CISCO 5500 series қондырғысының негізінде есептеуіш желілердің құрылымы
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .11
1 CISCO 5500 series қондырғысының негізінде есептеуіш желілердің құрылымы мен оларға жалпы шолу 13
1.1 Желіні қорғау мәселесінің туындау себептері мен талаптары 13
1.2 Желілер қауіпсіздігінің саясаты және оны қамтамассыз ету ... ... ... ... ..18
1.3 CISCO 5500 series қондырғысына жалпы шолу ... ... ... ... ... ... ... ... ... ...
2 “ТЕНГИЗ КЕНСЕ” корпаративтік желісінің периметрін қорғау 18
2.1 Желі периметрін қорғаудың жабдықтары мен бағдарламалық құралды таңдап алу 19
2.2CISCO шифрлау технологиясы .
2.3 “Тенгиз кенсе” корпаративтік желісінің қорғаудың жалпы сипаттамасы .
3 Cisco ASA 5500Series қорғау құрылымын куйге келтіру .
3.1 Негізгі конфигурацияны күйге келтіру24
3.2 Cisco ASA 5500 Series қорғау қондырғысының негізінде желі периметрінің қауіпсіздігін қамтамасыздандырылуы .
4 Техника.экономикалық негіздеу 47
4.1 Кешеннің сипаттамасы 49
4.2 Жобаны орындау бағдарламасы 54
4.3 Кешеннің құнын есептеу 57
5 Өміртіршілік қауіпсіздігі 61
5.1 Еңбек шартының анализі 65
5.2 Жарықтандыруды бағалау 68
5.3 Жасанды жарықтандыруды есептеу 70
5.4 Серверлік бөлменің вентиляция жүйесін есептеу 72
Қорытынды 74
Пайдаланған әдебиеттер тізімі 75
А ҚОСЫМША
Ә ҚОСЫМША
Б ҚОСЫМША
1 CISCO 5500 series қондырғысының негізінде есептеуіш желілердің құрылымы мен оларға жалпы шолу 13
1.1 Желіні қорғау мәселесінің туындау себептері мен талаптары 13
1.2 Желілер қауіпсіздігінің саясаты және оны қамтамассыз ету ... ... ... ... ..18
1.3 CISCO 5500 series қондырғысына жалпы шолу ... ... ... ... ... ... ... ... ... ...
2 “ТЕНГИЗ КЕНСЕ” корпаративтік желісінің периметрін қорғау 18
2.1 Желі периметрін қорғаудың жабдықтары мен бағдарламалық құралды таңдап алу 19
2.2CISCO шифрлау технологиясы .
2.3 “Тенгиз кенсе” корпаративтік желісінің қорғаудың жалпы сипаттамасы .
3 Cisco ASA 5500Series қорғау құрылымын куйге келтіру .
3.1 Негізгі конфигурацияны күйге келтіру24
3.2 Cisco ASA 5500 Series қорғау қондырғысының негізінде желі периметрінің қауіпсіздігін қамтамасыздандырылуы .
4 Техника.экономикалық негіздеу 47
4.1 Кешеннің сипаттамасы 49
4.2 Жобаны орындау бағдарламасы 54
4.3 Кешеннің құнын есептеу 57
5 Өміртіршілік қауіпсіздігі 61
5.1 Еңбек шартының анализі 65
5.2 Жарықтандыруды бағалау 68
5.3 Жасанды жарықтандыруды есептеу 70
5.4 Серверлік бөлменің вентиляция жүйесін есептеу 72
Қорытынды 74
Пайдаланған әдебиеттер тізімі 75
А ҚОСЫМША
Ә ҚОСЫМША
Б ҚОСЫМША
Internet-тің бүгінгі қарқынды дами таралуы біздің іс – шараны қалай жүргізу, оқу, өмір сүру және демалу туралы түсінігімізді өзгертеді. Бұл бизнесті жүргізу әдістерімен және әлемдік денгейде басқаруға ерекше ықпал етеді. Аумақты бизнестің басшылары олардың компанияларының ХХІ ғасырда бәсекелесуге қабілетті және өміртіршілікті сақтау ісіне Internet-тің стратегиялық рөлін шүбәсіз мойындайды. Тұтынушылар мен соның пайдаланушылары сенімді қорғалған байланыс пен электрондық сауданы жүргізуді көргісі келеді.
1. Дэвид Чемпен, Энди Фокс. Брандмауэры. CiscoSecurePIX. – М.: Издательский дом «Вильямс», 2003. – 384 с.
2. Уэнстром М. Организация защиты сетей Cisco. – М.: Издательский дом «Вильямс», 2005. – 768 с.
3. Тұрым А.Ш., Берікұлы Ә. Компьтерлік желілер: желілік шабуылдар және желіаралық экрандар: Оқу құралыю. – Алматы: АИжБИ, 2007. – 80 бет.
4. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник дляВуз. 3-е изд. – СПб.: «Питер», 2006.
– 958 с.
5. Цирлов В.Л. Основы информационной безопасности автоматизированных систем: Краткий курс. Феникс, 2008. – 173 с.
6. Брайн Хилл. Полный справочник по Cisco. – М.: Издательский дом «Вильямс»,2004. – 1078 с.
7. Амато Вито. Основы организаций сетей Cisco, том 1, испр. Изд.: с англ. – М.: Издательский дом «Вильямс», 2004. – 512 с.
8. Кларк Кеннеди, Гамильтон Кевин. Принципы коммутации в локальных сетях Cisco. Изд.: с англ. – М.: Издательский дом «Вильямс», 2003. – 976 с.
9. Хьюкаби Дэвид, Мак-Квери Стив. Руководство Cisco по конфигурированию коммутаторов Catalyst.: Пер.с англ. – М.: Издательский дом «Вильямс», 2004. – 560 с.
10. Леинванд Алан, Пински Брюс. Конфигурирование маршрутизаторов Cisco, 2-е изд. Изд.: с англ. – М.: Издательский дом «Вильямс», 2001. – 368 с.
11. Кадер М. Решение компании CiscoSystems по обеспечению безопасности корпоративных сетей, 2-у изд.
12. Базылов К.Б., Алибаева С.А., Бабич А.А.. Выпускная работа бакалавров. Экономический раздел. Методические указания для студентов всех форм обучения специальности 050719 – Радиотехника электроника и телекоммуникации. – Алматы: АИЭС, – 2008. – 17 с.
2. Уэнстром М. Организация защиты сетей Cisco. – М.: Издательский дом «Вильямс», 2005. – 768 с.
3. Тұрым А.Ш., Берікұлы Ә. Компьтерлік желілер: желілік шабуылдар және желіаралық экрандар: Оқу құралыю. – Алматы: АИжБИ, 2007. – 80 бет.
4. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник дляВуз. 3-е изд. – СПб.: «Питер», 2006.
– 958 с.
5. Цирлов В.Л. Основы информационной безопасности автоматизированных систем: Краткий курс. Феникс, 2008. – 173 с.
6. Брайн Хилл. Полный справочник по Cisco. – М.: Издательский дом «Вильямс»,2004. – 1078 с.
7. Амато Вито. Основы организаций сетей Cisco, том 1, испр. Изд.: с англ. – М.: Издательский дом «Вильямс», 2004. – 512 с.
8. Кларк Кеннеди, Гамильтон Кевин. Принципы коммутации в локальных сетях Cisco. Изд.: с англ. – М.: Издательский дом «Вильямс», 2003. – 976 с.
9. Хьюкаби Дэвид, Мак-Квери Стив. Руководство Cisco по конфигурированию коммутаторов Catalyst.: Пер.с англ. – М.: Издательский дом «Вильямс», 2004. – 560 с.
10. Леинванд Алан, Пински Брюс. Конфигурирование маршрутизаторов Cisco, 2-е изд. Изд.: с англ. – М.: Издательский дом «Вильямс», 2001. – 368 с.
11. Кадер М. Решение компании CiscoSystems по обеспечению безопасности корпоративных сетей, 2-у изд.
12. Базылов К.Б., Алибаева С.А., Бабич А.А.. Выпускная работа бакалавров. Экономический раздел. Методические указания для студентов всех форм обучения специальности 050719 – Радиотехника электроника и телекоммуникации. – Алматы: АИЭС, – 2008. – 17 с.
Пән: Автоматтандыру, Техника
Жұмыс түрі: Дипломдық жұмыс
Тегін: Антиплагиат
Көлемі: 68 бет
Таңдаулыға:
Жұмыс түрі: Дипломдық жұмыс
Тегін: Антиплагиат
Көлемі: 68 бет
Таңдаулыға:
МАЗМҰНЫ
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...11
1 CISCO 5500 series қондырғысының негізінде есептеуіш желілердің құрылымы мен оларға жалпы шолу 13
1.1 Желіні қорғау мәселесінің туындау себептері мен талаптары 13
1.2 Желілер қауіпсіздігінің саясаты және оны қамтамассыз ету ... ... ... ... ..18
1.3 CISCO 5500 series қондырғысына жалпы шолу ... ... ... ... ... ... ... ... ... ... .
2 "Тенгиз кенсе" корпаративтік желісінің периметрін қорғау 18
2.1 Желі периметрін қорғаудың жабдықтары мен бағдарламалық құралды таңдап алу 19
2.2CISCO шифрлау технологиясы .
2.3 "Тенгиз кенсе" корпаративтік желісінің қорғаудың жалпы сипаттамасы .
3 Cisco ASA 5500Series қорғау құрылымын куйге келтіру .
3.1 Негізгі конфигурацияны күйге келтіру24
3.2 Cisco ASA 5500 Series қорғау қондырғысының негізінде желі периметрінің қауіпсіздігін қамтамасыздандырылуы .
4 Техника-экономикалық негіздеу 47
4.1 Кешеннің сипаттамасы 49
4.2 Жобаны орындау бағдарламасы 54
4.3 Кешеннің құнын есептеу 57
5 Өміртіршілік қауіпсіздігі 61
5.1 Еңбек шартының анализі 65
5.2 Жарықтандыруды бағалау 68
5.3 Жасанды жарықтандыруды есептеу 70
5.4 Серверлік бөлменің вентиляция жүйесін есептеу 72
Қорытынды 74
Пайдаланған әдебиеттер тізімі 75
А ҚОСЫМША
Ә ҚОСЫМША
Б ҚОСЫМША
КІРІСПЕ
Internet-тің бүгінгі қарқынды дами таралуы біздің іс - шараны қалай жүргізу, оқу, өмір сүру және демалу туралы түсінігімізді өзгертеді. Бұл бизнесті жүргізу әдістерімен және әлемдік денгейде басқаруға ерекше ықпал етеді. Аумақты бизнестің басшылары олардың компанияларының ХХІ ғасырда бәсекелесуге қабілетті және өміртіршілікті сақтау ісіне Internet-тің стратегиялық рөлін шүбәсіз мойындайды. Тұтынушылар мен соның пайдаланушылары сенімді қорғалған байланыс пен электрондық сауданы жүргізуді көргісі келеді. Өкінішке орай, байланыстың қарапайымдылығын қамтамасыз ететін, Internet стандартқа негізделінген болғандықтан, қорғаудың кейбір кілтті құрамдастары ескерілмеген, оларға, мысалы, қашықталған қол жетімді бақылауды, байланыс құпиясы мен сервисті берудегі зиянды кедергілерден қорғауды жатқызуға болады. Internet-тегі байланысты қорғаудың қажеттілігі жалпы желілерді қорғау технологиясының күрделі дамуын туындайды.
Іскер орта алдында қауіпті мәселе пайда болды: хакерлік әдістердің дамуымен байланысты пайда болатын, қорғаудың бұзылу қауіпті тұрақты өсу жағдайындағы бизнестің күдіктілігін азайту үшін, қорғау әдістері мен құралын да жетілдіруді қалай іске асыру керек.
Мәселелердің бәрін шешуге бола беретін желілік қауіпсіздікті ұсыну қиын, өйткені оқу мекемесінің жергілікті желі үшін бір шешім пәрменді болуы мүмкін, ал аумақты желі үшін мүлде басқа. Қорғаудың кейбір шешімдері шағын кәсіпорын үшін жақсы, ал ол ірі мекемелер үшін жарамсыз екен, өйткені үлкен желілерже мұндай шешімдерді іске асыруға, көп уақыт жұмсау қажет немесе аса қымбат, көп еңбек етуді талап етеді. Internet-ке шығу қәуіпсіздікке қосымша қауіп әкеледі, ол берліген осы компанияның инфрақұрылыма қаскүнемнің енуіне жақсы мүмкіншілік алады.
Қазіргі кезде бизнестің алдында тұрған, қорғаудың мәселесі, қолда бар шешімдердің барлық көрісін қарастыру міндетіне және олардың тиімді түрін таңдауға әкеледі. Бұл кендері қорғаудың сәйкесті құралдары мен технологиясы аз емес. Желіні қорғауды іске асырудың қиындылығы сол, ол қорғаудың сәйкесті технологиясының жоқ болуында емес, мұндай көп шешімнің арасынан таңдап ала білуде, ол сіздің нақтылы желіліңіз үшін және сіздің бизнесіңіздің талабына жақсы келетін жағдай және осы кезде қорғау құралын ұстап тұрады, құралды бірге алып жүруге жеңіл, мұны тиісті жеткізуші ұйым ұсынады, мұндайда шығын аз.
1 CISCO 5500 Series қондырғысының негізінде есептеуіш желілердің құрылымы мен оларға жалпы шолу
0.1 Желіні қорғау мәселесінің туындау себептері мен талаптары
Кем дегенде желілерді қорғау қауіпсіздігінің пайда болуына негізінен үш себебі бар.
oo Технологиялық кемшілік.Әр бір желі және әр бір компьтерлік технологияның қорғауындағы өз мәселелері болады.
oo Конфигурациянің кемшілігі. Қорғаудың ең сенімді технологиясында дұрыс жүзеге аспауы мүмкін немесе дұрыс пайдаланбауы мүмкін, мұның нәтижесінде қорғау мәселесінің пайда болуы мүмкін.
oo Қорғау саясатының кемшілігі. Қорғау саясатының дұрыс келмеуі немесе дұрыс іске аспауы, тіпте ең жақсы жетілген қорғаудың желілік технологиясың күдікті етуі мүмкін.
Әлемде кәсіби жетістікке қол жеткізуге талабы бар кісілер болады, мұнымен қатар олар материалдық қызулышылықты үміт қалдырмайды, бұл үшін қорғаудың кемшілігін пайдалана отырып, жаңалықты тұрақты ашады және пайдаланады. Желілерді қорғаудың белгілі кемшіліктерін келесі тарауларда жеткілікті де айқын қарастырады.
Технологиялық кемшіліктер
Компьютерлік және желілік технологияның қорғауындағы ішкі өз мәселелрі болады. Біздер TCPIP операциялық жүйелерге және желілік жабдықтарға тән, кемшіліктерді қарстырмақпыз (1.1-сурет).
