По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Давайте для начала разберемся, что же такое сегментация сети. Это важный инструмент защиты информации, который позволяет уменьшить площадь атаки при проникновениях в сеть, а также способ защититься от таких атак с отказом в обслуживании как бродкастный шторм (слишком большое количество широковещательных запросов в единицу времени). Для чего требуется сегментация сети? Чтобы снизить риск на получения ущерба от злоумышленников в корпоративных инфраструктурах существует сегментация сети. Этот процесс помогает уменьшить вероятность повреждения данных, тем самым снизив многие риски информационной безопасности. Сегментация сети выполняет разделение юзеров на различные сетевые группы, которые изолированы друг от друга. В зависимости от политик сегментации (которые чаще всего регламентируются департаментом ИБ), обмен информацией между группами может строго контролироваться, а также быть недоступным. Политика безопасности компаний определяет некие принципы, которые позволяют подразделить сотрудников на некоторые подгруппы: гость, временный персонал, сотрудник. А также представленные подгруппы, можно разделить на группы, к примеру: рядовой работник, руководитель и так далее. Сегментацию сети желательно выполнять при полной реализации бизнес-процессов. К таким процессам относится выдача доступа к сети интернет пользователям, не состоящих в рядах работников компании, так сказать, гостевым юзерам. Помимо гостей, к сети также требуется подключение различных устройств, которые используются в другой организации. А также возможно привести еще один пример с использованием сегментации сети, это разграничение доступа между работниками, которые используют одну сеть. Таковых сценариев может быть очень много. Популярные методы выполнения сегментации сети Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи: Определить, действительно ли пользователь принадлежит той или иной группе в сети; Ограничить доступ к интернет-трафику юзеров из одной группы, от группы других; Предоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуется наложить запрет на остальную информацию. Решением первой задачи является использование технологии802.1x в корпоративных сетях - то есть использование дополнительного фактора (например, учетки в AD и сертификата) для получения доступа в сеть. Вторая проблема решается с помощью создания дополнительных виртуальных сетей, путем создания разных для сотрудников разных департаментов и т.д - отдельный серверный сегмент, отдельная DMZ и пр. Для решения третьей задачи обычно используется фильтрация на основе IP-адресов. Контроль доступа обычно может быть реализован двумя способами: грубыми средствами и тонкой фильтрацией. Это реализуется с помощью листов контроля доступа - обычных, расширенных и динамических. Ограничения традиционных методов сегментации Если использовать популярные подходы для исправления второй и третьей задачи, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть. Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. Например, могут отличаться: Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний; Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее; Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети; Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментация это не единовременная операция, а постоянный и очень важный процесс. На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec. Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети.
img
Свободное программное обеспечение Свободным называется программное обеспечение, права на использование которого определены простой лицензией, разрешающей пользователю: использовать программу для ЭВМ в любых, не запрещенных законом целях; получать доступ к исходным текстам программы как в целях изучения и адаптации, так и в целях переработки программы для ЭВМ; распространять программу бесплатно или за плату; вносить изменения в программу для ЭВМ и распространять экземпляры измененной программы с учетом возможных требований наследования лицензии. Программное обеспечение с открытыми исходными кодами (open source software) программное обеспечение, исходные коды которого свободно доступны. Одна лишь доступность кода, не даёт оснований считать его свободным, поскольку не влечет передачи права свободного распространения, модификации и права распространения модифицированного кода. Основные положения в области создания, распространения и использования свободного программного обеспечения, в том числе для государственных и муниципальных нужд, отражены в ГОСТ Р 54593-2011 "Информационные технологии. Свободное программное обеспечение". Свободное программное