owned this note
owned this note
Published
Linked with GitHub
# CND_3
# Разбор лабораторных работ
Вопросы возникли в 4 лаб. работе: Работа с групповыми политиками.
Дело в том, что винда она может работать как в составе домена, так и без домена.
Без домена у вас только локальные политики. Проще всего на ней поставить роль контроллера домена и появятся групповые политики. Групповые политики - способ глобально тиражировать политики на другие компьютеры. То Есть если дело касается 1 компьютера, вы работаете с локальными политиками. Когда вы задаете политики в рамках всего домена это уже групповые. Почему групповые, потому что они могут применяться как бы к группам.
Есть возможность создавать organisation unit и в каждом из них свои групповые политики делать.
Запускаем службу dcpromo
обязательно нужно выбрать пункт: "Create new domain in a new forest"
Далее вводим имя домена(Например: skynet.local)
Функциональный сервер ставим самый последний(Windows server 2008 R2)
выбираем dns server(по умолчанию)
в появившемся окне выбираем выдачу IP через DHCP(первый пункт)
Далее нажимаем yes
Оставляем все по умолчанию, нажимаем next
Далее вводим пароль и повторяем его
Жмем next и начинается установка. После завершения установки делаем перезапуск системы.
Домен - группа компьютеров имеющие общие политики безопасности, общие настройки доступа, общую учетную запись. Проведем аналогию - вы наверняка читали или смотрели крестного отца. Так как, по сути есть дон корлеоне и есть вокруг него члены семьи, которые беспрекословно выполняют указания дона. Тут также, есть группа компьютеров, которые беспрекословно доверяют контроллеру домена. В нем находиться база данных доступов, централизованное хранилище учетных записей и используется для централизованной аутентификации протокола *Kerberos*.
Протокол **kerberos** - протокол сетевой аутентификации. Цель этого протокола: обеспечить безопасный способ аутентификации таким образом, что бы ни пароль, ни хеш пароля по сети не передавались.
Схема работы Kerberos 5(последовательность действий)
У нас есть клиент и есть CA. CA - служба централизованной аутентификации. Она находиться на контроллере домена и работает по TCP по 88 порту. Клиент запрашивает текущее время(метка времени клиента), берет свой и клиентский идентификатор(Идентификатор клиента, Идентификатор сервера TGS). Это тот идентификатор, который ему был присвоен когда его вводили в домен. И передает его серверу в открытом виде.
CA принимает эти данные, но ему надо, чтобы клиент прошел аутентификацию.
Далее клиент отправляет идентификатор клиента и шифрует локальное время с помощью собственного ключа(формируется на основе пароля). Поскольку у CA тоже есть пароль клиента, он может вычислить ключ.
После того, как CA Получил все это он формирует сессионный ключ. Бепер идентификатор сервера и дает некое время жизни билета(то время на которого он дает этот ключ). Все это шифруется ключом пользователя. Так-же к этому блоку он прилагает TGT - ticket granting ticket(тикет для выдачи других тикетов). Пользователь этот блок расшифровать не может.
Клиент получает все эти данные. Берет идентификатор сервиса, TGT и свой аутентификатор и отправляет его к TGS.
TGS в свою очередь, используя данные из TGT и на их основе видит, что Адрес клиента известен, идентификатор клиента известен, сессионный ключ для него есть. Далее TGS формирует билет сервиса и пользователю дает копию сессионного ключа, идентификатор сервиса, время жизни билета и шифрует сессионным ключом CA.
Далее клиент берет новый аутентификатор сервиса и билет сервиса и направляет на сервис.
Сервис берет метку времени клиента и увеличивает на 1 и направляется клиенту. Клиент проверяет и если он соответствует, его пускает.
**LDAP** - «легковесный протокол доступа к каталогам»
В нем представлено все в виде набора атрибутов. Цель - хранения информации о том, у кого куда какой доступ есть.(«cn=Иван Петров,ou=Сотрудники,dc=example,dc=com
Можно делать запросы
```
(&(!(entryDN:dnSubtreeMatch:=dc=Piter,dc=Russia,ou=People,dc=example,dc=com))(objectClass=sambaSamAccount)
(|(sn=Lazar*)(uid=Nakhims*)))
```
Это механизм, у которого вы запрашиваете информацию такого рода: Кто-то имеет доступ в определенное место? Да/Нет
# Network Security Threats, Vulnerabilities and Attacks
## Атаки доступа: Privilege escalation - атака, цель которой повысить свои привилегии
При атаке с повышением привилегий злоумышленник получает доступ к сети и связанным с ней данным и приложениям, используя недостатки в архитектуре, программном обеспечении, плохо настроенных операционных системах и т.д. Как только злоумышленник получит доступ к удаленной системе с допустимым именем пользователя и паролем, он попытается увеличить свои привилегии. Злоумышленник использует метод расширения учетной записи пользователя до других повышенных привилегий, таких как права администратора. Злоумышленник выполняет эскалацию привилегий для выполнения несанкционированного доступа и привилегированных операций в сети или системе. Учетная запись администратора может получить больше доступа и сделать больше в сети, чем обычный пользователь. В основном, повышение привилегий происходит в двух формах. Существует вертикальная эскалация привилегий и горизонтальная эскалация привилегий.
### Горизонтальная эскалация привилегий
При горизонтальном повышении привилегий неавторизованный пользователь пытается получить доступ к ресурсам. функциям и другим привилегиям, принадлежащим авторизованному пользователю с аналогичными правами доступа. Например, пользователь онлайн-банкинга А может легко получить доступ к банковскому счету пользователя В.
### Вертикальная эскалация привилегий
При вертикальном повышении привилегий неавторизованный пользователь пытается получить доступ к ресурсам и функциям пользователя с более высокими привилегиями. например администраторов приложений или сайтов.
## Атаки доступа: DNS poisoning
**DNS poisoning** (отравление dns) — это процесс. в котором пользователь неправильно перенаправляется на поддельный веб-сайт, предоставляя поддельные данные на DNS-сервер.
Сайт похож на настоящий сайт, но он контролируется злоумышленником. Это также называется атакой DNS-спуфинга. в которой злоумышленник пытается перенаправить жертву на вредоносный сервер вместо законного сервера. Злоумышленник выполняет этот тип атаки, манипулируя записями таблицы ОМЗ в системе ОМЗ. Предположим, жертва хочет получить доступ к веб-сайту 123.com злоумышленник манипулирует записями в таблице ОМЗ таким образом, что жертва перенаправляется на сервер злоумышленника. Это можно сделать, изменив IP-адрес 123.com на IP-адрес вредоносного сервера злоумышленника. Жертва подключается к серверу злоумышленника без ее ведома. После того, как жертва подключается к серверу злоумышленника, злоумышленник может скомпрометировать систему жертвы и украсть данные.
## Атаки доступа: DNS cache poisoning
Система DNS использует кэш-память для хранения недавно разрешенных доменных имен. Он заполняется недавно использованными доменными именами и соответствующими записями IP-адресов. Когда запрос пользователя получен, сопоставитель DNS сначала проверяет кэш DNS; если доменное имя, которое запрашивал пользователь, найдено в кэше, то сопоставитель быстро отправляет свой соответствующий IP-адрес. Сокращение трафика и времени разрешения DNS.
Злоумышленники нацеливаются на кэш DNS и вносят в него изменения или добавляют записи. Злоумышленник заменяет запрошенный пользователем IP-адрес поддельным IP-адресом. Затем. когда пользователь запрашивает доменное имя. распознаватель DNS проверяет запись в кэше DNS и выбирает соответствующую (отравленную) запись. Жертва перенаправляется на поддельный сервер злоумышленника вместо авторизованного сервера.
## Атаки доступа: ARP poisoning
**ARP poisoning** (отравление ARP) — это атака, при которой злоумышленник пытается связать свой собственный MAC-адрес с IP-адресом жертвы, чтобы трафик, предназначенный для этого IP-адреса, был отправлен злоумышленнику.ARP (Address Resolution Protocol) — это протокол ТСР/IP, который сопоставляет IP-сетевые адреса с адресами (аппаратными адресами), используемыми протоколом канала передачи данных. Используя этот протокол, вы можете легко получить MAC-адрес любого устройства в сети. Помимо коммутатора, хост-машины также используют протокол ARP для получения MAC-адресов. ARP используется хост-машиной, когда машина хочет отправить пакет на другое устройство, и она должна указать MAC-адрес назначения в отправленном пакете. Чтобы записать MAC-адрес назначения в пакет. хост-машина должна знать MAC-адрес целевой машины. Таблица MAC-адресов (ARP table) поддерживается в нескольких местах даже в операционной системе.
ARP разрешает IP-адреса на MAC (аппаратный) адрес интерфейса для отправки данных. Если машина отправляет запрос ARP, она обычно считает, что ответ ARP поступает от правильной машины. ARP не предоставляет никаких средств для проверки подлинности отвечающего устройства. На самом деле, многие операционные системы реализуют ARP настолько доверчиво, что устройства, которые не сделали запрос ARP. все еще принимают ответы ARP от других устройств. Злоумышленник может создать вредоносный ответ ARP, содержащий произвольный IP-адрес и MAC-адрес. Поскольку компьютер жертвы слепо принимает запись ARP в свою таблицу ARP, злоумышленник может заставить компьютер жертв думать, что IP-адрес связан с MAC-адресом, который они хотят. Затем злоумышленник может транслировать свой поддельный ответ ARP на всю сеть жертвы.
## Атаки доступа: DHCP starvation attacks
В DHCP starvation attacks (атаке истощения DHCP) злоумышленник наводняет DHCP-сервер, отправляя большое количество запросов DHCP и использует все доступные IP-адреса, которые может выдать DHCP-сервер. В результате сервер не может выдавать больше IP-адресов, что приводит к атаке типа "отказ в обслуживании" (DoS). Из-за этой проблемы действительные пользователи не могут получить или обновить свои IP-адреса и, следовательно, не могут получить доступ к своей сети.
