Опубликован: 21.09.2006 | Уровень: для всех | Доступ: свободно | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Межсетевое экранирование В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
В курсе основное внимание уделено проблемам безопасности, возникающим при подключении корпоративной сети к интернету. При этом основное внимание следует уделять выбору типов межсетевого экрана, систем обнаружения вторжений, топологии демилитаризованной зоны, а также защите основных серверов, доступных из интернета, таких, как web сервер и DNS сервер. Обеспечению безопасного функционирования сервисов DNS следует уделять большое внимание, чтобы нарушитель не мог получить информацию о ресурсах корпоративной сети, которая помогла бы ему проникнуть в локальную сеть. Самым распространенным, с одной стороны, и самым уязвимым, с другой стороны, на сегодняшний день является web сервер. Поэтому обеспечению его безопасности приходится уделять особое внимание.
Цель: Изучение различных аспектов, связанных с обеспечением безопасности корпоративной сети, подключенной к интернету.

План занятий

ЗанятиеЗаголовок <<Дата изучения
-
Лекция 1
1 час 29 минут
Классификация firewall’ов и определение политики firewall’а
Исследуются существующие технологии firewall’ов: пакетные фильтры, stateful inspection firewall’ы, прокси прикладного уровня. Рассматривается также сервис NAT. Приводятся примеры использования firewall’ов различного типа: выделенные прокси-серверы, host-based firewall’ы, персональные firewall’ы.
Оглавление
    -
    Тест 1
    15 минут
    -
    Лекция 2
    1 час 5 минут
    Различные типы окружений firewall’а
    Рассматриваются различные типы окружений, в которых может функционировать firewall. Приведены основные принципы построения окружения firewall’а. Дается определение DMZ-сети. Исследуются различные топологии DMZ-сетей с использованием firewall’ов разного типа. Разбирается взаимное расположение конечных точек VPN и firewall’ов. Вводятся понятия "Интранет", "Экстранет". Задаются принципы создания политики firewall’а.
    Оглавление
      -
      Тест 2
      15 минут
      -
      Лекция 3
      1 час 55 минут
      Пример пакетных фильтров в ОС FreeBSD 6.0
      Рассматриваются пакетные фильтры, реализованные в ОС FreeBSD 6.0: PF IPFILTER (IPF) и IPFW. Рассматривается синтаксис правила для каждого из этих пакетных фильтров и возможности поддержки состояния ТСР-соединения в них. Приводится порядок прохождения пакета через правила пакетного фильтра. Изучается применение функции трансляции сетевых адресов (NAT). Приведены примеры набора правил в IPF и IPFW.
      Оглавление
        -
        Тест 3
        15 минут
        -
        Лекция 4
        1 час 13 минут
        Intrusion Detection Systems (IDS)
        Определяется понятие Intrusion Detection Systems (IDS). Рассматриваются причины, по которым следует использовать IDS. Приводятся различные подходы к классификации IDS. Сравниваются возможности network-based, host-based и application-based IDS. Оцениваются преимущества и недостатки IDS, основанных на определении злоупотреблений и на определении аномалий. Перечисляются возможные ответные действия IDS. Также рассматриваются дополнительные инструментальные средства, такие как системы анализа и оценки уязвимостей и проверки целостности файлов.
        Оглавление
          -
          Тест 4
          15 минут
          -
          Лекция 5
          1 час 10 минут
          Развертывание IDS
          Рассматривается еще одна смежная IDS технология – создание Honey Pot и Padded Cell. Приводятся различные способы развертывания IDS разного типа. Исследуются возможные комбинации использования network-based и host-based IDS. Даются способы обработки выходной информации IDS. Перечисляются типы компьютерных атак, обычно определяемых IDS.
          Оглавление
            -
            Тест 5
            15 минут
            -
            Лекция 6
            50 минут
            Принципы безопасного развертывания сервисов DNS
            Рассматриваются основное назначение сервисов DNS и свойства инфраструктуры DNS. Перечисляются компоненты DNS, такие, как зонный файл, name-сервер и resolver’ы. Вводятся различные типы DNS-транзакций: запрос / ответ DNS, зонная пересылка, динамические обновления, DNS NOTIFY. Исследуются возможные угрозы сервисам и компонентам DNS. Обсуждается понятие безопасности для сервисов и компонентов DNS.
            Оглавление
              -
              Тест 6
              15 минут
