практическая работа. Тема 19 IP безопасность. Тема 19. Ip безопасность 19. 1 Топологии небольших сетей
Скачать 294.13 Kb.
|
Тема 19. IP безопасность 19.1 Топологии небольших сетей Большинство компаний относятся к предприятиям малого бизнеса. Соответственно, основная часть сетей — это небольшие сети. На рисунке изображена стандартная сеть предприятия малого бизнеса. Проектирование небольших сетей, как правило, не вызывает трудностей. Количество устройств в таких сетях и их типов существенно меньше по сравнению с большими сетями. Топологии таких сетей включают обычно один маршрутизатор, а также один или несколько коммутаторов. В небольших сетях также могут иметься беспроводные точки доступа (могут быть встроены в маршрутизатор) и IP-телефоны. Для соединения с Интернетом в небольшой сети обычно предусматривается одно WAN-подключение, реализованное посредством DSL-соединения, кабеля или Ethernet-соединения. Для управления небольшими сетями требуются преимущественно те же навыки, что и для управления большими сетями. Основную часть работы составляют обслуживание, диагностика и устранение неисправностей существующего оборудования, а также обеспечение безопасности устройств и данных в сети. Управление небольшой сетью осуществляется сотрудником компании или лицом, привлеченным компанией на контрактной основе, в зависимости от масштаба предприятия и его типа. Выбор устройств для небольшой сети В целях соответствия требованиям пользователей даже для небольших сетей требуется планирование и проектирование. На этапе планирования рассматриваются и учитываются все требования, стоимость и возможности внедрения. В рамках реализации небольшой сети при проектировании необходимо в первую очередь учитывать тип промежуточных устройств, которые будут использоваться для поддержки сети. При выборе таких устройств нужно учесть ряд факторов, как показано на рисунке. Стоимость Стоимость коммутатора зависит от его производительности и функций. Под производительностью устройства подразумевается количество портов и их типы, а также производительность внутренней шины. Другие факторы, влияющие на стоимость оборудования - возможности сетевого управления, встроенные технологии безопасности и дополнительные продвинутые технологии коммутации. Следует также учитывать и стоимость прокладки кабелей, необходимых для подключения всех устройств к сети. Другим немаловажным фактором, влияющим на стоимость сети, является уровень резервирования, которым должна обладать сеть. Скорость и типы портов (интерфейсов) Выбор количества и типа портов маршрутизатора или коммутатора имеет критическое значение. В более новых моделях компьютеров предусмотрены встроенные сетевые платы 1 Гбит/с. Некоторые рабочие станции и серверы уже оснащены портами 10 Гбит/с. Хотя при выборе устройств 2-го уровня, которые могут работать на более высоких скоростях, объем затрат возрастает, но это позволяет расширять сеть без замены центральных устройств. Расширяемость Сетевые устройства выпускаются в фиксированной и модульной конфигурации. В фиксированной конфигурации строго определены количество и тип портов или интерфейсов. У модульных устройств есть слоты расширения, позволяющие добавлять новые модули. Существуют коммутаторы, оснащенные дополнительными портами для создания высокоскоростных восходящих каналов. С помощью маршрутизаторов можно объединять сети различных типов. Следует внимательно подходить к выбору модулей и интерфейсов, подходящих для определенной среды. Функции и сервисы операционной системы В зависимости от версии операционной системы сетевое устройство может поддерживать различные функции и сервисы, например: Безопасность Качество обслуживания (QoS) Голос через IP (VoIP) Коммутация уровня 3 Преобразование сетевых адресов (NAT) Протокол динамической конфигурации узла сети (DHCP) 19.2 IP-адресация в рамках небольшой сети В рамках развертывания небольшой сети необходимо планировать адресное пространство IP. Все узлы в пределах сети организации должны иметь уникальный адрес. Схему IP-адресации необходимо планировать, документировать и поддерживать в актуальном состоянии с учетом типа устройств, получающих адрес. Примеры различных типов устройств, которые учитываются при проектировании схемы IP-адресации: Устройства для конечных пользователей. Серверы и периферийные устройства. Узлы, доступные из Интернета. Промежуточные устройства. Планирование и документирование схемы IP-адресации позволяет администраторам отслеживать устройства по типам. Например, если всем серверам назначается адрес узла в пределах диапазона 50–100, трафик сервера можно будет с легкостью отследить по IP-адресу. Это особенно удобно, если устранять неполадки, связанные с сетевым трафиком, с помощью анализатора