- Основные принципы построения сетей за пределами LAN
- Общая информация об устройствах и зонах
Интернет — это глобальная система подключенных компьютерных сетей.
Устройства, которые подключаются к Интернету, используют пакет протоколов TCP/IP.
Интернет содержит огромный объем информации, множество ресурсов и служб:
- Серверы всемирной сети (World Wide Web, WWW) с размещенным контентом.
- Инфраструктура, поддерживающая работу электронной почты.
- Средства подключения одноранговых сетей.
Всемирная сеть (WWW) — это огромная система взаимосвязанных гипертекстовых документов, доступ к которым осуществляется с помощью веб-браузера.
Взаимосвязанные гипертекстовые документы могут содержать текст, графические материалы и видео.
Современная всемирная сеть вступила в новую фазу развития и получила название Web 2.0 .
Web 2.0 обеспечивает интерактивное взаимодействие в Интернете (в отличие от предыдущей версии 1.0).
Интрасеть — это частная компьютерная сеть или единый корпоративный веб-сайт, предназначенный для совместного использования данных сотрудниками из разных стран.
Для получения доступа к информации в интрасети пользователь должен пройти проверку подлинности.
- В идеальном случае такие меры безопасности позволяют не допускать обычных пользователей из Интернета в интрасеть.
Функции экстрасети схожи с функциями интрасети. Отличие состоит в том, что экстрасеть предназначена для пользователей, находящихся за пределами компании, для дочерних предприятий или отдельных организаций.
Для получения доступа к информации в интрасети пользователь также должен пройти проверку подлинности. Обычные пользователи из Интернета не имеют доступа к экстрасети.
Компания может предоставлять информацию различным группам.
- Интрасеть — для внутренних сотрудников.
- Экстрасеть — для партнеров.
- Веб-сервер — для обычных пользователей из Интернета.
Частная виртуальная сеть (Virtual Private Network, VPN) — это подключение между двумя или несколькими компьютерами (или устройствами), находящимися в разных частных сетях.
Инкапсуляция и шифрование данных позволяют предоставлять доступ к устройству VPN только авторизованным пользователям или сеансам.
Через используемые локальные и глобальные сети создается «туннель».
Протокол PPTP (Point-to-Point Tunneling Protocol): инкапсулирует кадры точка-точка (PPP-кадры) в IP-датаграммы для передачи по IP-сети (по умолчанию данные не шифруются).
Протокол L2TP с протоколом IPsec (L2TP/IPSec) — это комбинация протоколов PPTP и пересылки по уровню 2 (L2F), технологии компании Cisco Systems, Inc. Протокол IPSec используется для шифрования сообщений.
Протокол PPTP обеспечивает шифрование многопротокольного трафика, а затем инкапсулирует его в IP-заголовок для отправки через IP-сеть или общедоступную IP-сеть.
Протокол PPTP может использоваться для удаленного доступа и VPN-подключений типа «сеть-сеть».
Протокол PPTP инкапсулирует PPP-кадры в IP-датаграммы для их передачи по сети.
Протокол PPTP использует ТCP-подключение для управления туннелем, а измененную версию протокола универсальной инкапсуляции маршрутов (GRE) — для инкапсуляции PPP-кадров.
Полезная нагрузка инкапсулированного PPP-кадра может быть зашифрована и сжата.
Протокол L2TP позволяет инкапсулировать многопротокольный трафик, а затем передать его с помощью любого средства, которое поддерживает доставку датаграммы в режиме «точка-точка».
L2TP использует IPSec в транспортном режиме для поддержки служб шифрования.
Инкапсуляция пакетов L2TP/IPSec состоит из двух уровней:
- Инкапсуляция L2TP: PPP-кадр упаковывается при помощи заголовка L2TP и UDP.
- Инкапсуляция IPSec: сообщение L2TP упаковывается при помощи заголовка IPSec Encapsulating Security Payload (ESP) и индекса завершения, а также индекса завершения проверки подлинности IPSec.
 |
| ДЕМОНСТРАЦИЯ: пользовательская настройка RRAS и просмотр параметров VPN-подключения |
Брандмауэры используются для защиты сети от вредоносных атак и вторжений.
Это один из самых распространенных типов устройств, обеспечивающих безопасность в сети периметра организации.
Такие устройства безопасности, как брандмауэры, обеспечивают основную защиту корпоративных сетей: локальных, глобальных, интрасетей и экстрасетей.
Сети периметра предоставляют доступ к определенным корпоративным ресурсам конкретным пользователям или обычным пользователям из Интернета. При этом доступ к остальной части корпоративной информации не предоставляется.
Функция фильтрации пакетов обеспечивает проверку всех пакетов, которые проходят через брандмауэр, и принимает или отклоняет их на основе набора правил.
- При проверке пакетов с неизменным состоянием сведения о пакетах, прошедших через брандмауэр, не сохраняются.
- Функция проверки пакетов с отслеживанием состояния (Stateful Packet Inspection, SPI) обрабатывает контекст активных сеансов.
