В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации международных сетевых экранов (firewall"oв), систем обнаружения проникновений, а также oобеспечению безопасности сервисов DNS и web серверов. Учебное пособие для студентов вузов, обучающихся по специальности 511900 \"Информационные технологии\".

Лекция 1. Классификация firewall'oв и определение политики firewail'a......17Введение......17Классификация firewall'oв......18Установление TCP-соединения......21Пакетные фильтры......25Пограничныероутеры......27Пример набора правил пакетного фильтра......29Stateful Inspection firewall'bi......32Host-based firewall'ы......34Персональные firewall'ы и персональные устройства firewail'a......34Прокси-сервер прикладного уровня......36Выделенные прокси-серверы......38Гибридные технологии firewail'a......40Трансляция сетевых адресов (NAT)......40Статическая трансляция сетевых адресов......41Скрытая трансляция сетевых адресов......41Лекция 2. Классификация firewall'oв и определение политики firewail'a (продолжение)......42Различные типы окружений firewail'a......42Принципы построения окружения firewail'a......42DMZ-cemu......43Конфигурация с одной DMZ-сетью......43Service Leg конфигурация......44Конфигурация с двумя DMZ-сетями......45Виртуальные частные сети......47Расположение VPN-серверов......48Интранет......48Экстранет......49Компоненты инфраструктуры: концентраторы и коммутаторы......50Расположение серверов в DMZ-сетях......50Внешне доступные серверы......51VPN и Dial-in серверы......51Внутренние серверы......51DNS-серверы......52SMTP-серверы......53Политика безопасности firewail'a......55Политика firewail'a......55Реализация набора правил firewail'a......56Тестирование политики firewail'a......58Возможные подходы к эксплуатации firewail'a......59Сопровождение firewail'a и управление firewall'oм......59Физическая безопасность окружения firewail'a......60Администрирование firewail'a......60Встраивание firewall'oв в ОС......60Стратегии восстановления после сбоев firewail'a......61Возможности создания логов firewail'a......62Инциденты безопасности......63Создание backup'ов firewall'oв......63Лекция 3. Классификация firewall'oв и определение политики firewail'a (окончание)......65Пример пакетных фильтров в ОС FreeBSD 6.0......65Введение......65Основные характеристики пакетных фильтров в ОС FreeBSD......66ПО пакетных фильтров......66OpenBSD Packet Filter (PF) и ALTQ......67Указание необходимости использования PF......67Опции ядра......67Опции rc.conf......68Указание необходимости использования ALTQ......68Создание правил фильтрации......69IPFILTER (IPF) firewall......69Указание необходимости использования IPF......70Опции ядра......70Опции, доступные в rc.conf......70IPF......71IPFSTAT......71IPMON......71Построение скрипта правил с использованием символьных подстановок......72Набор правил IPF......73Синтаксис правила......74Действие (action)......74IN-OUT......75Опции......75SELECTION......76PROTО......76SRC_ADDR/DST_ADDR......76PORT......76TCP_FLAG......77STATEFUL......77Stateful-фильтрация......77Пример включающего набора правил......78NAT......83IPNAT......84Правила IPNAT......84Как работает NAT......85Запуск NAT......85NAT для очень больших LAN......85Указание порта......85Использование пула публичных адресов......86Port Redirection......86FTP и NAT......86Правила IPNAT......87Правила фильтрации IPNAT FTP......87IPFW......88Указание необходимости использования IPFW......88Опции ядра......89Опции /etc/rc.conf......89Команды IPFW......90Набор правил IPFW......91Синтаксис правил......91Опции правила Stateful......94Создание логов......94Построение скрипта правила......95Набор правил Stateful......96Пример включающего набора правил......98Пример совместного использования NAT и Stateful......101Лекция 4. Intrusion Detection Systems (IDS)......109Что такое IDS......109Почему следует использовать IDS......110Типы IDS......113Архитектура IDS......113Совместное расположение Host и Target......113Разделение Host и Target......114Способы управления......114Централизованное управление......114Частично распределенное управление......114Полностью распределенное управление......114Скорость реакции......115Информационные источники......115Network-Based IDS......115Host-Based IDS......117Application-Based IDS......118Анализ, выполняемый IDS......119Определение