Сеть жертвы страдает от нехватки ресурсов DHCP, поскольку злоумышленники постоянно транслируют поддельные запросы DHCP. Злоумышленники также могут разместить в своей системе посторонний DHCP-сервер и отвечать на запросы DHCP от жертв или пользователей. В атаке истощения DHCP злоумышленник непрерывно отправляет множество запросов DHCP с поддельными MAC-адресами. Это запрашивает IP-адреса с сервера DHCP. Злоумышленник продолжает процесс до тех пор, пока его запрос полностью не использует пространство. доступное на DHCP-сервере, отключая жертву от получения IP-адреса. Злоумышленник передает DHCP-запросы с поддельными MAC-адресами с помощью таких инструментов как Graber. Безопасность портов — это метод, используемый для предотвращения атаки истощения DHCP. Это ограничивает количество MAC-адресов, которые могут получить доступ к порту. Только те MAC-адреса, которые имеют разрешение на доступ к порту, могут отправлять пакеты вперед. DHCP snooping — это еще один метод, доступный для предотвращения атаки голодания DHCP. Он фильтрует ненадежные сообщения DHCP. Отслеживание DHCP — это функция коммутатора Cisco catalyst, которая определяет порт, который может отвечать на запросы DHCP.
## Атаки доступа: DHCP spoofing attack
**DHCP spoofing attack** (подмены DHCP) также известна как rogue DHCP server attack (атака с использованием неавторизованного DHCP-сервера). При атаке на неавторизованный DHCP-сервер злоумышленник вводит неавторизованный сервер в сеть. Этот сервер-мошенник имеет возможность отвечать на запросы обнаружения DHCP-клиента. Хотя оба сервера отвечают на запрос, т. е. сервер-мошенник и фактический сервер DHCP, сервер, который отвечает первым, будет принят клиентом. Если сервер-нарушитель дает ответ раньше, чем фактический DHCP-сервер, клиент принимает ответ от сервера-нарушителя. Информация, предоставленная клиентам этим неавторизованным сервером, может нарушить их доступ к сети, вызывая Dos.
Ответ DHCP от мошеннического DHCP-сервера злоумышленника может назначить IP-адрес злоумышленника в качестве шлюза клиента по умолчанию. В результате весь трафик с клиента будет отправлен на IP-адрес злоумышленника. Затем злоумышленник захватывает весь трафик и перенаправляет его на соответствующий шлюз по умолчанию. С точки зрения клиента. он думает. что все функционирует правильно. Этот тип атаки не может быть обнаружен клиентом в течение длительного периода времени.
Вместо того, чтобы использовать стандартный DHCP-сервер, клиент может использовать неавторизованный DHCP-сервер. Мошеннический сервер направляет клиента на посещение поддельных веб-сайтов с целью получения их учетных данных.
Чтобы смягчить атаку неавторизованного DHCP-сервера, установите интерфейс. к которому подключен этот неавторизованный сервер. как ненадежный. Это действие заблокирует все входящие сообщения DHCP-сервера из этого интерфейса.
## Атаки доступа: Switch port stealing
**Кража порта коммутатора** — это метод снифинга, используемый злоумышленником,
который подменяет IP-адрес и MAC-адрес целевой машины. Используя атаку на
кражу портов, злоумышленники крадут трафик, предназначенный для определенного
порта коммутатора Ethernet. Это позволяет злоумышленнику снифить пакеты,
которые изначально предназначались для другого компьютера.
Злоумышленник использует преимущества неспособности коммутатора динамически
обновлять таблицу адресов. Коммутаторы Ethernet изучают и поддерживают
информацию о том, кто подключен к порту. Эта информация включает в себя IP- и
Mac-адреса компьютеров, подключенных к сети. Коммутатор должен динамически
обновлять эту информацию. Однако коммутатор все еще статичен в реальной
сетевой среде. Например, если компьютер, подключенный к определенному порту,
будет перемещен на другой порт, запись таблицы адресов коммутатора будет по-
прежнему указывать только на тот же компьютер.
Метод MiTM используется для выполнения снифинга пакетов путем использования
портов коммутатора пользователя.
Злоумышленники наводняют порты коммутатора поддельными пакетами,
содержащими MAC-адрес злоумышленника в качестве исходного адреса, который
идентичен поддельным MAC-адресам хоста жертвы и адресам назначения. Это
позволяет порту коммутатора отправлять трафик злоумышленнику, а не целевым
получателям.
## Атаки доступа: MAC spoofing/duplicating
Спуфинговые атаки позволяют злоумышленникам распространять вредоносные программы, обходить проверки подлинности или красть конфиденциальную информацию. Злоумышленник притворяется законным пользователем сети и получает доступ к ограниченным ресурсам для выполнения вредоносных действий.
Дублирование MAC означает подмену MAC-адреса на MAC-адрес законного пользователя в сети. Он включает в себя снифинг сети для MAC-адресов законных клиентов, подключенных к сети. В этой атаке злоумышленник сначала получает MAC-адреса клиентов, которые активно связаны с портом коммутатора. Затем злоумышленник подделывает свой собственный MAC-адрес с MAC-адресом законного клиента. Если подмена прошла успешно, злоумышленник может получить весь трафик, предназначенный для клиента. Злоумышленник получает доступ к сети и забирает чью-то личность, которая уже находится в сети.
## Denial-of-service (DoS)
**Отказ в обслуживании** (Dos) - это атака, которая не позволяет авторизованным пользователям получить доступ к компьютеру или сети. DoS-атаки нацелены на пропускную способность или подключение к сети. Атаки на пропускную способность переполняют сеть большим объемом трафика, используя существующие сетевые ресурсы, лишая законных пользователей этих ресурсов. Атаки на подключение переполняют компьютер с большим количеством запросов на подключение, потребляя все доступные ресурсы операционной системы. так что компьютер не может обрабатывать законные запросы пользователей.
## Distributed Denial-of-Service Attack(DdoS)
DDoS-атака включает в себя множество скомпрометированных систем, атакующих одну цель, тем самым вызывая отказ в обслуживании для законных пользователей Распределенная атака типа "отказ в обслуживании" (DdoS) — это крупномасштабная скоординированная атака на доступность служб на системных или сетевых ресурсах объекта. Запускается косвенно через многие скомпрометированные компьютеры в интернете.
Атакуемые службы являются "основной целью", в то время как скомпрометированные системы, используемые для запуска атаки, часто называются "вторичной целью". Использование вторичных целей при выполнении DDoS-атаки r 1 дает злоумышленнику возможность вести более крупную и разрушительную атаку, одновременно затрудняя ее отслеживание.
## Основные элементы сетевой безопасности
Полностью безопасная и надежная сеть может быть спроектирована с надлежащей реализацией и конфигурацией элементов сетевой безопасности. Сетевая безопасность основывается на трех основных элементах безопасности, представленных далее.
### Элементы управления безопасностью сети
Элементы управления безопасностью сети - это функции безопасности, которые должны быть соответствующим образом настроены и реализованы для обеспечения безопасности сети. Это краеугольные камни любой систематической дисциплины безопасности. Эти элементы управления безопасностью работают совместно, чтобы разрешить или ограничить доступ к ресурсам организации на основе управления удостоверениями.
### Протоколы сетевой безопасности
Протоколы сетевой безопасности реализуют операции, связанные с безопасностью, для обеспечения безопасности и целостности передаваемых данных. Протоколы сетевой безопасности обеспечивают безопасность данных. проходящих через сеть. Они реализуют методы, которые ограничивают доступ неавторизованных пользователей к сети. Протоколы безопасности используют шифрование и криптографические методы для обеспечения безопасности сообщений, проходящих через сеть.
### Устройства сетевой безопасности
Устройства сетевой безопасности — это устройства, которые развертываются для защиты компьютерных сетей от нежелательного трафика и угроз. Эти устройства можно разделить на активные устройства. пассивные устройства и профилактические устройства. Он также состоит из Unified Threat Management (унифицированного управления угрозами — UTM), который сочетает в себе функции всех устройств.
### Элементы управления безопасностью сети
Элементы управления безопасностью сети используются для обеспечения конфиденциальности, целостности и доступности сетевых служб. Эти средства контроля безопасности являются либо техническими, либо административными гарантиями, применяемыми для минимизации риска безопасности. Для снижения риска компрометации сети, адекватная сетевая безопасность требует реализации надлежащего сочетания элементов управления сетевой безопасностью.
Эти элементы управления безопасностью сети включают в себя:
* Аутентификацию
* Авторизацию
* Учет
* Контроль доступа
* Идентификацию
* Криптографию
* Политики безопасности
## Контроль доступа
* Контроль доступа - это выборочное ограничение доступа к расположению или другому системному/сетевому ресурсу,
* Оно защищает информационные активы путем определения того, кто может и не может получить к ним доступ
* Она включает в себя идентификацию пользователя, аутентификацию, авторизацию и подотчетность
**Контроль доступа** - это метод снижения риска повреждения данных и сохранения критически важных данных предприятия путем предоставления ограниченного доступа пользователям для доступа к ресурсам компьютера. Важнейшим аспектом осуществления контроля доступа является обеспечение целостности, конфиденциальности и доступности информации. Механизм управления доступом предоставляет пользователю доступ к системным ресурсам для чтения, записи или выполнения на основе разрешений доступа и связанных с ними ролей.
## Терминология контроля доступа
Для определения управления доступом к определенным ресурсам используются следующие термины.
### Предмет
Субъект может быть определен как пользователь или процесс, который пытается получить доступ к объектам. Далее. субъекты - это те сущности, которые выполняют определенные действия в системе.
Контрольный монитор Контрольный монитор отслеживает ограничения, налагаемые в соответствии с определенными правилами контроля доступа. Эталонный монитор реализует набор правил о способности субъекта выполнять определенные действия над объектом.
Операция Операция - это действие, совершаемое субъектом над объектом. Пример операции пользователь. пытающийся удалить файл. Здесь пользователь является объектом залить относится к операции и файл является объектом.
### Объект
**Объект** - это явный ресурс, на который наложено ограничение доступа. Элементы управления доступом, реализованные на объектах, дополнительно управляют действиями, выполняемыми пользователем. Например: файлы или аппаратные устройства.
### Контрольный монитор
Контрольный монитор отслеживает ограничения, налагаемые в соответствии с определенными правилами контроля доступа. Эталонный монитор реализует набор правил о способности субъекта выполнять определенные действия над объектом.
### Операция
**Операция** - это действие, совершаемое субъектом над объектом. Пример операции пользователь. пытающийся удалить файл. Здесь пользователь является субъектом, удалить относится к операции и файл является объектом.