CERT мұрағаттары (Computer Emergency Response Team - жедел жәрдем компьютерлік тобы) www.cert.orgбетінде әр-түрлі хаттамалардың көптеген технологиялық кемшіліктері құжатталынады, сондай-ақ бұған операциялық жүйелер мен желілік жаюдықтар енеді. CERT-тің сараптық ұсынымдары Internet-технологиясының қорғау мәселесіне де қатынасты. Олар мәселенің мәнің түсіндіреді, айқындауға көмектеседі, және оның сіздің нақтылы желіңізге қатынасы бар не жоғын анықтайды, оның шешу жолдарын ұсынады, сол сияқты тиісті жабдықты жеткізіп беруші туралы ақпаратты береді.
Сурет 1.1. Желілік және компьютерлік құрамдастарды қорғаудың технологиялық кемшіліктері
Желілік жабдықтардың кемшіліктері
Кез келген өңдірушінің желілік жабдықтарында қорғаудың өз кемшіліктері болады, оны да айқындау қажет және оларға қатынасты тиісті шаралар қолданылуы керек. Мұндай кемшіліктердің мысалдары құпия сөзді қорғаудың сенімсіздігі, аутентификация құралдарының болмауы, маршрутизация хаттамаларының қорғалмағандығы және Firewall-лардың кемшіліктері болады. Желілік жаюдықтардың айқындалған қорғаудың кемшіліктерін өңдірушілердің көпшілігі жеткілікті және тез жөңдейді. Әдетте мұндай кемшіліктер бағдармағалық жамаудың көмегімен немесе жабдықтың операциялық жүйесін жаңарту жолымен жөңделінеді.
Кемшіліктер құзіреті жоқ пайдаланушыларға рұқсат етілмеген енуді немесе жүйеге енудің тиімді түріне мүмкіндік береді. Оның себебі апараттық құралдың кемістігі немесе бағдарламалық қамтамассыз етудің кемістігі бола алады. Желілік жабдықтағы және желілік құрылымдағы кемшіліктердің көпшілігі жақсы белгілі және құжатталған, мысалы, CERT консультациялық орталық беттерінде. Cisco компаниясы пайдаланушыларды хабарландырады және Internet қоғамы қорғаудың консультациялық орталығы (Internet Security Advisories, www.cisco.comwarpcustomer707adv isory.html) сол арқылы Cisco өнімдеріндегі қорғаудың потенциалды маселелері жайлы жеткізеді. Бұл қорға ену үшін ССО құпия сөзі талап етіледі. Cisco-да жаоияланатын, сәйкесті материалдарды, әдетте рефератифтік түрінде CERT Web-беттерінде табуға болады.
Назар аударатын нәрсе сол, ол Cisco ІOS бағдарғамалық қамтамассыз етудің шектелген версиясы белгісіз кемшіліктерге жиі орын береді, ол толық және соңғы версиядан өзгеше, ол едәуір айқын тестіленеді.
TCPIP кемшіліктері.
TCPIP хаттамасы желідегі байланысты қарапайм ету үшін, ашық стандарт түрінде жасақталынған. Оның негізінде қызмет, құрал және утилиттер тұрғызылған, оларда ашық коммуникацияларды қолдау мақсатында жасақталынған. TCPIP және сәйкесті сервистердің кейбір ерекшеліктерін, олардың ішкі күдіктілігін сипаттайтын жайларды қарастырайық.
oo IP, TCP және UDP дестелерінің тақырыпшалары мен олардың құрамында болатындар оқылуы, өзгеруі және қайта жіберілуі мүмкін, олар байқалмай қалатындай етіледі.
oo Желілік файылдық жүйе (NFS) хосттарға қорғалмаған сенімді енуді алуға мүмкіндік береді. NFS пайдаланушылардың аутентификациясын қамтамассыз етпейді және байланыс сеанстары үшін UDP порттарының кездейсоқ нөмерлерін пайдаланады, бұл іс жүзінде хаттамалық және пайдаланушылық енуді шектеу мүмкіндігін береді.
oo Telnet қуатты құрал, ол көмпетегн утилиттер мен Internet қызметіне пайдаланушыға енуге мүмкіндік береді, олар басқаша енуге болмайтын болады. Telnet-ті пайдалана отырып хосттың немесе IP-адрессінің атымен бірге порт нөмерін нұсқай келіп, хакерлер сервистермен интерактивты диалог бастай алады, юұлар жеткіліксіз қорғалынған деп саналады.
Операциялық жүйлердің кемшіліктері
Әрбір операциялық жүйенің де қорғаудағы өз міселесі болады. Linux, UNIX, Microsoft Windows 2000, Windows NT, Windows 98, Windows 95 және IBM OS2 - олардың бәрінде кемшіліктер болады, олар байқалған және құжат түрінде тіркелген.
CERT мұрағатында көптеген операциялық жүйелердің қорғау мәселесі баяндалған. Әр бір жеткізіп беруші немесе операциялық жүйелерді жасақтаушылар белгілі қорғау мәселесі жайлы және оларды шешу әдістері туралы ақпаратты алады. Бәлкім, операциялық жүйелердің қорғау мәселелері аз болмауы мүмкін, оларды да тағы байқау, құжаттау және шешу мәселесі алдан шығады.
Конфигурацияның кемшіліктері1.2-суреттінде көрсетілген конфигурацияның кемшіліктері, технологиялыққа жуық. Олар желілік жабдықтардың дұрыс емес конфигурациясының салдарынан пайда болады, ал ол айқындалған қорғаудың немесе потенцияалды қорғау мәселесін шешу үшін қолданылады. Атап кету керектігі сол, егер конфигурацияның кемшіліктері белгілі болса, әдетте оларды аз шығынмен жеңіл жөңдеуге болады.
Сурет 1.2. Дұрыс емес конфигурация немесе жабдықты дұрыс пайдаланбау себебі бойынша туындайтын, қорғаудың мәселері
Міне конфигурация кемшіліктерінің бірнеше мысалдары.
oo Қоңдырғылардың үндемеуі бойынша қамтамассыз етілетін, жеткіліксіз қорғау. Көптеген өнімдердің үндемеуі бойынша қондырғылар қорғау жүйесінде кемшімдіктерді ашық қалдырады. Пайдаланушылар өңдірушң фирмамен немесе пайдаланушылар қоғамымен қандай қондырғылар үндемеуі бойынша қорғаудың әлсіздігін көрсетеді және оларды қалай өзгертуге болатыны туралы ақылдасуы, кеңесуі керек.
oo Желілік жабдықтардың дұрыс емес конфигурациясы. Жабдықтардың дұрыс емес конфигурациясықорғаудың аса қауіпты мәселесін тудыруы мүмкін. Мысалы, дұрыс емес құрылым ену тізіндерінің хаттама маршрутизациясын немесе SNMP топтық жолдары қорғау жүйесінде кең кемшімдерді аша алады.
oo Пайдаланушылардың қорғалмаған есепті жаспалары. Егер пайдаланушылардың есепті жазулары туралы ақпарат желі бойынша ашық берілетін болса, онда бұл пайдаланушылардың аттарын және жасырын сөздерін қасқойлердің пайдалануына мүмкіндік береді.
oo Аса қарапайым жасарын сөздерді пайдаланушы пайдаланатын, пайдаланушылардың есепті жазбалары. Бұл кең таралған мәселе шектелген көптеген нұсқалардың арасынан пайдаланушылар жеңіл тауып алатын құпия сөздерді оңай таңдап алу нәтижемінде туындайды. Мысалы, NetWare, UNIX және Windows NT жүйелерде guest пайдаланушылар атымен және guest құпия сөзімен есепті жазбалары бола алады.
oo Internet қызметтерінің дұрыс емес жөңделуі. Web шолуындағы Java және JavaScript қолданылуы жалпы мәселе, бұл Java зиянды апалиттерінің ендіру шабуылу үшін мүмкіндік ашады. Желілік жабдықтар немесе компьютердің операциялық жүйесі желіге алыстан енуге мүмкіндік беретін, TCPIP қорғалмаған қызметтерін пайдалануға жол ашады.
oo Бүтіндей алғандағы бұл кемшіліктер жайлы және желілік құрылымдардың дұрыс конфигурациясы және компьютерлік жүйелер туралы ақпаратты CERT концултациялық орталық арқылы, желілік жабдықтарды өңдірушілердің құжаттамаларынан, және RFC (Request for Comments - сұраныс айқындауы) ақпараттарынан ақпаратты алуға болады, онда желі конфигурациясының өтіп жатқан сәттегі жақсы нұсқалар жазылған (айталық, мысалы, RFC 2827 құжатында, Желіге сыртқы ену сүзгісі).
Желіні қорғау саясатының кемшіліктері
Құжатталынған және қызметкерге хабарландырылған өорғау саясаты желіні қорғаудың айтарлықтай құрамадсы болып келеді. Алайда қорғаудың кейбір мәселелері қорғау саясатының өз кемшілігімен де туындауы мүмкін, және мұндай мәселеге келесілерді жатқызуға болады.
oo Құжатталынған қорғау саясатын болмауы. Құжаттардың терім түрінде берілмеген саясатын бір ізді және зорлап пайдалану мүмкін емес.
oo Ішкі саясаттық қарама-қайшылықтар.Саяс даудамайлар, жасырын шайқастар және жабық келіспеушіліктер қорғаудың келесілген және міндетті саясаттын жүргізуге кедергі жасайды.
oo Жалғасымдылықтың жоқ болуы. Қорғау саясатын іске асыруға жауап беретін, қызметкерді таза ауыстыру, қорғау саясатындағы тұрақсыздыққа әкеледі.
oo Желілік жабдықтарға енуді логикалық бақылаудың жоқ болуы.Пайдаланушының жасырын сөзді таңдап алу іс-шарасын қатаң бақылаудың жоқ болуы, желіге рұқсат етілмеген енуді ашады.
oo Әкімдік басқару, мониторинг және бақылаудағы салғырттық. Тең емес мониторинг, аудит және мәселені өз кезінде болдырмау қорғау жүйесіне шабуыл жасауға мүмкіндік береді және ұзақ уақыт бойына желілік қорларды заңсыз байдаланады, бұл компания құралын дұрыс пайдалнбауды білдіреді және заң алдындағы шауапкершілікке ікеледі.
oo Шабуыл мүмкіндігі туралы хабардар етпеу.Егер ұйымда желіні жүйелі мониторинг дүргізбесе немесе жалпы жүйелік шабуылдауды байқау жүйесі жоқ болса, онда ұйым бұл тәртіп бұзушылықтар туралы тіпті білмеуі де мүмкін.
oo Қабылданған қорғау саясатының апараттық құралдарының және бағдарламалық қамтамассыз етудің сәйкесті болмауы.Жүйе топологиясын рұқсат етілмеген өзгерту немесе тексерілмеген айқындауыштын қондырылуы қорғау жүйесінде кемшіндерді тудырады.
oo Қорғау инциденттерінің өңдеу іш-шарасымен жүйені қайтадан келтіру жоспарының жоқ болуы.Қорғау инциденттерінің айқын өңдеу жоспарының жоқ болуы және желілік шабуыл жағдауындағы кәсіпорынның жұйесінің жұмыс істеу қабілеттілігін қайтадан қалпына келтіру ретсіздікке, шатасуға және қателік әрекетке әкеледі [2, 5, 12].
Ішкі қауіп қатерлерІшкі қауіп қатерлер ұйымның өз ішінен қызметкерлердің ақылды немесе ақылсыз, жоспарлы немесе жоспарсыз сәйкесті әрікеттердін салдарынан шығады.
oo Жаман пиғылды қызметкерлер.Қызметкерлер, пайда табу мақсатымен немесе ұрлау мақсатымен қорғау күдіктілігін алдын ала тексеретін адамдар.
oo Қызметкерлер, алдың ала өзі білмей тәртіп бұзатындар. Қызметкерлер, күтпеген жағдайда вирус немесе басқа қауіпті жиелік бағдарламаны байқамай береді де жийенің ішкі маңызды бөлігіне күтпеген жерден енуге жол алады, кейде орталық басты компьютерге шығады.
oo Қызметкерлер, желілік ортаны дұрыс пайдаланбайтындар. Қызметкерлер, сенімсіз құпия жасырын сөздерді байқаусызда пайдаланып немесе желілік жабдықтардың дұрыс емес конфигурациямын пайдаланады.
Сыртқы қауіп қатерлерСыртқы қауіп қатерлер ұйымның сыртында болатын, нысандардан сол сияқты арнайы ойландырылған немесе ойландарылмаған әрекет салдарынан пайда болады.
oo Өткір сезімді ұнатындар. Көптеген тәртіп бұзушылар тарапты жай рақат үшін немесе тиіті сезімдер тұғузы мақсатында шабуылдайды.
oo Бәсекелістер. Сіздің жетістігіңіз бәсекелестік көзқарастан алғанда маңызды, ақпаратқа жету үшін бісекелестердің ойын қызықтыруы мүмкін.
oo Душпандар. Көптеген елдердің өкіметтері достық немесе душпандық мемлекеттердің ақпараттық соғыстарымен жайсызданады, ол ұлтшылдықпен, фонатизммен, немесе идиологиялық пайымдармен түрткіленеді. Мысалы, Косоводағы дау-дамай барысында Web-торапта NATО-ның байқауында көрінді.
oo Ұрылар. Тәртіп бұзушылар маңызды ақпаратты іздеуі мүмкін, мысалы, оны сату не оны пайдалану мақсатымен жасайды.
oo Шпиондар (тыңшылар, жансыздар).Бүгінгі өнер-кәсіптік тыңшылар күнінен күнге кең таратуда.
oo Теріс пиғылдағы бұрынғы қызметкерлер.Желінің ішкі құрылымын білетін қызметкерлер, кек алу мақсатымен немесе пайда табу ниетімен зияндық жасауы мүмкін.
oo Басқалар. Адамдар желіге әр-түрлі себептермен тиісуі мүмкін: спорттық мүдделікпен немесе желіні зерттеу ниетімен, зерікенен немесе қызуғушылықпен, сол сияқты мақтану мақсатымен де.
Желілердің қауіпсіздігін қамтамасыз ету талаптары
Қазіргі кезде желілердің көптеген саны Internet арқылы біріккен. Сондықтан әрине белгілісі сол, ол мұндай үлкен жүйенің қауіпсіз жұмыс істеуі үшін белгілі бір қауіпсіздік шараларын қолдану қажет, өйткені іс жүзінде кез-келген компьютерден кез-келген ұйымның желісіне енуге болады, және де осыған байланысты қауіпсыздігі едәуір арта түседі, бұл өз кезегінде еш бір күш жұисамай-ақ компьютердің сынуына әкеледі.