протоколов. Кроме того, при использовании детерминированной схемы IP-адресации администраторы смогут более качественно контролировать доступ к ресурсам сети по IP-адресам. Это имеет особенно большое значение для узлов, предоставляющих ресурсы как внутренним сетям, так и внешней сети. Такую роль выполняют веб- серверы или серверы электронной коммерции. Если адреса этих ресурсов не спланированы и не задокументированы, контроль безопасности и доступности устройств существенно усложняется. Если серверу назначен произвольный адрес, этот адрес трудно заблокировать и клиенты могут столкнуться с определенными трудностями при поиске этого ресурса. Для таких различных типов устройств необходимо выделить логический блок адресов в пределах диапазона адресов сети. Чтобы посмотреть способ назначения, нажмите соответствующую кнопку на рисунке. Резервирование в небольшой сети Другим важным фактором при проектировании сети является обеспечение ее надежности. Даже работа малых предприятий очень часто в большой степени зависит от сети. Сбой в работе сети может повлечь значительные затраты. Чтобы обеспечить высокую степень надежности, при проектировании сети необходимо резервирование. Резервирование позволяет устранить единые точки отказа. Резервирование в сети осуществляется множеством различных способов. Это может быть резервное оборудование или же резервные сетевые каналы на критически важных участках, как показано на рисунке. В небольших сетях обычно имеется единая точка выхода в Интернет, реализуемая через один или несколько шлюзов по умолчанию. Однако в случае сбоя в работе маршрутизатора без подключения к Интернету остается вся сеть. В связи с этим малым предприятиям можно порекомендовать приобрести в качестве резервного соединения пакет услуг у другого провайдера. Управление трафиком При проектировании сети администратор должен учитывать различные типы трафика и их обработку. Маршрутизаторы и коммутаторы в небольшой сети необходимо настроить так, чтобы поддержка трафика данных, передаваемых в режиме реального времени (например, голоса или видео), осуществлялась отдельно от поддержки трафика других данных. Фактически при качественном проектировании сети трафик четко классифицируется в соответствии с приоритетностью, как показано на рисунке. В конечном счете целью нового проекта сети (даже небольшой) являются повышение эффективности работы сотрудников и сведение к минимуму времени простоя сети. 19.3 Распространенные приложения Сеть полезна настолько, насколько полезны используемые в ней приложения. Существует два вида программ или процессов, обеспечивающих доступ к сети: сетевые приложения и службы уровня приложений. Сетевые приложения Приложения — это компьютерные программы, используемые для обмена данными по сети. Некоторые приложения конечных пользователей зависят от сети, то есть они используют протоколы уровня приложений и могут обмениваться данными непосредственно с нижними уровнями стека протоколов. В качестве примера приложения такого типа можно привести почтовые клиенты и веб- браузеры. Службы уровня приложений Другие программы могут прибегать к помощи служб уровня приложений при использовании сетевых ресурсов (например, передача файлов и временное хранение данных сетевой печати). Хотя эти службы прозрачны для сотрудников, они представляют собой программы, которые взаимодействуют с сетью и подготавливают данные для передачи. Для разных типов данных (текстовых, графических или видео) требуются разные сетевые службы, обеспечивающие их надлежащую подготовку к обработке с помощью функций на нижестоящих уровнях модели взаимодействия открытых систем (OSI). Все приложения и сетевые службы используют протоколы, которые определяют применимые стандарты и форматы данных. Без использования протоколов в сети передачи данных не было бы общего для всех способа форматирования и передачи данных. Чтобы понять функции различных сетевых служб, необходимо ознакомиться с протоколами, которые управляют работой этих служб. Откройте диспетчер задач, чтобы ознакомиться со списком приложений, процессов и служб, выполняющихся в данный момент на компьютере под управлением ОС Windows, как показано на рисунке. 