Опубликована: 05.04.2011 | Уровень: для всех | Стоимость: 3000.00 руб. в семестр | Длительность: 14 дней
В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
В курсе основное внимание уделено проблемам безопасности, возникающим при подключении корпоративной сети к интернету. При этом основное внимание следует уделять выбору типов межсетевого экрана, систем обнаружения вторжений, топологии демилитаризованной зоны, а также защите основных серверов, доступных из интернета, таких, как web сервер и DNS сервер. Обеспечению безопасного функционирования сервисов DNS следует уделять большое внимание, чтобы нарушитель не мог получить информацию о ресурсах корпоративной сети, которая помогла бы ему проникнуть в локальную сеть. Самым распространенным, с одной стороны, и самым уязвимым, с другой стороны, на сегодняшний день является web сервер. Поэтому обеспечению его безопасности приходится уделять особое внимание.
Цель: Изучение различных аспектов, связанных с обеспечением безопасности корпоративной сети, подключенной к интернету.

План занятий

ЗанятиеЗаголовок <<Дата изучения
-
Лекция 1
1 час 29 минут
-
Тест 1
15 минут
-
Лекция 2
1 час 5 минут
Различные типы окружений firewall’а
Рассматриваются различные типы окружений, в которых может функционировать firewall. Приведены основные принципы построения окружения firewall’а. Дается определение DMZ-сети. Исследуются различные топологии DMZ-сетей с использованием firewall’ов разного типа. Разбирается взаимное расположение конечных точек VPN и firewall’ов. Вводятся понятия "Интранет", "Экстранет". Задаются принципы создания политики firewall’а.
-
Тест 2
15 минут
-
Лекция 3
1 час 55 минут
Пример пакетных фильтров в ОС FreeBSD 6.0
Рассматриваются пакетные фильтры, реализованные в ОС FreeBSD 6.0: PF IPFILTER (IPF) и IPFW. Рассматривается синтаксис правила для каждого из этих пакетных фильтров и возможности поддержки состояния ТСР-соединения в них. Приводится порядок прохождения пакета через правила пакетного фильтра. Изучается применение функции трансляции сетевых адресов (NAT). Приведены примеры набора правил в IPF и IPFW.
Оглавление
-
Тест 3
15 минут
-
Лекция 4
1 час 13 минут
Intrusion Detection Systems (IDS)
Определяется понятие Intrusion Detection Systems (IDS). Рассматриваются причины, по которым следует использовать IDS. Приводятся различные подходы к классификации IDS. Сравниваются возможности network-based, host-based и application-based IDS. Оцениваются преимущества и недостатки IDS, основанных на определении злоупотреблений и на определении аномалий. Перечисляются возможные ответные действия IDS. Также рассматриваются дополнительные инструментальные средства, такие как системы анализа и оценки уязвимостей и проверки целостности файлов.
Оглавление
-
Тест 4
15 минут
-
Лекция 5
1 час 10 минут
Развертывание IDS
Рассматривается еще одна смежная IDS технология – создание Honey Pot и Padded Cell. Приводятся различные способы развертывания IDS разного типа. Исследуются возможные комбинации использования network-based и host-based IDS. Даются способы обработки выходной информации IDS. Перечисляются типы компьютерных атак, обычно определяемых IDS.
Оглавление
-
Тест 5
15 минут
-
Лекция 6
50 минут
Принципы безопасного развертывания сервисов DNS
Рассматриваются основное назначение сервисов DNS и свойства инфраструктуры DNS. Перечисляются компоненты DNS, такие, как зонный файл, name-сервер и resolver’ы. Вводятся различные типы DNS-транзакций: запрос / ответ DNS, зонная пересылка, динамические обновления, DNS NOTIFY. Исследуются возможные угрозы сервисам и компонентам DNS. Обсуждается понятие безопасности для сервисов и компонентов DNS.
-
Тест 6
15 минут
-
Лекция 7
1 час 32 минуты
Транзакции DNS
Рассматриваются транзакции DNS — угрозы и цели безопасности для различных типов транзакций. Описывается создание безопасного окружения для сервисов DNS: безопасность платформы, безопасность ПО DNS, управление содержимым зонного файла. Приводятся подходы к обеспечению защиты на основе спецификации TSIG.
Оглавление
-
Тест 7
15 минут
-
Лекция 8
1 час 56 минут
Безопасность DNS Query/Response
Рассматривается способ, которым DNSSEC обеспечивает защиту транзакций DNS Query/Response с помощью аутентификации источника, проверки целостности данных и аутентифицированного отказа при отсутствии запрошенных данных. Описываются механизмы, используемые DNSSEC, операции, с помощью которых эти механизмы реализуются, и способы обеспечения безопасности этих операций. Задаются принципы безопасного развертывания DNSSEC.
Оглавление
-
Тест 8
15 минут
-
Лекция 9
1 час 33 минуты
Обеспечение безопасности web-серверов
Рассматриваются проблемы безопасности, связанные с web-серверами. Обсуждаются проблемы, связанные с безопасностью ОС, на которой выполняется ПО web-сервера. Изучаются альтернативные платформы для web-сервера. Приводится способ безопасного инсталлирования ПО web-сервера. Исследуется управление доступом на уровне ОС для приложения web-сервера.
Оглавление
-
Тест 9
15 минут
-
Лекция 10
50 минут
Безопасность web-содержимого
Рассматриваются принципы обеспечения безопасности содержимого web-сервера. Перечислены различные технологии создания активного содержимого на стороне клиента и сравнивается создаваемая ими степень риска. Изучаются различные технологии создания динамических страниц на стороне сервера и связанные с ними уязвимости.
-
Тест 10
15 минут
-
Лекция 11
1 час 40 минут
Технологии аутентификации и шифрования
Рассматриваются существующие технологии аутентификации и шифрования в web: BASIC-аутентификация, DIGEST-аутентификация, TLS/SSL-аутентификация. Изучается firewall прикладного уровня для web – ModSecurity: понятие регулярных выражений, основные возможности конфигурирования, способы задания правил (rules), действий (actions). Приводится примерная минимальная конфигурация.
-
Тест 11
15 минут
-
Лекция 12
1 час 6 минут
Реализация безопасной сетевой инфраструктуры для web-сервера
Рассматривается реализация безопасной сетевой инфраструктуры для web-сервера: топология сети, использование firewall’ов, сетевых коммутаторов и концентраторов, IDS. Формулируются принципы администрирования web-сервера: создание логов, процедуры создания backup web-сервера, восстановление при компрометации безопасности, тестирование безопасности и удаленное администрирование web-сервера.
-
Тест 12
15 минут
-
5 часов
-