. Authentication, Authorization, Accounting) - використовується для опису процесу надання доступу та контролю за ним.
Cisco IOS (від англ. Internetwork Operating System - міжмережевий Операційна Система) - програмне забезпечення, що використовується в маршрутизаторах Cisco, і деяких мережевих комутаторах. Cisco IOS - багатозадачна операційна система, що виконує функції мережевої організації, маршрутизації, комутації та передачі даних. (Скорочення від IP Security) - набір протоколів для забезпечення захисту даних, переданих по межсетевому протоколу IP, дозволяє здійснювати підтвердження автентичності та/або шифрування IP-пакетів . IPsec також включає в себе протоколи для захищеного обміну ключами в мережі Інтернет. В основному, застосовується для організації vpn-з'єднань. br/>В
Малюнок 6 - Модуль управління функції запобігання атак
Корпоративний модуль Інтернет
Корпоративний модуль Інтернет на малюнку 7 і 8 надає внутрішньокорпоративним користувачам доступ до Інтернет-послуг та інформації, розташованої на серверах загального доступу. Трафік з цього модуля передається у віртуальні приватні мережі (VPN) і на модуль віддаленого доступу, де відбувається терминирование VPN. Цей модуль не призначений для підтримки додатків електронної комерції. Більш детальна інформація про електронну комерцію міститься в розділі "Модуль електронної комерції". p align="justify"> Основні пристрої:
Сервер SMTP - служить мостом між Інтернет та серверами Інтернет-пошти перевіряє вміст.
Сервер DNS - служить зовнішнім сервером DNS для підприємства, передає у Інтернет запити внутрішніх користувачів.
Сервер FTP/HTTP - надає відкриту інформацію про організацію.
Брандмауер - захищає ресурси на рівні мережі і виробляє фільтрацію трафіку.
Пристрій NIDS - підтримує моніторинг ключових мережевих сегментів модуля на Рівнях 4-7.
Сервер фільтрації URL - відфільтровує несанкціоновані запити URL, які виходять від підприємства.
запобігати загрози
Несанкціонований доступ - загроза ліквідується за допомогою фільтрації на рівні провайдера (ISP), периферійного маршрутизатора та корпоративного брандмауера.
Атаки на рівні додатків - ліквідуються за допомогою IDS на рівні хоста та мережі.
Віруси і "троянські коні" - ліквідуються за допомогою фільтрації змісту електронної пошти та системи HIDS.
Атаки на паролі - обмеження можливостей зміни паролів, контрольованих засобами операційної системи і IDS.
Відмова в обслуговуванні (DoS) - боротьба з цією загрозою проводиться за допомогою CAR на периферії ISP
і за допомогою контролю встановлень сесій TCP на міжмережевим екрані.
IP-спуфинг - фільтрація RFC 2827 і 1918 на периферії ISP і корпоративному периферійному маршрутизаторі.
Сніффінг пакетів - коммутируемая інфраструктура і система HIDS знижують ефективність сніффінга.
Мережева розвідка - IDS виявляє спроби ведення розвідки, а фільтрація на рівні протоколів знижує її ефективність.
Зловживання довірою - ця загроза знижується за допомогою суворої моделі довіри і за рахунок використання приватних мереж VLAN.
Переадресація портів - ця загроза знижується за допомогою суворої фільтрації і системи HIDS.
HIDS - англ. Host-based intrusion detection system - хостової система виявлення вторгнень - це система виявлення вторгнень, яка веде спостереження і аналіз подій, що відбуваються усередині системи. p align="justify"> Рівні моделі OSI
.1 Прикладний рівень
.2 Представницький рівень
.3 Сеансовий рівень
.4 Транспортний рівень
.5 Мережевий рівень
.6 Канальний рівень
.7 Фізичний рівень-постачальник інтернет-послуги - Інтернет-прова ? йдер
В
Малюнок 7 - Корпоративний модуль Інтернет
В
Рисунок 8 - Боротьба з погрозами за допомогою корпоративного модуля Інтернет
Умовні позначення
В
ДМЗ-зона і міжмережеві екрани в реалізації власної архітектури
При розробці власної архітектури безпеки корпоративної мережі були врахована так само і демілітаризована зона (ДМЗ) для загальнодоступних сервісів.
З метою забезпечення безпеки і контролю загальнодоступні сервіси зазвичай ...