Бұл себеп салдарды ескере отырып белгілі бір дәрежедегі сенімділікпен айтуға болатын сол, ол желілердің қауіпсіздік мәселесі шешілмеген күйі қалады да, нақ бүгінгі күндері көптеген компониялардың қамтамасыз етуді жеткілікті шешу мәселесі қанағатсыз, нәтижеде олар қаржылық шығынға душар болады.
Желілер қауіпсіздігінің негізгі анықтамалары
Біріккен желілер (Internet work) термині деп біріне бірі қосылған көптеген желілерді түсінеді. Біріккен желілерде арнайы аймақтар жасалады, олардың әр-қайсы белгілі ақпаратты өңдеу және сақтау үшін тағайындалған. Олардың қауіпсіздігін қамтамасыз ету мақсатымен бұл аймақтарды ажырата бөлу үшін арнайы құрылғыларды пайдаланады, оларды Firewall деп атайды, немесе желіарлық экрандар дейді. Firewall-лар жабық желілерді және жалпы пайдаланудағы желілерді бөлу үшін тағайндалған дегендей пікірлер бар, әйтседе бұд әркез бұлай боола бермейді. Firewall-ларды жабық желілердің сегменттерін шектеу үшін де айтарлық жиы қолданады.
Firewall түсінгі маршрутизатор немесе ену сервері (бір немесе бернеше) ретінде анықталған, ол жабық желілермен ашық желілер арасында қорқаушы экран ролін анықтайды. Firewall - маршрутизаторды жабық желілердің қорғаудың басқа құралы және ену тізбесі түрінде қолданады.
Әдетте Firewall - ларды алдын ала ескерілгені сол, ол ең аз дегенде, үш интерфейстің бұрынырақтағы пайдалануында екі іске асады. Осы себеп бойынша, дағды болып кеткенге орай қазіргі кезде Firewall - ларда негізінен үшеуден небәрі екі интерфейс пайдаланылады. Мұнайд жағдайда, үш қалыптасқан интерфейсі бар Firewall пайдалынған кезде, бөлінген үш желілік аймақты жасау мүмкіншілігі бар. Бұл аймақтардың арқайсысы төменде қысқаша баяндалған.
oo Ішкі(inside) аймақ, жабық аймақ құрылғысының жұмысы үшін тағайындалған және оны біріккен желілердің сенімді аймағы болады. Бұл құрылғылар сыртқы желілермен жұмыс істеген кезде (мысалы, Internet-пен) қауіпсіздіктің белгілі саясатына бағынады. Алайда іс жүзінде Firewall сенімді аймақтың сегмент бөліктерін ажырату үшін айтарлықтай жиы пайдалынады. Мысалы, Firewall - ды жалпы желіден кәсіпорынның қандай да бір бөлімшесінен желіні бөлу үшін пайдалануға болады.
oo Біріккен желінің сыртқы (outside) аймағы сенімсіздігі томен аймақ болып келеді. Firewall-дың негізгі қызметі сыртқы аймақта болатын, құрылғыдан ішкі құрылғылар мен демилитариленген аймақтарды қорғау. Мұнан басқа, қажет болған жағдайда Firewall демилитариленген аймақта болатын, құрылғыларға сыртқы аймақтан қауіпсіз таңдаулы ену үшін бағытталған бола алады. Аса қажет болған жағдайда Firewall ішкі аймаққа сыртқы аймақтан енуді қамтамасыз ету үшін бағытталған болады. Бірақ та бұл әрекеттерге ерекше жағдайларда ғана баруға болады, өйткені сыртқы аймақтан ішкі аймаққа ену едәуір қауіп қатер көрсете алады, ал мұндай ену демилитариленген шектелген аймаққа енуден көрі кемшімдеу келеді.
oo Демилитариленген аймақ (Demilitarized zone - DMZ) - бұл оқшаулаған желі (немесе желілер), ол әдетте сыртқы желіден пайдаланушыға қол жетімді. Firewall солайша конфигуралануы керек, сыртқы аймақтан ішкі немесе демилитариленген аймаққа енуге қамтамасыз ету үшін. Демилитариленген аймаққа ену үшін рұқсат жасау компанияға ақпаратты беретін компанияға және қызмет етушілерге сыртқы пайдаланушыларды ену қауіпсіздігін ұйымдастыруға мүмкіндік береді. Мінеки осылайша, бұл аймақ олардың қауіпсіз ішкі аймаққа енуінсіз сыртқы пайдаланушылармен жұмыс істеуге мүмкіндік береді.
Тораптар, немесе серверлер, ал олар демилитариленген аймаққа енеді, әдетте бастионды тораптар (bastion host) деп аталады. Бұл арада бастионды тораптар деп түсінеті сол, ол оларда операциялық жүйенің жаңа болжамы жұмыс істейді және жаңарудың барлық модульдері орнығады. Бастиондық тораптардың пайдалануы жүйені сынуға тұрақты етеді, өйткені өңдіруші қателерді жөндеугі мүмкіншігі болады да айқындаушыға қосымша орнатады. Мұнан басқа бастиондық тораптың ерекшелігі сол, ол онда тек қызмет қана орындалады, ал ол өз кезегінде айқындауыштың жұмысы үшін қажет. Қажетті емес (және де кейбір жағдайларда қауіптілеу) қызметтер үзіп тасталады немесе мүлдем тораптан әкетіледі.
1.3 суретінде Firewall - ды пайдаланған кездегі желінің жалпы құрылымы көрсетілген
Сурет 1.3. Firewall - ды пайдаланған кездегі желінің жалпы құрылымы
Firewall негізгі келесі қызметтерді қамтамасыз етуі керек:
oo ішкі аймаққа сыртқы аймақтан енуге тиым салу;
oo демилитариленген аймаққа сыртқы аймақтан енуді шектеу;
oo сыртқы аймаққа ішкі аймақтан толық ену;
oo демилитариленген аймаққа сыртқы аймақтан енуді шектеу.
Бірақ та желінің кейбір жобаларында жекеленген шектеулер немесе Firewall қызмет тізімінде келтірілген барлық тармақтар шығарылкуы мүмкін. Ішкі аймаққа сыртқы аймақтан SMTP - хабарын жеткізуді қамтамасыз қажет делік, егер демилитариленген аймақта SMTP - сервер немесе SMTP - серверге тікелей қатынасты SMTP - дестлердіжіберуді қамтамасыз ететін SMTP-хабарды беруге арналған құралдар жоқ, ол ішкі аймақта физикалық түрде болады. Мұндай амалдың іске асуы нәтижесінде берілген аймақтағы жұмыстың қауіпсыздығы едәуір төмендейді.
Басқа бір ескеретін жағдай сол, ол сыртқы аймаққа ішкі аймақтан берілген ағымның бәрін тифм ету. Белгілі айқындауышты (порты) пайдаланудағы шектеу жекеленген IP - адрестерінде орналасады, немесе ішкі желінің бәрінде желішелерде бола алады. Сыртқы желіге ішкі желіден берілген ағынды бақылаудың тағы бір әдісі URL - адресі бойынша сүзгілеу болады. HTTP-сүзгілерді, WebSense сияқты шектеулерді пайдалану төменде қарастырылатын болады.
0.2 Желілер қауіпсіздігінің саясаты және оны қамтамассыз ету
Компьютерлік желілердің қауіпсіздігін қамтамассіз ету үздіксіз процесс, ол жаңа компьютерлік технологияның енуі мен және тұрақты дамуы мен шарттасқан. Сондықтан компьютерлік жүйелердегі қауіпсіздіктің кез келген саясаты қауіпсіздігі барлық мүмкін болатын қауіп қатерлерде ескер отырып құрылуы керек, және бұл қауіп қатерлер желілердің қауіпсіздік аймағында кездесуі мүмкін.
RFC 2196 Site Security Handbook құжатында айтылған: Қауіпсіздік саясаты - ол қатаң белгіленген ережелер мен тұжырымдамалардың жинағы, оны технологиялық ұйымдар мен ақпараттық мәліметі бар, тұлғалар сақтауы керек.
Түсінудің маңыздылығы сол, ол желілік қауіпсіздік - ол эволюциялық процесс. Корпорацияға толық қауіпсіздікті беруге қабілетті, бір де бір өнім жоқ. Сенімді қорғауға өнім мен қызметтің өз ара үйлесуі арқылы қол жетеді. Сондай-ақ қауіпсіздіктің сауатты саясаты да және оны жоғарыдан төменге дейінгі қызметкерлердің барлығы сақтауы керек. Байқауға болатын сол, ол тіпті қауіпсіздіктің дұрыс саясаты қорғаудың бөлінген құралынсыз жақсы нәтиже береді. Ал бұл қауіпсіздіктің саясатынсыз қорғау құралынан көрі артық екенін көрсетеді.
Қауіпсіздік саясаты келесі міндеттерді шешуі керек:
oo Ұйымдардың қорғалатын нысандарының идентификациясы.Сізге қорғау керек екендігін, анықтаныз және мұны қалай іске асырасыз. Компьютерлік желідегі әлсіз орындарды айқындау және оларды бұзу үшін пайдалануы керек екендігін түсіне отырып берілген делідегі жұмыс кезіндегі қауіпсіздік деңгейін көтеруге көмектеседі.
oo Қоғалатын қорлардың қатаң есептелуін ұйымдастыру. Қалыпты режимдегі жүйенің жұмыс істеуін зерттеңіз, қандай құрылғылар пайдаланылады, желіде мәліметтің қандай ағымы өтеді.
oo Ағымды сұлбасы мен құрылымы бар желі құрылымының анықталуы. Желінің қауіпсіздігі мен оны қамтамасыз етуге арналған құралды ойлаңыз. Құрылғыға пайдаланушының физикалық енуі бұл құрылымға оның бақылау жасауына мүмкіндік береді.
Үздіксіз жаңарып отыратын қауіпсіздік саясаты барынша пәрменді болып кледі, өткені ол жүйенің қауіпсіздігін тұрақты тексеруді қамтамассыз етеді, мұнымен қатар қорғаудың ылғи жаңарып отыратын әдістері осылай етеді. Қауіпсіздікті қамтамассыз ету процесстерінің жалғаласылымдылығын қауіпсіздікті қамтамасыз ету цикілі түрінде беруге болады (Security Wheel). 1.4 - суретінде қауіпсіздікті қамтамасыз етудегі циклдің төрт кезеңі көрсетілген.
Сурет 1.4.Компьютерлік желінің қауіпсіздігінің қамтамыз ету циклі
Қауіпсіздік саясаты төрт кезең негізінде тұрғызылуы керек, олар қауіпсіздікті қамтамасыз ету цикулінен турады.
1 кезең. Жүйенің қорғалуы.Келесі құрылымды және (немесе) жүйені пайдалынындар, ол желілік жүйеге заңсыз енуді болдырмайды.
а) Идентификация және аутинтификация жүйелері (Identification Authentication System), One-Time Password (OTP) сияқты, пайдаланушылардың аутинтификация құралы мен авторизацияны қамтамасмыз етеді. Мұндай жүйелердің мысалы Cisco Secure Control Server (CSACS), Windows Dial-up Networking, SKey, CryptoCard және SecurІD болады.
ә) Шифрлау авторизацияланбаған пайдаланушылардың берілген ағымнан ақпаратты қағып алуды болдырмайды. Internet-те жұмыс істеген кезде шифрлаудың стандартты хаттмасы IP Security (IPSec) болады. IPSec стандартты RFC 2401 құжатымен анықталған.
б) Firewall-дар белгілі бір типтегі берілген ағымның сүзгіленген түрін ғана, берілген ағымды шектейді немесе өтуге мүмкіндік береді.
в) Кемшіліктерді аластау, ол олардың пайдалануы негізделген, бұзуды болдырмау үшін қажетті жүйеде бар болатын кемшіліктерді аластау. Бұл процесс керексіз қызметтің барлық жүйесіндегі бөліп тастауды білдіреді; қызмет аз орындалған сайын бұзушыларға жүйеге енуді алу қйындай береді.
г) физикалық қауіпсіздік компьютерлік желілердің қауіпсіздігін қамтамасыз етудегі өте маңызды элемент, оған өте аз назар аударады. Егер қасқой желідегі жұмысты қамтамысз ететін, апараттық жүйелерді ұрлауға физикалық мүмкіншілігі болса, онда қалған барлық қауіпсіздікті қамтамасыз ету сауалы жай пайдасыз болып қалады. Сондай-ақ әртүрлі құрылымдар жүйесіндегі рұқсат етілмеген нұсқауға тиым қажет, олар маңызды деректерді ұрлау үшін пайдалануы мүмкін.
2 кезең.Қауіпсіздіктің корпаративтік саясатына қарсы бағытталған, бұзушылық пен бұзу ісінде желідегі мәлімет ағымдар күйін талдау-анализ. Қауіпсіздікті бұзу көздері жүйенің ішінде де болады (мысалы, өкпелеген қызметкерлер) және оның сыртында да (мысалы, хакерлер). Желінің қауіпсіздік саясатын бұзу сияқтыларды болдырмау үшін Cisco Secure Instruction Detection System (CSIDS) сияқтыларды, енуді байқаудың арнайы жүйелері пайдалынады, олар бұзудың әр түрлі түрін табуға және болдырмауға мүмкіндік береді. Мұдан басқа CSIDS жүйесінің көмегімен құрылымның реттелу дұрыстығын тексеруге болады, ал ол қауіпсіздікті қамтамасыз етеді, әрине бұлар қауіпсіздікті қамтамасыз ету циклінің бірінші кезеніңде еске алынған. Желідегі мәлімет ағындарының күйін талдау маңызды құрастырушы болады, ол жүйеде болып өткен, барлық оқиғаларды хаттамалайды. Желіде болып өтетін мәлімет ағындарын хаттамалауды енгізу, қасқойдың желі туралы ақпаратты жинау кезеңінде әрекетің байқауға көмектеседі және бұзудың алдын алады, бұл желінің барлық жұмысын оқшаулайды.
3 кезең. Қауіпсіздікті қамтамассыз ету құралдарының пәрменділігін тексеру. Сізде желінің қауіпсіздігін қамтамассыз етудің өте күрделі де қымбат жүйесі болуы мүмкін, бірақта егер оның құрылымы дұрыс орналаспаса немесе дұрыс орындамаса, онда сіздің желіңіз жеңіл бұзылады. Желінің қауіпсіздік күйін тессеру үшін Cisco Secure Scanner құралы пайдалынады.
4 кезең. Қауіпсіздіктің корпаративті саясатының үздіксіз жетілуі. Қауіпсіздіктің жалпы деңгейін жоғарлату мақсатымен, жүйедегі мәліметтер ағымының күйін талдау нәтижесінде алынған, барлық ақпаратты жинандар да талтандар.