              -
              Лекция 7
              1 час 32 минуты
              Транзакции DNS
              Рассматриваются транзакции DNS — угрозы и цели безопасности для различных типов транзакций. Описывается создание безопасного окружения для сервисов DNS: безопасность платформы, безопасность ПО DNS, управление содержимым зонного файла. Приводятся подходы к обеспечению защиты на основе спецификации TSIG.
              Оглавление
                -
                Тест 7
                15 минут
                -
                Лекция 8
                1 час 56 минут
                Безопасность DNS Query/Response
                Рассматривается способ, которым DNSSEC обеспечивает защиту транзакций DNS Query/Response с помощью аутентификации источника, проверки целостности данных и аутентифицированного отказа при отсутствии запрошенных данных. Описываются механизмы, используемые DNSSEC, операции, с помощью которых эти механизмы реализуются, и способы обеспечения безопасности этих операций. Задаются принципы безопасного развертывания DNSSEC.
                Оглавление
                  -
                  Тест 8
                  15 минут
                  -
                  Лекция 9
                  1 час 33 минуты
                  Обеспечение безопасности web-серверов
                  Рассматриваются проблемы безопасности, связанные с web-серверами. Обсуждаются проблемы, связанные с безопасностью ОС, на которой выполняется ПО web-сервера. Изучаются альтернативные платформы для web-сервера. Приводится способ безопасного инсталлирования ПО web-сервера. Исследуется управление доступом на уровне ОС для приложения web-сервера.
                  Оглавление
                    -
                    Тест 9
                    15 минут
                    -
                    Лекция 10
                    50 минут
                    Безопасность web-содержимого
                    Рассматриваются принципы обеспечения безопасности содержимого web-сервера. Перечислены различные технологии создания активного содержимого на стороне клиента и сравнивается создаваемая ими степень риска. Изучаются различные технологии создания динамических страниц на стороне сервера и связанные с ними уязвимости.
                    Оглавление
                      -
                      Тест 10
                      15 минут
                      -
                      Лекция 11
                      1 час 40 минут
                      Технологии аутентификации и шифрования
                      Рассматриваются существующие технологии аутентификации и шифрования в web: BASIC-аутентификация, DIGEST-аутентификация, TLS/SSL-аутентификация. Изучается firewall прикладного уровня для web – ModSecurity: понятие регулярных выражений, основные возможности конфигурирования, способы задания правил (rules), действий (actions). Приводится примерная минимальная конфигурация.
                      Оглавление
                        -
                        Тест 11
                        15 минут
                        -
                        Лекция 12
                        1 час 6 минут
                        Реализация безопасной сетевой инфраструктуры для web-сервера
                        Рассматривается реализация безопасной сетевой инфраструктуры для web-сервера: топология сети, использование firewall’ов, сетевых коммутаторов и концентраторов, IDS. Формулируются принципы администрирования web-сервера: создание логов, процедуры создания backup web-сервера, восстановление при компрометации безопасности, тестирование безопасности и удаленное администрирование web-сервера.
                        Оглавление
                          -
                          Тест 12
                          15 минут
                          -
                          5 часов
                          -
                          Нияз Сабиров
                          Нияз Сабиров

                          Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

                          Елена Сапегова
                          Елена Сапегова

                          для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

                          Владислав Ветошкин
                          Владислав Ветошкин
                          Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
                          Саламат Исахан
                          Саламат Исахан
                          Россия, Turkistan