ИНТЕРНЕТ МАГАЗИН: КНИГИ, электронные книги, на английском языке, софт — купить, заказать почтой, опт недорого, отзывы, форумы и общение друзей

Об авторе
О приглашенных авторах
О рецензентах
Посвящение
Благодарности
Предисловие
Вступительное слово
Введение
Аудитория книги
Особенности книги
Соглашения, принятые в книге
Структура материала книги
Часть I. Выбор политики защиты

Глава 1. Угрозы безопасности сети
Необходимость защиты сети
Причины возникновения проблем защиты
Три главные причины проблем защиты
Противника следует знать: мотивы действий нарушителя
Типы угроз безопасности сети
Разведка
Несанкционированный доступ
Блокирование сервиса
Подтасовка данных
Возможность защиты Резюме
Контрольные вопросы Ссылки
Защита сетей и бизнес
Хакеры и их средства
Web-узлы, посвященные вопросам безопасности
Обзоры и отчеты, посвященные вопросам безопасности
Описания сетевых вторжений

Глава 2. Оценка политики защиты
Важность защиты сети
Процесс оценки состояния защиты
Оценка политики сетевой защиты
Политика защиты сети компании ХУZ
Защита сети
Мониторинг системы защиты сети
Тестирование состояния защиты с помощью средств аудита
Совершенствование состояния системы защиты
Анализ практики защиты сетей
Пример 1. Открытая политика защиты
Пример 2. Ограничивающая политика защиты
Пример 3. Закрытая политика защиты
Результат исследования
Резюме
Практическое занятие. Оценка политики защиты сети компании ХУZ
План практического занятия
Ответы на вопросы практического занятия
Контрольные вопросы
Ссылки
Разработка политики защиты
Примеры политики защиты и соответствующие рекомендации
Центры реагирования на инциденты защиты
Другие Web-узлы, посвященные вопросам защиты

Глава 3. Защита инфраструктуры сети
Проблемы защиты территориальной сети и варианты их решения
Защита физических устройств
Защита административного интерфейса
Защита доступа к консоли
Шифрование паролей
Настройка параметров линии
Использование многоуровневой системы привилегий
Использование информационных баннеров устройств
Управление доступом Теlnet
Управление доступом SNMP
Защита связи между маршрутизаторами
Аутентификация протокола маршрутизации
Защита файлов конфигурации маршрутизатора
Управление потоком данных с помощью фильтров
Запрет обработки маршрутов, указанных в обновлениях
Входные сетевые фильтры
Пример политики контроля потока данных
Управление доступом НТТР к маршрутизатору
Защита коммутаторов Еthernet
Контроль управляющего доступа к коммутаторам Еthernet
Защита портов коммутаторов Еthernet
Защита доступа к коммутаторам Еthernet
Резюме
Практическое занятие. Настройка базовых средств сетевой защиты
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации маршрутизатора R2
Контрольные вопросы
Ссылки
Общие вопросы конфигурации средств защиты маршрутизаторов
Стандартные и расширенные списки доступа
SNNP
Аутентификация соседних маршрутизаторов
Защита коммутаторов Еthernet

Часть П. Зашита удаленного доступа
Глава 4. Технология защиты АAА
Защита сетевого доступа с помощью средств ААА
Архитектура защиты ААА
Средства ААА и трафик доступа
Методы аутентификации
Аутентификация по имени и паролю
Аутентификация S/Кеу
Идентификационные карты и серверы
Аутентификация РАР и СНАР
Методы авторизации
Методы аудита
Серверы защиты ААА
ААА и локальная база данных защиты
ААА и удаленная база данных защиты
Стандарты базы данных защиты, поддерживаемые Сiscо
Резюме
Контрольные вопросы
Ссылки
Серверы идентификационных карт
S/Кеу
РРР
СНАР
МD5
ТАСАСS+
RАDIUS
КегЬеrоs
Сервер защиты СisсоSесuге АСS и программное обеспечение Cisco IOS