Ұмытуға болмайтын жағдай сол, ол жүйелер қауіпсіздігінің жаңа қатерімен қиын жағдайларын күн сайын баұылау. Сіздің желіңіздің қауіпсіздік деңгейі максималды жоғары болуы үшін, төрт кезеңнің бәрін оорындау қажет - желіні қорғау, мәлімет ағымдарының күйін талдау, қауіпсіздік саясатын тестілеу және жетілдіру. Бұл кезеңдердің бәрі де бірін бірі тұрақты ауыстырады, ал әр бір жаңа цикл қауіпсіздіктің корпоративті саясатына сапалық өзгеріс еңгізуі керек.
1.3CISCO 5500 Series қондырғысына жалпы шолу.
oo Кіші және орта бизнес пен ірі корпорациялар үшін арналған.
oo Интегриленген сервистердің масштабталуы мен оларды унифицирленген басқаруын қамтамассыз ету үшін арналған.
oo Көптеген қорғаныс механизмдерін падалану процесінің еш бір қиындықсыз жұмыс істеуіне, сонымен қатар жоғары өндірістігіне кепілдік береді.
oo Желілік және қосымша трафикті басқарады.
oo Жеке виртуалды желі арқылы сенімді байланысты қамтамассыз етеді.
oo Меншіктің бағасын төмендетеді.
Сурет 1.5. CISCO ASA 5500
Қазіргі кезде желілермен қорғаныс құралдарынсыз жұмыс істеу қиынға соғады, сондықтан Cisco Systems компаниясы қазіргі таңдағы желілерді ішкі және сыртқы қауіптен қорғаудың ең озық шешімін ұсынады - ASA 5500. Осы класстағы қорғаныс құрылғылардың түрлі модельдері түрлі масштабтағы инфрақұрылым үшін жобаланған (шағын офистерден бастап ірі корпорацияларға дейін).
CISCO ASA-ның негізгі мінездемесі мен мүмкіншіліктері:
oo Cisco Adaptive Securiti Device Manager көмегімен басқару;
oo Бұрыс жауапқа тұрақтылық конфигурациясын демеу (ActiveStandby және ActiveActive);
oo Risk Rating,Meta Event Generator дабылды басқару механизмдерін демеу;
oo OSPF,PIM,Ipv6,QoS демеу;
oo Мөлдір және виртуалды МСЭ демеу;
oo Хаттамалар мен қосымшаларды бақылау (Web,e-mail,FTP дыбыс және мультимедия, СУБД, GTRGPRS,ISQ,P2P операциялық жүйелері және т.б.);
oo Буфердің шектен тыс толуы шабуылынан қорғау, RFC-тың бұзылуы, аномалиялар;
oo SSL және IPSec VPN ұйымдастыру;
oo HTTP,FTP,SMTP және POP3 протоколдарында вирустар, құрттар және зиянды бағдарламаларға төтеп беру;
oo Syslog to ACL Correlation механизмі;
oo Басқарылатын интерфейс саны - 8 дейін.
Cisco Self-Defending Network (SDN) қорғаныс стратегиясының басты құраушысы - Cisco ASA 5500 үш модельден тұрады: ASA 5510, 5520 және 5540 (мінездемесі төменгі кестеде көрсетілген), сонымен қатар түрлі масштабтағы инфрақұрылым үшін арналған (шағын офистерден бастап ірі корпорацияларға дейін).
ASA 5500 Series жүйесі техникалық жағынан Cisco - ның PIX Security Appliance, IPS 4200 Series и VPN 3000 Concentrator сияқты құраушыларында болатын құатты қорғаныс құралдарына сүйенеді. Осыған байланысты тапсырыс берушіге VPN қызметінің кең тізімін ұсынады. Сондай-ақ олар IPSec және SSL VPN технологияларның қолданумен дистанционды қорғалған қолжеткізуді қамтамассыз етеді. Сонымен қатар, ең маңызды телекоммуникациялық байланысты демеу арқасында ASA 5500 Series өнім сериялары интеграциялау және кәдімгі трафик пен бизнес қосымшасына залал келтірмей-ақ бар желілік құрылымға қондырылу мүмкіндігіне ие екенін атап айтқан жөн.
Cisco ASA 5500 Series-тың негізгі техникалық артықшылығы - түрлі қауіп алдында қорғану деңгейінің жоғарлауы, және офистердің өзара қорғалған әрекеттестік құру мүмкіншілігі. Cisco AIM-нің кеңейтіліп жатқан архетиктурасы мен Cisco ASA 5500 Series ұяшығының мультипроцессорлық архитектурасы бір мезгілде жұмыс атқарып жатқан қорғаныс механизмдердің жоғарғы өндіргіштігін қамтамассыз етеді. Cisco ASA 5500 Series-тің әр платформасы өз ішіне қоса жұмыс істейтін бірнеше өндірістік процесстерді біріктіреді. Олар өз кезегінде қосымшалардың корғанысын, белгісіз шабуылдардан қорғалуын, масштабталған IPSecSSL VPN қызметін және т.б. қамтамассыз етеді. Енуді болдырмау және кеңейтілген қорғаныс қызметі сияқтыұсыныстар қарастырылған. Ол үшін Cisco ASA 5500 Series құрылғысында адаптивті тексеру мен AIP-SSM шабуылды болдырмау модульдері орнатылады. Осының арқасында Cisco ASA 5500 Series құрылғылары жылдам дамитын қауіп ортасында қорғанысты қамтамассыз ете отырып, оңай адаптивтену қасиетіне ие болады.
Кесте1.1
Cisco ASA 5500 жабдықтарының техникалық сипаттамасы
ASA 5510
ASA 5520
ASA 5540
ЖАЭ өнімділігі, Мбитс
300 дейін
450 дейін
650 дейін
ЖАЭ онөмділігі мен щабуылдан, Мбитс
150 дейін
225дейін (AIP-SSM-10); 375 дейін (AIP-SSM-20)
дейін450 (AIP-SSM-20)
VPN өнімділігі, Мбитс
170 дейін
225 дейін
325 дейін
Бір уақытта болатын сессиялардың көлемі
32 00064 000
130 000
280 000
IPSec VPN тунель саны
50150
300750
50020005000
SSL VPN тунель саны
50150
300750*
50012502500
Виртуалды ЖАЭ
0
210
250
Қолданылатын физикалық интерфейстер
3 Fast Ethernet + 1 порт басқармасы5 Fast Ethernet
4 Gigabit Ethernet + 1 Fast Ethernet
4 Gigabit Ethernet + 1 Fast Ethernet
Қолданылатын логикалық интерфейстер VLAN 802.1q
010
25
100
Қорғаныс механизмдері
CISCO ASA 5500 Series жүйесі Adaptive Threat Defense атымен танымал шабуылдан қорғайтын дамыған адаптивті механизімін ұсынады. Оның құрамына белгісіз қаіптен қорғау құрылғысы (Anti-X), бизнес қосымшасының қорғау әдісі (Application security) және желіні бақылау мен қорғау технологиясы (Network containment and control) жатады. Олар кәсіпорынды көптеген заңсыз әрекеттерден толық және унифицирленген қорғанысқа кепілдік береді. ASA 5500 Series жүйесі трафик құпиялығын қамтамассыз ететін механизмдер жиынтығын ұсынады. Олар IPSec пен SSL хаттамаларын қолдануға негізделген және адаптивті қорғану технологиясымен біріктірілген. Cisco ASA 5500 Series құрылғыларындығы IPSec және SSL VPN қосылысы олардың VPN-ның кез-келеген сценариіне адаптивтенуге жол ашады. Біріккен құрылым және бақыланатын инфрақұрылым көмегмен кез-келген пайдаланушы үшін жоғарғы дәрежедегі алшақтанған енуді қамтамассыз етуге болады. Cisco ASA 5500 Series құрылғыларының Cisco VPN3000 кластэрлерімен бірігуі тапсырыс берушілерге оларда бар VPN құрылымын пайдалануға мүмкіндік ашады. Cisco ASA 5500 Series өз қатарына Threat-protected VPN атты бай қорғаныс функциясын қосады. Оның құрамына аяқталған желілік құрылғларын қорғау, қауіптен қорғау құралдары,енуді қадағалау қызметі мен қосымшаларға арналған МСЭ кіреді.
Cisco ASA 5500 Series 7.1 версиясы көмегімен ASA 5500 Series-ның әрбір құрылғысы SSL VPN-ның бірмезеттегі 5000-ға дейінгі сессиясын қадағалайды. Осылайша кез-келген көлемдегі ұйым өз қызметшілеріне әлемнің кез-келген нүктесінен жүйеге жеңіл әрі қорғалған енуді қамтамассыз ете алады. VPN жүктемесін қадағалау функциясы IPSec VPN-ның кең масштабты функционалдығы - мыңдаған пайдаланушылардың бір мезеттегі жұмысын қадағалауға керекті құрылғылар санын азайтуға мүмкіндік береді. Сонымен қатар түрлі типтегі VPN функцияларын қадағалауға керекті платформалар санын азайтады. ASA 5500 Series 7.1-да SSL VPN желілеріндегі контентті жеткізу механизімі жетілген. Web-контент пен Web-парағының трансформациясының қуатты функциялары пайда болған. Қосымшалардың өндірістігін оңтайландыру, түрлі браузерлерді қадағалау мен оңтайландырылған пайдаланушылар порталы ұйымдағы қызметшілер үшін корпоративті ресурстарға оңай қол жеткізуге жол ашады.
Интегрирленген қызметтер үшін Cisco-ның 800, 1800, 2800 және 3800 бағдарлаушылары (маршрутизаторы) SSL VPN-ны қамтитыны аса маңызды. Себебі олар тапсырыс берушілерге осы платформа негізінде бағдарлаудың сенімді, әрі қауіпсіз жүйесін құруға жол ашады. Cisco бағдарлаушыларында жүзеге асқан SSL VPN қызметтері ондағы клиентті және клиенттік емес сессиялардың 150-ге дейінгі санын қамти алады. Бұл жағдай шағын және орта кәсіпорындардың талабына сай болып келеді. Клиенттік емес ену - Citrix және Outlook сияқты қосымшалар мен ішкі-корпоративті Web-парақтарына сенімді қорғалған ену болып табылады. Ал SSL VPN-нің клиенттік енуі - кез-келген бизнес-қосымшасына қорғалған ену каналдарын ашады. Олар өзінің қолжетімділігі мен енгізу жеңілдігімен ерекшеленіп, IPSec VPN технологиясы мен қазіргі Cisco IOS (МСЭ, IPS және т.б.) қорғану қызметін толықтырады.
Cisco SSL VPN-ның барлық платформаларында Cisco Secure Desktop функциясы жүзеге асырылды. Ол желіге қосылып баратын әрбір құрылғының автоматты түрде қорғаныс жүйесі жағдайын тексереді. Бұл операция үшін байланыс сеансының соңында компьютерді тазалап, құпия деректерді сақтайтын қауіпсіз виртуалды машина құрылады.
Пайдалану және басқару
Функционалдықпен қатар CISCO ASA 5500 Series жүйесі бірқатарлы экономикалық және пайдаланушылық артықшылықтарға ие. Оған кіретіндер аппараттық модульдер мен БЖ есебінен сервисін өсіру, түрлі объектілерде платформаларды қалыптастыру және ыңғайланған іздеу процессі мен ақаусыздықты жою. Басқа сөзбен айтқанда, сол міндеттерді орындау үшін көптеген платформалар мен басқару жүйелері қажет етілетін. Бұндай адаптивті көзқарас - бір құрылғы - көптеген тағайындау - платформалардың санын азайтады. Бұл мән-жай мониторингті, техникалық қызметті, қауіпсіздік қызметінің оқытуын жеңілдетеді.
Cisco ASA 5500-де қолжетімді унифицирленген басқару қызметерінің көбісі Adaptive Security Device Manager арқылы жүзеге асады. Оның көмегімен бір құрылғыны басқаруға болады және Cisco Security Management Suite арқылы - бірнеше құрылғыны басқаруға болады. Web негізінде интегрирленген құрылғы менеджері Adaptive Security Device Manager VPN-қызметтері мен барлық қорғаныс механизмдерін біріктіруін қамтамассыз етеді. Ол құрамына саны онға дейін жететін шағын енгізулер үшін қолданылады және құрылғы күйін қадағалап отырылуын қамтамассыз етеді.
Жалпы айтқанда, ASA 5500 Series жүйесі тапсырыс берушінің бизнес-процессіне әсерін бағалай отырып, біз оны бизнес-процессі қорғанысынң бұзылуы нәтижесіндегі тұрып қалуы деп сипаттаймыз. Ал бұл шешімнің экономикасы қарапайым және келесі факторлардан тұрады:
oo Қорғау жүйесін сатып алуға кететін шығындырдың азаюы - алтадың орнына (МСЭ, IPS, VPN, антивирус, антиспам, URL қадағалау) біреуі сатып алынады.
oo Қаржы және уақыт шығымының азаюы: алты курс өтудің орнына бірақ курс жеткілікті.
oo Қорғаныс жүйесін енгізуге кететін уақыттың азаюы
oo Заңсыз енуді болдырмау арқасында, енумен күресуге кеткен шығындарды азайту.
oo Internet арқылы VPN ұйымдастыру арқасында байланыс каналдарына кететін шығындарды азайту.
1 "Тенгиз кеңсе" корпаративтік желісінің периметрін қорғау
2.1Желі периметрін қорғаудың жабдықтары мен бағдарламалық құралды таңдап алу
Ethernet байланыстырушы сериясы Catalyst 3560 - сырт тіршілікке тіркелген қолданушы үлгісі Ethernet IEEE 802.3af (Power over Ethernet), сол сияқты Cisco Inline Power (prestandard PoE).
Байланыстырушы сериялары кіру деңгейлерінде пайдалануға арналған Catalyst 3560 өте оңды ұйымдарға сәйкес келеді, енгізуде мысалы, ғимараттарды басқару жүйелері,бейнекамералар және т.с.с.