## Принципы контроля доступа
Принципы контроля доступа касаются ограничения или разрешения контроля доступа для пользователей или процессов. Принцип включает в себя сервер, получающий запрос от пользователя и аутентификацию пользователя с помощью Access Control Instruction (инструкции управления доступом — ACI). Сервер может разрешить или запретить пользователю выполнять любые действия, такие как чтение. запись. доступ к файлам и т.д.
Элементы управления доступом позволяют пользователям получить доступ ко всему каталогу, по дереву каталога и другому определенному набору записей и значений атрибутов в каталоге. Можно задать значения разрешений для одного пользователя или группы пользователей. Значения каталога и атрибута содержат инструкции по управлению доступом.
Функция контроля доступа использует базу данных авторизации, поддерживаемую администратором безопасности, для проверки данных авторизации запрашивающего пользователя.
Общие шаги в области контроля доступа:
**Шаг 1:** Пользователи должны предоставить свои учетные данные/идентификацию при входе в систему.
**Шаг 2:** Система проверяет пользователей с предоставленными учетными данными/идентификацией, такими как пароль. отпечаток пальца и т.д. с базой данных.
**Шаг 3:** После успешной идентификации пользователя система предоставляет пользователю доступ к использованию системы.
**Шаг 4:** Система позволяет пользователю выполнять только те операции или получать доступ только к тем ресурсам, для которых пользователь авторизован.
Есть три основные части для инструкции контроля доступа:
* **Цель:** разрешения устанавливаются для определенных атрибутов и сущностей. Эти атрибуты и сущности называются целевыми объектами.
* **Разрешение:** разрешения, установленные для цели, объясняют действия, разрешенные или запрещенные для этих целей.
* **Правило привязки:** указывает субъект инструкций по управлению доступом.
## Система Контроля доступа: Административный контроль доступа
**Административный контроль** - это управленческие ограничения, оперативные процедуры и процедуры подотчетности, а также другие меры контроля, обеспечивающие безопасность организации. Процедуры, предписанные в административном контроле доступа, обеспечивают авторизацию и аутентификацию персонала на всех уровнях. Ниже перечислены компоненты административного управления доступом:
### Политика и процедуры безопасности
Политики и процедуры определяют метод внедрения методов обеспечения безопасности в организации. Они определяют степень, в которой компания может принять риск, и определяют уровень действий, разрешенных в организации.
### Управление персоналом/процедуры
Контроль персонала определяет методы, с помощью которых сотрудники могут применять принципы безопасности. Контроль персонала определяет меры, принимаемые в случае любого несоответствия требованиям. Процедура безопасности определяет шаги, предпринятые с момента найма сотрудника до его увольнения или перевода в другой отдел.
### Надзорная структура
Надзорная структура состоит из членов, которые отвечают за действия, выполняемые другими сотрудниками организации в контексте обеспечения безопасности.
### Осведомленность и подготовка по вопросам безопасности
Обучает сотрудников организации важности контроля доступа. Обучение помогает сотрудникам ограничить атаки в сети и помогает им в обнаружении и контроле вирусов и червей.
### Тестирование
Тестирование средств контроля доступа выявляет слабые места в сети, проверяет, работают ли все средства контроля доступа должным образом, и оценивает процедуры и политики, согласованные для надлежащего функционирования организации.
### Ротация
Ротация рабочих мест улучшает обнаружение ошибок и раскрытие информации о мошенничестве. Политика ротации рабочих мест наряду с разделением обязанностей является хорошим административным контролем доступа. Однако ротация рабочих мест не позволяет сотрудникам одновременно выполнять несколько ролей, что увеличивает накладные расходы на систему контроля доступа.
Необходимо знать о влиянии ротации рабочих мест на систему контроля доступа.
### Разделение обязанностей
Разделение обязанностей Разделение обязанностей вступает в игру, когда для выполнения одной операции требуется более одного человека. Когда один человек отвечает за выполнение задачи, это дает ему больше власти. и риск безопасности высок. В то же время, если одна и та же задача выполняется командой людей, соблюдается надлежащая система сдержек и противовесов, и вероятность ошибок уменьшается.
*Пример:* наличие одного администратора безопасности для выполнения фактического планирования и другой команды администраторов безопасности, реализующих и тестирующих план, уменьшит риски безопасности и увеличит вероятность обнаружения ошибок.
Разделение обязанностей может быть применено к одному лицу. Например, если пользователь с ограниченным доступом хочет выполнить задачу, требующую прав администратора. User Account Control (управление учетными записями пользователей — UAC) может предоставить доступ после предоставления соответствующих привилегий.
## Система контроля доступа: Технические средства контроля доступа
Технические средства контроля доступа к объекту. Они включает в себя внедрение технических средств контроля доступа для ограничения доступа к устройствам в организации для защиты целостности конфиденциальных данных.
Компоненты технического контроля доступа включают в себя перечисленные далее.
### Доступ к системе
Доступ к системе имеет дело с ограничением доступа к данным в соответствии с чувствительностью данных, уровнями доступа пользователей, правами пользователей и разрешениями.
### Доступ к сети
Управление доступом к сети предлагает различные механизмы управления доступом для сетевых устройств. таких как маршрутизаторы, коммутаторы и т.д.
### Шифрование и протоколы
Шифрование и протоколы защищают информацию, проходящую через сеть, и сохраняют конфиденциальность и надежность данных.
### Аудит
Занимается отслеживанием активности сетевых устройств в сети. Этот механизм помогает выявить слабые места в сети.
### Брандмауэры
Брандмауэры реализованы для фильтрации нежелательного трафика и предотвращения атак в сети.
### Антивирусное программное обеспечение
Антивирусное программное обеспечение установлено для предотвращения заражения системы вредоносными программами.
## Типы контроля доступа
### Discretionary Access Control(DAC)
**Дискреционное управление доступом (DAC):**
* Позволяет пользователю, которому предоставлен доступ к информации, решать. как защитить информацию и желаемый уровень обмена
* Доступ к файлам — ограничен для пользователей и групп на основе их личности и групп. к которым принадлежат пользователи
Дискреционные средства управления доступом определяют средства управления доступом, используемые любым владельцем объекта для определения средств управления доступом субъектов к этим объектам. Другое название DAC — это need-to-know ассеss model (модель доступа, требующая знания).
### Mandatory Ассess Control (MAC)
**Контроль доступа на основе мандата (MAC):**
* Не позволяет конечному пользователю решать, кто может получить доступ к информации
* Не позволяет пользователю передавать привилегии другим пользователям, так как доступ может быть обойден
Обязательные элементы управления доступом определяют политику использования и доступа пользователей. Пользователи могут получить доступ к ресурсу только в том случае, если этот конкретный пользователь имеет права доступа к этому ресурсу. MAC находит свое применение в данных. помеченных как строго конфиденциальные. Сетевые администраторы налагают MAC, в зависимости от операционной системы и ядра безопасности.
### Role Based Access Control (RBAC)
**Доступ на основе ролей:**
* Пользователям может быть назначен доступ к системам, файлам и полям на индивидуальной основе, в результате чего доступ предоставляется пользователю для конкретного файла или системы.
* Может упростить назначение привилегий и гарантировать. что люди имеют все
* привилегии, необходимые для выполнения своих обязанностей.
В управлении доступом на основе ролей разрешения доступа доступны на основе политик доступа, определенных системой. Права доступа находятся вне контроля пользователя. что означает, что пользователи не могут изменять политики доступа. созданные системой.
## Шифрование
## AES - Advanced Encryption Standard(симметричный алгоритм блочного шифрования)
**Процесс шифрования**
* Шаг 1: берем данные и на них накладываем xor(ключ)
* Шаг 2: выполняем раунд шифрования 9 раз
* Шаг 3: 10 раз - сокращенный раунд, в нем нету 3 пункта(перемешивание колонок)
**Раунд** состоит из:
1. SubBytes(замена байт)
1. ShiftRows(сдвиг строк)
1. MixColumns(перемешивание колонок)
1. AddRoundKey(наложение уже изменившегося ключа)
### SubBytes(замена байт)
Берем каждый байт и используем как координаты x и y. Например первое число 19, из этого следует 1 - берем по x, 9 - берем по y и находим число, в данном случае d4.
Берем следующее a0: a - x, 0 - y, заменяем на e0.
 -> 
### ShiftRows(сдвиг строк)
Первую строку не трогаем
Вторую сдвигаем на 1 байт
Третью сдвигаем на 2 байта
Четвертую сдвигаем на 3 байта
 -> 
### MixColumns(перемешивание колонок)
Берется каждый столбец и перемножается с матрицей
 -> 
### AddRoundKey(наложение уже изменившегося ключа)
**RoundKey**
Накладываем ключ с помощью *xor*
 -> 
**ИТОГ**
### Управление ключами
**Ключ**
**Сервисная таблица**
Берем последнюю колонку ключа и выполняем ротацию. Далее замена байт по s-боксу
 ->  -> 
Далее выполняем операции и ставим эту колонку в конец
*Как итог получаем:*
> AES в картинка: [тут](http://www.pgpru.com/biblioteka/statji/aesvkartinkah)
> Расширение системы команд AES - специальное расширение системы команд для процессоров x86. В нем уже есть готовые интрукции по выполнениею раундов шифрования/расшифрования
# Политика сетевой безопасности
**Политика сетевой безопасности** - это документ, описывающий различные политики, используемые для построения архитектуры сетевой безопасности организации. Политики безопасности обычно проверяют доступ к данным, методы просмотра веб-страниц и процессы шифрования. Это также помогает в ограничении несанкционированных пользователей и вредоносных пользователей из организации.
Политика безопасности должна включать тип доступных служб и вероятность повреждения этих служб. Политики безопасности определяют права доступа пользователей и безопасность сети. Политики безопасности предоставляют разрешения только на минимальный уровень ресурсов, достаточный для выполнения задачи пользователем. Организациям необходимо отслеживать политики и подтверждать их соответствие требованиям безопасности.
## Устройства сетевой безопасности: Firewalls
**Брандмауэр** - это программное или аппаратное обеспечение или их сочетание, которое обычно используется для отделения защищенной сети от незащищенной общедоступной сети.
**Брандмауэр** - это безопасное, надежное устройство, размещенное между частными и общедоступными сетями. Это помогает в защите частной сети от пользователей другой сети. Он имеет набор правил для отслеживания входящего и исходящего сетевого трафика,а также отвечает за разрешение и запрещение прохождения трафика.
