і з'єднань довжиною до 256 біт. Кожен з цих форматів вимагає певних операцій зі створення ключів і зміні конфігураційного файлів FreeS/WAN.
У разі використання RSA-ключів, необхідно виконати наступні операції для файлів ipsec.conf і ipsec.secrets.
На шлюзі 212.45.28.123 в головному офісі:
ipsec rsasigkey --verbose 1024 gt;/root/moscow-key
На шлюзі 212.111.80.21 у філії: rsasigkey --verbose 1 024 gt;/root/fil-key
Потім редагуємо строчку leftrsasigkey=у файлі ipsec.conf дописуючи туди отриманим нами publickey з файлу/root/moscow-key, в рядок rightrsasigkey=вписуємо отриманим нами publickey з файлу/root/fil-key.
Для нормальної роботи IPSec на обох шлюзах повинна бути виключена підсистема rp_filter, використовувана для захисту від підміни IP-адреси. Для цього на кожному з шлюзів виконайте:
echo 0 gt;/proc/sys/net/ipv4/conf/IPSEC0/rp_filter 0 gt;/proС/sys/net/ipv4/conf/eth0/rp_filter
2.4 Організація захисту інформаційної системи підприємства
.4.1 Політики безпеки
Управління груповою політикою в організаціях, що працюють з довідником AD компанії Microsoft, на перший погляд річ абсолютно нескладна. Воно дозволяє адміністраторам контролювати з центральної консолі зміни і різноманітні установки для всіх користувачів і комп'ютерів у просторі AD. Хоча функціональність Group Policy була незмінною складовою частиною ОС Windows, починаючи з версії Windows 2000, вона досі має недоліки, здатні серйозно зіпсувати життя системного адміністратора. Наприклад, у великих доменах, керованих декількома адміністраторами, останнім доводиться дотримуватися особливої ??обережності, адже кошти групової політики AD вельми потужні і в режимі реального часу змінюють установки, що впливають на кожен комп'ютер і на кожного користувача в домені в режимі реального часу.
Основою групової політики є використання обмежень прав доступу для користувачів. Що дозволяє:
· Убезпечити ОС комп'ютера від дій користувача
· Убезпечити ОС комп'ютера від вірусів, так як в основному віруси використовують права користувача для ураження файлів системи.
· Обмежити доступ на ресурси мережі.
· Закріпити користувача за певним комп'ютером.
. 4.2 Исп?? льзованіе Proxy
Проксі-сервер (від англ. proxy - «представник, уповноважений») - служба в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережних служб. Спочатку клієнт підключається до проксі-сервера і запитує який-небудь ресурс (наприклад, e-mail), розташований на іншому сервері. Потім проксі-сервер або підключається до вказаного серверу і отримує ресурс у нього, або повертає ресурс з власного кешу (у випадках, якщо проксі має свій кеш). У деяких випадках запит клієнта або відповідь сервера може бути змінений проксі-сервером в певних цілях. Також проксі-сервер дозволяє захищати клієнтський комп'ютер від деяких мережевих атак.
Проксі-сервери застосовуються для наступних цілей:
· Забезпечення доступу з комп'ютерів локальної мережі в Інтернет.
· Кешування даних: якщо часто відбуваються звернення до одних і тих же зовнішніх ресурсів, то можна тримати їх копію на проксі-сервер і видавати за запитом, знижуючи тим самим навантаження на канал у зовнішню мережу і прискорюючи отримання клієнтом запитаної інформації.
· Стиснення даних: проксі-сервер завантажує інформацію з Інтернету і передає інформацію кінцевому користувачеві в стислому вигляді. Такі проксі-сервери використовуються в основному з метою економії зовнішнього трафіку.
· Захист локальної мережі від зовнішнього доступу: наприклад, можна налаштувати проксі-сервер так, що локальні комп'ютери будуть звертатися до зовнішніх ресурсів тільки через нього, а зовнішні комп'ютери не зможуть звертатися до локальних взагалі (вони «бачать »тільки проксі-сервер).
· Обмеження доступу з локальної мережі до зовнішньої: наприклад, можна заборонити доступ до певних веб-сайтам, обмежити використання інтернету якимось локальним користувачам, встановлювати квоти на трафік або смугу пропускання, фільтрувати рекламу і віруси.
· анонімізація доступу до різних ресурсів. Проксі-сервер може приховувати відомості про джерело запиту або користувача. У такому випадку цільової сервер бачить лише інформацію про проксі-сервер, наприклад, IP-адресу, але не має можливості визначити дійсне джерело запиту. Існують також спотворюють проксі-сервери, які передають цільового сервера неправдиву інформацію про справжній користувача.
У якості проксі використовується Trend Micro InterScan Web Security Suite. Для управління використовується WEB інтерфейс, який має ...
