- •ВВЕДЕНИЕ
- •1. ОСНОВЫ ЗАХВАТА И АНАЛИЗА СЕТЕВОГО ТРАФИКА
- •1.1. Общие сведения о программе
- •1.2. Установка программы и подготовка к захвату
- •1.3. Пользовательский интерфейс программы
- •1.4. Фильтр отображения пакетов
- •1.5. Поиск кадров
- •1.6. Выделение ключевых кадров
- •1.7. Сохранение данных захвата
- •1.8. Печать информации
- •1.9. Просмотр кадра в отдельном окне
- •1.10. Анализ протоколов Ethernet и ARP
- •1.11. Анализ протоколов IP и ICMP
- •1.12. Анализ протокола TCP
- •2. ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК ПУТЕМ АНАЛИЗА ТРАФИКА
- •2.1. Этапы сетевой атаки
- •2.2. Исследование сетевой топологии
- •2.3. Обнаружение доступных сетевых служб
- •2.4. Выявление уязвимых мест атакуемой системы
- •2.5. Реализации атак
- •2.6. Выявление атаки на протокол SMB
- •3. ЗАЩИТА КОМПЬЮТЕРНОЙ СЕТИ С ИСПОЛЬЗОВАНИЕМ МЕЖСЕТЕВЫХ ЭКРАНОВ
- •3.1. Понятие межсетевого экрана
- •3.2. Компоненты межсетевого экрана
- •3.3. Политика межсетевого экранирования
- •3.4. Архитектура МЭ
- •3.5. Пример реализации политики МЭ
- •3.6. Сетевая среда лабораторной работы
- •3.7. Применение МЭ на основе двудомного узла
- •3.8. Применение МЭ на основе фильтрующего маршрутизатора
- •3.9. Применение МЭ на основе экранирующего узла
- •3.10. Применение технологии трансляции сетевых адресов
- •4. СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
- •4.1. Сигнатурный анализ и обнаружение аномалий
- •4.2. Обнаружение в реальном времени и отложенный анализ
- •4.3. Локальные и сетевые системы обнаружения атак
- •4.4. Распределенные системы обнаружения атак
- •4.5. Система обнаружения атак Snort
- •4.5.1. Общие сведения
- •4.5.2. Установка и запуск программы
- •4.5.3. Описание языка правил
- •4.5.4. Использование СОА Snort
- •4.5.5. Выявление факта сканирования портов
- •5. ОРГАНИЗАЦИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ
- •5.1. Задачи, решаемые VPN
- •5.2. Туннелирование в VPN
- •5.3. Уровни защищенных каналов
- •5.4. Защита данных на канальном уровне
- •5.5. Организация VPN средствами протокола PPTP
- •5.5.1. Постановка задачи
- •5.5.2. Установка и настройка VPN
- •5.5.3. Анализ защищенности передаваемой информации
- •5.6. Защита данных на сетевом уровне
- •5.6.1. Протокол SKIP
- •5.6.2. Протокол IPSec
- •5.7. Организация VPN средствами СЗИ VipNet
- •5.7.1. Постановка задачи
- •5.7.2. Настройка сетевых соединений виртуальных машин
- •5.7.3. Установка СЗИ VipNet
- •5.7.4. Настройка СЗИ VipNet
- •5.8. Использование протокола IPSec для защиты сетей
- •5.8.1. Шифрование трафика с использованием протокола IPSec
- •5.8.2. Проверка защиты трафика
- •5.8.3. Настройка политики межсетевого экранирования с использованием протокола IPSec
- •5.9. Организация VPN средствами СЗИ StrongNet
- •5.9.1. Описание системы
- •5.9.2. Постановка задачи
- •5.9.3. Генерация и распространение ключевой информации
- •5.9.4. Настройка СЗИ StrongNet
- •5.9.5. Установка защищенного соединения
- •5.10. Защита на транспортном уровне
- •5.11. Организация VPN средствами протокола SSL в Windows Server 2003
- •5.11.1. Активизация IIS
- •5.11.3. Настройка SSL-соединения
- •5.12. Организация VPN прикладного уровня средствами протокола S/MIME и СКЗИ КриптоПро CSP
- •5.12.1. Организация почтового обмена
- •5.12.2. Активизация IIS
- •5.12.3. Установка СКЗИ КриптоПро CSP
- •5.12.4. Установка Центра сертификации в ОС Windows Server 2003
- •5.12.5. Получение сертификатов открытых ключей
- •5.12.6. Организация защищенного обмена электронной почтой
- •6. ПРИМЕНЕНИЕ ТЕХНОЛОГИИ ТЕРМИНАЛЬНОГО ДОСТУПА
- •6.1. Общие сведения о технологии терминального доступа
- •6.2. Обеспечение безопасности ОС Windows Server 2003
- •6.2.1. Ограничение возможности сетевого доступа
- •6.2.2. Ограничение возможности расширения полномочий при осуществлении локального доступа
- •6.3. Настройки сервера MSTS
- •6.4. Настройки протокола RDP
- •7. СЛУЖБЫ КАТАЛОГОВ
- •7.1. Общие сведения о службах каталогов
- •7.2. Структура каталога LDAP
- •7.2.1. Схема LDAP
- •7.2.2. Система имен LDAP
- •7.2.3. Инструментарий для работы с LDAP-каталогом
- •7.3.1. Общие сведения о протоколе Kerberos
- •7.3.3. Реализация Kerberos в ОС Windows Server 2003
- •7.3.4. Пример реализации системы SSO
- •7.4.1. Технология PAM
- •7.4.2. Технология NSS
- •8. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ
- •8.1. Понятие аудита информационной безопасности
- •8.1.1. Активный аудит
- •8.1.2. Экспертный аудит
- •8.1.3. Аудит на соответствие стандартам ИБ
- •8.2. Методика проведения инструментальных проверок
- •8.3. Постановка задачи для проведения инструментальных проверок
- •8.4. Обнаружение сетевых узлов
- •8.5. Сканирование портов и идентификация ОС
- •8.6. Использование DNS для обнаружения и выяснения назначения сетевых узлов
- •8.7. Создание карт сети
- •8.8. Использование сканера безопасности Nessus
- •8.9. Анализ защищенности web-серверов
- •ПЕРЕЧЕНЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
150
6. ПРИМЕНЕНИЕ ТЕХНОЛОГИИ ТЕРМИНАЛЬНОГО ДОСТУПА
6.1. Общие сведения о технологии терминального доступа
Изначально терминальный режим работы появился и использовался на мэйнфреймах. Пользователи работали с терминалами, обеспечивавшими связь с терминальным сервером и отображение информации, полученной с главного компьютера. Все вычисления осуществлялись главным компьютером. На сегодняшний день суть терминального доступа не претерпела никаких идейных изменений. В современных схемах организации вычислительных процессов вместо специального аппаратного комплекса используются программыклиенты, которые обеспечивают взаимодействие с сервером и отображение полученной от него информации. Всю вычислительную нагрузку также несет сервер.