## Устройства сетевой безопасности: Proxy Servers
Прокси сервер представляет собой выделенный компьютер или программную систему виртуально расположенную между клиентом и фактическим сервером Он перехватывает и фильтрует все запросы идущие к реальному серверу.
**Прокси-сервер** - это приложение, которое может служить посредником при подключении к другим компьютерам.
Прокси-сервер используется:
* Как брандмауэр, так и для защиты локальной сети от внешних атак.
* Как мультиплексор IP-адресов, позволяющий нескольким компьютерам подключаться к интернету. когда у вас есть только один IP-адрес (NAT/РАТ).
* Анонимно просматривать веб-страницы (в некоторой степени).
* Отфильтровывать нежелательный контент, например рекламу или «неподходящие» материалы (используя специализированные прокси-серверы).
* Чтобы обеспечить некоторую защиту от хакерских атак.
* Для экономии пропускной способности.
### Как работают прокси-серверы?
Первоначально, когда вы используете прокси для запроса определенной веб-страницы на реальном сервере, прокси-сервер получает ее. Затем прокси-сервер отправляет ваш запрос на фактический сервер от имени вашего запроса - он является посредником между вами и фактическим сервером для отправки и ответа на запрос.
Прокси-сервер улучшает безопасность, административный контроль и службы кэширования. Он также используется для оценки сетевого трафика и поддержания конфиденциальности пользователей. прокси-серверы в организации помогают поддерживать безопасность и административные элементы управления.
Однако злоумышленники используют прокси-серверы. чтобы скрыть свое присутствие в интернете.
## Устройства сетевой безопасности: Honeypot
**Honeypot** (горшок с медом — приманка) — это компьютерная система в интернете, предназначенная для привлечения и ловушки людей, которые пытаются несанкционированно или незаконно использовать хост-систему.
Это поддельный прокси-сервер, запущенный в попытке подставить злоумышленников, регистрируя трафик через него. а затем отправляя жалобы жертвам 1SPs. Всякий раз, когда есть какое-либо взаимодействие с honeypot. это. скорее всего, будет вредоносная деятельность. Honeypot уникальны, они не решают конкретной проблемы. Вместо этого они являются очень гибким инструментом с множеством различных приложений безопасности. Некоторые приманки помогают в предотвращении атак, другие могут быть использованы для обнаружения атак, в то время как другие могут быть использованы для сбора информации и исследований.
## Устройства сетевой безопасности: Intrusion Detection System (IDS)
**Intrusion Detection System** (система обнаружения вторжений — IDS) — это устройство сетевой безопасности, которое проверяет весь входящий и исходящий сетевой трафик на соответствие подозрительным шаблонам, которые могут указывать на нарушение безопасности сети или системы
Система обнаружения вторжений (IDS) выполняет оценку сетевого трафика на предмет незаконных действий и нарушений политики. Обнаружение вторжений использует оценку уязвимости для обеспечения безопасности сети. Особенности обнаружения вторжений включают в себя:
* Оценку системной и сетевой деятельности.
* Анализ уязвимостей в сети.
* Измерение надежности системы и файлов.
* Умение выявлять возможности атак.
* Мониторинг нерегулярных действий в сети и системе.
* Оценку нарушений политики.
## Устройства сетевой безопасности: Network Security Devices (IPS)
**Network Security Devices** (устройства сетевой безопасности — IPS) — это устройство сетевой безопасности, которое сочетает в себе функции брандмауэра и IDS. Это расширение идентификаторов. используемых для мониторинга сетевого трафика для вредоносных действий. В отличие от IDS, IPS способен активно предотвращать/блокировать обнаруженные вторжения в сеть.
Системы предотвращения вторжений (IPS) работают аналогично IDS. Как и IDS, IPS отслеживает сетевой трафик для любого вторжения или атаки. IPS-системы имеют возможность выполнять быстрые действия против любого вида вторжения. IPS выполняет действия на основе определенных правил и политик, настроенных в нем. Другими словами, система IPS может идентифицировать. регистрировать и предотвращать возникновение любых вторжений или атак в сети.
## Устройства сетевой безопасности: Network Protocol Analyzer
**Network Protocol Analyzer** (анализатор сетевых протоколов) — это компьютерное аппаратное устройство или программное обеспечение, которое отслеживает и анализирует данные, проходящие через сеть. Анализатор сетевых протоколов может дополнять брандмауэр, антивирус и шпионское ПО в сети. Он анализирует исходные данные в каждом пакете и идентифицирует содержимое каждого пакета. проходящего через сеть. Это снижает вероятность возникновения атаки в сети, а также обеспечивает немедленный ответ на атаку в сети.
Анализатор работает на главной машине. После запуска анализатора в неразборчивом режиме сетевой адаптер на хосте фиксирует весь проходящий через него трафик. Затем анализатор перенаправляет захваченный трафик в модуль пакетного декодера анализатора. Здесь механизм декодирования отслеживает поведение трафика и разбивает пакеты на соответствующие уровни. Программное обеспечение анализатора теперь будет проверять эти пакеты, а затем отображать информацию о пакете на главном экране анализатора. Анализатор также позволяет фильтровать пакет в зависимости от возможностей продукта.
## Устройства сетевой безопасности: Internet Content Filter
**Internet Content Filter** (фильтр интернет-контента) — это программное или аппаратное обеспечение, которое блокирует просмотр вредоносных веб-сайтов и нежелательного контента во Всемирной паутине (WWW). Фильтры контента блокируют вводящие в заблуждение веб-страницы или электронные письма. Он защищает сеть от вредоносных программ и других систем. которые являются невосприимчивыми и мешающими. Фильтр содержимого позволяет организации блокировать определенные веб-сайты.
## Уровни защиты
### Высокий уровень защиты
Фильтры содержимого интернета обычно обеспечивают защиту от вредоносных программ и программного обеспечения.
### Ограничивает все виды вопросов ответственности
Программное обеспечение для фильтрации содержимого может запретить пользователям обмениваться файлами и другими документами за пределами организации.
### Очень гибкий
Это позволяет организации принимать решения о сайтах, которые должны быть заблокированы. Он также предоставляет организации возможность изменять настройки блокировки сайта в любое время.
### Возросшая скорость
Использование интернет-фильтрации контента позволяет организации контролировать пропускную способность интернет-соединения путем блокирования сайтов. Это в свою очередь увеличивает скорость интернета.
## Устройства сетевой безопасности: Unified Threat Management (UTM)
**Unified Threat Management** (унифицированное управление угрозами — UTM) — это решение для управления сетевой безопасностью, которое позволяет администратору контролировать и управлять сетевой безопасностью организации с помощью централизованной консоли управления. Оно обеспечивает брандмауэр, обнаружение вторжений, защиту от вредоносных программ. спам-фильтр, балансировку нагрузки, фильтрацию контента. предотвращение потери данных и возможности VPN с помощью одного устройства UTM.
Unified Threat Management или UTM — это метод управления безопасностью, который позволяет администратору оценивать и проверять связанные с безопасностью приложения и другие компоненты с помощью одной консоли. ОТМ помогает минимизировать сложность сети, защищая пользователей от смешанных угроз.
## Устройства сетевой безопасности: Network Access Control (NAC)
**Network Access Control** (управление доступом к сети — NAC) — это устройства или решения, которые пытаются защитить сеть, ограничивая подключение конечного пользователя к сети на основе политики безопасности. Предустановленный программный агент может проверять несколько элементов перед допуском устройства и может ограничивать место подключения устройства.
**Что делает NAC?**
* Аутентификация пользователей, подключенных к сетевым ресурсам
* Идентификация устройств, платформ и операционных систем
* Определение точки подключения сетевых устройств
* Разработка и применение политик безопасности
Управление доступом к сети связано с ограничением доступности сети для конечного пользователя в зависимости от политики безопасности. Это в основном ограничивает системы без антивируса, программного обеспечения для предотвращения вторжений от доступа к сети. NAC позволяет создавать политики для каждого пользователя или системы и определять политики для сетей в терминах IP-адресов.
## Demilitarized Zone (DMZ)
Demilitarized Zone (демилитаризованная зона — DMZ) — это небольшая сеть, которая размещается между частной сетью организации и внешней публичной сетью. Это предотвращает прямой доступ постороннего лица к серверу организации. Например. если злоумышленник использует общедоступную сеть для доступа к узлу DMZ и проникает в него, то информация будет скомпрометирована только на этом узле.
Таким образом, DMZ: выступает в качестве дополнительного уровня безопасности для сетей и снижает угрозу вторжения во внутреннюю сеть. ом: содержит следующие серверы, которые должны быть доступны из-за пределов сети:
* Web-сервер
* Почтовый сервер
* DNS-сервер
Также возможно расширить эти конфигурации согласно требованиям к сети.
* Единый брандмауэр: в этой модели сетевая архитектура, содержащая DMZ, состоит из трех сетевых интерфейсов. Первый сетевой интерфейс соединяет провайдера с брандмауэром, образующим внешнюю сеть, в то время как второй интерфейс формирует внутреннюю сеть. Третий интерфейс формирует DMZ. Брандмауэр действует как единственная точка сбоя и должен иметь возможность управлять всем трафиком в DMZ.
* Двойной брандмауэр: подход с двойным брандмауэром использует два брандмауэра для создания DMZ. Первый брандмауэр разрешает только очищенный трафик для входа в DMZ, а второй брандмауэр дважды проверяет его. Двойной подход является наиболее безопасным подходом при реализации DMZ.
Любой сервер, который нуждается в доступе к публичной сети, может быть размещен в демилитаризованной зоне. Администратор сети может разместить серверы, такие как веб-сервер, DNS-сервер, сервер электронной почты, FTP-сервер, в DMZ и разрешить доступ для внутренних и внешних клиентов.
## Virtual Private Network (VPN)
**Virtual Private Network** (виртуальная частная сеть — VPN) использует общедоступные сети, такие как интернет, и обеспечивает безопасную передачу данных между системами через них. Определенные протоколы туннелирования, используемые VPN, помогают достичь шифрования, целостности данных и аутентификации. VPN обеспечивает масштабируемость в организации для поддержки новых клиентов, организаций и приложений. Он обеспечивает решения бизнес-проблем с помощью встроенной технологии.
VPN обеспечивает виртуальное соединение между пользователями и общедоступной сетью. Передаваемый пакет инкапсулируется в новый пакет вместе с новым заголовком. Заголовок облегчает обход пакетов в сети. Путь, по которому проходит инкапсулированный пакет, называется туннелем. Инкапсулированный пакет после достижения конечной точки туннеля деинкапсулируется так, что исходный пакет пересылается в конечный пункт назначения.