Глава 5. Настройка средств АAА сервера сетевого доступа
Проблема защиты удаленного доступа и ее решение
Конфигурация средств ААА сервера сетевого доступа
Шаг 1. Защита привилегированного режима ЕХЕС и режима конфигурации
Шаг 2. Глобальная активизация ААА в сервере сетевого доступа
Шаг 3. Настройка профилей аутентификации ААА
Шаг 4, Настройка средств авторизации ААА
Шаг 5. Настройка параметров аудита ААА
Шаг 6. Отладка конфигурации Резюме
Практическое занятие. Конфигурация средств ААА сервера сетевого доступа
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации сервера сетевого доступа Контрольные вопросы Ссылки
Политика защиты
Конфигурация ААА

Глава 6. Настройка CiscoSecure ACS и ТАСАСS+/RАDIUS
CiscoSecure ACS для Windows NT и UNIX
Поддержка ТАСАСS+
Поддержка RАDIUS
CiscoSecure ACS для Windows NT
Возможности СSNТ
Системные требования СSNТ
Архитектура СSNТ
Поддержка идентификационных карт
Установка СSNТ
Администрирование СSNТ и исправление ошибок конфигурации
CiscoSecure ACS для UNIX
Возможности СUNIX
Системные требования СUNIX
Настройка ТАСАСS+ для СiscoSесurе АСS
Активизация и настройка ААА
Команды конфигурации ААА
Пример конфигурации средств ААА/ТАСАСS+ сервера сетевого доступа
Тестирование ТАСАСS+ и исправление ошибок конфигурации
Настройка RADOUS для СiscoSecure ACS
Активизация и настройка ААА
Команды конфигурации ААА
Пример конфигурации средств ААА/RАDIUS сервера сетевого доступа
Тестирование RADIUS и исправление ошибок конфигурации
Двойная аутентификация
Проблемы использования только аутентификации РАР или СНАР
Решение, предлагаемое двойной аутентификацией
Требования двойной аутентификации
Резюме
Практическое занятие. Настройка СSNТ
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации СSNТ
Контрольные вопросы
Ссылки
Политика защиты
Конфигурация ТАСАСS+/RADIUS
CiscoSecure ACS

Часть III. Защита межсетевых соединений
Глава 7. Настройка маршрутизатора периметра Сisсо
Системы защиты периметра сети Сisсо
Маршрутизаторы периметра Сisсо
Демилитаризованные зоны (ДМЗ)
Бастионный хост
Брандмауэр
Управление сервисами ТСР/IР
Защита от несанкционированных изменений маршрутов
Статические маршруты
Контроль объявления маршрутов
Аутентификация маршрутов
Управление доступом
Входной пакетный фильтр
Выходной пакетный фильтр
Защита типа замка Защита от блокирования сервиса
Предотвращение распределенных атак блокирования сервиса
Средства ТСР-перехвата для защиты от синхронных атак
Применение шифрования сетевого уровня
Средства СЕТ шифрования сетевого уровня
Средства IРSес шифрования сетевого уровня
Средства трансляции IР-адресов
Использование NАТ
Настройка динамических средств NАТ
Использование РАТ
Настройка средств РАТ
Регистрация событий маршрутизатора периметра
Резюме
Практическое занятие. Настройка маршрутизатора периметра Cisco
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации маршрутизатора периметра
Контрольные вопросы
Ссылки
Общие вопросы защиты периметра
Cisco IOS Firewall
Защита от блокирования сервиса и фильтрация пакетов
Средства NАТ и РАТ
Почтовые списки защиты

Глава 8. Настройка Cisco IOS Firewall
Задачи защиты Cisco IOS Firewall и пути их решения
Конфигурация Cisco IOS Firewall
Возможности Cisco IOS Firewall
Обнаружение вторжений
Подготовка Cisco IOS Firewall
Функционирование СВАС
Настройка СВАС
Шаг 1. Выбор интерфейса для СВАС
Шаг 2. Настройка списков доступа IР для интерфейса
Шаг 3. Установка глобальных пороговых значений
Шаг 4. Выбор правила проверки
Шаг 5. Применение правила проверки к интерфейсу
Шаг 6. Тестирование и контроль СВАС
Управление Cisco IOS Firewall
Управление с командной строки
Возможности СоnfigMaker
Резюме
Практическое занятие. Настройка Cisco IOS Firewall
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации Cisco IOS Firewall
Контрольные вопросы
Ссылки
Настройка брандмауэров
Настройка Cisco IOS Firewall

