На сайті 11893 реферати!

Усе доступно безкоштовно, тому ми не платимо винагороди за додавання.
Авторські права на реферати належать їх авторам.

Криптопротокол S-HTTP

Реферати > Комп'ютерні науки > Криптопротокол S-HTTP

Розглянемо кожний із цих варіантів докладніше.

Якщо користувачам дозволено спілкуватися між собою необмежено, вони можуть безперешкодно надавати доступ до своїх локальних файлів, принтерам або просто грати в мережні ігри. Але такий "ліберальний підхід" може мати досить неприємні наслідки: так, якщо на одному з комп'ютерів з'явиться вірус, він зможе швидко поширитися на інші комп'ютери. Антивірусні програми істотно знижують імовірність подібної ситуації, однак навіть програма (АВП) при своєчасному відновленні антивірусних баз і проведенні модернізації оперативної системи (ОС) (що у великій мережі саме по собі є складним завданням) завжди існує загроза появи вірусу, здатного обійти АВП або "знаючого" про "незалатану дірку" в ОС.

У зв'язку із цими небезпеками виникає питання: чи так необхідно надавати, наприклад, доступ до локальних файлів сусідньому відділу (або доступ до принтера - користувачам з іншого відділу). Напевно, має сенс певною мірою пожертвувати функціональністю, дозволити взаємний доступ користувачам тільки в межах відділу (другий варіант). У результаті подібного компромісу новому, "удосконаленому" виду вірусу, якщо такий і з'явиться в мережі, не вдасться у короткий термін поширитися за межі відділу, а виходить, для його усунення буде потрібно набагато менше часу й засобів.

Третій варіант - найбезпечніший: доступ до машин користувачів закритий. Правда це пов’язано із цілим рядом незручностей, таких як неможливість обмінюватися файлами, давати доступ до принтерів, однак подібні проблеми можна вирішити відносно просто, створюючи папки обміну файлами на файловому сервері, підключаючи принтери через принт-сервери. Звичайно ж в обмеженні не обійтися без виключень, але кількість "привілейованих" користувальницьких ПК необхідно звести до мінімуму.

Поряд із заходами для безпосереднього обмеження доступу, можливо, буде потрібен захист від перехоплення й підміни інформації. Необхідно визначити голосовий трафік і забезпечити його шифрування.

Однак найважливіший вид трафіка в мережі - службовий мережний трафік. Внесення помилок у його роботу може викликати простій у функціонуванні всієї мережі. Якщо ж зловмисник одержить доступ до керування комутатором або маршрутизатором, це дозволить йому модифікувати списки доступу за своїм розсудом; а одержання доступу до центрального сервера аутентифікації й авторизації відкриває перед ним необмежені можливості для протиправної діяльності в мережі.

Визначивши, що треба захищати, розглянемо деякі засоби забезпечення захисту. Почнемо із самого головного - службового мережного трафіка й керування мережею. Оскільки необхідно забезпечити максимальний рівень захисту, насамперед варто повністю обмежити доступ. Сучасні комутатори дозволяють блокувати службовий трафік на своїх портах. Реалізуючи цю можливість, потрібно всі порти комутатора налаштувати за замовчуванням на блокування такого трафіка, дозволяючи його роботу тільки на потрібних портах. Якщо протоколи підтримують аутентифікацію - це треба обов'язково використати. Бажано, щоб у випадку появи службового трафіка (наприклад, пакетів BPDU) з боку користувальницького порту комутатор не тільки фільтрував такі пакети, але й сповіщав про це системному адміністратору. Для автоматичного сповіщення й журналювання можна застосовувати syslog або snmptrap. Завдяки цим програмам, підтримка яких забезпечується практично всіма виробниками устаткування, інформацію про події можна направляти з різних пристроїв у журнал.

Важливим службовим трафіком є поширення мережних адрес - маршрутна інформація. При настроюванні маршрутизації IP-адрес доцільно використати всі можливості протоколу по аутентифікації й фільтрації префіксів. Однак основними адресами, застосовуваними в локальних мережах, є, як правило, фізичні адреси Ethernet-пристроїв - Мас-адреса. Інформація про MAC-адреси поширюється автоматично, для цього не потрібно використовувати окремі протоколи маршрутизації, а виходить, будь-який користувач мережі може переповнити мережу псевдоадресами, просто відправляючи безліч невеликих пакетів зі свого комп'ютера, використовуючи як адресу призначення широкомовної адреси, й у якості вихідної щоразу вказувати нову Мас-адресу. У результаті продуктивність мережі може впасти на кілька порядків.