# Radius
**RADIUS** означает службу удаленного доступа для проверки подлинности пользователя. Он был разработан компанией Livingston Enterprises в качестве сетевого протокола, который обеспечивает централизованную аутентификацию, авторизацию и учет серверов удаленного доступа для связи с центральным сервером. RADIUS имеет клиент-серверную модель, которая работает на прикладном уровне модели OSI, используя UDP или TCP в качестве транспортного протокола. Протокол RADIUS является стандартом defacto для аутентификации удаленных пользователей и задокументирован в RFC 2865 и RFC 2866.
Протокол RADIUS - это протокол AAA, который работает как в мобильных, так и в локальных сетях. Он использует PAP, CHAP или EAP для аутентификации пользователей, взаимодействующих с серверами.
Компоненты протокола RADIUS AAA являются следующими:
* Клиент доступа
* Сервер доступа
* Радиус прокси
* Сервера RADIUS
* Базы данных учетных записей пользователей
Сообщения RADIUS отправляются как сообщения UDP и разрешают только одно сообщение RADIUS в разделе полезной нагрузки UDP пакета RADIUS. Radius сообщения состоят из RADIUS-заголовка и прочих атрибутов RADIUS.
## TACACS+
**Terminal Access Controller Access-Control System Plus** (TACACS+) - это протокол, разработанный компанией Cisco. Он является производным от протокола TACACS. Он выполняет аутентификацию, авторизацию и учет отдельно от RADIUS. Он в
основном используется для администрирования устройств.
*Разница*
RADIUS можно использовать в составе контроллера домена. Тогда будет доменная аутентификация.
## Аутентификация TACACS+
Рассмотрим следующий пример аутентификации, когда пользователь ноутбука подключается к NAS (маршрутизатору). Аутентификация TACACS+ включает следующие шаги:
* Шаг 1: Пользователь инициирует соединение для аутентификации.
* Шаг 2: Роутер и пользователь обмениваются параметрами аутентификации
* Шаг 3: Теперь маршрутизатор отправляет параметры на сервер для аутентификации.
* Шаг 4: Сервер отвечает ответным сообщением на основе предоставленной информации.
## Pretty Good Privacy (PGP)
**Pretty Good Privacy** (PGP) - это компьютерная программа шифрования и дешифрования, которая используется для обеспечения конфиденциальности и проверки во время общения. PGP повышает безопасность электронных писем.
### Как работает PGP?
* Каждый пользователь имеет открытый ключ шифрования и закрытый ключ. Сообщения отправляются другому пользователю после шифрования с использованием открытого ключа. Получатель расшифровывает сообщение, используя свой закрытый ключ.
* PGP сжимает сообщение, что повышает безопасность сообщения в сети. PGP создает ключ сеанса, который используется только один раз. PGP шифрует сообщение с помощью ключа сеанса вместе с алгоритмом шифрования. Ключ сеанса, шифруется открытым ключом получателя.
* Открытый ключ зашифрованный сеансовый ключ отправляется получателю вместе с зашифрованным сообщением.
* Получатель использует свой закрытый ключ для расшифровки ключа сеанса и для расшифровки всего сообщения.
PGP (Pretty good privacy) - это компьютерная программа шифрования и дешифрования, которая используется для обеспечения конфиденциальности и проверки во время общения. PGP повышает безопасность электронных писем.
## s/MIME
* S/MIME (Secure / Multipurpose Internet Mail Extensions) - это протокол прикладного уровня, который используется для отправки сообщений электронной почты с цифровой подписью и шифрованием
Он использует систему шифрования Rivest-Shamir-Adleman (RSA) для шифрования электронной почты
* Администраторы должны включить безопасность почтовых ящиков в своих организациях на основе S/MIME
Alice подписывает свое сообщение закрытым ключом и отправляет с помощью. Далее проверка подписи с помощью открытого ключа.
S/MIME используется для отправки зашифрованных сообщений с цифровой
подписью. Он позволяет шифровать сообщения электронной почты, а затем подписывать их цифровой подписью, чтобы обеспечить конфиденциальность, целостность и неотказуемость сообщений. Он предоставляет криптографические службы безопасности, такие как:
* Идентификация
* Целостность сообщения
* Неотказуемость
* Конфиденциальность
* Безопасность данных
S/MIME обеспечивает безопасность электронной почты и был включен в последние версии браузеров. Он использует метод шифрования RSA и предоставляет подробные сведения о включении шифрования и цифровых подписей в сообщении.
## Secure HTTP
**Secure HTTP** обеспечивает безопасный обмен данными во всемирной паутине. Он реализует безопасность на уровне приложений, которая обеспечивает шифрование и цифровые подписи на сообщениях. S-HTTP проверяет пользователя с помощью сертификата. S-HTTР предоставляет множество криптографических алгоритмов и режимов работы.
Протокол S-HTTP использует протокол клиент-сервер для определения условий безопасности для связи клиент-сервер. Это позволяет клиенту отправить сертификат для аутентификации пользователя. Есть много веб-серверов, которые поддерживают протокол S-HTTP, который позволяет им общаться без необходимости какого-либо шифрования.
## Hyper Text Transfer Protocol Secure (HTTPS)
* HTTPS обеспечивает безопасную связь между двумя компьютерами по
протоколу HTTP
* Соединение шифруется с помощью протокола Transport Layer Security (TLS)
или Secure Sockets Layer (SSL)
* Он часто используется в конфиденциальных онлайн-транзакциях
* Он защищает от атак типа «человек посередине» так как данные передаются
через канал зашифрованный
Это протокол, используемый для обеспечения безопасной связи в сети. Он использует протоколы, такие как TLS (Transport layer security) и Secure Sockets Layer (SSL) для обеспечения безопасной передачи данных. HTTPS подтверждает верификацию веб-сайтов и сохраняет конфиденциальность и надежность сообщений, передаваемых через интернет.
## Transport Layer Security (TLS)
* Протокол TLS обеспечивает безопасную связь между клиент-серверными приложениями через интернет
* Это предотвращает подслушивание или подделку сетевого сообщения
TLS обеспечивает в дополнение к конфиденциальности и надежности безопасную передачу данных между взаимодействующими сторонами. Безопасное соединение TLS включает в себя следующие свойства:
* Обеспечение конфиденциальности и надежности данных при обмене данными между клиентом и сервером с использованием симметричной криптографии.
* Аутентификация коммуникационных приложений c использованием криптографии с открытым ключом.
* Коды аутентификации могут поддерживать надежность данных.
* TLS состоит из двух протоколов:
* **TLS Record Protocol (протокол записи TLS):** обеспечивает безопасность с помощью метода шифрования.
* **TLS Handshake Protocol (протокол квитирования TLS):** обеспечивает безопасность, используя аутентификацию клиента и сервера перед связью.
## Secure Sockets Layer (SSL)
* Протокол SSL разработан компанией Netscape для управления безопасностью передачи сообщений в интернете.
* Он использует асимметричное шифрование RSA (открытый ключ) для шифрования данных, передаваемых через SSL-соединения.
Secure Sockets Layer (SSL) - это протокол, используемый для обеспечения безопасного механизма аутентификации между двумя взаимодействующими приложениями, такими как клиент и сервер. SSL требует надежного транспортного протокола, такого как ТСР, для передачи и приема данных.
## Internet Protocol Security (IPsec)
**Internet Protocol Security** (IPsec) обеспечивает безопасную связь через Internet Protocol (IP) сеть. Он работает на прикладном уровне модели связи. Он использует криптографические службы безопасности для обеспечения безопасной связи. Это позволяет аутентифицировать IP-пакеты во время передачи данных. IPsec находит свои приложения в виртуальных частных сетях и удаленном доступе пользователей. IPsec используется между парой хостов, парой шлюзов безопасности или между шлюзом безопасности и хостом.
IPsec состоит из двух служб безопасности: Authentication Header (заголовка аутентификации - AH) и Encapsulating Security payload (инкапсулирования безопасной полезной нагрузки - ESP). AH позволяет аутентифицировать отправителя, в то время как ESP позволяет аутентифицировать отправителя, а также шифровать данные. Он обеспечивает безопасную связь для проверки подлинности узла на сетевом
уровне, проверки подлинности источника данных и обеспечивает целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения. IPsec состоит из двух режимов шифрования, а именно транспортного и туннельного:
* В транспортном режиме часть данных или полезная нагрузка шифруются.
* В туннельном режиме весь IP-адрес зашифрован.
# Разработка и внедрение политик сетевой безопасности
## Топ-5 человеческих ошибок
*Несоблюдение конечным пользователем политик и процедур составляет 42%*
## Что такое политика безопасности
Если вы хотите что-то защитить, нужно проработать сначала политику, а потом смотрите, что из это можно сделать с помощью технических средств.
Политика безопасности - это документированный набор планов, процессов, процедур, стандартов и руководящих принципов, необходимых для создания идеального информационного статуса безопасности для организаций политика безопасности является неотъемлемой частью программы управления информационной безопасностью для любой организации.
**Политика безопасности** - это документ высокого уровня или набор документов, описывающих элементы управления безопасностью, которые необходимо реализовать для защиты компании. Он поддерживает конфиденциальность, доступность, целостность и стоимость активов. Политики безопасности формируют основу инфраструктуры безопасности.
Без них невозможно защитить компанию от возможных судебных исков, упущенной выгоды и плохого имиджа, не говоря уже об основных атаках на безопасность.
Политика не является специфичной для технологии и выполняет три вещи:
* Они уменьшают или устраняют юридическую ответственность перед работниками и третьими лицами.
* Они защищают конфиденциальную и служебную информацию от кражи, неправильного использования, несанкционированного раскрытия или изменения.
* Они предотвращают потерю вычислительных ресурсов.
Политика безопасности включает цели, правила поведения и требования по обеспечению безопасности сети и компьютерных систем организации. Политики безопасности служат связующим звеном между целями и требованиями безопасности, а также помогают пользователям, сотрудникам и руководителям защищать технологические и информационные активы. Политика предоставляет базовые условия для приобретения, настройки и аудита компьютерных систем и сетей.
## Характеристики хорошей политики безопасности
Хорошая политика безопасности имеет следующие особенности:
1. **Краткость и ясность:** политики безопасности должны быть краткими и ясными. Когда они есть, их очень легко развернуть в инфраструктуре. Сложные политики становятся трудными для понимания, и в результате сотрудники могут не выполнять их.