обеспечение защищено авторским правом при помощи свободных лицензий. Лицензия свободного ПО (free software licence)- это лицензия на программное обеспечение, которая предоставляет получателям права копировать, модифицировать и повторно распространять программу. В случае, так называемого "проприетарного ПО", эти действия, как правило, запрещены. Существует несколько разновидностей свободных лицензий. В основном, они подразделяются на два вида: требующие распространения модифицированных версий ПО на тех же условиях, на которых были предоставлены права использования (лицензия GNU GPL), и разрешающие изменять права использования модифицированных версий (лицензия BSD). Самым масштабным примером успешного использования свободного ПО является Интернет, который основан на стеке TCP/IP, веб-сервере Apache, серверах DNS - всё это СПО, базирующееся на открытых стандартах. Разработкой свободных программ занимается значительное число крупных фирм, из разработчиков дистрибутивов Linux: Американские Red Hat, и Novell, SuSE, Французско-Бразильская Mandriva, Южно-Африканская Ubuntu. Среди систем, получивших в России государственную сертификацию много свободных: Atlix производства НПО "Атлас", ИВК-Кольчуга межсетевой экран на базе СПО, ОС Альт производства "Базальт СПО", ОС Astra Linux производства АО "НПО РусБИТех". Для государства применение СПО дает возможность обеспечить высокий уровень информационной безопасности за счёт публичного доступа к исходному коду и его независимого аудита. Проприетарные приложения нередко содержат недокументированные функции, что является потенциальной угрозой. СПО не требует лицензионных выплат за каждый установленный экземпляр программы. Использование операционной системы Альт для построения межсетевого экрана Компания "Базальт СПО" - отечественный разработчик программного обеспечения, на базе которого можно построить инфраструктуру любого масштаба. На базе репозитория Sisyphus (Сизиф), который разрабатывается компанией "Базальт СПО", выпускаются российские операционные системы для серверов и рабочих станций. В сентябре 2016 года в Единый реестр российских программ для электронных вычислительных машин и баз данных были включены основные базовые системы, такие как: Базальт Рабочая Станция (№1292), Альт Сервер (№1541) и Альт Образование (№1912). Операционную систему Альт можно использовать для любых задач, начиная от простых потребностей обычного пользователя (редактирование документов, просмотр web-страниц интернета, воспроизведение мультимедиа) до профессиональных задач, включая защиту информации и структуру сети. Операционные системы Альт совместимы аппаратными платформами всех ведущих производителей, таких как Intel, AMD, Nvidia, Seagate, Genius и др. ОС Альт имеет встроенный пакет прикладного программного обеспечения, а также большую базу ПО в репозитории Sisyphus, которая постоянно пополняется. Программный комплекс поддерживает ведение бухгалтерского и налогового учёта, с передачей электронной отчётности контролирующим органам непосредственно из программного обеспечения 1С. В состав прикладного программного обеспечения ОС Альт входит Iptables. Это пользовательская консольная программа, предназначенная для управления межсетевым экраном Netfilter (Рисунок 1.1). Посредством Netfilter/iptables можно настроить межсетевой экран любой сложности, начиная от простого запрета доступа к FTP серверу, заканчивая ограничением доступа к участкам сети и распределением пропускной способности канала. Использование технологии виртуализации Oracle Virtual Box Для работы с операционной системой ОС Альт нужен отдельный компьютер или ОС Альт можно установить на компьютере c ОС Windows, для работы в режиме эмуляции, который может обеспечить использование программы Oracle VM VirtualBox Oracle VM VirtualBox (VirtualBox) - программный продукт виртуализации для операционных систем Microsoft Windows, Linux, FreeBSD. Начиная с версии 4, выпущенной в декабре 2010 года, основная часть продукта распространяется бесплатно под лицензией GPL v2. Устанавливаемый поверх неё дополнительный пакет, обеспечивающий поддержку устройств USB 2.0 и 3.0, протокол удалённого рабочего стола (RDP). Для использования операционной системы ОС Альт я установил VirtualBox на своем компьютере под управлением OC Windows 10. Системные требования для развертывания одного экземпляра VirtualBox: оперативная память: от 1 Гб, жесткий диск: от 32 Гб, порт Ethernet, периферийное оборудование стандартное При изучении межсетевого экранирования может потребоваться до четырех машин, то требования к оборудованию возрастают: Оперативная память: от 1 Гб * 4 = от 4 Гб. Жесткий диск: от 32 Гб * 4 = от 128 Гб. Процесс установки