Типы окружения мсэ-ов
В смысле топология, в которой расположены МСЭ.
Основной термин, определяющий окружение МСЭ, является DMZ-сеть (сеть демилитаризованной зоны).
Эта сеть расположена между двумя FW-ми, в которых расположены сетевые ресурсы и защищена от внутренних и внешних угроз.
1) конфигурация с одной DMZ-сетью
Ресурсы DMZ должны быть доступны изнутри и из вне, при этом в самой DMZ отсутствуют пользователи, т.е. ресурсы защищены от внутренних угроз.
2) Service Leg – тип окружения
В данном случае FW имеет 3 интерфейса:
-
Один соединен с внутренней сетью и имеет внутренний адрес;
-
Второй соединен с внешней и имеет внешний реальный адрес;
-
Третий формирует DMZ/
Т.е. МСЭ выступает в этой конфигурации как маршрутизатор для 3-х сетей, при этом часть правил или политик доступа могут быть реализованы настройками маршрутизатора.
Такая конфигурация является более простой, однако, она имеет следующие уязвимости. Т.к. FW виден из сети Интернет, он может быть объектом DOS-атаки, следовательно, деградация сервиса (рисковое событие). Соответственно для внутренних пользователей доступ к прикладным сервисам может быть затруднен.
3) конфигурация с двумя DMZ-сетями
При наличие в сети большого числа серверов (ресурсов) с различными требованиями доступа можно использовать FW пограничного роутера и два внутренних FW для создания двух DMZ, в одной из которых будут расположены ресурсы, требующие доступ из вне, а в другой – ресурсы, требующие из внутренней сети.
МСЭ 1 будет считаться основным FW-ом организации. Именно он будет защищать ресурсы от внешних атак. МСЭ 2 – от внутренних атак.
4) VPN – Virtual Person Net
Применяется для обеспечения безопасных сетевых соединений с использованием недоверяемых сетей. Создается поверх существующей сетевой среды и протоколов с использованием дополнительных протоколов, реализующих конфиденциальность и целостность трафика. Пограничный роутер в подобных сет является VPN-сервером, который используется в качестве конечной точки при создании туннельных (незащищенных) соединений. В случае конфигурации с 2-мя VPN-сетями VPN-сервером будет являться МСЭ 1.
- Модель тср/ip
- Уровень соединений:
- Сетевой уровень
- Транспортный уровень
- Прикладной уровень
- Протокол ip
- Формат заголовка пакета ip
- Классовая модель ip-адресов
- Специальные iPадреса
- «Серая» адресация
- Бессклассовая модель (cidr)
- Маршрутизация
- Протоколы транспортного уровня
- Протокол udp
- Протокол тср
- Контроль целостности сообщения
- Управление потоком
- Установка соединения
- Методы реализации защиты в модели тср/ip
- Безопасность на сетевом уровне
- Безопасность на транспортном уровне
- Безопасность на прикладном уровне
- Виртуальные частные сети (vpn)
- Заголовок аутентификации ан
- Ан в транспортном или туннельном режимах
- Протокол esp
- Esp в транспортном или туннельном режимах
- Комбинации защищенной связи
- Протокол ssl. Защита потока данных в web.
- Протокол записи ssl
- Пипш – протокол изменения параметров шифрования
- Классификация удаленных атак
- Методы реализации сетевых атак Сканирование портов
- Атаки на сетевом уровне
- Атаки на транспортном уровне
- Атаки на прикладном уровне
- Классификация средств сетевой защиты
- Программно-аппаратные методы защиты от удаленных атак
- Классификация и определение политики мсэ
- Мсэ транспортного уровня – инспекторы состояний (State Full Inspection)
- Мсэ прикладного уровня Proxy Server
- Типы окружения мсэ-ов
- Расположение ресурсов в dmz-сетях
- Служба аутентификации keeberos
- Простейший диалог аутентификации
- Диалог аутентификации
- Области взаимодействия kerberos
- Технические ограничения