Оценка политики защиты Рис.1. Сравнение потерь от нарушений защиты с затратами на построение и содержание системы защиты

Рис.2. Цикл защиты, иллюстрирующий процесс, который должен поддерживаться предприятием в рамках реализации системы защиты

Рис.3. Баланс между прозрачностью доступа пользователей и максимальной защитой

Что должна включать политика защиты Распределение полномочий и сфер действий Политика приемлемого использования Политика идентификации и аутентификации Политика доступа к Internet Политика внутреннего доступа Политика удаленного доступа Процедура обработки инцидентов

Политика защиты сети компании XYZ Рис.4. Разделение политик защиты сети на открытые, ограничивающие и закрытые

Открытая политика защиты Рис.5. Открытая политика защиты Позволяется все, что явно не запрещается Простота настройки и администрирования Простота в работе для пользователей Стоимость защиты $70 на каждое рабочее место

Рис.6. Сетевая среда, обеспечивающая минимум безопасности

Открытая политика аутентификации и управления доступом Аутентификация: РАР (удаленные клиенты и филиалы) пароли (для узлов территориальной сети и удаленного доступа) Управление доступом: списки доступа в маршрутизаторе WAN и шлюзовом маршрутизаторе отсутствие отдельно размещенных брандмауэров отсутствие шифрования

Ограничивающая политика защиты Рис.7. Ограничивающая политика защиты

Рис.8. Сетевая среда, обеспечивающая средний уровень безопасности

Ограничивающая политика аутентификации и управления доступом Аутентификация: одноразовые пароли (удаленный доступ и Internet) пароли (территориальная сеть) Управление доступом: списки доступа в маршрутизаторе WAN и шлюзовом маршрутизаторе брандмауэр между предприятием и Internet аутентификация маршрутов (филиалы и территориальная сеть) шифрование связей с филиалами

Закрытая политика безопасности Рис.9. Закрытая политика защиты Наиболее сложная настройка и администрирование Наибольшие сложности в работе для пользователей Стоимость защиты $350 на каждое рабочее место

Рис.10. Сетевая среда, реализующая закрытую политику защиты

Закрытая политика аутентификации и управления доступом Аутентификация: цифровые сертификаты (удаленный доступ, связь с филиалами и территориальная сеть) Управление доступом: списки доступа в маршрутизаторе WAN и маршрутизаторе шлюза брандмауэр между сетью предприятия и Internet аутентификация маршрутов (филиалы и территориальная сеть) шифрование (удаленный доступ, связь с филиалами и частично территориальная сеть)

Краткая сводка использования технологий защиты в зависимости от типа политики защиты Критерий ОткрытаяОграничивающая Закрытая Пароли+++ Идентификационные карты--+ Брандмауэры-++ Шифрование-+/-+ Цифровые сертификаты--+

Защита удаленного доступа Технология защиты ААА: Аутентификация «Я – пользователь student, и мой пароль password доказывает это» Авторизация «Пользователь student может иметь доступ к узлу NT_Server посредством telnet» Аудит «Пользователь student получал доступ к узлу NT_Server посредством telnet 15 раз»

Проблемы защиты доступа и их решения Проблема защиты Метод АААПуть реализации Несанкционированный доступ Территориальная сеть Удаленный доступ Интернет Аутентификация Авторизация Пароли Возможности защиты сетевого доступа к сетевому оборудованию Серверы защиты Обман Аудит Возможности аудита сетевого оборудования Серверы защиты

Средства ААА и трафик доступа Рис.9. Технологии ААА, обеспечивающие защиту трафика в символьном и пакетном режимах

Методы аутентификации Рис.10. Методы аутентификации и относительная простота их использования

Рис.11. Удаленный клиент посылает имя пользователя и пароль серверу сетевого доступа для аутентификации

Рис.12. Компоненты системы аутентификации S/Key: удаленный клиент, программное обеспечение клиента S/Key и хост S/Key

Пример использования S/Key 1. Пользователь Sally идентифицирует себя в ответ на стандартное приглашение аутентификации сервера сетевого доступа. User Access Verification Username: sally s/key 98 agst2359 Password: 2. Система CiscoSecure ACS генерирует запрос, включающий порядковый номер 98 для ожидаемого одноразового пароля и agst2359 – для начального числового значения. Эти значения предъявляются пользователю Sally сервером сетевого доступа. 3. В строке приглашения UNIX пользователь Sally вводит 98 и agst2359 в свою программу- калькулятор S/Key, имеющую имя key. Секретным паролем может быть любая строка (не менее 10 буквенно-цифровых символов), выбираемая самим пользователем. % key 98 agst2359 Введите секретный пароль: secret_password Калькулятор S/Key создает одноразовый пароль следующего вида: ANNE JEAN MILK SHAW LARK NEST 4. Полсе этого пользователь Sally снова взаимодействует с сервером сетевого доступа. Он вводит пароль S/Key, чтобы пройти процедуру аутентификации. Password: ANNE JEAN MILK SHAW LARK NEST 5. При следующей попытке пользователя Sally получить доступ к сети будет запрошен одноразовый пароль с порядковым номером 97. Порядковый номер будет на единицу меньше, чем тот, что использовался для предыдущей аутентификации. Когда значение порядкового номера достигнет 0, пользователь Sally не сможет войти в сеть без повторной инициализации калькулятора S/Key с новым секретным паролем.

Рис.13. Шаги аутентификации РАР для протокола РРР

Рис.14. Шаги аутентификации СНАР для протокола РРР

Рис.15. Авторизация означает контроль доступа пользователя к сети и сетевым сервисам

Рис.16. Сервер сетевого доступа, маршрутизатор и удаленная база данных генерируют и обрабатывают информацию аудита