Часть IV. Настройка CiscoSecure PIX Firewall
Глава 9. Возможности PIX Firewall
Что такое PIX Firewall
Возможности и функционирование PIX Firewall
Движение через PIX Firewall извне
Адаптивный алгоритм защиты (АSА)
Использование каналов и статических карт для входящего доступа
Сквозная опосредованная аутентификация пользователей
Модели брандмауэров PIX Firewall и их компоненты
CiscoSecure PIX 515
CiscoSecure Р1Х 520
Интерфейсы, поддерживаемые брандмауэрами РIХ
Настройка брандмауэра PIX Firewall
Интерфейс командной строки брандмауэра РIХ
Реализация защиты интерфейсов
Команды interfase и ip addres
Трансляция сетевых адресов с помощью команд global и nat
Тестирование конфигурации брандмауэра PIX Firewall
Пример конфигурации брандмауэра PIX Firewall
Практическое занятие. Настройка трансляции сетевых адресов
в брандмауэре PIX Firewall
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации брандмауэра PIX Firewall
Контрольные вопросы
Ссылки
Трансляция сетевых адресов
Нарушения и хакеры
Интерфейс командной строки
Сетевая защита
Другие ресурсы, посвященные сетевой защите

Глава 10. Настройка доступа через PIX Firewall
Настройка управления исходящим доступом
Средства NАТ брандмауэра РIХ
Настройка NАТ для контроля исходящего доступа
Трансляция адресов портов
Трансляция NetBIOS
Контроль входящего и исходящего доступа
Приложения мультимедиа, поддерживаемые брандмауэром PIХ
Управление доступом к внутренним хостам
Статическая трансляция
Разрешение доступа ping
Система DNS Guard и защита от атак блокирования сервиса
Резюме
Практическое занятие. Настройка брандмауэра PIX Firewall для защищенной двунаправленной связи
План практического занятия
Топология
Политика сетевой защиты
Пример конфигурации брандмауэра PIX Firewall
Контрольные вопросы
Ссылки
Настройка команд conduit
Атаки блокирования сервиса
Объекты xlate и структура команд

Глава 11. Настройка интерфейсов и средств ААА PIX Firewall
Настройка доступа к множеству интерфейсов
Настройка средств поддержки множества интерфейсов
Настройка внутреннего интерфейса для внешнего мира: команды global и nаt
Команда SNOW и другие полезные команды
Настройка внешнего интерфейса для ДМЗ: команды static и conduit
Разрешение доступа ping и фильтрация IСМР
Настройка вывода Syslog
Настройка аутентификации пользователей
Настройка сервера ААА брандмауэра PIX Firewall
Примеры настройки средств ААА
Резюме
Практическое занятие. Настройка множества интерфейсов и средств ААА брандмауэра PIX Firewall
План практического занятия
Топология
Структура сети и политика сетевой защиты
Пример конфигурации брандмауэра PIX Firewall компании ХУZ
Контрольные вопросы
Ссылки
Общая информация о брандмауэрах Р1Х Р1ге\уа11
Информация о средствах ААА
Общие вопросы защиты
Информация о программном обеспечении брандмауэра PIX Firewall

