Особенности: наиболее сложная настройка и администрирование; наибольшие сложности в работе для пользователей; стоимость защиты 350$ на раб. Место.
21.Основные направления защиты территориальной сети.
Компоненты защиты инфраструктуры сети: Защита физических устройств; Защита административного интерфейса; Защита связей между маршрутизаторами; Защита коммутаторов Ethernet. Защита физических устройств: Разработка политики защиты объекта, плана контроля; Выполнение требований к выбору помещений; Ограничение доступа к сетевому оборудованию; Организация контроля доступа к сетевому оборудованию; Обеспечение защиты линий связи; Обеспечение надежного электропитания и его резервирование;Разработка плана восстановления в чрезвычайных ситуациях.
22.Защита административного доступа.
Включает: 1.Защита доступа к консоли; 2.Использование шифрования паролей;3. Настройка времени ожидания сеансов.4.Использование информационных баннеров.5.Управление доступом Telnet.6.Управление доступом SNMP. Защита доступа к консоли: Правила парольной политики:1. Не использовать пароли, установленные по умолчанию.2. Привилегированный пароль должен отличаться от пароля доступа.3. Пароль должен быть длинным и случайным. Нельзя использовать слова, имена, адреса и т.п. 4. Не записывать пароли.5. Пароль должен регулярно меняться.6. Используйте шифрование паролей. Переход из непривилегированного режима в привилегированный. Пароли можно скрыть двумя способами, используя команды: Команда service password-encryption(Заставляет систему хранить все пароли в зашифрованном виде)router(config)#enable password [level уровень] {пароль [тип шифрования] шифрованный пароль} level уровень - определяет уровень привелегий для которого устанавливается пароль;пароль – пароль, требуемый от пользователя для перехода в привилегированный режим;тип шифрования – алгоритм шифрования - 7;шифрованный пароль – вводимый шифрованный пароль издругой области конфигурации маршрутизатора. Ограничение времени работы консоли. Без сопровождения 2 мин 30 сек. 4. Настройка привилегий: 5. Использование информационных баннеров: Баннерные сообщения используются, чтобы информировать о том, кому позволено, а кому не позволено входит в сеть.6. Ограничить доступ созданием списков доступа.
23. Защита связи между маршрутизаторами
Включает в себя: Аутентификация обновлений маршрутизации .Защита файлов конфигурации на сервере TFTP. Управление потоками данных с помощью фильтров:-запрет объявления маршрутов в обновлениях;-запрет обработки обновлений;-контроль потока данных.
Аутентификация протокола маршрутизации Защита файлов конфигурации маршрутизаторов
Рекомендации: Обеспечить надежную защиту сервера; Использовать дистанционное защищенное копирование; Вручную разрешать и запрещать использовать ПО серверов.
Управление потоками данных, с помощью фильтров
Фильтрация обновлений маршрутизации с помощью списков доступа.
Список доступа, запрещающий обновления обновлений маршрутизации от сети 10.1.2.0. Список применен к исходящему трафику интерфейса serial0
router(config)#access-list 45 deny 10.1.2.0 0.0.0.25
router(config)#access-list 45 permit any any
router(config)#router eirgp 200
router(config-router)#destribute-list 45 out serial0
Запрет обработки маршрутов, указанных обновлениях. Список доступа разрешающий использовать обновлений только от надежной сети 10.2.0.0. Список применяется к входящему тарфику интерфейса serial 0
router(config)#access-list 45 deny 10.1.2.0 0.0.255.255
router(config)#router eirgp 200
router(config-router)#destribute-list 46 out serial0
Использование
списков доступа для контроля потока данных. Политика контроля: Разрешается весь
исходящий трафик, установленный изнутри, чтобы предотвратить возможность
фальсификации адресов; Разрешаются входящие ответы на установленный трафик;
Запрещается какой-либо иной входящий трафик и регистрируется все попытки
несанкционированного доступа.
router(config)#access-list 47 permit 10.1.2.0 0.0.0.255
router(config)#access-list 103 permit tcp any any established
router(config)#access-list 103 deny ip any any log
router(config)#interface serial 0
router(config-if)#ip access-group 47 out
router(config-if)#ip access-group 103 in
Управление маршрутизатором посредством доступа HTTP: По умолчанию доступ HTTP не используется; Можно поределить доступ, где указываются адреса, которым разрешается иметь доступ к TCP-порту 80 на маршруте; HTTP допускает использование направленно защиты подобно доступу к консоле или vty.
24. Защита коммутаторов Ethernet
Аналогична защите маршрутизаторов:
1.Управление доступом:-установка паролей;-шифрование паролей;установка времени ожидания сеанса.2. Использование привилегированных уровней.3. Использование баннеров.4. Контроль доступа HTTP.5. Настройка безопасности портов.6. Применение списков доступа.
25. Основы защиты периметра
Периметр сети: Периметр сети - это условная граница корпоративной сети с внешним миром, т.е. с другими сетями, в том числе с Интернет. Она представляет собой совокупность сетевых устройств, посредством
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.