2. **Используемость:** политики должны быть написаны и разработаны таким образом, чтобы их можно было легко использовать в различных подразделениях организации. Хорошо написанные политики просты в управлении и реализации.
3. **Экономическая целесообразность:** организации должны осуществлять политику, которая является экономичной и повышает безопасность организации.
4. **Понятность:** политику должно быть легко понять и следовать ей.
5. **Реалистичность:** политика должна быть практичной, основанной на реальности. Использование вымышленных элементов в политике только повредит организации.
6. **Согласованность:** у организации должен быть согласован процесс реализации ее политики.
7. **Процедурная приемлемость:** при реализации процедур политики они должны быть дружественными работодателю и работнику.
8. **Соблюдение кибер- и правовых законов, стандартов, правил и положений:** любая политика, которая реализуется, должна соответствовать всем правилам и положениям, касающимся законов и подзаконных актов.
## Ключевые элементы политики безопасности
Ключевыми элементами хорошей политики безопасности являются:
* **Четкая коммуникация:** обратите пристальное внимание на любые пробелы в коммуникации. Коммуникация должна быть четкой при разработке политики безопасности. Коммуникационный разрыв приводит к нежелательным результатам. Может быть создан набор политик, которые не выполнимы для пользователей или сети. Держите каналы связи чистыми.
* **Краткая и ясная информация:** Любая информация, предоставляемая разработчикам относительно создания сетевой политики, должна быть ясной и понятной. Если нет, то подход к безопасности сети будет не таким, как ожидалось.
* **Определенная область применения:** область определяет элементы, которые должны быть охвачены, скрыты, защищены или общедоступны, и способы их защиты. Сетевая политика охватывает широкий круг вопросов, начиная с физической и заканчивая личной безопасностью.
* **Принудительное исполнение по закону:** политика безопасности должна быть принудительной согласно законам и взысканиям, налагаемым в случае нарушения политики. Штрафы за нарушение должны быть установлены при создании политики.
* **Признает зоны ответственности:** сетевая политика должна указывать различные обязанности для сотрудников, организации и третьих лиц.
* **Достаточное руководство:** хорошая сетевая политика должна иметь надлежащие ссылки на другие политики, которые помогают направлять и переопределять сферу охвата и цели политики.
# Физическая безопасность
## Потребность в физической безопасности
*Физические нарушения составили 61% от всех нарушений HIPPA за 2015 год.*
Физическая безопасность является важной частью программы информационной безопасности организации. В прошлом люди связывали физическую безопасность с ключами, замками, персоналом службы безопасности, воротами, ограждением и т. д. Теперь парадигма физической безопасности полностью изменилась.
## Факторы, влияющие на физическую безопасность
Организации подвержены риску возникновения следующих типов угроз физической
безопасности:
**Природные / Экологические Угрозы:**
* Наводнения
* Пожары
* Землетрясения
* Молнии и громы
* Температура и влажность
**Рукотворные угрозы:**
* Вандализм
* Потери устройств
* Повреждение физических устройств
* Кража
* Терроризм
* Социальная инженерия
* Несанкционированный доступ к системам
## Контроль физической безопасности
В зависимости от уровня, на котором применяются средства контроля физической безопасности, они классифицируются как:
### Административный контроль
Он включает в себя работу с человеческим фактором для контроля безопасности. Персонал всех уровней должен быть вовлечен в создание административных механизмов контроля. Он основан на ресурсах и информации, к которым имеет доступ каждый пользователь. Он включает в себя управленческие ограничения, оперативные процедуры, процедуры подотчетности и приемлемый уровень защиты информационной системы. Это в основном ориентированная на персонал техника, применяемая для контроля поведения людей.
### Физический контроль
Физический контроль имеет дело с предотвращением повреждения физических систем в организации. Он включает в себя сдерживание или предотвращение несанкционированного доступа к устройствам, объектам или другим чувствительным областям. Кроме того, физический контроль безопасности необходим для борьбы с физическими угрозами, такими как потеря/кража устройства, а также уничтожение или повреждение в результате несчастного случая, пожара или стихийного бедствия.
### Технический контроль
Он использует технические средства для контроля доступа к физическим активам или объектам организации. Он обычно включен в компьютерное оборудование, программное обеспечение, операции или приложения для управления доступом к чувствительным областям.
### Средства контроля физической безопасности включают
* Учет факторов, связанных с местоположением
* Вопросы архитектуры сооружения
* Системы пожаротушения
* Физические преграды
* Заборы/Ограждения/Металлические направляющие
* Тумбы: тумба может быть определена как короткий вертикальный столб, который контролирует и ограничивает движение автомобилей на стоянках, в офисах и т. д
* Турникеты: этот тип физического барьера позволяет входу только одному человеку одновременно.
* Другие барьеры: Это включает в себя установку дверей, окон, решеток, стекол, занавесок, чтобы ограничить доступ к определенной области
* Персонал
* Охранники
* Сотрудники службы безопасности завода/руководители
* Офицеры безопасности
* Главный сотрудник по информационной безопасности (CISO)
### Методы аутентификации контроля доступа
Управление доступом ограничивает несанкционированный доступ к объектам организации. Механизм управления доступом использует различные типы аутентификации для проверки подлинности пользователя в системе. Различные типы схем аутентификации контроля доступа:
* **Факторы знаний:** аутентификация в системе осуществляется с помощью факторов знаний. Пользователи должны доказать знание тайны, которой они владеют, чтобы аутентифицировать себя в системе. Пользователь может хранить секретные знания, такие как уникальный пароль, фраза пароля, личный идентификационный номер (PIN), ответ на вызов, секретный вопрос и т.д.
* **Факторы собственности:** факторы собственности также могут быть описаны как "то, что у вас есть". Аутентификация в системе осуществляется с помощью этих факторов владения. Пользователи должны подтвердить свою идентичность в системе с помощью физических устройств, таких как ID-карты, смарт-карты, бесконтактные карты. Токен безопасности, мобильный телефон со встроенным аппаратным/программным токеном и т.д. Пользователи обладают этими физическими устройствами для аутентификации в системе. Всегда рекомендуется использовать 2-факторную аутентификацию с физическими устройствами, чтобы добавить дополнительный уровень безопасности.
* **Факторы неотделимости:** проверка подлинности базируется на факторах неотделимости. Пользователи подтверждают свою личность с помощью биометрических данных. Биометрические данные зависят от поведенческих и психологических особенностей пользователя. Биометрическая схема аутентификации может включать проверку отпечатков пальцев, структуру вен, сканирование сетчатки, сканирование радужной оболочки, распознавание лица/рук, распознавание голоса, подпись и т.д.
### Методы аутентификации: Факторы знаний
Пользователи должны предоставить свой уникальный пароль, пароль или PIN-код для аутентификации в системе.
* **Пароли:** пароли обычно содержат комбинацию букв и цифр. Пользователи создают свои пароли во время первого входа в систему. Организации должны применять строгую политику создания паролей.
* **Парольная фраза:** парольная фраза похожа на пароль, но обычно длиннее для дополнительной безопасности. Он обычно используется с криптографическими программами и системами. Пользователь предоставляет парольную фразу в качестве ключа шифрования для этих криптографических программ и систем.
* **Персональный идентификационный номер (PIN):** цифровой пароль, предоставляемый для аутентификации пользователя в системе. PIN-код обычно используется для аутентификации при использовании карты АТМ. Длина выводов может быть не более 12 символов.
* **Ответ на вызов:** аутентификация типа "вопрос-ответ", когда система бросает вызов пользователям, и пользователи должны предоставить действительный ответ, чтобы подтвердить свою личность. Одним из примеров системы реагирования на вызовы является САРТСНА. Капча - это искаженные изображения со скрытыми символами. Пользователь должен получить скрытые символы и ответить на них, чтобы подтвердить свою личность. Этот вид системы аутентификации используется для обеспечения того, что вход генерируется человеком, а не компьютером.
* **Контрольные вопросы:** контрольные вопросы используются в качестве дополнительного шага для проверки подлинности. Они обычно используются банками и поставщиками услуг беспроводной связи для подтверждения личности пользователя.
### Методы аутентификации: Факторы владения
#### ID card
Документ, удостоверяющий личность (ID card), может использоваться для аутентификации пользователей в системе. Он включает в себя удостоверения личности, такие как водительские права, удостоверения личности с фотографиями, паспорт и т.д. Как правило, удостоверение личности имеет тот же размер, что и кредитная карта.
#### Смарт-карта
Смарт-карта - это пластиковое устройство размером с кредитную карту, которое содержит кремниевый компьютерный чип и память.
#### Бесконтактная карта
Бесконтактная карта также похожа на кредитную карту.
#### Маркер безопасности
Маркеры безопасности обычно используются для проверки личности пользователя с помощью электронных устройств.
#### Мобильный телефон со встроенным аппаратным/программным токеном
Мобильный телефон со встроенными аппаратными/программными маркерами - это устройство безопасности двухфакторной аутентификации, которое аутентифицирует службы, работающие на компьютерном устройстве.
### Методы аутентификации: Биометрические факторы
#### Дактилоскопия
Использует гребни и борозды на пальцах, чтобы идентифицировать человека.
#### Сканирование сетчатки глаза
Анализирует слой кровеносных сосудов в сетчатке, чтобы идентифицировать человека.
#### Сканирование радужной оболочки глаза
Анализирует радужную оболочку глаза для идентификации или проверки личности.
#### Распознавание лица/рук
Использует геометрию лица или рук для идентификации или проверки личности.
#### Распознавание голоса
Анализирует высоту и частоту голоса, чтобы идентифицировать или проверить человека.
#### Сканирование структуры вен
Анализирует толщину и расположение вен для идентификации человека.
### Контроль физической безопасности
Контроль физической безопасности:
* Видеонаблюдение
* Физические замки
* Скрытое оружие, приборы обнаружения контрабанды
* Mantrap (западни - две двери)
* Знаки безопасности и предупреждающие знаки
* Аварийные системы
* Электроснабжение
* Политики и процедуры физической безопасности
* Системы освещения
### Видеонаблюдение
Видеонаблюдение рассматривается как важная составляющая физической безопасности. Эти системы защищают активы и здания организации от злоумышленников, краж и т.д. Видеонаблюдение используется как часть системы безопасности организации. Видеонаблюдение охватывает большую площадь и часто размещается возле ворот, приемных, прихожих, а также на рабочем месте. Они фиксируют незаконную деятельность внутри помещений, а также помогают контролировать деятельность внутри, снаружи и на входе.
