-
5-
Plik z chomika:
krychu9999
Inne pliki z tego folderu:
u2 IPX.doc
(330 KB)
u1 TokenRing FDDI.doc
(142 KB)
n_zdalny dostęp niepoprawione.doc
(477 KB)
Implementacja UTP.doc
(203 KB)
c_10c IPv6.doc
(80 KB)
Inne foldery tego chomika:
Administracja Publiczna
Architektura komputerow
CISCO
Grafika komputerowa
Inzynieria oprogramowania
Zgłoś jeśli
naruszono regulamin