Негізгі міндеттемелері
oo жылдамдықты трафиктің маршуритизациясы: Cisco Express Forwarding (CEF) сериясы Catalyst 3560 технологиясының арқасында IP маршуритизациясын жоғары өңдірілуін қамтамасыз етеді. SMI програмалық қамтамасыз ету RIPv1 және RIPv2 статикалық маршрутизациясын қолдайды, ал EMI - және де OSPF, IGRP, EIGRP, сонымен қатар (PIM,DVMRP,IGMP snooping) трафиктері multicast маршуритизациясын қолдайды (PIM,DVMRP,IGMP snooping);
oo жоғарғы қауіпсіздік: 802.1x, хаттамасының қолдауы , Identity-Based Networking Services (IBNS) функционалдығы , трафик үшін кіру тізімдері, екінші деңгейдегі байланыстырушы (VLAN ACL),үшінші және төртінші деңгейлердегі (Router ACL), сондай ақ Port-based ACLs (PACL) және Time-based ACL.SSH және SNMPv3, әкімшәләк қолдауын басқару кезінде қауіпсіздікті қамтамасыз ету үшін , сондай ақ TACACS+және RADIUS серверлерінде орталықтанғаның аудентификациялайды;
oo жоғары қол жеткізу : ішкі қорек блоктерінің сөніп қалуынан қорғау үшін Catalyst 3560 байланыстырушылары Cisco Redundant Power System 675 (RPS 675), резервті жүйелік қорегін қолдайды. 802.1D, 802.1s, 802.1w,хаттамалары , UplinkFast, HSRP, UDLD, Aggressive UDLD, Switch port Autorecovery функционалдығы;
oo қызмет ету (QoS) сапасын қолдау:DSCP немесе 802.1p (CoS) алаңдары бойынша трафиктер класификациясы, WRED тапсырылған тарик типінің бөлінуі үшін кіру тізімдері кеңейтілген және стандарталған, Strict Priority кезекшілігі, Shaped Round Robin. Анықталған трафик түрі үшін максималды, жолақтардың анықтау мүмкіндіктері бар, сол сияқты CIR кепілдеген жолақтары бөлінеді;
oo өте жақсы басқарылу: ПО Cisco CMS байланыстарына енбеген, SNMP-платформасының көмегімен басқаруын қолдау, CiscoWorks сияқты, SNMP қолдауымен 1,2,3 нұсқасы Telnet, RMON, SPAN, RSPAN, NTP, TFTP.
Програмалық қызмет етудің нұсқалары
Standard Multilayer Software Image (SMI). QoS кеңейтілген қолдауын қосады, кіру тізімдері, RIP хаттамасының көмегімен маршуритизациялайды.
Enhanced Multilayer Software Image (EMI). SMI функционалдығынан басқа сондай ақ біріккен сыныптың кеңейтілген функционалдығын қамтамасыз етеді, WCCP хаттама,PBR, IP трафигінің көп адрестегі (unicast) және бір адресті (multicast) аппаратты маршуритизацисын қосқанда.
Кесте2.1
Catalyst 3560 байланыстырушы сериясының негізгі сипаттамалары
Catalyst 3560-24PS
Catalyst 3560-48 PS
Порттарының саны Fast Ethernet 10100 TX
24
48
Порттарының саны Gigabit Ethernet SFP
2
4
Өтімділік қабілеттілгі, Гбитс
8,8
17,6
Бағдарлаудың өндіргішітігі, млн.дестес
6,6
13,1
Ранк типтері VLAN
802,1q, ISL
13,1
БЖ типі
SMI немесе EMI
Flash-жадының көлемі, Мб
16
ЖСҚ көлемі, Мб
128
Cisco 2800 топтамасындағы бағдарлауыштар
Cisco 2800 сериясы өзімен интеграциялық сервистермен (Integrated Services Routers, ISR), маршуритизаторларын ұсынады, арналар байланыс жылдамдығында бейне және дауыстар, деректерді тарату қауіпсіздігі үшін жеңілдетілген. Cisco 2600, сериясымен салыстыру бойынша Cisco 2800 сериясы бойынша Cisco 1700 және 2600 сериясымен маршуритизаторлар үшін брүгіндікке кіре алады, 90 модульдерімен іске асырылатынмен қайта бірігулерді сақтау кезінде үлкейтілген интерфейстерін тығыздығы мәнді және сервистері шығарылады, өндірістің бестік қсуі қамтамасыз етеді.
Серия Cisco 2800 сериясы иілгіш модульді құрылыммен ерекшелінеді. Желілер модульдерін орнату үшін NME слоталары кіреді, интерфейстік модульдерін орнату үшін HWIC слотасы, дауыстық интерфейстердің толықтыруын қолдау үшін EVM слотасы,сондай ақ PVDM слотасы және AIM ұясының сервисті модульдеріне қатысты және дауысты өндеу модулін орнату үшін жүйелік төлемінде болады. NME және HWIC слоталары NM және WIC қатысты модульдерімен қайта сәйкестенуі бар.Аппараттың жылдамды шифрленуінің қабылдағыш құралдары маршуритизаторлары бар, желі арасындағы экранына және кіріп кетуін табу функционалдық жүйелері қамтамасыз етеді.Маршуритизатор телефондық байланыстарымен ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...11
1 CISCO 5500 series қондырғысының негізінде есептеуіш желілердің құрылымы мен оларға жалпы шолу 13
1.1 Желіні қорғау мәселесінің туындау себептері мен талаптары 13
1.2 Желілер қауіпсіздігінің саясаты және оны қамтамассыз ету ... ... ... ... ..18
1.3 CISCO 5500 series қондырғысына жалпы шолу ... ... ... ... ... ... ... ... ... ... .
2 "Тенгиз кенсе" корпаративтік желісінің периметрін қорғау 18
2.1 Желі периметрін қорғаудың жабдықтары мен бағдарламалық құралды таңдап алу 19
2.2CISCO шифрлау технологиясы .
2.3 "Тенгиз кенсе" корпаративтік желісінің қорғаудың жалпы сипаттамасы .
3 Cisco ASA 5500Series қорғау құрылымын куйге келтіру .
3.1 Негізгі конфигурацияны күйге келтіру24
3.2 Cisco ASA 5500 Series қорғау қондырғысының негізінде желі периметрінің қауіпсіздігін қамтамасыздандырылуы .
4 Техника-экономикалық негіздеу 47
4.1 Кешеннің сипаттамасы 49
4.2 Жобаны орындау бағдарламасы 54
4.3 Кешеннің құнын есептеу 57
5 Өміртіршілік қауіпсіздігі 61
5.1 Еңбек шартының анализі 65
5.2 Жарықтандыруды бағалау 68
5.3 Жасанды жарықтандыруды есептеу 70
5.4 Серверлік бөлменің вентиляция жүйесін есептеу 72
Қорытынды 74
Пайдаланған әдебиеттер тізімі 75
А ҚОСЫМША
Ә ҚОСЫМША
Б ҚОСЫМША
КІРІСПЕ
Internet-тің бүгінгі қарқынды дами таралуы біздің іс - шараны қалай жүргізу, оқу, өмір сүру және демалу туралы түсінігімізді өзгертеді. Бұл бизнесті жүргізу әдістерімен және әлемдік денгейде басқаруға ерекше ықпал етеді. Аумақты бизнестің басшылары олардың компанияларының ХХІ ғасырда бәсекелесуге қабілетті және өміртіршілікті сақтау ісіне Internet-тің стратегиялық рөлін шүбәсіз мойындайды. Тұтынушылар мен соның пайдаланушылары сенімді қорғалған байланыс пен электрондық сауданы жүргізуді көргісі келеді. Өкінішке орай, байланыстың қарапайымдылығын қамтамасыз ететін, Internet стандартқа негізделінген болғандықтан, қорғаудың кейбір кілтті құрамдастары ескерілмеген, оларға, мысалы, қашықталған қол жетімді бақылауды, байланыс құпиясы мен сервисті берудегі зиянды кедергілерден қорғауды жатқызуға болады. Internet-тегі байланысты қорғаудың қажеттілігі жалпы желілерді қорғау технологиясының күрделі дамуын туындайды.
Іскер орта алдында қауіпті мәселе пайда болды: хакерлік әдістердің дамуымен байланысты пайда болатын, қорғаудың бұзылу қауіпті тұрақты өсу жағдайындағы бизнестің күдіктілігін азайту үшін, қорғау әдістері мен құралын да жетілдіруді қалай іске асыру керек.
Мәселелердің бәрін шешуге бола беретін желілік қауіпсіздікті ұсыну қиын, өйткені оқу мекемесінің жергілікті желі үшін бір шешім пәрменді болуы мүмкін, ал аумақты желі үшін мүлде басқа. Қорғаудың кейбір шешімдері шағын кәсіпорын үшін жақсы, ал ол ірі мекемелер үшін жарамсыз екен, өйткені үлкен желілерже мұндай шешімдерді іске асыруға, көп уақыт жұмсау қажет немесе аса қымбат, көп еңбек етуді талап етеді. Internet-ке шығу қәуіпсіздікке қосымша қауіп әкеледі, ол берліген осы компанияның инфрақұрылыма қаскүнемнің енуіне жақсы мүмкіншілік алады.
Қазіргі кезде бизнестің алдында тұрған, қорғаудың мәселесі, қолда бар шешімдердің барлық көрісін қарастыру міндетіне және олардың тиімді түрін таңдауға әкеледі. Бұл кендері қорғаудың сәйкесті құралдары мен технологиясы аз емес. Желіні қорғауды іске асырудың қиындылығы сол, ол қорғаудың сәйкесті технологиясының жоқ болуында емес, мұндай көп шешімнің арасынан таңдап ала білуде, ол сіздің нақтылы желіліңіз үшін және сіздің бизнесіңіздің талабына жақсы келетін жағдай және осы кезде қорғау құралын ұстап тұрады, құралды бірге алып жүруге жеңіл, мұны тиісті жеткізуші ұйым ұсынады, мұндайда шығын аз.
1 CISCO 5500 Series қондырғысының негізінде есептеуіш желілердің құрылымы мен оларға жалпы шолу
0.1 Желіні қорғау мәселесінің туындау себептері мен талаптары
Кем дегенде желілерді қорғау қауіпсіздігінің пайда болуына негізінен үш себебі бар.
oo Технологиялық кемшілік.Әр бір желі және әр бір компьтерлік технологияның қорғауындағы өз мәселелері болады.
oo Конфигурациянің кемшілігі. Қорғаудың ең сенімді технологиясында дұрыс жүзеге аспауы мүмкін немесе дұрыс пайдаланбауы мүмкін, мұның нәтижесінде қорғау мәселесінің пайда болуы мүмкін.
oo Қорғау саясатының кемшілігі. Қорғау саясатының дұрыс келмеуі немесе дұрыс іске аспауы, тіпте ең жақсы жетілген қорғаудың желілік технологиясың күдікті етуі мүмкін.
Әлемде кәсіби жетістікке қол жеткізуге талабы бар кісілер болады, мұнымен қатар олар материалдық қызулышылықты үміт қалдырмайды, бұл үшін қорғаудың кемшілігін пайдалана отырып, жаңалықты тұрақты ашады және пайдаланады. Желілерді қорғаудың белгілі кемшіліктерін келесі тарауларда жеткілікті де айқын қарастырады.
Технологиялық кемшіліктер
Компьютерлік және желілік технологияның қорғауындағы ішкі өз мәселелрі болады. Біздер TCPIP операциялық жүйелерге және желілік жабдықтарға тән, кемшіліктерді қарстырмақпыз (1.1-сурет).
CERT мұрағаттары (Computer Emergency Response Team - жедел жәрдем компьютерлік тобы) www.cert.orgбетінде әр-түрлі хаттамалардың көптеген технологиялық кемшіліктері құжатталынады, сондай-ақ бұған операциялық жүйелер мен желілік жаюдықтар енеді. CERT-тің сараптық ұсынымдары Internet-технологиясының қорғау мәселесіне де қатынасты. Олар мәселенің мәнің түсіндіреді, айқындауға көмектеседі, және оның сіздің нақтылы желіңізге қатынасы бар не жоғын анықтайды, оның шешу жолдарын ұсынады, сол сияқты тиісті жабдықты жеткізіп беруші туралы ақпаратты береді.
Сурет 1.1. Желілік және компьютерлік құрамдастарды қорғаудың технологиялық кемшіліктері
Желілік жабдықтардың кемшіліктері
Кез келген өңдірушінің желілік жабдықтарында қорғаудың өз кемшіліктері болады, оны да айқындау қажет және оларға қатынасты тиісті шаралар қолданылуы керек. Мұндай кемшіліктердің мысалдары құпия сөзді қорғаудың сенімсіздігі, аутентификация құралдарының болмауы, маршрутизация хаттамаларының қорғалмағандығы және Firewall-лардың кемшіліктері болады. Желілік жаюдықтардың айқындалған қорғаудың кемшіліктерін өңдірушілердің көпшілігі жеткілікті және тез жөңдейді. Әдетте мұндай кемшіліктер бағдармағалық жамаудың көмегімен немесе жабдықтың операциялық жүйесін жаңарту жолымен жөңделінеді.
Кемшіліктер құзіреті жоқ пайдаланушыларға рұқсат етілмеген енуді немесе жүйеге енудің тиімді түріне мүмкіндік береді. Оның себебі апараттық құралдың кемістігі немесе бағдарламалық қамтамассыз етудің кемістігі бола алады. Желілік жабдықтағы және желілік құрылымдағы кемшіліктердің көпшілігі жақсы белгілі және құжатталған, мысалы, CERT консультациялық орталық беттерінде. Cisco компаниясы пайдаланушыларды хабарландырады және Internet қоғамы қорғаудың консультациялық орталығы (Internet Security Advisories, www.cisco.comwarpcustomer707adv isory.html) сол арқылы Cisco өнімдеріндегі қорғаудың потенциалды маселелері жайлы жеткізеді. Бұл қорға ену үшін ССО құпия сөзі талап етіледі. Cisco-да жаоияланатын, сәйкесті материалдарды, әдетте рефератифтік түрінде CERT Web-беттерінде табуға болады.
Назар аударатын нәрсе сол, ол Cisco ІOS бағдарғамалық қамтамассыз етудің шектелген версиясы белгісіз кемшіліктерге жиі орын береді, ол толық және соңғы версиядан өзгеше, ол едәуір айқын тестіленеді.
TCPIP кемшіліктері.
TCPIP хаттамасы желідегі байланысты қарапайм ету үшін, ашық стандарт түрінде жасақталынған. Оның негізінде қызмет, құрал және утилиттер тұрғызылған, оларда ашық коммуникацияларды қолдау мақсатында жасақталынған. TCPIP және сәйкесті сервистердің кейбір ерекшеліктерін, олардың ішкі күдіктілігін сипаттайтын жайларды қарастырайық.
oo IP, TCP және UDP дестелерінің тақырыпшалары мен олардың құрамында болатындар оқылуы, өзгеруі және қайта жіберілуі мүмкін, олар байқалмай қалатындай етіледі.
oo Желілік файылдық жүйе (NFS) хосттарға қорғалмаған сенімді енуді алуға мүмкіндік береді. NFS пайдаланушылардың аутентификациясын қамтамассыз етпейді және байланыс сеанстары үшін UDP порттарының кездейсоқ нөмерлерін пайдаланады, бұл іс жүзінде хаттамалық және пайдаланушылық енуді шектеу мүмкіндігін береді.
oo Telnet қуатты құрал, ол көмпетегн утилиттер мен Internet қызметіне пайдаланушыға енуге мүмкіндік береді, олар басқаша енуге болмайтын болады. Telnet-ті пайдалана отырып хосттың немесе IP-адрессінің атымен бірге порт нөмерін нұсқай келіп, хакерлер сервистермен интерактивты диалог бастай алады, юұлар жеткіліксіз қорғалынған деп саналады.