Функция фильтрации NAT, также известная как фильтрация конечных точек NAT, выполняет фильтрацию трафика в соответствии с портами (TCP или UDP).
Существует три способа фильтрации:
Использование базовых возможностей подключения конечных точек.
Сопоставление входящего трафика с соответствующим подключением исходящего IP-адреса.
Сопоставление входящего трафика с соответствующим IP-адресом и портом.
Шлюз уровня приложения (Application-level Gateway, ALG) обеспечивает преобразование адреса и порта, а также проверяет, разрешен ли тип трафика приложения.
Этот шлюз позволяет повысить уровень безопасности, однако требует дополнительных ресурсов.
Шлюз сеансового уровня работает на сеансовом уровне модели OSI, когда устанавливается подключение TCP или UDP.
При фильтрации на сеансовом уровне проверяются сеансы, а не подключения или пакеты.
После подключения пакеты могут передаваться между узлами без дальнейшей проверки.
Шлюзы сеансового уровня скрывают информацию о частной сети, но не фильтруют отдельные пакеты.
Прокси-сервер действует как посредник между локальной сетью и Интернетом.
Прокси означает «располагаться между»; прокси-сервер действует как посредник между частной и общедоступной сетью.
Прокси-сервер анализирует запросы от клиентов. Если эти запросы соответствуют определенным критериям, прокси-сервер пересылает их соответствующему серверу.
Кэширующий прокси-сервер пытается обслужить запрос клиента, не подключаясь к удаленному серверу.
Существуют FTP и SMTP прокси-серверы. Однако чаще всего используется кэширующий прокси-сервер HTTP, известный также как веб-прокси. Он кэширует веб-страницы, получаемые от серверов в Интернете. Копии страниц хранятся в кэше заданное время.
Кэширование экономит полосу пропускания корпоративного канала подключения к Интернету и ускоряет обработку запросов клиента.
IP-прокси обеспечивает безопасность сети, сохраняя анонимность ее компьютеров.
Он это делает с помощью NAT.
Фильтр интернет-контента или просто фильтр контента. Как правило, фильтр используется программным обеспечением на уровне приложения. Фильтруются различные типы действий в Интернете: доступ к конкретным веб-сайтам, электронной почте, службе мгновенных сообщений и т. д.
Система обнаружения вторжений в сеть (Network Intrusion Detection System, NIDS) — это тип IDS, программного обеспечения, которое обнаруживает вредоносные действия в сети (например, сканирование портов и атаки типа «отказ в обслуживании»), используя постоянный мониторинг сетевого трафика.
- При правильной настройке NIDS направляет администратору сети отчеты обо всех выявленных проблемах.
Система предупреждения вторжений в сеть (Network Intrusion Prevention System, NIPS) предназначена для проверки трафика. Эта система может не только обнаруживать вредоносный трафик, но и удалять, задерживать или перенаправлять его. Выполняемые системой действия зависят от настроек и политики безопасности.
Сеть периметра — это небольшая сеть, установленная отдельно от частной локальной сети компании и Интернета.
Она называется сетью периметра, так как обычно располагается на границе локальной сети. Однако стандартным отраслевым термином является DMZ (демилитаризованная зона).
Сеть периметра позволяет пользователям, находящимся за пределами корпоративной локальной сети, получать доступ к конкретным службам, размещенным в DMZ.
Если сеть периметра настроена правильно, то эти пользователи не получают доступ к корпоративной локальной сети.
В сети периметра может располагаться коммутатор с подключенными к нему серверами, на которых размещены службы электронной почты, веб-сайт и другие службы.
Сеть с двумя сетевыми экранами. При такой конфигурации сеть периметра располагается между двумя брандмауэрами, которые могут быть «черными ящиками» или серверами Microsoft Internet Security and Acceleration (ISA).
Трехступенчатая конфигурация сети периметра. В этом сценарии сеть периметра обычно соединена с корпоративным брандмауэром через отдельное подключение. Таким образом, брандмауэр имеет три подключения: первое — к корпоративной локальной сети, второе — к сети периметра и третье — к Интернету.
Мы обсудили отличия Интернета, интрасети и экстрасети.
Мы рассмотрели брандмауэры и научились инициировать сканирование портов, позволяющее убедиться в том, что порты закрыты.
Мы познакомились с другими устройствами и зонами периметра: прокси-серверами, фильтрами интернет-контента, NIDS, NIPS и сетью периметра.
Тест
Как называется сеть, в которой обычно располагают службы, доступ к которым необходим удаленным пользователям?- DMZ
- Интернет
- LAN
- VPN
Верно или неверно: при использовании протоколов L2TP/IPsec каждый передаваемый пакет может быть зашифрован?
- Верно
- Неверно
Верно или неверно: основное назначение прокси сервера – защита рабочих станций организации от вирусов?
- Верно
- Неверно
Верно или неверно: основное назначение брандмауэров – защита рабочих станций организации от вирусов?
- Верно
- Неверно
Какие из перечисленных ниже протоколов используются для создания «туннелей» при построении VPN?
(Укажите все верные варианты)
- PPTP
- RIP
- OSPF
- L2TP/IPsec