Технология терминального доступа позволяет перенести вычислительные затраты с рабочих станций на сервер, решая ряд проблем:
−вся обработка данных выполняется на сервере, нет необходимости в сетевой передаче файлов, с сервера на рабочие станции передается лишь измененное содержимое информационных окон текстовых редакторов или СУБД, что упрощает защиту сетевого трафика и позволяет использовать в качестве рабочих станций практически любые компьютеры с любой ОС, в том числе бездисковые станции;
−отсутствует необходимость предоставлять пользователям потенциально опасный сетевой доступ к хранящимся на сервере файлам данных;
−магнитные, а также внешние носители, на которых может оказаться полная или частичная копия защищаемых файлов данных, расположены только на сервере и могут полностью контролироваться администратором.
Предполагается следующая схема использования технологии терминального доступа. На сервере устанавливается служба терминального доступа, развертываются приложения, необходимые для работы пользователей. Сервер терминального доступа не должен выполнять иных сетевых функций кроме обслуживания терминального режима, а именно, исключаются совместно предоставляемые сетевые ресурсы, включая принтеры. Перечень сетевых служб, функционирующих на сервере и доступных из сети, ограничивается только терминальной службой и, при необходимости, службой, обеспечивающей шифрование сетевого трафика.
На рабочих станциях пользователей устанавливается клиент терминала
инастраивается на подключение к терминальному серверу. Запуск клиента терминала может осуществляться либо из основной ОС, установленной на компьютере пользователя, либо из ОС, запускаемой с внешнего носителя (дискеты или CD-ROM) или загружаемой с помощью сетевой карты удаленной загрузки.
151
В первом случае для работы с защищаемыми данными пользователь из основной ОС запускает клиента терминального доступа. При этом на компьютере могут быть установлены средства защиты информации от несанкционированного доступа. Преимуществом данного способа является возможность организации дополнительной защиты (шифрования) сетевого трафика путем использования протокола IPSec (в ОС Windows XP) либо специализированных СЗИ.
Во втором случае пользователь для работы с защищаемыми данными загружает компьютер со специально подготовленного носителя (CD-ROM или дискеты), на который записывается ОС Linux с клиентом терминального сервера. Может быть применена бездисковая станция, загружаемая с сервера при помощи сетевого адаптера, разрешающего удаленную загрузку. Отрицательным свойством этого решения является невозможность применения дополнительных средств шифрования трафика. Причина заключается в том, что не известны сертифицированные средства защиты информации, загружаемые с внешнего носителя или по сети.
Для обработки защищаемых данных пользователь запускает программуклиента терминала, регистрируется на терминальном сервере с использованием рядовой учетной записи. Особенностью настройки терминального сервера является установка ряда запретов для пользователей, наиболее важным из которых является запрет использования совместного буфера обмена. Благодаря данному запрету решается проблема несанкционированного копирования защищаемых данных на носители рабочих станций. Пользователь терминала может выделить и скопировать в буфер обмена терминальной Windows как файл с данными, так и содержимое информационного окна. Однако операцию вставки можно выполнить только в окне терминального сервера. В окне рабочей станции возможность вставки из буфера будет заблокирована.
Таким образом, копирование всей защищаемой информации либо ее части может быть осуществлено лишь на носители, физически подключенные к серверу. Это накладывает некоторые ограничения на возможность экспорта/импорта данных, так как операции экспорта и импорта также осуществляются только через носители, установленные на сервере. Основным преимуществом является то, что все носители, включая внешние, на которых может оказаться полная или частичная копия защищаемых данных, расположены только на сервере под контролем администратора. Это упрощает централизованный антивирусный контроль и блокирует возможность появления вредоносных программ.
Проблема образования технологического «мусора» на рабочих станциях также решается автоматически. Для каждого терминального сеанса на сервере создается временный каталог. Если установлены соответствующие настройки, то по окончании сеанса этот каталог будет удален. Таким образом, технологический «мусор» остается лишь на носителях терминального сервера.