### Mantrap
**Мантрап** - это еще один тип контроля физической безопасности доступа, который используется для поимки нарушителей. Он наиболее широко используется для отделения незащищенных областей от безопасных областей и предотвращает несанкционированный доступ. Это механический запирающий механизм, состоящий из небольшого пространства с двумя наборами блокирующих дверей. Первая группа дверей должна закрыться до того, как откроется вторая группа. Аутентификация пользователя в mantrap осуществляется с помощью смарт-карт, клавиатуры/PIN-кода или биометрической проверки. Закрытие и раскрытие дверей могут быть отрегулированы автоматически или через охранников.
Это система безопасности, имеющая входную и выходную двери на противоположных сторонах, отделяя незащищенную зону от безопасной зоны.
Она позволяет открывать только одну дверь одновременно, люди входят в ловушку, запрашивают доступ, и входят, если им разрешено выйти. Если доступ не предоставляется, они удерживаются внутри до тех пор, пока сотрудники Службы безопасности не разблокируют ловушку.
Проход через эти двери разрешается только через механизмы контроля доступа, такие как карты доступа, пароль, распознавание голоса, биометрия и т.д.
Он может работать автоматически, полезен при авторизации посетителей, сокращает рабочую силу с использованием систем безопасности и гарантирует безопасность организации.
### Электроснабжение
Объекты могут страдать от отключений или перебоев в подаче электроэнергии, которые могут привести к неработоспособности систем, если не будут поддерживаться соответствующие альтернативные возможности управления питанием. Перебои в подаче электроэнергии могут повлиять на способность обеспечивать информационную технологию в соответствии с ожиданиями, а также на поддержание физической безопасности. Всплески мощности, скачки напряжения или отключения могут привести к слишком большому или недостаточному энергопотреблению и повредить оборудование.
Рассмотрим следующие меры безопасности для борьбы с отключениями или отключениями электроэнергии:
* Будьте готовы к колебаниям мощности.
* Используйте источник бесперебойного питания (ИБП) для управления отключениями электроэнергии.
* Защита систем от экологических угроз.
* Защита систем от неблагоприятного воздействия статического электричества на рабочем месте.
* Правильно используйте оборудование для подключения.
### Политики и процедуры физической безопасности
Организациям необходимы политики и процедуры для эффективного управления
средствами контроля физической безопасности.
Физические политики безопасности включают в себя:
* Физическая безопасность организации
* Роли и обязанности персонала
* Управление контролем доступа
* Отчетность и аудит
Политики физической безопасности могут отличаться в разных организациях.
## Безопасность хоста
Сетевая безопасность начинается с защиты отдельного хоста в сети.
* Безопасность хоста - это комплексный подход, направленный на усиление защиты каждого хоста в сети в отдельности
* Это включает в себя укрепление операционной системы и приложений хоста для обеспечения защиты от возможных рисков и угроз
Хостом может быть любое устройство, имеющее IP-адрес в сети:
* Рабочие станции
* Ноутбуки
* Маршрутизаторы
* Devices
* Беспроводные сетевые устройства
* Переключатели
* Сетевые сервера
Мера по защите например рабочих ноутбуков разные.
Если это рабочая станция, которая находиться только в локальной сети, то у нее одно требования защиты.
Если это ноутбук и с ним часто выезжают за пределы организации(командировки), другие требования по защите. Например его могут украсть. Соответственно диски надо шифровать. Должна быть запрещена загрузка с других устройств помимо основного диска.(избежать запуск с флешки и доступ к файлам).
Тщательно настроен fairwall.
Собственная защита от вторжения.
Система примитивной защиты от уязвимостей.
Антивирус.
Что можно использовать для рабочей станции Windows:
Если стоит kaspersky. У него в составе встроен fairwall, система защиты от вторжений. С помощью политик можно запретить запуск всех программ, кроме разрешенных. Для предотвращения эксплуатации уязвимостей 0 дня использовать программу emet(если OC не windows 10). Если не win10, то обновиться и там уже emet встроенный, его нужно грамотно настроить.
**EMET** - встроенная в windows 10 софтина, предназначена что бы можно было активировать встроенный в ядро windows возможности защиты, которые по умолчанию выключены или ослаблены.
### Базовые параметры защиты хоста
**Baseline** (базовая схема, базовые параметры) безопасности хоста задает цель
безопасности, стандарты, рекомендации, контрольные списки и т.д., которые должны
быть выполнены для достижения высокого уровня безопасности хоста для
организаций. Он определяет опорные точки для установки, упрочнения, размещения
новых узлов в сети и всех действий, выполняемых на узле.
Установление baseline безопасности узлов играет важную роль в повышении
безопасности узлов организаций. Администраторы должны определить и установить
базовые параметры безопасности для узлов в сети в зависимости от их назначения,
критичности и т.д. Установление базовых параметров безопасности зависит от
потребностей организации.
> Для того чтобы проверить, соблюдаются ли данные меры или нет, у microsoft есть специальное ПО *Microsoft Baseline Security Analyzer (MBSA)*
### Базовая настройка безопасности ОС
Базовые параметры безопасности ОС должны как минимум учитывать следующие
конфигурации безопасности:
* **Несущественные службы:** в ОС должны быть включены только основные службы. Включение ненужных служб на ОС может дать злоумышленнику путь к компрометации хоста через недостатки безопасности ОС. Например, если хост не функционирует как веб-сервер или почтовый сервер, его следует немедленно отключить. Если какие то службы вы знаете точно не нужны, вы можете отключить. Другое дело, в современных windows служб очень много и не всегда ясно, нужна служба или нет
* **Управление исправлениями:** операционная система должна регулярно проходить управление исправлениями, чтобы гарантировать, что ОС обновляется всеми последними обновлениями и исправлениями. Общее мнение: обновления безопасности следует ставить чаще. С функциональными можно не торопиться.
* **Управление паролями:** операционные системы должны склонять пользователей использовать сложные и надежные пароли, основанные на политике организации. Управление паролями также должно побуждать пользователей менять пароль через определенный промежуток времени и осуществлять блокировку пользователей после определенного фиксированного кол-ва попыток
* **Ненужные учетные записи:** организациям необходимо отслеживать данные учетных записей пользователей. Они могут блокировать или удалять все нежелательные и гостевые учетные записи пользователей.
* **Защита файлов и каталогов:** организации должны контролировать права доступа к файлам и каталогам с помощью списков управления доступом.
* **Шифрование файлов и файловых систем:** шифрование файлов и папок, форматирование разделов диска с файловой системой с помощью функций шифрования, предоставляемых ОС.
* **Включить ведение журнала:** отслеживание всех действий журнала операционной системы.
* **Общий доступ к файлам:** отключение нежелательных приложений общего доступа к файлам, запущенных в операционной системе.
### Настройка пароля BIOS
Настройка пароля BIOS помогает контролировать доступ к системе со стороны внешних пользователей. BIOS операционной системы предоставляет возможность установки пароля, который в свою очередь предотвращает:
* Доступ к системе.
* Загрузку компьютера.
* Загрузку со съемных устройств.
* Изменение настроек BIOS.
Пароли BIOS наиболее подходят для систем в общественных местах или на рабочем месте, которые не позволяют другим пользователям устанавливать другую операционную систему поверх существующей. Для установки пароля BIOS можно использовать программу установки BIOS. Это легко сделать, нажав любую клавишу перед загрузкой операционной системы. Нажатие на сообщение "нажмите F2, чтобы войти в настройку" помогает пользователю перейти на страницу настроек BIOS. На каждом компьютере имеется документация, которая помогает легко установить пароль BIOS.
### Защита Linux
Функция встроенного фаервола - *Netfilter*
*Grsecurity* — проприетарный набор модификаций (патч) для ядра Linux, который включает в себя некоторые улучшения, связанные с безопасностью
Для шифрования дисков использовать - LUKS
### Что такое Data Loss Prevention (DLP)
Data Loss Prevention (защита от потери данных - DLP) не позволяет пользователям отправлять конфиденциальные корпоративные данные за пределы организации. Этот термин используется для описания программных продуктов, которые помогают администратору сети контролировать, какие данные могут передавать конечные пользователи. Правила DLP блокируют передачу любой конфиденциальной информации через внешние сети. Это позволяет контролировать любой несанкционированный доступ к информации компании и предотвращает отправку вредоносных программ в организацию.
Внедряются DLP-системы в соответствии с организационными правилами, установленными руководством. Это предотвращает случайные/вредоносные утечки и потери данных. Если сотрудник попытается переслать или даже загрузить данные компании в облачное хранилище или даже в блог, это действие будет отклонено системой.
Политика DLP принимается руководством при обнаружении внутренних угроз для компании.
## Введение в виртуализацию
Виртуализация относится к созданию виртуальной версии аппаратных или программных ресурсов в системе. Виртуализация представляет вычислительное, запоминающее и сетевое оборудование.
Виртуализация относится к отделению служб или запросов от
физических процессов. Механизм виртуализации позволил ИТ-менеджерам
группировать ресурсы по всему предприятию, обеспечивая более эффективное
управление этими ресурсами.
1. **Перед виртуализацией:** аппаратная инфраструктура (хост-машина) работает под управлением одной операционной системы со всеми ее приложениями.
 На рисунке выше один экземпляр перационной системы с набором приложений полностью использует данную 32-разрядную аппаратную инфраструктуру. Хост-ОС напрямую взаимодействует с оборудованием для запроса системных ресурсов.
2. После виртуализации: аппаратная платформа (хост-машина) используется для запуска нескольких наборов виртуальных операционных систем и их приложений.
### Существуют различные типы методов виртуализации:
1. **Полная виртуализация:** гостевая ОС не знает, что она работает в виртуализированной среде. Среда виртуализации отправляет команды Virtual Machine Manager (диспетчеру виртуальных машин VMM) взаимодействовующей с оборудованием компьютера. Затем VMM преобразует команду в двоичные инструкции и пересылает ее на хост-ОС. Ресурсы выделяются гостевой ОС через VMM.