Операциялық жүйлердің кемшіліктері
Әрбір операциялық жүйенің де қорғаудағы өз міселесі болады. Linux, UNIX, Microsoft Windows 2000, Windows NT, Windows 98, Windows 95 және IBM OS2 - олардың бәрінде кемшіліктер болады, олар байқалған және құжат түрінде тіркелген.
CERT мұрағатында көптеген операциялық жүйелердің қорғау мәселесі баяндалған. Әр бір жеткізіп беруші немесе операциялық жүйелерді жасақтаушылар белгілі қорғау мәселесі жайлы және оларды шешу әдістері туралы ақпаратты алады. Бәлкім, операциялық жүйелердің қорғау мәселелері аз болмауы мүмкін, оларды да тағы байқау, құжаттау және шешу мәселесі алдан шығады.
Конфигурацияның кемшіліктері1.2-суреттінде көрсетілген конфигурацияның кемшіліктері, технологиялыққа жуық. Олар желілік жабдықтардың дұрыс емес конфигурациясының салдарынан пайда болады, ал ол айқындалған қорғаудың немесе потенцияалды қорғау мәселесін шешу үшін қолданылады. Атап кету керектігі сол, егер конфигурацияның кемшіліктері белгілі болса, әдетте оларды аз шығынмен жеңіл жөңдеуге болады.
Сурет 1.2. Дұрыс емес конфигурация немесе жабдықты дұрыс пайдаланбау себебі бойынша туындайтын, қорғаудың мәселері
Міне конфигурация кемшіліктерінің бірнеше мысалдары.
oo Қоңдырғылардың үндемеуі бойынша қамтамассыз етілетін, жеткіліксіз қорғау. Көптеген өнімдердің үндемеуі бойынша қондырғылар қорғау жүйесінде кемшімдіктерді ашық қалдырады. Пайдаланушылар өңдірушң фирмамен немесе пайдаланушылар қоғамымен қандай қондырғылар үндемеуі бойынша қорғаудың әлсіздігін көрсетеді және оларды қалай өзгертуге болатыны туралы ақылдасуы, кеңесуі керек.
oo Желілік жабдықтардың дұрыс емес конфигурациясы. Жабдықтардың дұрыс емес конфигурациясықорғаудың аса қауіпты мәселесін тудыруы мүмкін. Мысалы, дұрыс емес құрылым ену тізіндерінің хаттама маршрутизациясын немесе SNMP топтық жолдары қорғау жүйесінде кең кемшімдерді аша алады.
oo Пайдаланушылардың қорғалмаған есепті жаспалары. Егер пайдаланушылардың есепті жазулары туралы ақпарат желі бойынша ашық берілетін болса, онда бұл пайдаланушылардың аттарын және жасырын сөздерін қасқойлердің пайдалануына мүмкіндік береді.
oo Аса қарапайым жасарын сөздерді пайдаланушы пайдаланатын, пайдаланушылардың есепті жазбалары. Бұл кең таралған мәселе шектелген көптеген нұсқалардың арасынан пайдаланушылар жеңіл тауып алатын құпия сөздерді оңай таңдап алу нәтижемінде туындайды. Мысалы, NetWare, UNIX және Windows NT жүйелерде guest пайдаланушылар атымен және guest құпия сөзімен есепті жазбалары бола алады.
oo Internet қызметтерінің дұрыс емес жөңделуі. Web шолуындағы Java және JavaScript қолданылуы жалпы мәселе, бұл Java зиянды апалиттерінің ендіру шабуылу үшін мүмкіндік ашады. Желілік жабдықтар немесе компьютердің операциялық жүйесі желіге алыстан енуге мүмкіндік беретін, TCPIP қорғалмаған қызметтерін пайдалануға жол ашады.
oo Бүтіндей алғандағы бұл кемшіліктер жайлы және желілік құрылымдардың дұрыс конфигурациясы және компьютерлік жүйелер туралы ақпаратты CERT концултациялық орталық арқылы, желілік жабдықтарды өңдірушілердің құжаттамаларынан, және RFC (Request for Comments - сұраныс айқындауы) ақпараттарынан ақпаратты алуға болады, онда желі конфигурациясының өтіп жатқан сәттегі жақсы нұсқалар жазылған (айталық, мысалы, RFC 2827 құжатында, Желіге сыртқы ену сүзгісі).
Желіні қорғау саясатының кемшіліктері
Құжатталынған және қызметкерге хабарландырылған өорғау саясаты желіні қорғаудың айтарлықтай құрамадсы болып келеді. Алайда қорғаудың кейбір мәселелері қорғау саясатының өз кемшілігімен де туындауы мүмкін, және мұндай мәселеге келесілерді жатқызуға болады.
oo Құжатталынған қорғау саясатын болмауы. Құжаттардың терім түрінде берілмеген саясатын бір ізді және зорлап пайдалану мүмкін емес.
oo Ішкі саясаттық қарама-қайшылықтар.Саяс даудамайлар, жасырын шайқастар және жабық келіспеушіліктер қорғаудың келесілген және міндетті саясаттын жүргізуге кедергі жасайды.
oo Жалғасымдылықтың жоқ болуы. Қорғау саясатын іске асыруға жауап беретін, қызметкерді таза ауыстыру, қорғау саясатындағы тұрақсыздыққа әкеледі.
oo Желілік жабдықтарға енуді логикалық бақылаудың жоқ болуы.Пайдаланушының жасырын сөзді таңдап алу іс-шарасын қатаң бақылаудың жоқ болуы, желіге рұқсат етілмеген енуді ашады.
oo Әкімдік басқару, мониторинг және бақылаудағы салғырттық. Тең емес мониторинг, аудит және мәселені өз кезінде болдырмау қорғау жүйесіне шабуыл жасауға мүмкіндік береді және ұзақ уақыт бойына желілік қорларды заңсыз байдаланады, бұл компания құралын дұрыс пайдалнбауды білдіреді және заң алдындағы шауапкершілікке ікеледі.
oo Шабуыл мүмкіндігі туралы хабардар етпеу.Егер ұйымда желіні жүйелі мониторинг дүргізбесе немесе жалпы жүйелік шабуылдауды байқау жүйесі жоқ болса, онда ұйым бұл тәртіп бұзушылықтар туралы тіпті білмеуі де мүмкін.
oo Қабылданған қорғау саясатының апараттық құралдарының және бағдарламалық қамтамассыз етудің сәйкесті болмауы.Жүйе топологиясын рұқсат етілмеген өзгерту немесе тексерілмеген айқындауыштын қондырылуы қорғау жүйесінде кемшіндерді тудырады.
oo Қорғау инциденттерінің өңдеу іш-шарасымен жүйені қайтадан келтіру жоспарының жоқ болуы.Қорғау инциденттерінің айқын өңдеу жоспарының жоқ болуы және желілік шабуыл жағдауындағы кәсіпорынның жұйесінің жұмыс істеу қабілеттілігін қайтадан қалпына келтіру ретсіздікке, шатасуға және қателік әрекетке әкеледі [2, 5, 12].
Ішкі қауіп қатерлерІшкі қауіп қатерлер ұйымның өз ішінен қызметкерлердің ақылды немесе ақылсыз, жоспарлы немесе жоспарсыз сәйкесті әрікеттердін салдарынан шығады.
oo Жаман пиғылды қызметкерлер.Қызметкерлер, пайда табу мақсатымен немесе ұрлау мақсатымен қорғау күдіктілігін алдын ала тексеретін адамдар.
oo Қызметкерлер, алдың ала өзі білмей тәртіп бұзатындар. Қызметкерлер, күтпеген жағдайда вирус немесе басқа қауіпті жиелік бағдарламаны байқамай береді де жийенің ішкі маңызды бөлігіне күтпеген жерден енуге жол алады, кейде орталық басты компьютерге шығады.
oo Қызметкерлер, желілік ортаны дұрыс пайдаланбайтындар. Қызметкерлер, сенімсіз құпия жасырын сөздерді байқаусызда пайдаланып немесе желілік жабдықтардың дұрыс емес конфигурациямын пайдаланады.
Сыртқы қауіп қатерлерСыртқы қауіп қатерлер ұйымның сыртында болатын, нысандардан сол сияқты арнайы ойландырылған немесе ойландарылмаған әрекет салдарынан пайда болады.
oo Өткір сезімді ұнатындар. Көптеген тәртіп бұзушылар тарапты жай рақат үшін немесе тиіті сезімдер тұғузы мақсатында шабуылдайды.
oo Бәсекелістер. Сіздің жетістігіңіз бәсекелестік көзқарастан алғанда маңызды, ақпаратқа жету үшін бісекелестердің ойын қызықтыруы мүмкін.
oo Душпандар. Көптеген елдердің өкіметтері достық немесе душпандық мемлекеттердің ақпараттық соғыстарымен жайсызданады, ол ұлтшылдықпен, фонатизммен, немесе идиологиялық пайымдармен түрткіленеді. Мысалы, Косоводағы дау-дамай барысында Web-торапта NATО-ның байқауында көрінді.
oo Ұрылар. Тәртіп бұзушылар маңызды ақпаратты іздеуі мүмкін, мысалы, оны сату не оны пайдалану мақсатымен жасайды.
oo Шпиондар (тыңшылар, жансыздар).Бүгінгі өнер-кәсіптік тыңшылар күнінен күнге кең таратуда.
oo Теріс пиғылдағы бұрынғы қызметкерлер.Желінің ішкі құрылымын білетін қызметкерлер, кек алу мақсатымен немесе пайда табу ниетімен зияндық жасауы мүмкін.
oo Басқалар. Адамдар желіге әр-түрлі себептермен тиісуі мүмкін: спорттық мүдделікпен немесе желіні зерттеу ниетімен, зерікенен немесе қызуғушылықпен, сол сияқты мақтану мақсатымен де.
Желілердің қауіпсіздігін қамтамасыз ету талаптары
Қазіргі кезде желілердің көптеген саны Internet арқылы біріккен. Сондықтан әрине белгілісі сол, ол мұндай үлкен жүйенің қауіпсіз жұмыс істеуі үшін белгілі бір қауіпсіздік шараларын қолдану қажет, өйткені іс жүзінде кез-келген компьютерден кез-келген ұйымның желісіне енуге болады, және де осыған байланысты қауіпсыздігі едәуір арта түседі, бұл өз кезегінде еш бір күш жұисамай-ақ компьютердің сынуына әкеледі.
Бұл себеп салдарды ескере отырып белгілі бір дәрежедегі сенімділікпен айтуға болатын сол, ол желілердің қауіпсіздік мәселесі шешілмеген күйі қалады да, нақ бүгінгі күндері көптеген компониялардың қамтамасыз етуді жеткілікті шешу мәселесі қанағатсыз, нәтижеде олар қаржылық шығынға душар болады.
Желілер қауіпсіздігінің негізгі анықтамалары
Біріккен желілер (Internet work) термині деп біріне бірі қосылған көптеген желілерді түсінеді. Біріккен желілерде арнайы аймақтар жасалады, олардың әр-қайсы белгілі ақпаратты өңдеу және сақтау үшін тағайындалған. Олардың қауіпсіздігін қамтамасыз ету мақсатымен бұл аймақтарды ажырата бөлу үшін арнайы құрылғыларды пайдаланады, оларды Firewall деп атайды, немесе желіарлық экрандар дейді. Firewall-лар жабық желілерді және жалпы пайдаланудағы желілерді бөлу үшін тағайндалған дегендей пікірлер бар, әйтседе бұд әркез бұлай боола бермейді. Firewall-ларды жабық желілердің сегменттерін шектеу үшін де айтарлық жиы қолданады.
Firewall түсінгі маршрутизатор немесе ену сервері (бір немесе бернеше) ретінде анықталған, ол жабық желілермен ашық желілер арасында қорқаушы экран ролін анықтайды. Firewall - маршрутизаторды жабық желілердің қорғаудың басқа құралы және ену тізбесі түрінде қолданады.
Әдетте Firewall - ларды алдын ала ескерілгені сол, ол ең аз дегенде, үш интерфейстің бұрынырақтағы пайдалануында екі іске асады. Осы себеп бойынша, дағды болып кеткенге орай қазіргі кезде Firewall - ларда негізінен үшеуден небәрі екі интерфейс пайдаланылады. Мұнайд жағдайда, үш қалыптасқан интерфейсі бар Firewall пайдалынған кезде, бөлінген үш желілік аймақты жасау мүмкіншілігі бар. Бұл аймақтардың арқайсысы төменде қысқаша баяндалған.
oo Ішкі(inside) аймақ, жабық аймақ құрылғысының жұмысы үшін тағайындалған және оны біріккен желілердің сенімді аймағы болады. Бұл құрылғылар сыртқы желілермен жұмыс істеген кезде (мысалы, Internet-пен) қауіпсіздіктің белгілі саясатына бағынады. Алайда іс жүзінде Firewall сенімді аймақтың сегмент бөліктерін ажырату үшін айтарлықтай жиы пайдалынады. Мысалы, Firewall - ды жалпы желіден кәсіпорынның қандай да бір бөлімшесінен желіні бөлу үшін пайдалануға болады.
oo Біріккен желінің сыртқы (outside) аймағы сенімсіздігі томен аймақ болып келеді. Firewall-дың негізгі қызметі сыртқы аймақта болатын, құрылғыдан ішкі құрылғылар мен демилитариленген аймақтарды қорғау. Мұнан басқа, қажет болған жағдайда Firewall демилитариленген аймақта болатын, құрылғыларға сыртқы аймақтан қауіпсіз таңдаулы ену үшін бағытталған бола алады. Аса қажет болған жағдайда Firewall ішкі аймаққа сыртқы аймақтан енуді қамтамасыз ету үшін бағытталған болады. Бірақ та бұл әрекеттерге ерекше жағдайларда ғана баруға болады, өйткені сыртқы аймақтан ішкі аймаққа ену едәуір қауіп қатер көрсете алады, ал мұндай ену демилитариленген шектелген аймаққа енуден көрі кемшімдеу келеді.
oo Демилитариленген аймақ (Demilitarized zone - DMZ) - бұл оқшаулаған желі (немесе желілер), ол әдетте сыртқы желіден пайдаланушыға қол жетімді. Firewall солайша конфигуралануы керек, сыртқы аймақтан ішкі немесе демилитариленген аймаққа енуге қамтамасыз ету үшін. Демилитариленген аймаққа ену үшін рұқсат жасау компанияға ақпаратты беретін компанияға және қызмет етушілерге сыртқы пайдаланушыларды ену қауіпсіздігін ұйымдастыруға мүмкіндік береді. Мінеки осылайша, бұл аймақ олардың қауіпсіз ішкі аймаққа енуінсіз сыртқы пайдаланушылармен жұмыс істеуге мүмкіндік береді.
