Лекции
Раздел 1. Межсетевые экраны. 1-3 недели (8 часов)
Тема 1. Введение
Важность и актуальность дисциплины. Ее взаимосвязь с другими дисциплинами специальности. Содержание дисциплины. Виды контроля знаний. Состав и классификация средств обеспечения ИБ объектов
Тема 2. Базовые сведения о межсетевых экранах (МЭ)
Назначение и функции МЭ. Основные компоненты МЭ. Принцип работы МЭ, варианты позиционирования МЭ. Руководящий документ Гостехкомиссии РФ по МЭ. Профили защиты для МЭ. Основные типы МЭ: экранирующие концентраторы, пакетные фильтры, шлюзы сеансового уровня, шлюзы прикладного уровня, МЭ экспертного уровня. Персональные МЭ. Основные компоненты МЭ. Слабости МЭ. Выбор реализаций МЭ.
Тема 3. Примеры МЭ
Маршрутизаторы Cisco. Назначение и основные характеристики. Операционная система. Интерфейсы маршрутизаторов.
Основные разделы и подразделы меню комплекса межсетевых экранов ФПСУ-IP. Идентификация и аутентификация комплекса в сети. Удаленное администрирование. Построение VPN на базе комплекса. Комплекс ФПСУ-IP-клиент.
Раздел 2. Виртуальные частные сети (VPN). 4-5 недели (4 часа)
Тема 4. Базовые сведения о VPN
Различные подходы к определению VPN, определение компании Check Point Software Technologies. Цели и задачи применения VPN-технологий. Преимущества VPN по сравнению с защищенными выделенными каналами связи и другими методами организации защищенной связи.
Классификация VPN. Специфика построения VPN. Критерии, предъявляемые к VPN. Классификация VPN компании Check Point по типу устанавливаемых соединений: Intranet VPN, Client\Server VPN, Extranet VPN, Remote Access VPN – определения, характерные черты и особенности использования. Классификация VPN согласно консорциуму VPN (VPNC) по степени защищенности: доверенные, защищенные и смешанные VPN – определения, требования, технологии построения.
VPN в сетях общего пользования. Специфика использования VPN в сетях Frame Relay, ATM, X.25, TCP/IP.
Политики безопасности VPN. Основные варианты создания VPN: защищенные, частные и промежуточные каналы. Варианты политик безопасности при использовании каналов Internet для построения VPN. Интеграция VPN и дополнительных средств защиты: использование PKI, криптографические модули, аудит, антивирусные средства и т.д.
Тема 5. Туннелирование
Механизм туннелирования как основа построения VPN. Общий поход к созданию туннелей, функции конкретных протоколов, участвующих в процессе туннелирования. Обеспечение конфиденциальности, подлинности и целостности при использовании инкапсуляции данных.
Базовая схема VPN. VPN-агенты. Функции VPN-агентов. Обработка входящих и исходящих пакетов. Различные варианты позиционирования и использования VPN-агентов.
Тема 6. Варианты построения VPN
VPN на базе сетевой ОС, МЭ, маршрутизаторов, специализированного ПО, аппаратных средств – основные характеристики, сравнительный анализ.
Раздел 3. Стандартные протоколы создания VPN. 6-10 недели (10 часов)
Тема 7. Протоколы создания VPN 2-го уровня модели OSI
Протокол PPTP. Функции протокола. Компоненты PPTP. Сценарии работы протокола. Архитектура PPTP. Управляющее соединение и управляющие сообщения. Инкапсуляция данных при передаче. Аутентификация, контроль доступа и шифрование. Настройка VPN на базе протокола PPTP в среде Windows 2000.
Протокол L2TP. Основные функции и характеристики протокола. Управление L2TP-туннелем. Управляющие сообщения L2TP. L2TP/IPSec инкапсуляция данных. Обработка входящих и исходящих данных. Настройка VPN на базе протокола L2TP в среде Windows 2000.
Тема 8. Протоколы создания VPN 3-го уровня модели OSI
Архитектура IPSec. Функции, принцип работы, сценарии применения IPSec. Обзор основных компонентов IPSec. Главные базы данных IPSec: SPD, SAD, PAD. Политики безопасности IPSec. Ассоциации безопасности (SA): определение, назначение, процедуры управления. Обработка IP-трафика. Особенности обработки ICMP-трафика и фрагментированных IP-пакетов. Использование аудита в архитектуре IPSec.
Защита данных с помощью протоколов AH и ESP. Инкапсуляция данных в транспортном и туннельном режимах работы. Форматы заголовков. Защищаемые поля IP-заголовка при использовании AH в транспортном режиме. Обработка исходящих (поиск SA, генерация порядкового номера, вычисление ICV и шифрование данных, фрагментация) и входящих (сборка, поиск SA, проверка порядкового номера, проверка ICV, расшифрование, проверка на соответствие записи в SPD) пакетов. Использование комбинированных криптографических алгоритмов в ESP. Особенности использования расширенных (64-битных) порядковых номеров. Защита от повторной передачи пакетов.
