Многоуровневая защита.ppt

защиты

информационно-технологический и программно-технический комплекс, обеспечивающий автоматизацию процедур сбора, хранения и

обработки информации и оперативного представления различным группам пользователей доступа к информационным ресурсам.
В состав центра обработки данных входят серверное и коммуникационное оборудование, оборудование удаленного доступа, системы гарантийного бесперебойного электропитания, кондиционирования и вентиляции, системы ограничения физического доступа и защиты информации.
Основными целями создания центра обработки данных являются:
обеспечение надежности функционирования информационных систем
обеспечение сохранности и целостности информационных ресурсов
обеспечение сохранности и надежности функционирования серверного оборудования

по сетевому протоколу IP;
Сервер удаленного доступа, обеспечивающий доступ по технологии

цифровых абонентских линий DSL;
Межсетевые экраны (брандмауэры) (например, Cisco PIX), работающие по протоколу IP и обеспечивающие внешний модемный доступ, доступ во внутреннюю сеть и экранирование наименее защищённой и наиболее доступной демилитаризованной зоны (DMZ), куда входят Linux-сервера, web-сервер с размещаемым на нём сайтом организации, proxy-сервер, сервер DNS и почтовый сервер.
Виртуальная частная сеть (VPN), предназначенная для передачи шифрованных сообщений в сети удалённых подразделений и других функций защиты информации (поддерживается брандмауэром PIX) .
Выход во внутреннюю сеть, сегментированную на виртуальные локальные сети (VLAN), обеспечивают коммутаторы 3 уровня, с которыми соединяются внутренние коммутаторы 2 уровня.
В центре обработки данных реализуется система обнаружения вторжений IDS

уровня
Внутренняя сеть
Linux –сервера;
Web-сервер;
Proxy-сервер;
Служба DNS;
Электронная почта
Коммутатор 2 уровня

Коммутатор
2 уровня

внутренним системам
Службы контроля (DNS, ICMP, NTP)
Архитектура соединения (доступ через один

канал, многоканальный доступ к провайдеру, доступ с одной или несколькими точками присутствия)
Адресация
Проектирование демилитаризованной зоны (DMZ)
Трансляция сетевых адресов

имен и их преобразования в IP-адреса.
Протокол Internet Control Message

Protocol (ICMP). ICMP предоставляет такие службы, как ping (используется для выяснения того, в рабочем ли состоянии находится система), генерирует сообщения «Сеть и узел недоступны» и «Время жизни пакета истекло».
Служба NTP (Network Time Ptotocol) используется для синхронизации времени между различными системами

(DMZ): основные учитываемые факторы
Какие службы нужно предоставлять пользователям через Интернет.
Какие

службы управления необходимы для поддержки архитектуры.
Какую архитектуру соединения использовать для работы с несколькими провайдерами (если это необходимо).
Какую следует применить архитектуру межсетевых экранов. Сколько интерфейсов потребуется на межсетевом экране
Соответствующий набор правил для каждого межсетевого экрана, используемого в сети.
Необходимое число IP-адресов и план адресации для внутренних систем

обеспечения защиты от прослушивания.
Осуществляется аутентификация удаленного сайта.
Виртуальные частные сети обеспечивают

поддержку множества протоколов.
Соединение обеспечивает связь только между двумя конкретными абонентами.

необходимо обеспечивать защиту информации.
Число одновременных соединений пользователей.
Ожидаемые типы соединений пользователей

(сотрудники, работающие из дома или находящиеся в поездке).
Число соединений с удаленным сервером.
Типы сетей VPN, которым понадобится соединение.
Ожидаемый объем входящего и исходящего трафика на удаленных узлах.
Политика безопасности, определяющая настройки безопасности

и сетевые (NIDS).
Система HIDS располагается на отдельном узле и

отслеживает признаки атак на данный узел.
Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.

файлов.

выделенной системе. NIDS переключает сетевую карту в системе в неразборчивый

режим работы, при котором сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспечение NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется соответствующее событие.

скрыть в сети таким образом, что злоумышленник не будет знать

о том, что за ним ведется наблюдение.
Одна система NIDS может использоваться для мониторинга трафика с большим числом потенциальных систем-целей.
NIDS может осуществлять перехват содержимого всех пакетов, направляющихся на систему-цель.
Недостатки :
Система NIDS может только выдавать сигнал тревоги, если трафик соответствует предустановленным правилам или признакам.
NIDS может упустить нужный интересуемый трафик из-за использования широкой полосы пропускания или альтернативных маршрутов.
Система NIDS не может определить, была ли атака успешной.
Система NIDS не может просматривать зашифрованный трафик.

пороги.
Применить политику.

к следованию политикам соединений.
Сбор доказательств.

события.


Большая часть времени будет уделяться исследованию подозрительных событий.