bondgor
Сообщений: 2
Оценки: 0
Присоединился: 2010-05-03 04:27:51.296666
|
Эта статья будет посвящена безопасности локальной сети, особое внимание в которой будет уделено защите технического уровня и рекомендациям по практическому обеспечению безопасности локальной сети. Из-за того, что тема включает в себя очень множество различных фактов, я в особенности расскажу, какие уязвимости наиболее популярны и какие из политик безопасности у нас есть возможность им противопоставить.
Фундамент защищенной локальной сети - безопасная архитектура.
Кроме политики безопасности, в отсутствие которой de jure невозможно функционирование безопасной LAN, обратим внимание на следующие пункты:
· Безопасные протоколы обмена, туннелирование данных (SSH).
· Шифрование критичных данных.
· Использование архитектуры с наличествующей DMZ (демилитаризованной зоны), которая будет обслуживаться двумя файрволами.
· Использование IDS, IPS и NAT.
· Защита периферии.
DMZ
Всем известно, что доступ извне к информации и есть главной целью хакеров, потому для всех организаций, которые не желают утечки некоторой важной информации, вопрос защиты периметра сети заставляет сердце биться чаще. Задача DMZ как раз и заключается в том, чтобы ограничить доступ внешних систем, таких как почтовый сервер, например, к очень важным серверам с секретной информацией.
Демилитаризованная зона - это технология, с помощью которой можно обеспечить защиту информационного периметра, при котором серверы, отвечающие или направляющие в сеть запросы, находятся в демилитаризованной зоне и ограничены в доступе к другим сегментам сети файрволами. Прямых соединений между внутренней и внешней сетями не может быть, они есть только с серверами DMZ. Такая зона создается путем организации полузащищенной сетевой зоны. Это достигается применением межсетевых экранов, а возможно и маршрутизаторов со строжайшими фильтрами.
IDS
Система обнаружения вторжений, она же - IDS - это или программное или аппаратное средство, смысл которого заключен в выявлении либо неавторизованного пути в компьютерную систему или же сеть, либо необусловленного управления последними через сеть Интернет. Эта система используется для поиска нескольких типов вредоносных программ, которые могут нарушить работу и безопасность компьютерной сети. К подобным "вредоносам" причисляются воздействия вирусов, троянов, червей и атаки, чьей сутью является повышение привилегий или неавторизованный доступ к защищенной информации.
IDS состоит из нескольких компонентов: информационных источников, их анализа и ответа на последние. Система информируется о событии из источников информации, выполняет анализ данных и создает некие ответы – от отчетов до вмешательства.
Файрволы - это механизмы создания барьеров, преграждающие вход одному типу сетевого трафика, и разрешая вхож другому типу. IDS служит механизмом, следящим за активностью и помогающим принять верное решение и шаги по предотвращению будущей атаки. IDS - маленькое, но необходимое дополнение инфраструктуры безопасности, которое должно быть в каждой организации.
NAT
NAT - это механизм, реализуемый в сетях TCP/IP, который позволяет преобразовать IP пересылаемых пакетов. Реализуется эта технология средствами межсетевого экрана или с помощью маршрутизаторов. Реализуется эта технология скрытием адресов внутренних систем в частности для сетей Интернет. Но если атака будет вестись изнутри, NAT ничем не сможет помочь.
Необходимый минимум
1. Для построения безопасной локальной сети следует уменьшить до минимума службы или сервисы, используемые через сеть Интернет.
2. Обязательно должна быть реализована система DMZ, очень желательно использование технологии NAT.
3. Нужно всегда обновлять все технологии, используемые в LAN до последней версии, включая антивирусы и т.д.
4. Если у вас стоит файловая система FAT32, её желательно изменить на NTFS.
Вестимо, что полной защиты нет, но использование вышеперечисленных технологий сможет обезопасить вашу LAN.
Взято с сайта http://zona-x.su При копирование ссылка на первоисточник ( http://zona-x.su) обязательна.
|
безопасность локальной сети. Хакинг - 