VirtualBox и развертывания ОС Альт может быть выполнен по представленной ниже инструкции. Установка виртуальной машины Перейдя по ссылке в разделе VirtualBox 6.1.4 platform packages выбрать вашу операционную систему и скачать данный дистрибутив (Рисунок 1.2). Установка ОС Альт и настройка виртуальных машин для работы. Запускаем virtualbox и создаем виртуальную машину, для этого в верхней правой части выбрать Создать (Рисунок 1.3). Задаем имя машины (ALT Linux), выбираем тип (Linux) и версию Other Linux (64-bit) если 64-х разрядное ПО, либо Other Linux (32-bit), если 32-х разрядное ПО. Указываем объем памяти от 1024 Мб и создаем новый виртуальный жёсткий диск, после нажимаем создать (Рисунок 1.4). Далее выбираем размер (от 32 Гб), указываем тип VDI и формат хранения динамический виртуальный жёсткий диск. Данный формат занимает только фактический объем (если данных на компьютере 20 Гб, то используя данный формат будет занято 20 Гб, а при фиксированном 32 Гб), затем нажимаем создать (Рисунок 1.5). Виртуальная машина создана, теперь надо настроить ее и установить ОС Альт. Приступаем к настройке сетевых интерфейсов (Рисунок 1.6). Открываем вкладку носители, выбираем контроллер IDE, нажимаем на значок диск, выбрать файл с диска, указываем путь к дистрибутиву формата iso (Рисунок 1.7). Открываем вкладку Сеть и настраиваем Адаптер 1. Выбираем тип подключения: сетевой мост и имя Qualcomm Atheros AR956x Wireless Network Adapter. Затем открываем вкладку Адаптер 2 и Адаптер 3, включаем их кликнув на пустой квадрат, должна появится галочка напротив, текста "Включить сетевой адаптер", далее выбираем тот же тип подключения и имя и нажимаем ОК (Рисунок 1.8). . После настройки Адаптер 1, Адаптер 2 и Адаптер 3 можно установить ОС Альт на виртуальную машину (Рисунок 1.9). Нажимаем запустить Выбираем установка и нажимаем Еnter (Рисунок 1.10). Выбираем язык: русский и сочетание клавиш для переключения между языками, которое вам удобно и нажимаем кнопку далее.
img
Современные IP сети должны обеспечивать надежную передачу пакетов сети VoIP и других важных служб. Эти сервисы должны обеспечивать безопасную передачу, определенную долю предсказуемости поведения трафика на ключевых узлах и конечно гарантированный уровень доставки пакетов. Сетевые администраторы и инженеры обеспечивают гарантированную доставку пакетов путем изменения параметров задержки, джиттера, резервирования полосы пропускания и контроля за потерей пакетов с помощью Quality Of Service (QoS). Современные сети конвергентны. Это означает, что приходящей трафик в корпоративный сегмент сети, будь то VoIP, пакеты видеоконференцсвязи или обычный e-mail приходят по одному каналу передачу от Wide Area Network (WAN) . Каждый из указанных типов имеет свои собственные требования к передаче, например, для электронной почты задержка 700 мс некритична, но задержка 700 мс при обмене RTP пакетами телефонного разговора уже недопустима. Для этого и создаются механизмы QoS [описаны в рекомендации Y.1541]. Рассмотрим главные проблемы в корпоративных сетях: Размер полосы пропускания: Большие графические файлы, мультимедиа, растущее количество голосового и видео трафика создает определенные проблемы для сети передачи; Задержка пакетов (фиксированная и джиттер): Задержка – это время, которое проходит от момента передачи пакета до момента получения. Зачастую, такая задержка называется «end-to-end», что означает точка – точка. Она бывает двух типов: Фиксированная задержка: Данные вид задержки имеет так же два подтипа: задержка сериализации и распространения. Сериализация - это время затрачиваемое оборудованием на перемещение бит информации в канал передачи. Чем шире пропускная способность канала передачи, тем меньше время тратится на сериализацию. Задержка распространения это время, требуемое для передачи одного бита информации на другой конец канала передачи; Переменная сетевая задержка: Задержка пакета в очереди относится к категории переменной задержки. В частности, время, которое пакет проводит в буфере интерфейса, зависит от загрузки сети и относится так же к переменной сетевой задержке; Изменение задержки (джиттер): Джиттер это дельта, а именно, разница между задержками двух пакетов; Потеря пакетов: Потеря пакетов, как правило, вызывается превышением лимита пропускной способности, в результате чего теряются пакеты и происходят неудобства в процессе телефонного разговора. Размер полосы пропускания Рисунок иллюстрирует сети с четырьмя «хопами» - промежуточными узлами на пути следования пакета между сервером и клиентом. Каждый «хоп» соединен между собой своим типом среды передачи в разной пропускной способностью. В данном случае, максимальная