Ответы на экзаменационные вопросы № 1-44 по дисциплине "Безопасность вычислительных сетей" (Устройства, применяемые для построения вычислительных сетей. Списки доступа, применение)

Особенности: наиболее сложная настройка и администрирование; наибольшие сложности в работе для пользователей; стоимость защиты 350$ на раб. Место.

21.Основные направления защиты территориальной сети.

Компоненты защиты инфраструктуры сети: Защита физических устройств; Защита административного интерфейса; Защита связей между маршрутизаторами; Защита коммутаторов Ethernet. Защита физических устройств: Разработка политики защиты объекта, плана контроля; Выполнение требований к выбору помещений; Ограничение доступа к сетевому оборудованию; Организация контроля доступа к сетевому оборудованию; Обеспечение защиты линий связи; Обеспечение надежного электропитания и его резервирование;Разработка плана восстановления  в чрезвычайных ситуациях. 

22.Защита административного доступа.

Включает: 1.Защита доступа к консоли; 2.Использование шифрования паролей;3. Настройка времени ожидания сеансов.4.Использование информационных баннеров.5.Управление доступом Telnet.6.Управление доступом SNMP. Защита доступа к консоли: Правила парольной политики:1. Не использовать пароли, установленные по умолчанию.2. Привилегированный пароль должен отличаться от пароля доступа.3. Пароль должен быть длинным и случайным. Нельзя использовать слова, имена, адреса и т.п. 4. Не записывать пароли.5. Пароль должен регулярно меняться.6. Используйте шифрование паролей. Переход из непривилегированного режима в привилегированный. Пароли можно скрыть двумя способами, используя команды: Команда service password-encryption(Заставляет систему хранить все пароли в зашифрованном виде)router(config)#enable password [level уровень] {пароль ‌ [тип шифрования] шифрованный пароль} level уровень  - определяет уровень привелегий для которого устанавливается пароль;пароль – пароль, требуемый от пользователя для перехода в привилегированный режим;тип шифрования – алгоритм шифрования - 7;шифрованный пароль – вводимый шифрованный пароль издругой области конфигурации маршрутизатора. Ограничение времени работы консоли. Без сопровождения 2 мин 30 сек. 4. Настройка привилегий: 5. Использование информационных баннеров: Баннерные сообщения используются, чтобы информировать о том, кому позволено, а кому не позволено входит в сеть.6. Ограничить доступ созданием списков доступа.

23. Защита связи между маршрутизаторами

Включает в себя: Аутентификация обновлений маршрутизации .Защита файлов конфигурации на сервере TFTP. Управление потоками данных с помощью фильтров:-запрет объявления маршрутов в обновлениях;-запрет обработки обновлений;-контроль потока данных.

Аутентификация протокола маршрутизации                  Защита файлов конфигурации маршрутизаторов

Рекомендации: Обеспечить надежную защиту сервера; Использовать дистанционное защищенное копирование; Вручную разрешать и запрещать использовать ПО серверов.

Управление потоками данных, с помощью фильтров

Фильтрация обновлений маршрутизации с помощью списков доступа.

Список доступа, запрещающий обновления обновлений маршрутизации от сети 10.1.2.0. Список применен к исходящему трафику интерфейса serial0

router(config)#access-list 45 deny 10.1.2.0 0.0.0.25

router(config)#access-list 45 permit any any

  router(config)#router eirgp 200

  router(config-router)#destribute-list 45 out serial0

Запрет обработки маршрутов, указанных обновлениях. Список доступа разрешающий использовать обновлений только от надежной сети 10.2.0.0. Список применяется к входящему тарфику интерфейса serial 0

router(config)#access-list 45 deny 10.1.2.0 0.0.255.255

router(config)#router eirgp 200

router(config-router)#destribute-list 46 out serial0

Использование списков доступа для контроля потока данных. Политика контроля: Разрешается весь исходящий трафик, установленный изнутри, чтобы предотвратить возможность фальсификации адресов; Разрешаются входящие ответы на установленный трафик; Запрещается какой-либо иной входящий трафик и регистрируется все попытки несанкционированного доступа.
router(config)#access-list 47 permit 10.1.2.0 0.0.0.255
router(config)#access-list 103 permit tcp any any established
router(config)#access-list 103 deny ip any any log
router(config)#interface serial 0
router(config-if)#ip access-group 47 out
router(config-if)#ip access-group 103 in

Управление маршрутизатором посредством доступа HTTP: По умолчанию доступ HTTP  не используется; Можно поределить доступ, где указываются адреса, которым разрешается иметь доступ к TCP-порту 80 на маршруте; HTTP допускает использование направленно защиты подобно доступу к консоле или vty.

24. Защита коммутаторов Ethernet

Аналогична защите маршрутизаторов:

1.Управление доступом:-установка паролей;-шифрование паролей;установка времени ожидания сеанса.2. Использование привилегированных уровней.3. Использование баннеров.4. Контроль доступа HTTP.5. Настройка безопасности портов.6. Применение списков доступа.

25. Основы защиты периметра

Периметр сети: Периметр сети - это условная граница корпоративной сети с внешним миром, т.е. с другими сетями, в том числе с Интернет. Она представляет собой совокупность сетевых устройств, посредством