tbook.pdf
(
181 KB
)
Pobierz
Bezpieczne konguracje sieci komputerowych
Praca dyplomowa
Tomasz Jordan Kruk
T.Kruk@ia.pw.edu.pl
2 listopada 2004
2
Spis tre±ci
1
Projektowanie bezpiecznej konguracji sieci
5
1.1
Strategie zabezpiecze«
. . . . . . . . . . . . . . . . . . . . . . . . .
5
1.2
Architektury styku z sieci¡ Internet
. . . . . . . . . . . . . . . . . .
8
1.2.1
Wszystko w jednym
. . . . . . . . . . . . . . . . . . . . . .
8
1.2.2
Architektura ekranowanego hosta
. . . . . . . . . . . . . . .
9
1.2.3
Architektura ekranowanej podsieci
. . . . . . . . . . . . . .
11
1.3
Zalecenia odno±nie bezpiecznej konguracji
. . . . . . . . . . . . .
15
3
SPIS TRECI
4
Rozdziaª 1
Projektowanie bezpiecznej
konguracji sieci
1.1
Strategie zabezpiecze«
Przed opisaniem poszczególnych architektur zabezpiecze« sieci przedstawione zostan¡
podstawowe strategie u»ywane do wymuszania bezpiecze«stwa w sieci.
Jedn¡ z najbardziej podstawowych zasad bezpiecze«stwa jest
zasada minimalnych
przywilejów
(ang.
least privilege
). Polega ona na tym, »e ka»dy obiekt (u»ytkownik,
administrator, program, system itp.) powinien mie¢ tylko takie uprawnienia, które s¡
mu niezb¦dne do wykonania przydzielonego zadania - i »adnych wi¦cej. Pomaga to
ograniczy¢ ryzyko ataku i zniszcze«, które spowoduje. Nie ka»dy u»ytkownik musi
mie¢ dost¦p do wszystkich usªug internetowych. Nie ka»dy musi mie¢ mo»liwo±¢
czytania wszystkich plików w systemie.
Nie ka»dy system musi mie¢ dost¦p do
wszystkich plików innego systemu.
Klasycznym przykªadem jest rejestrowanie si¦ administratora systemu uniksowego
do systemu. Do±wiadczeni administratorzy nigdy nie rejestruj¡ si¦ do systemu jako
u»ytkownik
root
. Ka»dy ma wªasne konto z prawami zwykªego u»ytkownika, na-
tomiast przeª¡cza si¦ komend¡
su
(ang.
switch user
) na u»ytkownika
root
tylko w
przypadku konieczno±ci dokonania wªa±ciwych czynno±ci administracyjnych.
Inn¡ zasad¡ bezpiecze«stwa jest tzw.
dogª¦bna obrona
(ang.
defence in depth
).
Nie powinno si¦ polega¢ na tylko jednym mechanizmie zabezpieczaj¡cym, jakkolwiek
wydaje si¦ skuteczny. Powinno si¦ instalowa¢ wiele mechanizmów wspieraj¡cych
b¡d¹ te» uzupeªniaj¡cych swoj¡ funkcjonalno±¢. Nie jest realistycznym zaªo»enie,
i» nasze pojedyncze zabezpieczenie jest nie do zªamania. Dlatego te» powinno si¦
stosowa¢ ochron¦ wielowarstwow¡. Nale»y zapami¦ta¢, i» celem stosowania nad-
miarowych zabezpiecze« nie jest gªównie obrona przed atakami, lecz ochrona przed
awariami innych poziomów zabezpiecze«.
Kolejn¡ zasad¡ bezpiecze«stwa jest wykorzystywanie tzw.
w¡skiego przej±cia
(ang.
choke point
). W¡skie przej±cie zmusza napastników do u»ywania kanaªu, który
mo»na kontrolowa¢ i monitorowa¢. W sieciach takim w¡skim gardªem jest ±ciana
ogniowa mi¦dzy sieci¡ wewn¦trzn¡ a sieci¡ zewn¦trzn¡. Ka»dy, kto chce zaatakowa¢
sie¢ wewn¦trzn¡ z sieci zewn¦trznej, musi u»y¢ tego kanaªu, który z kolei powinien
by¢ dostatecznie zabezpieczony przed próbami ataków. Koncepcja w¡skiego przej-
±cia staje si¦ bezu»yteczna, gdy istnieje inna efektywna droga do systemu.
Takim
5
Plik z chomika:
megaq33
Inne pliki z tego folderu:
e-book Bezprzewodowe sieci komputerowe - helion.pdf
(9292 KB)
Hakin9.37.(05.2008).PL.pdf
(5802 KB)
LW311_manual_pol.pdf
(1661 KB)
magisterka.pdf
(8920 KB)
NDSS05-1107.pdf
(184 KB)
Inne foldery tego chomika:
BT5r1-GNOME-64
filmy szkoleniowe
konfiguracja
pdfy do przeczytania
praca dyplomowa do przegladu
Zgłoś jeśli
naruszono regulamin