Согласование параметров безопасности с использованием протокола IKE. Порядок обмена сообщениями IKE. Сообщения IKE_SA_INIT для согласования параметров безопасности IKE_SA и обмена по протоколу Диффи-Хеллмана. Сообщения IKE_AUTH для аутентификации и установления CHILD_SA для защиты данных с помощью AH или ESP. Сообщения CREATE_CHILD_SA для согласования дополнительных CHILD_SA в рамках данной IKE_SA. Сообщения INFORMATIONAL для сообщения информации о текущем состоянии или ошибках. Детали работы протокола (согласование версий протокола, использование порядковых номеров, генерирование ключевого материала, обработка ошибок и т.д.). Форматы основного заголовка IKE и заголовков сообщений.
Тема 9. Протоколы создания VPN 5-го уровня модели OSI
SSL/TLS.
Раздел 4. Базовые сведения о виртуальных локальных сетях (VLAN). 11 неделя (2 часа)
Тема 10. Виды виртуальных локальных сетей
VLAN c группировкой портов, VLAN с маркированными кадрами, VLAN на основе протоколов высокого уровня. Этапы перехода к VLAN. Протокол VTP. Безопасность в VLAN. Преимущества VLAN.
Раздел 5. Адаптивное управление ИБ объектов. 12-14 недели (6 часов)
Тема 11. Аудит и мониторинг ИБ в открытых системах
Средства анализа защищенности (САЗ) и их место в защите открытых систем. Классификации САЗ. Сетевые сканеры: размещение агентов, принципы работы, этапы работы; сравнение современных реализаций. Системные сканеры. САЗ для приложений. Критерии выбора САЗ.
Методы отражения вторжений: предотвращение, прерывание, сдерживание, отклонение, обнаружение, устранение последствий.
Системы обнаружения/предотвращения вторжений (СОВ/СПВ). Классификация и структура СОВ/СПВ. Системные и сетевые СОВ/СПВ: принципы работы, достоинства и недостатки. Размещение сетевых СОВ/СПВ. Интеллектуальные и поведенческие СОВ. Обнаружение вторжений/злоупотреблений; обнаружение аномалий/сопоставление с образцом. СОВ, их выбор, применение, ограниченность и примеры систем. СПВ, их применение и примеры систем. Сохранение доказательств вторжений. Стандарты в области обнаружения вторжений.
Раздел 6. Другие средства обеспечения ИБ в открытых системах. 15 неделя (2 часа)
Тема 12. Защита от спама
Защита от спама в электронной почте: определение, методы детектирования, архитектура защищенной от спама электронной почты, примеры систем.
Тема 13. Другие средства защиты информации
Многофункциональные устройства защиты от сетевых атак. Системы анализа и управления рисками. Системы обеспечения ИБ на уровне предприятия.
Лабораторные работы
- Лабораторная работа №1. Удалённое управление и туннелирование по протоколу SSH. Шифрованные файловые системы.
- Лабораторная работа №2. Система аутентификации, учёта и аудита в ОС Linux.
- Лабораторная работа №3. Сетевые сканеры безопасности.
- Лабораторная работа №4. Системы обнаружения вторжений.
Литература
- Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем Учебник для вузов в 2-х томах (с грифом Минобразования и науки РФ). Том 2 – Средства защиты в сетях. – М.: Горячая линия-Телеком, 2008, 558 с.
- Амато В. Основы организации сетей Cisco, т 1,2: Пер с англ. – М.: Издательский дом «Вильямс», 2002. – 512с.
- Программно-аппаратный комплекс «ФПСУ-IP», Описание применения. – М.: АМИКОН, 2004. – 52 с.
- VPN Technologies: Definitions and Requirements. VPN Consortium, 2004 [Электронный ресурс]. – Режим доступа: http://www.vpnc.org/vpn-technologies.html.
Дополнительная литература
- Understanding Point-to-Point Tunneling Protocol. Microsoft Corporation, 1997 [Электронный ресурс]. – Режим доступа: www.msdn.microsoft.com/library.
- Security Architecture for the Internet Protocol. S.Kent, K. Seo, IETF IPSec Working Group, 2004 [Электронный ресурс]. – Режим доступа: http://www.ietf.org/html.charters/ipsec-charter.html.
- IP Authentication Header. S.Kent, IETF IPSec Working Group, 2004 [Электронный ресурс]. – Режим доступа: http://www.ietf.org/html.charters/ipsec-charter.html.
- IP Encapsulating Security Payload (ESP). S.Kent, IETF IPSec Working Group, 2004 [Электронный ресурс]. – Режим доступа: http://www.ietf.org/html.charters/ipsec-charter.html.
- Internet Key Exchange (IKEv2) Protocol. Charlie Kaufman, IETF IPSec Working Group, 2004 [Электронный ресурс]. – Режим доступа: http://www.ietf.org/html.charters/ipsec-charter.html.
- IPSec tunnel creation. Chris Gutridge, 2003.