злоупотреблений......119Определение аномалий......120Возможные ответные действия IDS......122Активные действия......122Сбор дополнительной информации......122Изменение окружения......122Выполнение действия против атакующего......123Пассивные действия......123Тревоги и оповещения......124Использование SNMP Traps......124Возможности отчетов и архивирования......124Возможность хранения информации о сбоях......125Дополнительные инструментальные средства......125Системы анализа и оценки уязвимостей......125Процесс анализа уязвимостей......126Классификация инструментальных средств анализа уязвимостей......127Host-Based анализ уязвимостей......127Network-Based анализ уязвимостей......127Преимущества и недостатки систем анализа уязвимостей......128Способы взаимодействия сканера уязвимостей и IDS......129Проверка целостности файлов......129Лекция 5. Intrusion Detection Systems (IDS) (окончание)......131Системы Honey Pot и Padded Cell......131Выбор IDS......132Определение окружения IDS......133Цели и задачи использования IDS......134Существующая политика безопасности......135Организационные требования и ограничения......135Ограничения на ресурсы, существующие в организации......136Возможности IDS......136Учет возможного роста организации......137Предоставляемая поддержка программного продукта......137Развертывание IDS......139Стратегия развертывания IDS......139Развертывание network-based IDS......140Позади внешнего firewail'a в DMZ-ceти (расположение 1)......140Перед внешним firewall'oм (расположение 2)......141На основной магистральной сети (расположение 3)......141В критичных подсетях (расположение 4)......141Развертывание host-based IDS......141Стратегии оповещения о тревогах......142Сильные стороны и ограниченность IDS......142Сильные стороны IDS......142Ограничения IDS......143Обработка выходной информации IDS......144Типичные выходные данные IDS......144Выполняемые IDS действия при обнаружении атаки......145Компьютерные атаки и уязвимости, определяемые IDS......145Типы атак......145Типы компьютерных атак, обычно определяемые IDS......146Атаки сканирования......146DoS-атаки......147DoS-атаки шквальной эксплуатации......148Flooding DoS-атаки......148Атаки проникновения......148Удаленные vs. локальные атаки......149Атака авторизованного пользователя......149Атаки публичного доступа......149Определение расположения атакующего на основе анализа выходной информации IDS......150Чрезмерная отчетность об, атаках......150Соглашения по именованию атак......151Уровни важности атак......151Типы компьютерных уязвимостей......151Ошибка корректности входных данных......152Переполнение буфера......152Ошибка граничного условия......152Ошибка управления доступом......153Исключительное условие при обработке ошибки......153Ошибка окружения......153Ошибка конфигурирования......153Race-условие......153Будущие направления развития IDS......154Лекция 6. Принципы безопасного развертывания сервисов DNS......155Введение......155Безопасность DNS......155Сервисы DNS......156Инфраструктура DNS......157Компоненты DNS и понятие безопасности для них......162Основные механизмы безопасности для сервисов DNS......162Данные DNS и ПО DNS......163Зонный файл......163Name-серверы......164Авторитетные name-серверы......164Кэширующие name-серверы......165Resolver'ы......165Транзакции DNS......165Запрос / ответ DNS......166Зонная пересылка......166Динамические обновления......167DNS NOTIFY......168Безопасность окружения DNS......169Угрозы и обеспечение защиты платформы хоста......169Угрозы ПО DNS......170Угрозы для данных DNS......170Лекция 7. Принципы безопасного развертывания сервисов DNS (продолжение)......172Угрозы для транзакций DNS......172Угрозы DNS-запросам и ответам и способы обеспечения защиты......172Поддельный или выдуманный ответ......173Удаление некоторыхресурсных записей......174Защищенный подход для DNS Query / Response - DNSSEC......174Угрозы зонной пересылке и способы обеспечения защиты......175Угрозы для динамических обновлений и способы обеспечения защиты......176Угрозы DNS NOTIFY и способы обеспечения защиты......177Выводы......178Создание безопасного окружения для сервисов DNS......178Безопасность платформы......179Безопасность ПО DNS......179Использование самой последней версии ПО name-сервера......179Выполнение ПО name-сервера с ограниченными привилегиями......180Изоляция ПО name-сервера......180Выделенный