19.4 Распространенные протоколы Большая часть работы технического специалиста в рамках небольшой или большой сети так или иначе связана с сетевыми протоколами. Сетевые протоколы поддерживают приложения и службы, используемые сотрудниками в небольших сетях. На рисунке показаны наиболее распространенные сетевые протоколы. Щелкните каждый сервер, чтобы ознакомиться с кратким описанием. Эти сетевые протоколы содержат основной набор инструментов сетевого специалиста. Каждый сетевой протокол определяет: Процессы на каждой из сторон сеанса обмена данными. Типы сообщений. Синтаксис сообщений. Значение информационных полей. Способы отправки сообщений и предполагаемый ответ. Взаимодействие с последующим более низким уровнем. Политика безопасности многих компаний требует по возможности использовать безопасные версии этих протоколов. К таким протоколам относятся HTTPS, SFTP и SSH. 19.5 Приложения для передачи голоса и видео Современный деловой мир невозможно представить без IP-телефонии и потокового мультимедиа, которые все активнее используются компаниями для общения с клиентами и деловыми партнерами (см. рис. 1). Администратор сети должен обеспечить установку надлежащего оборудования в сети и настроить сетевые устройства в целях поддержки приоритетной передачи данных. На рис. 2 показаны элементы небольшой сети, которые поддерживают приложения для передачи мультимедиа в режиме реального времени. Инфраструктура Чтобы поддерживать существующие и будущие приложения, работающие в режиме реального времени, инфраструктура должна соответствовать любым типам трафика. Разработчик сети должен установить, смогут ли существующие коммутаторы и кабельная система обслуживать добавляемый в сеть трафик. VoIP Устройства VoIP преобразуют аналоговые сигналы в цифровые IP-пакеты. В качестве такого устройства может выступать аналоговый телефонный адаптер (ATA), через который обычный аналоговый телефон подключен к коммутатору Ethernet. После того как сигналы преобразованы в IP-пакеты, маршрутизатор рассылает их по соответствующим расположениям. Протокол VoIP отличается большей экономичностью, чем интегрированные решения IP-телефонии, однако качество обмена данными не соответствует стандартам таких решений. Решения для передачи голосовых и видеоданных по протоколу IP для малых предприятий могут быть реализованы, например, посредством версий Skype и Cisco WebEx, не предназначенных для крупных корпораций. IP-телефония В рамках IP-телефонии преобразование голосовых данных в IP-пакеты выполняется непосредственно IP-телефоном. При наличии интегрированного решения IP-телефонии установка в сети маршрутизаторов с поддержкой голосовых данных не требуется. IP-телефоны используют специализированный сервер для управления вызовами и отправки сигналов. Многие поставщики предлагают специализированные решения IP-телефонии для небольших сетей. Приложения для передачи данных в режиме реального времени Для эффективной передачи потокового мультимедиа сеть должна поддерживать приложения с доставкой, чувствительной к времени задержки. Существует два протокола, удовлетворяющих этому требованию, — транспортный протокол реального времени (Real-Time Transport Protocol , RTP) и управляющий транспортный протокол реального времени (Real-Time Transport Protocol, RTCP). Протоколы RTP и RTCP позволяют управлять и масштабировать сетевые ресурсы за счет встраивания механизмов обеспечения качества обслуживания (Quality of Service, QoS). Механизмы службы QoS предоставляют эффективные средства для сведения к минимуму запаздывания в приложениях потоковой передачи в реальном времени. 19.6 Расширение небольшой сети Расширение — естественный процесс для многих малых предприятий, поэтому используемые в них сети должны расти и развиваться соответственно. Желательно, чтобы у администратора сети было достаточно времени для принятия взвешенных решений относительно расширения сети по мере развития компании. Для масштабирования сети требуется ряд элементов. Сетевая документация — физическая и логическая топологии Реестр устройств — список устройств, использующих или образующих сеть Бюджет — детализированный бюджет на ИТ, включая бюджет на закупку оборудования на финансовый год Анализ трафика — протоколы, приложения и службы, а также их требования к трафику; должны быть задокументированы Эти элементы используются для принятия взвешенных решений в рамках масштабирования небольшой сети. 19.7 Анализ протоколов При определении метода управления сетевым трафиком, особенно в условиях расширения сети, важно знать тип трафика, который передается через сеть, а также текущие потоки трафика. Если типы трафика неизвестны, определить трафик и его источник поможет анализатор протоколов. Для того, чтобы определить характерные потоки трафика, важно: Захватить трафик в период пиковой загрузки, чтобы получить хорошее представление о различных типах трафика. Выполнить захват в различных сегментах сети; некоторые типы трафика будут ограничены определенными сегментами. Информация, собранная анализатором протоколов, оценивается на основе данных об источнике и получателе трафика, а также с учетом типа отправляемого трафика. Результаты анализа можно использовать при принятии решений об эффективном управлении трафиком. Этого можно добиться путем уменьшения