2. **Виртуализация с поддержкой ОС или паравиртуализация:** в этом типе виртуализации гостевая ОС знает о виртуальной среде, в которой она работает, и взаимодействует с гипервизором, запрашивающим ресурсы. Команды переводятся в двоичный код для аппаратного обеспечения компьютера. VMM не участвует в операциях запроса и ответа.
3. **Аппаратная виртуализация:** современная микропроцессорная архитектура имеет специальные инструкции, помогающие виртуализации аппаратного обеспечения. Эти инструкции позволяют гостю выполнять привилегированные инструкции непосредственно на процессоре.
4. **Гибридная виртуализация:** в этом типе виртуализации гостевая ОС использует функциональность гипервизора и использует диспетчер виртуальных машин (VMM) для двоичного преобразования в различные типы аппаратных ресурсов.
При проектировании виртуальной среды в приложении используются следующие
уровни:
* **Виртуализация устройств хранения:** это виртуализация, применяемая на устройствах хранения, таких как data striping и data mirroring. RAID - это хороший пример виртуализации хранилища.
* **Виртуализация файловой системы:** Этот тип виртуализации обеспечивает полную виртуализацию данных для совместного использования и защиты в программном обеспечении на этом уровне. Виртуализированные пулы данных управляют файлами и данными на основе требований пользователей.
* **Виртуализация сервера:** виртуализация на уровне сервера позволяет управлять разделением или виртуализацией операционной системы сервера. Логическое разбиение жесткого диска сервера участвует в виртуализации сервера.
* **Виртуализация структуры:** этот уровень виртуализации делает виртуальные устройства независимыми от аппаратного обеспечения физического компьютера. Он создает массивный пул областей хранения для различных виртуальных машин, работающих на оборудовании.
### Проблемы безопасности виртуализации
Виртуализированная среда облегчает обнаружение новых атак, тем самым вынуждая пользователя принимать защитные меры как для узлов, так и для виртуальных машин. В невиртуализированной среде каждый узел хранится отдельно, состоящий из отдельных служб и веб-серверов. Службы работают в своих собственных адресных пространствах и подключаются непосредственно к сети. В виртуализированной среде несколько гостевых узлов размещаются на одном узле. Здесь все сервисы сгруппированы вместе, тем самым повышается вероятность появления уязвимостей в системе.
Существуют различные проблемы и проблемы при реализации и использовании
виртуализации. Две основные проблемы заключаются в следующем:
1. Традиционные угрозы
2. Появление новых угроз
Традиционные угрозы виртуальной среде включают в себя:
* Вредоносный код в виртуальных машинах и устройствах.
* Ошибки при настройке виртуальной сети и брандмауэров.
* Подверженность угрозам настроек гипервизора.
* Утечки данных.
Новыми угрозами для сред виртуальных машин являются:
* Уязвимость консоли управления позволяет злоумышленнику удаленно управлять виртуальными машинами с помощью консолей управления.
* Уязвимый гипервизор может представлять опасность как для хоста, так и для
* Слабости архитектуры гипервизора делает всю систему уязвимой для атак.
* Отсутствие обновления гостевой ОС и установки исправлений безопасности на виртуальные машины.
* Уязвимости в хост-системе облегчают злоумышленнику погружение в виртуальную среду без особых усилий.
Рекомендации по обеспечению безопасности виртуальных сред:
* Аутентификация на виртуальных устройствах.
* Ограниченное подключение ко всем виртуальным ресурсам.
* Сегментирование виртуальной инфраструктуры.
* Резервирование и ограничения виртуальных ресурсов.
* Применение стандартных мер безопасности инфраструктуры к виртуальной инфраструктуре.
* Для взаимодействия с виртуальными машинами использование собственных remote management services (служб удаленного управления - RMS).
* Host based IPS (HIPS) защищает виртуальную среду от угроз безопасности.
### Рекомендации по обеспечению безопасности виртуальных сред:
Ниже приведены дополнительные рекомендации по обеспечению безопасности виртуализации:
* Применение наименьших привилегий: это основной принцип безопасности, который заставляет пользователей работать с наименьшим набором привилегий, необходимых для завершения задачи/задания.
* Усиление контроля доступа: безопасное развертывание элементов управления на гипервизоре и виртуальных машинах во избежание несанкционированного доступа.
* Мониторинг виртуального трафика: существуют различные инструменты, которые используются для выявления вредоносного трафика и защиты виртуальных машин от вторжений и злоумышленников.
* Запись миграции виртуальных машин: миграция между виртуальными машинами должна быть записана для мониторинга и диагностики сбоев машин.
* Мониторинг снимков виртуальной машины и отката: создание рабочей среды для мониторинга виртуальных машин. Если есть какие-либо проблемы, откат к стабильному состоянию с помощью снапшотов, которые выполняются через определенные интервалы администратором.
* Сканирование и аудит виртуальных машин: виртуальные машины регулярно проверяются для обнаружения уязвимостей и сбоев в работе служб.
# Настройка и управление безопасным брандмауэром
## Firewall
**Firewall** (брандмауэр) - это аппаратное устройство или программное обеспечение,
расположенное на сервере сетевого шлюза и используемое для безопасной связи
между различными сетями в соответствии с заданной политикой безопасности. Сети
имеют брандмауэры, настроенные между корпоративной и общедоступной сетью
(интернет). Брандмауэр обеспечивает линию защиты от атак на внутреннюю сеть из
внешней сети. Это помогает предотвратить несанкционированный доступ к частным
сетям, подключенным к интернету. Приложение брандмауэра выполняется на узле,
подключенном как к доверенным, так и к ненадежным сетям.
Брандмауэр помогает организациям защитить конфиденциальную информацию от
неавторизованных пользователей. Наиболее важной особенностью брандмауэра
является то, что он может различать хороший и плохой трафик. Брандмауэр,
размещенный между корпоративной и публичной сетью, ограничивает доступ к
различным службам в интернете. Он также отслеживает, что происходит через
брандмауэр. Брандмауэр фильтрует входящий трафик, известный как входная
фильтрация, и исходящий трафик, известный как выходная фильтрация.
Тем не менее, есть несколько проблем с функциональностью брандмауэра:
* Брандмауэр не может блокировать определенные типы атак. Например, социальная инженерия, инсайдерские атаки и т.д.
* Брандмауэры иногда имеют меньшую скорость вычислений, чем их сетевой интерфейс. Это может создать проблему, когда хост с сетевым интерфейсом работает быстрее, чем внутренний процессор брандмауэров.
* Брандмауэры могут ограничивать определенные услуги, которые требуются пользователю. Услуги включают в себя: TELNET, FTP, X Windows, NFS и др.
* Брандмауэры могут ограничивать связь между допустимыми устройствами в сети, вызывая тем самым нежелательное прерывание потока данных.
## Network Address Translation(NAT)
**Network Address Translation** (преобразование сетевых адресов - NAT) помогает
скрыть внутреннюю сетевую схему и заставить соединения проходить через точку
блокировки. NAT работает с помощью маршрутизатора, помогая отправлять пакеты и
изменять их.
Когда внутренняя машина отправляет пакет на внешнюю машину, NAT изменяет
исходный адрес конкретного пакета, чтобы он выглядел так, как будто он поступает с
действительного адреса. Когда внешняя машина отправляет пакет на внутреннюю
машину, NAT изменяет адрес назначения, чтобы превратить видимый адрес в
правильный внутренний адрес. NAT также может изменять номера портов источника
и назначения.
## Топологии брандмауэров
### Bastion host(бастионный хост)
**Bastion host** - это компьютерная система, разработанная и сконфигурированная для защиты сетевых ресурсов от атак. Он расположен между сетями и действует как шлюз прикладного уровня.
### Screened subnet (экранированная подсеть)
Экранированная подсеть также известна как «тройной брандмауэр» и использует
один брандмауэр с тремя сетевыми интерфейсами. Первый интерфейс соединяет
интернет, второй интерфейс соединяет DMZ, и третий интерфейс соединяет
интранет. Экранированная подсеть или DMZ (дополнительная зона) содержит узлы,
предлагающие общедоступные услуги. Общественная зона подключается
непосредственно к Интернету и не имеет хостов, контролируемых организацией.
Основное преимущество использования экранированной подсети заключается в том,
что она отделяет DMZ и интернет от интрасети. Если брандмауэр взломан, доступ к
интернету будет невозможен.
### Multi homed firewall (мульти размещенный брандмауэр)
Multi homed firewall относится к двум или более сетям. В этом случае имеется более
трех интерфейсов, позволяющих осуществлять дальнейшее разделение систем на
основе конкретных целей безопасности организации. Каждый интерфейс логически и
физически соединяется с отдельными сегментами сети.
## Выбор правильной топологии брандмауэра
Прежде чем развертывать брандмауэр в сети в рамках своей стратегии защиты
периметра, организации должны понять, какая топология брандмауэра лучше всего
соответствует их бизнес-потребностям.
### Bastion host
Этот тип топологии идеально подходит для простых сетей. Он отслеживает трафик
между частной сетью и внешним миром (интернетом). Эта топология предлагает
один уровень защиты. Сеть может быть скомпрометирована, если злоумышленник
проникает через этот слой. Ограничение доступа каждого пользователя в интернет
через этот брандмауэр обеспечивает относительную безопасность сети от угроз.
Организации используют эту топологию для защиты корпоративной сети,
предназначенной для серфинга в интернете и других внутренних коммуникаций. Он
не обеспечивает достаточной защиты для веб-хостинга или защиты почтового
сервера.
### Screened subnet
Этот тип топологии идеально подходит для организации, размещающей веб-сайт или
сервер электронной почты. Экранированная топология подсети обеспечивает
безопасные службы для пользователей интернета. В этом типе топологии серверы,
предоставляющие публичные услуги, устанавливаются в отдельной зоне,
называемой демилитаризованной зоной (DMZ), что обеспечивает безопасность
доверенной сети от интернета. Пользователи внутри доверенной сети будут иметь
доступ к интернету через DMZ. Даже если злоумышленник компрометирует
брандмауэр, он не может получить доступ к сети внутри DMZ.
### Multi homed firewall
Multi homed firewall обеспечивает преимущество защиты доверенной сети, даже если
демилитаризованная зона (DMZ) скомпрометирована. Эта топология работает на
двух или более сетевых интерфейсах. Один интерфейс подключается к ненадежной
сети (интернет), а другой интерфейс подключается к доверенной сети.
Google Drive
Gist
Clipboard
Sign in with Wallet