экземпляр name-сервера для каждой функции......181Удаление ПО name-сервера с не предназначенных для этого хостов......181Сетевое и географическое расположение авторитетных name-серверов......182Использование расчлененных зонных файлов......182Использования отдельных name-серверов для различных типов клиентов......184Управление содержимым зонного файла......184Безопасность транзакций DNS......184Ограничение участников транзакций на основе IP-адреса......185Ограничение участников транзакции DNS Query / Response......187Ограничение рекурсивных запросов (специальный случай DNS Query/ Response)......189Ограничение участников транзакции зонной пересылки......191Ограничение участников транзакции динамического обновления......192Ограничение участников транзакции DNS NOTIFY......193Защита транзакции с использованием ПМАС (TSIO)......194Создание ключа......197Определение ключей для взаимодействующих name-серверов......197Указание name-серверу использовать ключи во всех транзакциях......198Безопасность зонных пересылок с использованием TSIG......199Безопасность динамических обновлений с использованием TSIG......199Конфигурирование ограничений перенаправления динамических обновлений с использованием ключей TSIG......200Конфигурирование более точных ограничений динамического обновления с использованием TSIG-ключей......201Лекция 8. Принципы безопасного развертывания сервисов DNS (окончание)......203Безопасность DNS Query / Response......203Механизмы и операции DNSSEC......203Типы записей, используемых DNSSEC......203Список операций DNSSEC......205Создание пары открытый /закрытый ключи (DNSSEC-OP1)......206Пример создания пары ключей......209Безопасное хранение закрытых ключей (DNSSEC-OP2)......210Опубликование открытого ключа (DNSSEC-OP3) и конфигурирование доверенных anchor'oв (DNSSEC-OP7)......211Подписывание зоны (DNSSEC-OP4)......212Пример подписывания зоны......213Создание доверенной цепочки и проверка подписи (DNSSEC-OPS)......214Безопасность ответов кэширующего name-сервера......217Дополнительные меры защиты для DNS Query / Response......218Динамические обновления в поддерживающей DNSSEC-зоне......219Краткое резюме......223Минимизация раскрываемой DNS-информации......223Выбор значений параметров в SOA RR......224Утечка информации и Informational RRTypes......225Использование периода действительности RRSIG для минимизации последствий компрометации ключа......226Администрирование операций для обеспечения безопасности сервисов DNS......227Плановое обновление ключа (время жизни ключа)......227Обновление ключа в локально безопасной зоне......228Обновление ключа в глобально безопасной зоне......229Обновление ключа ZSK в глобально безопасной зоне......229Обновление ключа KSK в глобально безопасной зоне......229Аварийное обновление ключа......231Аварийное обновление ZSK......231Аварийное обновление KSK......232Переподписывание зоны......232Лекция 9. Обеспечение безопасности web-серверов......234Введение......234Причины уязвимости web-сервера......239Планирование развертывания web-сервера......239Безопасность лежащей в основе ОС......240Безопасное инсталлирование и конфигурирование ОС......240Применение Patch и Upgrade ОС......240Удаление или запрещение ненужных сервисов и приложений......241Конфигурирование аутентификации пользователя в ОС......242Управление ресурсами на уровне ОС......245Альтернативные платформы для web-сервера......245Trusted ОС......246Использование Appliances для web-сервера......246Специально усиленные (pre-hardened) ОС и web-серверы......247Тестирование безопасности операционной системы......248Список действий для обеспечения безопасности ОС, на которой выполняется web-сервер......249Безопасное инсталлирование и конфигурирование web-сервера......250Безопасное инсталлирование web-сервера......250Конфигурирование управления доступом......251Разграничение доступа для ПО web-сервера......252Управление доступом к директории содержимого web-сервера......254Управление влиянием web Bots......256Использование программ проверки целостности файлов......258Список действий для безопасного инсталлирования и конфигурирования web-сервера......259Лекция 10. Обеспечение безопасности web-серверов (продолжение)......261Безопасность web-содержимого......261Опубликование информации на web-сайтах......261Обеспечение безопасности технологий создания активного