Тораптар, немесе серверлер, ал олар демилитариленген аймаққа енеді, әдетте бастионды тораптар (bastion host) деп аталады. Бұл арада бастионды тораптар деп түсінеті сол, ол оларда операциялық жүйенің жаңа болжамы жұмыс істейді және жаңарудың барлық модульдері орнығады. Бастиондық тораптардың пайдалануы жүйені сынуға тұрақты етеді, өйткені өңдіруші қателерді жөндеугі мүмкіншігі болады да айқындаушыға қосымша орнатады. Мұнан басқа бастиондық тораптың ерекшелігі сол, ол онда тек қызмет қана орындалады, ал ол өз кезегінде айқындауыштың жұмысы үшін қажет. Қажетті емес (және де кейбір жағдайларда қауіптілеу) қызметтер үзіп тасталады немесе мүлдем тораптан әкетіледі.
1.3 суретінде Firewall - ды пайдаланған кездегі желінің жалпы құрылымы көрсетілген
Сурет 1.3. Firewall - ды пайдаланған кездегі желінің жалпы құрылымы
Firewall негізгі келесі қызметтерді қамтамасыз етуі керек:
oo ішкі аймаққа сыртқы аймақтан енуге тиым салу;
oo демилитариленген аймаққа сыртқы аймақтан енуді шектеу;
oo сыртқы аймаққа ішкі аймақтан толық ену;
oo демилитариленген аймаққа сыртқы аймақтан енуді шектеу.
Бірақ та желінің кейбір жобаларында жекеленген шектеулер немесе Firewall қызмет тізімінде келтірілген барлық тармақтар шығарылкуы мүмкін. Ішкі аймаққа сыртқы аймақтан SMTP - хабарын жеткізуді қамтамасыз қажет делік, егер демилитариленген аймақта SMTP - сервер немесе SMTP - серверге тікелей қатынасты SMTP - дестлердіжіберуді қамтамасыз ететін SMTP-хабарды беруге арналған құралдар жоқ, ол ішкі аймақта физикалық түрде болады. Мұндай амалдың іске асуы нәтижесінде берілген аймақтағы жұмыстың қауіпсыздығы едәуір төмендейді.
Басқа бір ескеретін жағдай сол, ол сыртқы аймаққа ішкі аймақтан берілген ағымның бәрін тифм ету. Белгілі айқындауышты (порты) пайдаланудағы шектеу жекеленген IP - адрестерінде орналасады, немесе ішкі желінің бәрінде желішелерде бола алады. Сыртқы желіге ішкі желіден берілген ағынды бақылаудың тағы бір әдісі URL - адресі бойынша сүзгілеу болады. HTTP-сүзгілерді, WebSense сияқты шектеулерді пайдалану төменде қарастырылатын болады.
0.2 Желілер қауіпсіздігінің саясаты және оны қамтамассыз ету
Компьютерлік желілердің қауіпсіздігін қамтамассіз ету үздіксіз процесс, ол жаңа компьютерлік технологияның енуі мен және тұрақты дамуы мен шарттасқан. Сондықтан компьютерлік жүйелердегі қауіпсіздіктің кез келген саясаты қауіпсіздігі барлық мүмкін болатын қауіп қатерлерде ескер отырып құрылуы керек, және бұл қауіп қатерлер желілердің қауіпсіздік аймағында кездесуі мүмкін.
RFC 2196 Site Security Handbook құжатында айтылған: Қауіпсіздік саясаты - ол қатаң белгіленген ережелер мен тұжырымдамалардың жинағы, оны технологиялық ұйымдар мен ақпараттық мәліметі бар, тұлғалар сақтауы керек.
Түсінудің маңыздылығы сол, ол желілік қауіпсіздік - ол эволюциялық процесс. Корпорацияға толық қауіпсіздікті беруге қабілетті, бір де бір өнім жоқ. Сенімді қорғауға өнім мен қызметтің өз ара үйлесуі арқылы қол жетеді. Сондай-ақ қауіпсіздіктің сауатты саясаты да және оны жоғарыдан төменге дейінгі қызметкерлердің барлығы сақтауы керек. Байқауға болатын сол, ол тіпті қауіпсіздіктің дұрыс саясаты қорғаудың бөлінген құралынсыз жақсы нәтиже береді. Ал бұл қауіпсіздіктің саясатынсыз қорғау құралынан көрі артық екенін көрсетеді.
Қауіпсіздік саясаты келесі міндеттерді шешуі керек:
oo Ұйымдардың қорғалатын нысандарының идентификациясы.Сізге қорғау керек екендігін, анықтаныз және мұны қалай іске асырасыз. Компьютерлік желідегі әлсіз орындарды айқындау және оларды бұзу үшін пайдалануы керек екендігін түсіне отырып берілген делідегі жұмыс кезіндегі қауіпсіздік деңгейін көтеруге көмектеседі.
oo Қоғалатын қорлардың қатаң есептелуін ұйымдастыру. Қалыпты режимдегі жүйенің жұмыс істеуін зерттеңіз, қандай құрылғылар пайдаланылады, желіде мәліметтің қандай ағымы өтеді.
oo Ағымды сұлбасы мен құрылымы бар желі құрылымының анықталуы. Желінің қауіпсіздігі мен оны қамтамасыз етуге арналған құралды ойлаңыз. Құрылғыға пайдаланушының физикалық енуі бұл құрылымға оның бақылау жасауына мүмкіндік береді.
Үздіксіз жаңарып отыратын қауіпсіздік саясаты барынша пәрменді болып кледі, өткені ол жүйенің қауіпсіздігін тұрақты тексеруді қамтамассыз етеді, мұнымен қатар қорғаудың ылғи жаңарып отыратын әдістері осылай етеді. Қауіпсіздікті қамтамассыз ету процесстерінің жалғаласылымдылығын қауіпсіздікті қамтамасыз ету цикілі түрінде беруге болады (Security Wheel). 1.4 - суретінде қауіпсіздікті қамтамасыз етудегі циклдің төрт кезеңі көрсетілген.
Сурет 1.4.Компьютерлік желінің қауіпсіздігінің қамтамыз ету циклі
Қауіпсіздік саясаты төрт кезең негізінде тұрғызылуы керек, олар қауіпсіздікті қамтамасыз ету цикулінен турады.
1 кезең. Жүйенің қорғалуы.Келесі құрылымды және (немесе) жүйені пайдалынындар, ол желілік жүйеге заңсыз енуді болдырмайды.
а) Идентификация және аутинтификация жүйелері (Identification Authentication System), One-Time Password (OTP) сияқты, пайдаланушылардың аутинтификация құралы мен авторизацияны қамтамасмыз етеді. Мұндай жүйелердің мысалы Cisco Secure Control Server (CSACS), Windows Dial-up Networking, SKey, CryptoCard және SecurІD болады.
ә) Шифрлау авторизацияланбаған пайдаланушылардың берілген ағымнан ақпаратты қағып алуды болдырмайды. Internet-те жұмыс істеген кезде шифрлаудың стандартты хаттмасы IP Security (IPSec) болады. IPSec стандартты RFC 2401 құжатымен анықталған.
б) Firewall-дар белгілі бір типтегі берілген ағымның сүзгіленген түрін ғана, берілген ағымды шектейді немесе өтуге мүмкіндік береді.
в) Кемшіліктерді аластау, ол олардың пайдалануы негізделген, бұзуды болдырмау үшін қажетті жүйеде бар болатын кемшіліктерді аластау. Бұл процесс керексіз қызметтің барлық жүйесіндегі бөліп тастауды білдіреді; қызмет аз орындалған сайын бұзушыларға жүйеге енуді алу қйындай береді.
г) физикалық қауіпсіздік компьютерлік желілердің қауіпсіздігін қамтамасыз етудегі өте маңызды элемент, оған өте аз назар аударады. Егер қасқой желідегі жұмысты қамтамысз ететін, апараттық жүйелерді ұрлауға физикалық мүмкіншілігі болса, онда қалған барлық қауіпсіздікті қамтамасыз ету сауалы жай пайдасыз болып қалады. Сондай-ақ әртүрлі құрылымдар жүйесіндегі рұқсат етілмеген нұсқауға тиым қажет, олар маңызды деректерді ұрлау үшін пайдалануы мүмкін.
2 кезең.Қауіпсіздіктің корпаративтік саясатына қарсы бағытталған, бұзушылық пен бұзу ісінде желідегі мәлімет ағымдар күйін талдау-анализ. Қауіпсіздікті бұзу көздері жүйенің ішінде де болады (мысалы, өкпелеген қызметкерлер) және оның сыртында да (мысалы, хакерлер). Желінің қауіпсіздік саясатын бұзу сияқтыларды болдырмау үшін Cisco Secure Instruction Detection System (CSIDS) сияқтыларды, енуді байқаудың арнайы жүйелері пайдалынады, олар бұзудың әр түрлі түрін табуға және болдырмауға мүмкіндік береді. Мұдан басқа CSIDS жүйесінің көмегімен құрылымның реттелу дұрыстығын тексеруге болады, ал ол қауіпсіздікті қамтамасыз етеді, әрине бұлар қауіпсіздікті қамтамасыз ету циклінің бірінші кезеніңде еске алынған. Желідегі мәлімет ағындарының күйін талдау маңызды құрастырушы болады, ол жүйеде болып өткен, барлық оқиғаларды хаттамалайды. Желіде болып өтетін мәлімет ағындарын хаттамалауды енгізу, қасқойдың желі туралы ақпаратты жинау кезеңінде әрекетің байқауға көмектеседі және бұзудың алдын алады, бұл желінің барлық жұмысын оқшаулайды.
3 кезең. Қауіпсіздікті қамтамассыз ету құралдарының пәрменділігін тексеру. Сізде желінің қауіпсіздігін қамтамассыз етудің өте күрделі де қымбат жүйесі болуы мүмкін, бірақта егер оның құрылымы дұрыс орналаспаса немесе дұрыс орындамаса, онда сіздің желіңіз жеңіл бұзылады. Желінің қауіпсіздік күйін тессеру үшін Cisco Secure Scanner құралы пайдалынады.
4 кезең. Қауіпсіздіктің корпаративті саясатының үздіксіз жетілуі. Қауіпсіздіктің жалпы деңгейін жоғарлату мақсатымен, жүйедегі мәліметтер ағымының күйін талдау нәтижесінде алынған, барлық ақпаратты жинандар да талтандар.
Ұмытуға болмайтын жағдай сол, ол жүйелер қауіпсіздігінің жаңа қатерімен қиын жағдайларын күн сайын баұылау. Сіздің желіңіздің қауіпсіздік деңгейі максималды жоғары болуы үшін, төрт кезеңнің бәрін оорындау қажет - желіні қорғау, мәлімет ағымдарының күйін талдау, қауіпсіздік саясатын тестілеу және жетілдіру. Бұл кезеңдердің бәрі де бірін бірі тұрақты ауыстырады, ал әр бір жаңа цикл қауіпсіздіктің корпоративті саясатына сапалық өзгеріс еңгізуі керек.
1.3CISCO 5500 Series қондырғысына жалпы шолу.
oo Кіші және орта бизнес пен ірі корпорациялар үшін арналған.
oo Интегриленген сервистердің масштабталуы мен оларды унифицирленген басқаруын қамтамассыз ету үшін арналған.
oo Көптеген қорғаныс механизмдерін падалану процесінің еш бір қиындықсыз жұмыс істеуіне, сонымен қатар жоғары өндірістігіне кепілдік береді.
oo Желілік және қосымша трафикті басқарады.
oo Жеке виртуалды желі арқылы сенімді байланысты қамтамассыз етеді.
oo Меншіктің бағасын төмендетеді.
Сурет 1.5. CISCO ASA 5500
Қазіргі кезде желілермен қорғаныс құралдарынсыз жұмыс істеу қиынға соғады, сондықтан Cisco Systems компаниясы қазіргі таңдағы желілерді ішкі және сыртқы қауіптен қорғаудың ең озық шешімін ұсынады - ASA 5500. Осы класстағы қорғаныс құрылғылардың түрлі модельдері түрлі масштабтағы инфрақұрылым үшін жобаланған (шағын офистерден бастап ірі корпорацияларға дейін).
CISCO ASA-ның негізгі мінездемесі мен мүмкіншіліктері:
oo Cisco Adaptive Securiti Device Manager көмегімен басқару;
oo Бұрыс жауапқа тұрақтылық конфигурациясын демеу (ActiveStandby және ActiveActive);
oo Risk Rating,Meta Event Generator дабылды басқару механизмдерін демеу;
oo OSPF,PIM,Ipv6,QoS демеу;
oo Мөлдір және виртуалды МСЭ демеу;
oo Хаттамалар мен қосымшаларды бақылау (Web,e-mail,FTP дыбыс және мультимедия, СУБД, GTRGPRS,ISQ,P2P операциялық жүйелері және т.б.);
oo Буфердің шектен тыс толуы шабуылынан қорғау, RFC-тың бұзылуы, аномалиялар;
oo SSL және IPSec VPN ұйымдастыру;
oo HTTP,FTP,SMTP және POP3 протоколдарында вирустар, құрттар және зиянды бағдарламаларға төтеп беру;
oo Syslog to ACL Correlation механизмі;
oo Басқарылатын интерфейс саны - 8 дейін.
Cisco Self-Defending Network (SDN) қорғаныс стратегиясының басты құраушысы - Cisco ASA 5500 үш модельден тұрады: ASA 5510, 5520 және 5540 (мінездемесі төменгі кестеде көрсетілген), сонымен қатар түрлі масштабтағы инфрақұрылым үшін арналған (шағын офистерден бастап ірі корпорацияларға дейін).
ASA 5500 Series жүйесі техникалық жағынан Cisco - ның PIX Security Appliance, IPS 4200 Series и VPN 3000 Concentrator сияқты құраушыларында болатын құатты қорғаныс құралдарына сүйенеді. Осыған байланысты тапсырыс берушіге VPN қызметінің кең тізімін ұсынады. Сондай-ақ олар IPSec және SSL VPN технологияларның қолданумен дистанционды қорғалған қолжеткізуді қамтамассыз етеді. Сонымен қатар, ең маңызды телекоммуникациялық байланысты демеу арқасында ASA 5500 Series өнім сериялары интеграциялау және кәдімгі трафик пен бизнес қосымшасына залал келтірмей-ақ бар желілік құрылымға қондырылу мүмкіндігіне ие екенін атап айтқан жөн.
Cisco ASA 5500 Series-тың негізгі техникалық артықшылығы - түрлі қауіп алдында қорғану деңгейінің жоғарлауы, және офистердің өзара қорғалған әрекеттестік құру мүмкіншілігі. Cisco AIM-нің кеңейтіліп жатқан архетиктурасы мен Cisco ASA 5500 Series ұяшығының мультипроцессорлық архитектурасы бір мезгілде жұмыс атқарып жатқан қорғаныс механизмдердің жоғарғы өндіргіштігін қамтамассыз етеді. Cisco ASA 5500 Series-тің әр платформасы өз ішіне қоса жұмыс істейтін бірнеше өндірістік процесстерді біріктіреді. Олар өз кезегінде қосымшалардың корғанысын, белгісіз шабуылдардан қорғалуын, масштабталған IPSecSSL VPN қызметін және т.б. қамтамассыз етеді. Енуді болдырмау және кеңейтілген қорғаныс қызметі сияқтыұсыныстар қарастырылған. Ол үшін Cisco ASA 5500 Series құрылғысында адаптивті тексеру мен AIP-SSM шабуылды болдырмау модульдері орнатылады. Осының арқасында Cisco ASA 5500 Series құрылғылары жылдам дамитын қауіп ортасында қорғанысты қамтамассыз ете отырып, оңай адаптивтену қасиетіне ие болады.