доступная полоса для передачи равна полосе пропускания самого «узкого» места, то есть с самой низкой пропускной способностью. Расчет доступной пропускной способности - это неотъемлемая часть настройки QoS, которая является процессом, осложненным наличием множества потоков трафика проходящего через сеть передачи данных и их необходимо учесть. Расчет доступной полосы пропускания происходит приблизительно по следующей формуле: A=Bmax/F где A – доступная полоса пропускания, Bmax – максимальная полоса пропускания, а F – количество потоков. Наиболее правильным методом при расчете пропускной способности является расчет с запасом в 10-20% от расчетной величины. Однако, увеличение пропускной способности вызывает удорожание всей сети и занимает много времени на осуществление. Но современные механизмы QoS могут быть использованы для эффективного и оптимального увеличения доступной пропускной способности для приоритетных приложений. С помощью метода классификации трафика, алгоритм QoS может отдавать приоритет вызову в зависимости от важности, будь то голос или критически важные для бизнеса приложения. Алгоритмы QoS подразумевают предоставление эффективной полосы пропускания согласно требованиям подобных приложений; голосовой трафик должен получать приоритет отправки. Перечислим механизмы Cisco IOS для обеспечения необходимой полосы пропускания: Priority queuing (приоритетная очередь или - PQ) или Custom queuing (пользовательская или настраиваемая очередь - CQ); Modified deficit round robin - MDRR - Модифицированный циклический алгоритм с дополнительной очередью (маршрутизаторы Cisco 1200 серии); Распределенный тип обслуживания, или Type Of Service (ToS) и алгоритм взвешенных очередей (WFQ) (маршрутизаторы Cisco 7x00 серии); Class-Based Weighted Fair Queuing (CBWFQ) или алгоритм очередей, базирующийся на классах; Low latency queuing (LLQ) или очередь с малой задержкой. Оптимизация использования канала путем компрессии поля полезной нагрузки «фреймов» увеличивает пропускную способность канала. С другой стороны, компрессия может увеличить задержку по причине сложности алгоритмов сжатия. Методы Stacker (укладчик) и Predictor (предсказатель) - это два алгоритма сжатия, которые используются в Cisco IOS. Другой алгоритм эффективного использования канала передачи это компрессия заголовков. Сжатие заголовков особенно эффективно в тех сетях, где большинство пакетов имеют маленькое количество информационной нагрузки. Другими словами, если отношение вида (Полезная нагрузка)/(Размер заголовка) мало, то сжатие заголовков будет очень эффективно. Типичным примером компрессии заголовков может стать сжатие TCP и Real-time Transport Protocol (RTP) заголовков. Задержка пакетов из конца в конец и джиттер Рисунок ниже иллюстрирует воздействие сети передачи на такие параметры как задержка пакетов проходящих из одной части сетевого сегмента в другой. Кроме того, если задержка между пакетом с номером i и i + 1 есть величина, не равная нулю, то в добавок к задержке "end-to-end" возникает джиттер. Потеря пакетов в сети при передаче трафика происходит не по причине наличия джиттера, но важно понимать, что его высокое значение может привести к пробелам в телефонном разговоре. Каждый из узлов в сети вносит свою роль в общую задержку: Задержка распространения (propagation delay) появляется в результате ограничения скорости распространения фотонов или электронов в среде передачи (волоконно-оптический кабель или медная витая пара); Задержка сериализации (serialization delay) это время, которое необходимо интерфейсу чтобы переместить биты информации в канал передачи. Это фиксированное значение, которое является функцией от скорости интерфейса; Задержка обработки и очереди в рамках маршрутизатора. Рассмотрим пример, в котором маршрутизаторы корпоративной сети находятся в Иркутске и Москве, и каждый подключен через WAN каналом передачи 128 кбит/с. Расстояние между городами около 5000 км, что означает, что задержка распространения сигнала по оптическому волокну составит примерно 40 мс. Заказчик отправляет голосовой фрейм размером 66 байт (528 бит). Отправка данного фрейма займет фиксированное время на сериализацию, равное: tзс = 528/128000=0,004125с=4.125 мс. Также, необходимо прибавить 40 мс на распространение сигнала. Тогда суммарное время задержки составит 44.125 мс. Исходя из рисунка расчет задержки будет происходить следующим способом: D1+Q1+D2+Q2+D3+Q3+D4 Если канал передачи будет заменен на поток Е1, в таком случае, мы получим задержку серилизации, равную: tзс=528/2048000=0,00025781с=0,258 мс В этом случае, общая задержка передачи будет равнять 40,258 мс.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59