содержимого......263URLs и cookies......264Уязвимости технологий активного содержимого на стороне клиента......265Уязвимости технологий создания содержимого на стороне сервера......269Список действий для обеспечения безопасности web-содержимого......275Лекция 11. Обеспечение безопасности web-серверов (продолжение)......278Технологии аутентификации и шифрования......278Требования к аутентификации и шифрованию......278Аутентификация, основанная на IP-адресе......279Basic-аутентификация......279Digest-аутентификация......280SSL/TLS......280Возможности SSL/TLS......280Слабые места SSL/TLS......281Пример SSL/TLS-ceccuu......282Схемы шифрования SSL/TLS......283Требования креализации SSL/TLS......284Список действий для технологий аутентификации и шифрования......285Firewall прикладного уровня для web - ModSecurity......286Введение......286Понятие регулярных выражений......286Конфигурирование......287Включение фильтрации......287Сканирование POST-запросов......288Настройка отключения динамической буферизации......288Динамическое управление ModSecurity......288Кодирование запросов и ответов, использующих chunk......289Список действий по умолчанию......289Неявная проверка корректности......290Наследование фильтра......290Наследование фильтра в многопользовательских окружениях......292Проверка корректности представления URL......293Проверка корректности представления Unicode......293Проверка диапазона байтов......294Правила (Rules)......294Простая фильтрация......294Нормализация пути......295Предотвращать null byte атаки......295Выборочное фильтрование......295Исключение фильтрования аргументов......297Cookies......297Исходящая фильтрация......298Действия (Actions)......299Способы задания действий......299Действия для правила......300Ограничения в списке действий для каждого правила......301Встроенные действия......301Заголовки запроса, добавляемые mod_security......305Занесение в лог тела запроса......306Взаимодействие ModSecurity с пакетным фильтром......306Специальные возможности......307Поддержка загрузки (upload) файла......307Выбор местоположения для загружаемых файлов......307Проверка файлов......307Хранение загруженных файлов......307Взаимодействие с другими демонами......307Ограничение памяти, используемой для загрузки......308Скрытие идентификации сервера......308Поддержка chroot......308Стандартный подход......308Подход mod_security......308Решение общих проблем безопасности......309Перемещение по директории......309Атаки Cross Site Scripting......309Атаки SQL / база данных......310Выполнение команд ОС......310Атаки переполнения буфера......310Проверка параметров......311Загрузка файлов......311Рекомендуемая конфигурация......311Лекция 12. Обеспечение безопасности web-серверов (окончание)......313Реализация безопасной сетевой инфраструктуры для web-сервера......313Топология сети......313Демилитаризованная зона......314Хостинг во внешней организации......317Сетевые элементы......318Роутер и firewall......318Системы обнаружения проникновения (IDS)......319Сетевые коммутаторы и концентраторы......320Список действий для обеспечения безопасности сетевой инфраструктуры......320Администрирование web-сервера......322Создание логов......322Основные возможности создания логов......322Дополнительные требования для создания логов......323Возможные параметры логов......324Просмотр и хранение лог-файлов......324Автоматизированные инструментальные средства анализа лог-файлов......325Процедуры создания backup web-сервера......326Политики и стратегии выполнения backup'а web-сервера......326Поддержка тестового web-сервера......328Поддержка аутентичной копии web-содержимого......328Восстановление при компрометации безопасности......329Тестирование безопасности web-серверов......331Сканирование уязвимостей......331Тестирование проникновения......333Удаленное администрирование web-сервера......333Список действий для безопасного администрирования web-сервера......334Литература......337Словарь терминов......339

Лапонина О.Р.
Кандидат физико-математических наук, доцент факультета ВМиК МГУ. Область научных интересов: безопасность ИТ. Преподает в Высшей компьютерной школе МГУ и в магистратуре факультета ВМиК. Читает лекционные курсы «Математические основы безопасности ИТ», «Основы безопасности компьютерных сетей». Ведет «Безопасность компьютер-ных сетей», «Защита информации».