ненужных потоков трафика или изменения режима потоков, например, за счет перемещения сервера. В отдельных случаях достаточно просто переместить сервер или службу в другой сегмент сети, чтобы повысить производительность сети и обеспечить соответствие требованиям в условиях роста сети. В других случаях для оптимизации производительности сети может потребоваться серьезное вмешательство и перепроектирование сети. 19.8 Использование сети сотрудниками Помимо понимания изменений в тенденциях трафика администратор сети также должен знать, как именно изменяется использование сети. Как показано на рисунке, у администратора небольшой сети есть возможность получать «снимки» ИТ-системы в динамике в плане использования тех или иных приложений лично каждым из сотрудников. Такие снимки, как правило, содержат следующие сведения: ОС и ее версия Приложения, не являющиеся сетевыми Сетевые приложения Использование ЦП Использование дискового пространства Использование ОЗУ Документирование снимков по сотрудникам в небольшой сети в динамике существенно повышает информированность администраторов сети о растущих требованиях к протоколам и связанных с ними потоках трафика. В связи с подобным изменением в использовании ресурсов администратору сети может потребоваться соответствующим образом изменить политику выделения сетевых ресурсов. 19.9 Типы угроз Проводные и беспроводные компьютерные сети играют важнейшую роль в повседневной жизни. Физические лица и организации в равной степени зависят от своих компьютеров и сетей. Несанкционированное вторжение в сеть может привести к чрезвычайно затратным перебоям и потере ценных результатов работы. Атака на сеть может иметь разрушительные последствия с потерей времени и средств в результате повреждения или хищения важной информации и ресурсов. Злоумышленники могут получить доступ к сети, используя уязвимости программного обеспечения, атаки на аппаратное обеспечение, подбор имени пользователя и пароля. Злоумышленников, которые получают доступ, внося изменения в ПО или используя его уязвимости, называют хакерами. Хакер, получивший доступ к сети, сразу становится источником четырех видов угроз, как показано на рисунке. Щелкните каждое изображение для получения более подробной информации. 19.20 Физическая безопасность Не меньшее значение имеет физическая безопасность устройств. Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне. Существует четыре класса физических угроз: Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабелей и рабочих станций. Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая). Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания. Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка. Борьбу с такими угрозами следует вести, применяя корпоративную политику, как показано на рисунке. Типы уязвимостей Уязвимость — степень незащищенности, свойственная каждой сети и устройству. К таким устройствам относятся маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности. Как правило, атакам подвержены такие оконечные сетевые устройства, как серверы и настольные компьютеры. Существует три основных типа уязвимостей: Технологические (см. рис. 1). Конфигурационные (см. рис. 2). Политики безопасности (см. рис. 3). Все три типа уязвимостей могут быть причиной атак, включая атаки с использованием вредоносного кода и сетевые атаки. 19.21 Типы вредоносного ПО Вредоносное программное обеспечение (или более кратко — вредоносный код). Такой код или ПО разрабатывается с целью повредить, разрушить, украсть данные либо причинить вред или совершить незаконные действия в отношении данных, узлов или сетей. К такому типу программного обеспечения можно отнести вирусы, черви и программы-трояны. Нажмите кнопку «Воспроизведение», чтобы посмотреть анимацию об этих трех угрозах. Вирусы Компьютерный вирус — это такой тип вредоносного ПО, который распространяется путем внедрения своей копии в другую программу, заражая ее и становясь ее частью. Вирусы распространяются с одного компьютера на другой, инфицируя все объекты на своем пути. Вирусы могут быть разного уровня серьезности — от безобидных назойливых программ до вирусов, разрушающих данные или ПО и создающих условия для отказа в обслуживании (DoS-атаки). Почти все вирусы прикрепляются к исполняемому файлу. Это означает, что вирус может существовать в системе и никак не проявлять себя до тех пор, пока пользователь не запустит вредоносную программу или не откроет зараженный файл. Вредоносный код выполняется вместе с основным кодом зараженной программы. Обычно заражение вирусом никак не отражается на работе инфицированной программы. Однако существуют вирусы, которые полностью переписывают программы и копируют себя в них, тем самым уничтожая зараженную