Глава 12. Использование дополнительных возможностей PIX Firewall
Усовершенствованная трансляция сетевых адресов: NАТ 0
Контроль исходящего доступа
Примеры управления исходящим доступом
Блокирование аплетов Jаvа и фильтрация URL
Блокирование аплетов Jаvа
Фильтрация URL
Настройка контрольных записей FТР и URL
Настройка SNМР
Настройка средств обработки отказов брандмауэра PIX Firewall
Базовая обработка отказов
Полномасштабная обработка отказов
Процесс обработки отказов
Настройка параметров обработки отказов
Настройка возможностей VPN
Шифрование Privste Linc
Настройка поддержки РРТР
Менеджер политики СiscoSecure
Сопровождение брандмауэра PIX Firewall
Восстановление паролей брандмауэра PIX Firewall
Обновление программного обеспечения PIX Firewall
Резюме
Практическое занятие. Настройка дополнительных возможностей брандмауэра PIX Firewall
План практического занятия
Топология
Структура сети и дополнения политики защиты
Пример конфигурации брандмауэра PIX Firewall компании ХУZ
Контрольные вопросы
Ссылки
Фильтрация URL
Шифрование Privanr Link
Протокол РРТР
Сервер ТFТР
CiscoSecure Polic Manager
Центр программного обеспечения CiscoSecure

Часть У. Технология шифрования Cisco
Глава 13. Обзор технологии шифрования Сisсо
Реализация технологии шифрования
Проблема целостности данных и возможности ее решения
Что такое шифрование
Как работают средства шифрования
Приложения шифрования
Варианты реализации возможностей шифрования
Обзор криптосистемы Cisco IOS
Шифрование DES
Алгоритм MD5 хэширования сообщений
Шифрование DSS
Согласование ключей по методу Диффи-Хеллмана
Резюме
Контрольные вопросы
Ссылки
Функционирование CЕТ
Алгоритмы шифрования и их действие
MD5
DSS
Другие источники информации о шифровании

Глава 14. Применение шифрования Cisco
Основы CЕТ
Криптографические модули СЕТ
Действие СЕТ
Настройка СЕТ
Задача 1. Генерирование открытого и личного ключей DSS
Задача 2. Обмен открытыми ключами DSS
Задача 3. Определение глобальной политики шифрования
Задача 4. Согласование сеансовой политики шифрования
Задача 5. Проверка конфигурации и действия системы шифрования
Диагностика и отладка СЕТ
Команды отладки
Примеры вывода команды debug crypto sesngmt
Вопросы реализации шифрования
Вопросы планирования
Рекомендации по настройке СЕТ
Экспортная политика шифрования
Планирование задач шифрования
Общее планирование
Планирование конфигурации узлов
Процедуры конфигурации
Резюме
Контрольные вопросы
Ссылки
Технология СЕТ, планирование ее применения и настройка
Информация о ЕSА и VIP2-40
Настройка СЕТ

Часть VI. Виртуальные частные сети, использующие 1РSec
Глава 15. Поддержка IРSес в сетях Cisco
Создание защищенных сетей VPN с помощью IРSес
Протоколы VРN
Что такое IРSес
Ассоциации защиты
Инфраструктура IРSес
Как работает IРSес
Шаг 1. Начало процесса IРSес
Шаг 2. Первая фаза IKЕ
Шаг 3. Вторая фаза IKЕ
Шаг 4. Передача данных
Шаг 5. Завершение работы туннеля IРSес
Технологии, используемые в рамках IРSес
Протокол АН
Протокол ЕSР
Стандарт DЕS
Протокол IКЕ
Согласование ключей по схеме Диффи-Хеллмана
Коды НМАС
Защита RSА
Инфраструктура открытых ключей и поддержка центров сертификации
Стандарты центров сертификации
Работа центра сертификации с SСЕР
Поддержка сервера СА
Потоки IКЕ и IРSес в программном обеспечении СIsco IOS
Настройка шифрования IРSес
Задача 1. Подготовка к использованию IРSес
Резюме
Контрольные вопросы
Ссылки
Стандарты IРSес
Шифрование
IKE
Алгоритмы хэширования
Криптография с открытым ключом
Цифровые сертификаты и центры сертификации
Общие вопросы защиты