Щоб уникнути цього, можна відключити на комутаторах доступу автоматичне запам'ятовування Мас-адреси і виписати всі адреси вручну, однак цей спосіб вимагає більших трудових затрат і складно реалізується в більшості мережах. Більш прийнятне рішення полягає в обмеженні кількості Мас-адрес, які можуть бути автоматично зчитані з одного порту. Для стандартного користувальницького порту, як правило, досить автоматично одержати тільки одну Мас-адресу, оскільки до одного користувальницького порту звичайно підключається один комп'ютер. Деякі комутатори підтримують могутніший засіб - обмеження автоматичного вивчення Мас-адрес з наступним занесенням їх у статистичну базу. Дана функціональна можливість дозволяє запобігати й/або контролювати несанкціоноване підключення пристроїв (наприклад, домашнього ноутбука замість робітника ПК) до мережі.

Більшість пристроїв мають два способи керування: через зовнішній порт (Сом-порт, консольний] або через внутрішню загальну мережну інфраструктуру - тобто за допомогою IP [telnet, ssh, snmp, http],- але деякі можуть мати тільки один з них. Ми не будемо розглядати некеровані пристрої, оскільки їхнє застосування (можливе в домашніх умовах) неприйнятно в корпоративному секторі з погляду як безпеки, так і надійності. З позицій безпеки переважно зовнішнє керування - саме тому, що воно відділено від загальної мережі. У деяких ситуаціях (таких як заміна ПО, помилка або збій мережної інфраструктури) є можливе лише зовнішнє керування.

Якщо все мережне устаткування перебуває в одному приміщенні в безпосередній близькості від мережного адміністратора, досить мати набір кабелів і включати їх у міру необхідності в комп'ютер адміністратора мережі. Якщо ж центри комутації розташовані на різних поверхах й/або в різних будинках, у центрах комутації необхідно встановити консольні сервери, включивши в них всі консолі встановлених у даному центрі пристроїв. У якості консольного можна використати як спеціалізований сервер, так і сервер на базі звичайного ПК із мультипортовими платами.

При наявності віддалених центрів комутації обов'язково треба настроїти аутентифікацію на консольних портах, змінивши встановлену за замовчуванням. Якщо в мережі використовується центральний сервер аутентифікації, аутентифікацію на консольних портах треба, по можливості, проводити з локальної бази паролів, оскільки при виникненні проблем у мережі не вдасться зайти на пристрій через консоль. Доступ із центра адміністрування до консольного сервера бажано організувати по фізично окремій мережі, тобто консольні сервери повинні бути включені окремим проводом в окремий комутатор, що обслуговує винятково систему керування мережею. Це дозволить уникнути втрат керування у випадку порушення роботи мережі (саме тоді, коли воно особливо необхідно). Якщо побудова окремої інфраструктури керування неможлива, консольні сервери включають через окрему віртуальну локальну мережу (VLAN) керування.

При всіх перевагах і великому значенні зовнішнього керування внутрішнє керування надає комплексного керування мережею за допомогою snmp, зручного й простого візуального керування через web-інтерфейс. Для побудови безпечного внутрішнього керування необхідно максимально обмежити доступ до нього ззовні; воно повинно функціонувати у виділених VLAN й в окремому від загальної мережі IP просторі. Якщо в керуючому сегменті потрібно використовувати маршрутизатори разом із загальною мережею, то на них варто настроїти фільтрацію трафіка для блокування влучення пакетів із загальної мережі в керуючу (і навпаки), а також настроїти окремий від загального протокол маршрутизації. Якщо керовані пристрої підтримують кілька способів керування, потрібно вибрати найбільш досконалі з них, а інші заблокувати (наприклад, використовувати ssh і заборонити використання telnet; використовувати shttp і заборонити http). Сервери й робочі станції, які обслуговують керуючий сегмент, повинні працювати винятково всередині нього, тобто керуючий сегмент повинен бути повністю ізольований. Для обміну даними з виходом за межі керуючої мережі можна виділити окремий порт, включаючи його тільки при необхідності (якщо дозволяють засоби, даний порт рекомендується включати через FireWall). Але в кожному разі обмін даними повинен бути обмежений. Не варто використовувати робочу станцію з мережі керування для читання пошти або перегляду Інтернету.

Перейти на сторінку номер: 1  2  3  4  5  6 Версія для друкуВерсія для друку   Завантажити рефератЗавантажити реферат