программу. Распространяются вирусы во время передачи программы или документа, к которым они прикреплены, с одного компьютера на другой как по сети, так и посредством носителей информации, а также через общие файловые ресурсы и почтовые вложения. Черви Компьютерные черви похожи на вирусы тем, что они копируют свои функциональные части и могут нанести не меньший ущерб. В отличие от вирусов, для распространения которых обязательно должен иметься зараженный файл, черви представляют собой отдельные программы, распространяющиеся без участия программы-носителя или человека. Чтобы инфицировать узел, червю не обязательно прикрепляться к программе — они проникают в систему через уязвимости в ней. Для незаметного перемещения по сети черви используют компоненты системы. Трояны К другому типу вредоносного ПО относятся программы-трояны, названные так в честь деревянного коня, с помощью которого греческие воины проникли в Трою, спрятавшись внутри. Они маскируются под законные программы. Обычно пользователя обманом заставляют загрузить и запустить такую программу на своем компьютере. После активации программа-троян может осуществить любое количество атак на узел, начиная от раздражающих пользователя всплывающих окон или изменения обоев рабочего стола и заканчивая вредоносными действиями (удаление файлов, кража данных или активация и распространение другого вредоносного ПО, такого как вирусы). Программы-трояны также известны тем, что создают лазейки, позволяющие злоумышленникам получить доступ к системе. В отличие от вирусов и червей такие вредоносные программы не распространяются путем заражения других файлов, а также не реплицируют сами себя. Обязательным условием для их распространения является открытие пользователем почтового вложения или загрузка и запуск файла из Интернета. 19.22 Разведывательные атаки Помимо атак с использованием вредоносного кода сети также могут стать целью различных сетевых атак. Сетевые атаки можно разделить на три основные категории: Разведывательные атаки — несанкционированное обнаружение и сопоставление систем, служб или уязвимостей. Атаки доступа — несанкционированные неправомерные действия с данными, доступ к системе или использование прав пользователя. Отказ в обслуживании — отключение или повреждение сетей, систем или служб. Злоумышленники извне могут использовать инструменты Интернета, например программные средства nslookup и whois, которые позволяют с легкостью определить пространство IP-адресов, назначенное определенной корпорации или юридическому лицу. После определения пространства IP-адресов злоумышленник может отправить команду ping для проверки связи с общедоступными IP-адресами, чтобы выявить активные адреса. Для автоматизации этого этапа злоумышленник может использовать инструмент эхо-тестирования адресов (например, fping или gping), которые систематически отправляют команду ping для проверки связи со всеми сетевыми адресами в пределах заданного диапазона или подсети. Этот процесс можно сравнить с просмотром раздела телефонной книги и звонком на каждый из номеров, чтобы проверить, кто ответит. Для просмотра анимации по атакам, щелкните каждый тип инструмента разведывательной атаки. Атаки доступа Атаки доступа используют известные уязвимости в сервисах аутентификации, FTP- и веб-сервисах, чтобы получить доступ к учетным записям в Интернете, конфиденциальным базам данных и другой конфиденциальной информации. Атака доступа позволяет злоумышленнику получить несанкционированный доступ к данным, для просмотра которого у него нет прав. Атаки доступа можно разделить на четыре типа: Подбор пароля (рис. 1). Злоупотребление доверием (рис. 2). Переадресация портов (рис. 3). Человек посередине (также «атака посредника», "man-in-the-middle") (рис. 4). Атаки типа «отказ в обслуживании» Атаки типа «отказ в обслуживании» (DoS-атаки) широко распространены, и их последствия устранить труднее всего. Даже в сообществе злоумышленников DoS-атаки считаются слишком банальными, и их использование не приветствуется, поскольку для их реализации требуется слишком мало усилий. Однако ввиду простоты реализации DoS-атак и потенциально существенного вреда от них администраторы безопасности должны уделять таким атакам особое внимание. DoS-атаки могут принимать различные формы. В конечном счете такие атаки, потребляя системные ресурсы, мешают авторизованным пользователям использовать службу. Чтобы просмотреть примеры DoS-атак, воспользуйтесь кнопками на рисунке. Для предотвращения DoS-атак важно следить за тем, чтобы на компьютере были установлены актуальные обновления для системы безопасности как для ОС, так и для приложений. Существующие обновления для операционных систем позволяют больше не бояться атак «смертельный эхо-запрос» |