Презентация на тему Механизмы обеспечения безопасности передачи данных

позволяет:
Уменьшить шанс успеха атаки
Увеличить вероятность обнаружения атаки
Защита ОС, аутентификация,

управление обновлениями

Брандмауэры, управление карантином доступа

Охрана, замки и запирающие устройства

Сегментация сети, IPSec

Защита приложений, антивирусы

ACL, шифрование, EFS

Документы по безопасности, обучение пользователей

Периметр сети

Внутренняя сеть

Компьютер

Приложения

Данные

позволяет:
Уменьшить шанс успеха атаки
Увеличить вероятность обнаружения атаки
Защита ОС, аутентификация,

управление обновлениями

Брандмауэры, управление карантином доступа

Охрана, замки и запирающие устройства

Сегментация сети, IPSec

Защита приложений, антивирусы

ACL, шифрование, EFS

Документы по безопасности, обучение пользователей

Периметр сети

Внутренняя сеть

Компьютер

Приложения

Данные

механизм сегментации сети (деление на подсети).
Механизм разделения общей сети

на отдельные подсети предприятия позволяет скрывать детали отдельных подсетей, обеспечивает возможность контроля трафика на границе подсети.

отдельные сегменты возможно использование аппаратных (коммутаторы) и программно-аппаратных (маршрутизаторы)

решений.
Серверная платформа Windows 2000/2003 позволяет создание эффективного маршрутизатора с возможностями усиления безопасности на границах сетей. Инструментом является служба Удаленный доступ и маршрутизация (RRAS).

удаленный доступ (Routing and Remote Access, RRAS) в Windows

2003 представляет собой программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как учетные записи и групповые политики.
Служба поддерживает маршрутизацию между различными ЛВС, между ЛВС и WAN-каналами, VPN- и NAT- маршрутизацию в IP-сетях.

может быть сконфигурирована для особого вида маршрутизации:
Многоадресные ip-рассылки;
Маршрутизация вызовов

по требованию;
Ретрансляция DHCP;
Фильтрация пакетов
В службу включена поддержка протоколов динамической маршрутизации – RIP (routing information protocol) и OSPF (open shortest path first).

server 2003 служба Маршрутизация и удаленный доступ отключена.
Ее

активация выполняется с помощью Мастера настройки сервера маршрутизации и удаленного доступа.
Если сервер маршрутизации является рядовым членом домена Active Directory, то он должен быть включен в группу Серверы RAS и IAS.
Контроллеры домена в дополнительной настройке не нуждаются.

и удаленный доступ представляет собой стандартную оснастку консоли управления

в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС.

компонент, подключаемый к физическому устройству (модему или сетевой плате).
В

процессе настройки необходимо, чтобы все интерфейсы, через которые необходимо маршрутизировать трафик присутствовали в консоли управления.
Если необходимо сконфигурировать маршрутизацию через подключение по требованию или постоянное подключение по коммутируемой линии, VPN или PPOE-подключение (Point-to-Point Protocol over Ethernet), необходимо выполнить конфигурирование интерфейсов в ручную.

необходимо включить такую возможность в Свойствах сервера маршрутизации.
Для создания

подключения используется Мастер интерфейса по требованию

настройки основных параметров по протоколу IP.
По умолчанию содержится три

подузла:
Общие
Статические маршруты
NAT / простой брандмауэр

переправляют пакеты в соответствии с информацией, хранящейся в таблицах

маршрутизации.
Отдельные записи таблицы маршрутизации называются маршрутами.
Существуют три типа маршрута:
Маршрут узла – определяет ссылку на определенный узел или широковещательный адрес. Маска маршрута – 255.255.255.255;
Маршрут сети – определяет маршрут к определенной сети, а соответствующее поле в таблицах маршрутизации может содержать произвольную маску;
Маршрут по умолчанию – один маршрут, по которому отправляются все пакеты, чей адрес не совпадает ни с одним адресов таблицы маршрутизации.
Просмотр таблицы маршрутизации может быть выполнен с помощью команд
route print
netstat -r

препятствующих проникновению постороннего трафика из внешней сети во внутреннюю

сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю).
Одним из средств защиты является использование брандмауэров.

уровне приложений
Internet
Многоуровневая проверка
(включая фильтрацию на уровне приложений)

внешние атаки на сервера путем проверки HTTP входящего трафика
Проверка

Secure Socket Layer (SSL) трафика
Расшифровка и проверка входящего зашифрованного веб-трафика на предмет соответствия заданным правилам и стандартам
Возможна перешифровка трафика перед пересылкой на веб-сервер