Глава 16. Настройка Cisco IOS для поддержки IРSес
Настройка IРSес для работы с общими ключами
Задача 1. Подготовка к использованию IРSес
Задача 2. Настройка IКЕ для работы с общими ключами
Задача 3. Настройка IРSес
Задача 4. Тестирование и контроль IРSес
Настройка IРSес для работы с шифрованными оказиями
Задача 1. Подготовка к использованию IРSес
Задача 2. Настройка шифрования RSА
Задача 3. Настройка IКЕ для работы с шифрованными оказиями
Резюме
Практическое занятие. Настройка IРSес Сisсо ISO для работы с общими ключами
План практического занятия
Топология
Политика защиты сети
Пример конфигурации маршрутизатора периметра
Контрольные вопросы
Ссылки
Конфигурация IКЕ
Конфигурация IРSес
Расширенные списки доступа IР
Системные сообщения об ошибках и сообщения отладки

Глава 17. Настройка IРSес в брандмауэре PIX Firewall
Задача 1. Подготовка к использованию IРSес
Задача 2. Настройка IКЕ для работы с общими ключами
Шаг 1. Активизация или отключение 1КЕ
Шаг 2. Создание политик IКЕ
Шаг 3. Выбор согласованных общих ключей
Шаг 4. Проверка конфигурации IКЕ
Задача 3. Настройка IРSес
Шаг 1. Создание списков шифрованного доступа
Шаг 2. Настройка наборов преобразований
Шаг 3. Установка глобальных пределов существования для ассоциаций защиты IРSес
Шаг 4. Создание криптографических карт
Шаг 5. Применение криптографических карт к интерфейсам
Шаг 6. Проверка конфигурации IРSес
Задача 4. Тестирование и контроль IРSес
Проверка конфигурации и функционирования IКЕ
Проверка конфигурации и функционирования IРSес
Мониторинг и управление связями IКЕ и IРSес
Резюме
Практическое занятие. Настройка средств IРSес брандмауэра PIX Firewall для работы с общими ключами
План практического занятия
Топология
Политика защиты сети
Пример конфигурации для брандмауэра РIХ 1
Пример конфигурации для брандмауэра РIХ 2
Контрольные вопросы
Ссылки

Глава 18. Масштабирование сетей IРSес
Поддержка центров сертификации в маршрутизаторах и брандмауэрах
Задача 1. Подготовка к использованию IРSес
Задача 2. Настройка средств поддержки центров сертификации
Задача 3. Настройка IKЕ для IРSес
Задача 4. Настройка IРSес
Задача 5. Проверка конфигурации VРН
Масштабирование поддержки VРН в сетях Сiscо
Настройка динамических криптографических карт
Настройка режима IКЕ mode config
Настройка расширенной аутентификации IРSес
Настройка средств распознавания конечных точек туннелей
Резюме
Контрольные вопросы
Ссылки
Стандарты СА и соответствующие обзоры
Настройка СА в рамках Сisco IОS Software
Поддержка сервера СА для брандмауэра PIX Firewall
Стандарты IРSес и документы RFC
Профамма поддержки безопасности

Часть VII. Приложения I
Приложение А. Структура сети компании ХУZ
Общая характеристика компании ХУZ
Удаленный доступ
Доступ к internet
Подразделения компании
Подразделение информационных систем
Подразделение сбыта
Подразделение разработки Цели сетевой защиты компании ХУZ
Приложение Б. Политика сетевой защиты компании ХУZ
Приложение В. Настройка стандартных и расширенных списков доступа
IР-адресация и общая структура списков доступа
IР-адресация
Групповые маски
Общие задачи настройки списков доступа
Принципы построения списков доступа Настройка стандартных списков доступа IР
Обработка стандартных списков доступа
Команды стандартного списка доступа
Размещение стандартных списков доступа
Типичные ошибки в стандартных списках доступа
Пример стандартного списка доступа Настройка расширенных списков доступа IР
Обработка расширенных списков доступа
Команды расширенного списка доступа IР
Синтаксис команд IСМР
Синтаксис команд ТСР
Синтаксис команд UDР
Размещение расширенных списков доступа IР
Первый пример расширенного списка доступа IР
Второй пример расширенного списка доступа IР
Проверка конфигурации списка доступа Именованные списки доступа IР
Резюме
Ссылки
Настройка списков доступа IР
Протокол IР и правила адресации
Приложение Г. Ответы на контрольные вопросы
Предметный указатель