Кесте1.1
Cisco ASA 5500 жабдықтарының техникалық сипаттамасы
ASA 5510
ASA 5520
ASA 5540
ЖАЭ өнімділігі, Мбитс
300 дейін
450 дейін
650 дейін
ЖАЭ онөмділігі мен щабуылдан, Мбитс
150 дейін
225дейін (AIP-SSM-10); 375 дейін (AIP-SSM-20)
дейін450 (AIP-SSM-20)
VPN өнімділігі, Мбитс
170 дейін
225 дейін
325 дейін
Бір уақытта болатын сессиялардың көлемі
32 00064 000
130 000
280 000
IPSec VPN тунель саны
50150
300750
50020005000
SSL VPN тунель саны
50150
300750*
50012502500
Виртуалды ЖАЭ
0
210
250
Қолданылатын физикалық интерфейстер
3 Fast Ethernet + 1 порт басқармасы5 Fast Ethernet
4 Gigabit Ethernet + 1 Fast Ethernet
4 Gigabit Ethernet + 1 Fast Ethernet
Қолданылатын логикалық интерфейстер VLAN 802.1q
010
25
100
Қорғаныс механизмдері
CISCO ASA 5500 Series жүйесі Adaptive Threat Defense атымен танымал шабуылдан қорғайтын дамыған адаптивті механизімін ұсынады. Оның құрамына белгісіз қаіптен қорғау құрылғысы (Anti-X), бизнес қосымшасының қорғау әдісі (Application security) және желіні бақылау мен қорғау технологиясы (Network containment and control) жатады. Олар кәсіпорынды көптеген заңсыз әрекеттерден толық және унифицирленген қорғанысқа кепілдік береді. ASA 5500 Series жүйесі трафик құпиялығын қамтамассыз ететін механизмдер жиынтығын ұсынады. Олар IPSec пен SSL хаттамаларын қолдануға негізделген және адаптивті қорғану технологиясымен біріктірілген. Cisco ASA 5500 Series құрылғыларындығы IPSec және SSL VPN қосылысы олардың VPN-ның кез-келеген сценариіне адаптивтенуге жол ашады. Біріккен құрылым және бақыланатын инфрақұрылым көмегмен кез-келген пайдаланушы үшін жоғарғы дәрежедегі алшақтанған енуді қамтамассыз етуге болады. Cisco ASA 5500 Series құрылғыларының Cisco VPN3000 кластэрлерімен бірігуі тапсырыс берушілерге оларда бар VPN құрылымын пайдалануға мүмкіндік ашады. Cisco ASA 5500 Series өз қатарына Threat-protected VPN атты бай қорғаныс функциясын қосады. Оның құрамына аяқталған желілік құрылғларын қорғау, қауіптен қорғау құралдары,енуді қадағалау қызметі мен қосымшаларға арналған МСЭ кіреді.
Cisco ASA 5500 Series 7.1 версиясы көмегімен ASA 5500 Series-ның әрбір құрылғысы SSL VPN-ның бірмезеттегі 5000-ға дейінгі сессиясын қадағалайды. Осылайша кез-келген көлемдегі ұйым өз қызметшілеріне әлемнің кез-келген нүктесінен жүйеге жеңіл әрі қорғалған енуді қамтамассыз ете алады. VPN жүктемесін қадағалау функциясы IPSec VPN-ның кең масштабты функционалдығы - мыңдаған пайдаланушылардың бір мезеттегі жұмысын қадағалауға керекті құрылғылар санын азайтуға мүмкіндік береді. Сонымен қатар түрлі типтегі VPN функцияларын қадағалауға керекті платформалар санын азайтады. ASA 5500 Series 7.1-да SSL VPN желілеріндегі контентті жеткізу механизімі жетілген. Web-контент пен Web-парағының трансформациясының қуатты функциялары пайда болған. Қосымшалардың өндірістігін оңтайландыру, түрлі браузерлерді қадағалау мен оңтайландырылған пайдаланушылар порталы ұйымдағы қызметшілер үшін корпоративті ресурстарға оңай қол жеткізуге жол ашады.
Интегрирленген қызметтер үшін Cisco-ның 800, 1800, 2800 және 3800 бағдарлаушылары (маршрутизаторы) SSL VPN-ны қамтитыны аса маңызды. Себебі олар тапсырыс берушілерге осы платформа негізінде бағдарлаудың сенімді, әрі қауіпсіз жүйесін құруға жол ашады. Cisco бағдарлаушыларында жүзеге асқан SSL VPN қызметтері ондағы клиентті және клиенттік емес сессиялардың 150-ге дейінгі санын қамти алады. Бұл жағдай шағын және орта кәсіпорындардың талабына сай болып келеді. Клиенттік емес ену - Citrix және Outlook сияқты қосымшалар мен ішкі-корпоративті Web-парақтарына сенімді қорғалған ену болып табылады. Ал SSL VPN-нің клиенттік енуі - кез-келген бизнес-қосымшасына қорғалған ену каналдарын ашады. Олар өзінің қолжетімділігі мен енгізу жеңілдігімен ерекшеленіп, IPSec VPN технологиясы мен қазіргі Cisco IOS (МСЭ, IPS және т.б.) қорғану қызметін толықтырады.
Cisco SSL VPN-ның барлық платформаларында Cisco Secure Desktop функциясы жүзеге асырылды. Ол желіге қосылып баратын әрбір құрылғының автоматты түрде қорғаныс жүйесі жағдайын тексереді. Бұл операция үшін байланыс сеансының соңында компьютерді тазалап, құпия деректерді сақтайтын қауіпсіз виртуалды машина құрылады.
Пайдалану және басқару
Функционалдықпен қатар CISCO ASA 5500 Series жүйесі бірқатарлы экономикалық және пайдаланушылық артықшылықтарға ие. Оған кіретіндер аппараттық модульдер мен БЖ есебінен сервисін өсіру, түрлі объектілерде платформаларды қалыптастыру және ыңғайланған іздеу процессі мен ақаусыздықты жою. Басқа сөзбен айтқанда, сол міндеттерді орындау үшін көптеген платформалар мен басқару жүйелері қажет етілетін. Бұндай адаптивті көзқарас - бір құрылғы - көптеген тағайындау - платформалардың санын азайтады. Бұл мән-жай мониторингті, техникалық қызметті, қауіпсіздік қызметінің оқытуын жеңілдетеді.
Cisco ASA 5500-де қолжетімді унифицирленген басқару қызметерінің көбісі Adaptive Security Device Manager арқылы жүзеге асады. Оның көмегімен бір құрылғыны басқаруға болады және Cisco Security Management Suite арқылы - бірнеше құрылғыны басқаруға болады. Web негізінде интегрирленген құрылғы менеджері Adaptive Security Device Manager VPN-қызметтері мен барлық қорғаныс механизмдерін біріктіруін қамтамассыз етеді. Ол құрамына саны онға дейін жететін шағын енгізулер үшін қолданылады және құрылғы күйін қадағалап отырылуын қамтамассыз етеді.
Жалпы айтқанда, ASA 5500 Series жүйесі тапсырыс берушінің бизнес-процессіне әсерін бағалай отырып, біз оны бизнес-процессі қорғанысынң бұзылуы нәтижесіндегі тұрып қалуы деп сипаттаймыз. Ал бұл шешімнің экономикасы қарапайым және келесі факторлардан тұрады:
oo Қорғау жүйесін сатып алуға кететін шығындырдың азаюы - алтадың орнына (МСЭ, IPS, VPN, антивирус, антиспам, URL қадағалау) біреуі сатып алынады.
oo Қаржы және уақыт шығымының азаюы: алты курс өтудің орнына бірақ курс жеткілікті.
oo Қорғаныс жүйесін енгізуге кететін уақыттың азаюы
oo Заңсыз енуді болдырмау арқасында, енумен күресуге кеткен шығындарды азайту.
oo Internet арқылы VPN ұйымдастыру арқасында байланыс каналдарына кететін шығындарды азайту.
1 "Тенгиз кеңсе" корпаративтік желісінің периметрін қорғау
2.1Желі периметрін қорғаудың жабдықтары мен бағдарламалық құралды таңдап алу
Ethernet байланыстырушы сериясы Catalyst 3560 - сырт тіршілікке тіркелген қолданушы үлгісі Ethernet IEEE 802.3af (Power over Ethernet), сол сияқты Cisco Inline Power (prestandard PoE).
Байланыстырушы сериялары кіру деңгейлерінде пайдалануға арналған Catalyst 3560 өте оңды ұйымдарға сәйкес келеді, енгізуде мысалы, ғимараттарды басқару жүйелері,бейнекамералар және т.с.с.
Негізгі міндеттемелері
oo жылдамдықты трафиктің маршуритизациясы: Cisco Express Forwarding (CEF) сериясы Catalyst 3560 технологиясының арқасында IP маршуритизациясын жоғары өңдірілуін қамтамасыз етеді. SMI програмалық қамтамасыз ету RIPv1 және RIPv2 статикалық маршрутизациясын қолдайды, ал EMI - және де OSPF, IGRP, EIGRP, сонымен қатар (PIM,DVMRP,IGMP snooping) трафиктері multicast маршуритизациясын қолдайды (PIM,DVMRP,IGMP snooping);
oo жоғарғы қауіпсіздік: 802.1x, хаттамасының қолдауы , Identity-Based Networking Services (IBNS) функционалдығы , трафик үшін кіру тізімдері, екінші деңгейдегі байланыстырушы (VLAN ACL),үшінші және төртінші деңгейлердегі (Router ACL), сондай ақ Port-based ACLs (PACL) және Time-based ACL.SSH және SNMPv3, әкімшәләк қолдауын басқару кезінде қауіпсіздікті қамтамасыз ету үшін , сондай ақ TACACS+және RADIUS серверлерінде орталықтанғаның аудентификациялайды;
oo жоғары қол жеткізу : ішкі қорек блоктерінің сөніп қалуынан қорғау үшін Catalyst 3560 байланыстырушылары Cisco Redundant Power System 675 (RPS 675), резервті жүйелік қорегін қолдайды. 802.1D, 802.1s, 802.1w,хаттамалары , UplinkFast, HSRP, UDLD, Aggressive UDLD, Switch port Autorecovery функционалдығы;
oo қызмет ету (QoS) сапасын қолдау:DSCP немесе 802.1p (CoS) алаңдары бойынша трафиктер класификациясы, WRED тапсырылған тарик типінің бөлінуі үшін кіру тізімдері кеңейтілген және стандарталған, Strict Priority кезекшілігі, Shaped Round Robin. Анықталған трафик түрі үшін максималды, жолақтардың анықтау мүмкіндіктері бар, сол сияқты CIR кепілдеген жолақтары бөлінеді;
oo өте жақсы басқарылу: ПО Cisco CMS байланыстарына енбеген, SNMP-платформасының көмегімен басқаруын қолдау, CiscoWorks сияқты, SNMP қолдауымен 1,2,3 нұсқасы Telnet, RMON, SPAN, RSPAN, NTP, TFTP.
Програмалық қызмет етудің нұсқалары
Standard Multilayer Software Image (SMI). QoS кеңейтілген қолдауын қосады, кіру тізімдері, RIP хаттамасының көмегімен маршуритизациялайды.
Enhanced Multilayer Software Image (EMI). SMI функционалдығынан басқа сондай ақ біріккен сыныптың кеңейтілген функционалдығын қамтамасыз етеді, WCCP хаттама,PBR, IP трафигінің көп адрестегі (unicast) және бір адресті (multicast) аппаратты маршуритизацисын қосқанда.
Кесте2.1
Catalyst 3560 байланыстырушы сериясының негізгі сипаттамалары
Catalyst 3560-24PS
Catalyst 3560-48 PS
Порттарының саны Fast Ethernet 10100 TX
24
48
Порттарының саны Gigabit Ethernet SFP
2
4
Өтімділік қабілеттілгі, Гбитс
8,8
17,6
Бағдарлаудың өндіргішітігі, млн.дестес
6,6
13,1
Ранк типтері VLAN
802,1q, ISL
13,1
БЖ типі
SMI немесе EMI
Flash-жадының көлемі, Мб
16
ЖСҚ көлемі, Мб
128
Cisco 2800 топтамасындағы бағдарлауыштар
Cisco 2800 сериясы өзімен интеграциялық сервистермен (Integrated Services Routers, ISR), маршуритизаторларын ұсынады, арналар байланыс жылдамдығында бейне және дауыстар, деректерді тарату қауіпсіздігі үшін жеңілдетілген. Cisco 2600, сериясымен салыстыру бойынша Cisco 2800 сериясы бойынша Cisco 1700 және 2600 сериясымен маршуритизаторлар үшін брүгіндікке кіре алады, 90 модульдерімен іске асырылатынмен қайта бірігулерді сақтау кезінде үлкейтілген интерфейстерін тығыздығы мәнді және сервистері шығарылады, өндірістің бестік қсуі қамтамасыз етеді.
Серия Cisco 2800 сериясы иілгіш модульді құрылыммен ерекшелінеді. Желілер модульдерін орнату үшін NME слоталары кіреді, интерфейстік модульдерін орнату үшін HWIC слотасы, дауыстық интерфейстердің толықтыруын қолдау үшін EVM слотасы,сондай ақ PVDM слотасы және AIM ұясының сервисті модульдеріне қатысты және дауысты өндеу модулін орнату үшін жүйелік төлемінде болады. NME және HWIC слоталары NM және WIC қатысты модульдерімен қайта сәйкестенуі бар.Аппараттың жылдамды шифрленуінің қабылдағыш құралдары маршуритизаторлары бар, желі арасындағы экранына және кіріп кетуін табу функционалдық жүйелері қамтамасыз етеді.Маршуритизатор телефондық байланыстарымен ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz
Реферат
Курстық жұмыс
Диплом
Материал
Диссертация
Практика
Презентация
Сабақ жоспары
Мақал-мәтелдер
1‑10 бет
11‑20 бет
21‑30 бет
31‑60 бет
61+ бет
Негізгі
Бет саны
Қосымша
Іздеу
Ештеңе табылмады :(
Соңғы қаралған жұмыстар
Қаралған жұмыстар табылмады
Тапсырыс
Антиплагиат
Қаралған жұмыстар
kz