Upload
dido-viktorov
View
85
Download
7
Embed Size (px)
Citation preview
Методи и средства за защита на трафика в LAN мрежите
Разработил: Деян Викторов Чакъров
специалност: ИТ иновации в бизнеса Ф. №: 104865
LAN-мрежата обхваща ограничена географска област, като например: стая, етаж или сграда. Броят на компютрите в различните LAN би могъл да се различава съществено, като се започне от един два компютъра у дома или в офиса и се достигне до десетки дори стотици компютри, разположени в една сграда или в множество такива, намиращи се в близост една до друга. Основните компоненти на мрежата, които играят роля на предна защита са рутер, защитна стена и суич.
Фигура 1 – Структура на LAN мрежа.
2
Класификация на мрежите:
3
Класификация според физическия обхват;
Класификация според метода на администриране;
Класификация според мрежовата операционна система;
Класификация според мрежовия протокол;
Класификация на мрежите според топологията им;
Класификация според мрежовата архитектура.
Фигура 2 – Топология на мрежата.
4
Защита на мрежите
Определяне на видовете заплахи;
Предприемане на мерки за сигурност;
Криптиране на информацията ;
Използване на маршрутизатори за филтриране на потока от данни;
Активиране на защитни стени;
Защита и възстановяване от сривове;
Видове заплахи Когато започва изграждане на компютърна мрежа, винаги се поставя и
въпроса за нейната сигурност. Анализира се степента на конфиденциалност на данните и се определят нуждите от защита. На тази база се съставя план за мерките, които трябва да се предприемат за осигуряване на нужната мрежова сигурност.
Заплахите за сигурността биват вътрешни и външни.
5
Вътрешни заплахи Вътрешните пробиви на сигурността се осъществяват от
служители на организацията, експлоатираща мрежата. Мотивите за това могат да бъдат:
корпоративен шпионаж;
саботаж;
случайни пробиви.
6
Външни заплахи.
Към външните заплахи могат да бъдат отнесени:
неоторизирано използване на пароли и ключове;
DoS атаки – наводнението на протокола Ping/Internet Control Message Protocol (ICMP);
IP спуфинг – представлява подправяне на IP адрес;
душене (sniffing) – акт на наблюдаване на мрежовия трафик за данни;
компютърни вируси и червеи;
троянски коне.
Контрол на достъпа.Модерните операционни системи позволяват на множество
потребители да осъществяват достъп до компютрите и мрежата чрез създаване на отделни потребителски акаунти, състоящи се от потребителско име и парола. Акаунтите биват обвързвани с определени права на достъп до ресурсите на мрежата. Например на потребителя може да бъде разрешено да чете и записва само във ресурси, за които има разрешения. Чрез операционните системи се позволява на администраторите да управляват достъпа до ресурсите. Например на един акаунт може да бъде разрешено да разглежда съдържанието на даден файл, но не и да го променя. В същото време на друг акаунт може да бъде разрешено да разглежда, променя и изтрива файла. Позволенията могат да бъдат локални (да касаят ресурсите на само даден компютър от мрежата) или мрежови.
7
8
Криптиране на данните.Криптирането конвертира инфомацията във форма, неразбираема от
другите. Извършва се по специални алгоритми с използване на криптографски ключ. Криптирането на файлове закодира информацията, съхранявана на дисковете на компютрите. В този си вид файловете могат да бъдат разглеждани само от потребители, разполагащи с ключа на криптиране. Конфиденциалните данни трябва да бъдат криптирани и защитени с позволения/забрани за достъп. Някои операционни системи разполагат със собствени средства за криптиране, докато други изискват използване на външни програми за криптиране.
9
Рутер - маршрутизатор.Рутера осигурява маршрутизирането на пакетите от данни и може да
блокира или филтрира разпространението на такива пакети, за които се знае, че са уязвими или могат да бъдат използвани злонамерено, като ICMP или SNMP (Simple Network Management Protocol) протоколите. Ако на този етап липсва контрол, то последващата защита би била неефективна. Основните конфигурационни категории на маршрутизатора са допълване на системните файлове и актуализиране на софтуера, протоколи, администриране на достъпа, мрежови услуги, контрол на входа и изхода на мрежата и засичане на прониквания в нея.
Контролиранена потока от данни.
10
Активиране на защитни стени.Защитни стени - firewalls.Защитните стени биват използвани за създаване на бариера между
LAN и външния свят. Те са в състояние да изпълняват три вида филтриране:
Филтриране на пакети. Извършва се на базата на информацията, съдържаща се в IP, TCP/UDP и ICMP хедърите на пакетите. Защитната стена блокира или разрешава преминаването през нея на указани IP адреси или номера на портове;
Филтриране на вериги. Ако даден пакет не е част от създадена вече (текуща) връзка, той не се пропуска през защитната стена;
Филтриране на приложения. Забранява изпълнението на приложения, постъпващи по мрежата, като например Java аплети или друг вид скриптове. Филтрира, като използва информацията за приложенията, съдържаща се в IP пакетите.
11
Защита и възстановяване от сривове.
Както е известно нарушителите на мрежовата сигурност не са единствената заплаха за мрежите. Възможни са и случайни сривове, предизвикани от хардуерни повреди, природни бедствия или технически грешки в експлоатацията. Всички те водят до загуба на файлове, съдържащи ценна информация. Затова мерките за защита и възстановяване от сривове са важна част на всяка мрежа. Защитата от тях включва следните мерки:
аварийно захранване;
архивиране на данните;
отказoустойчивост на твърдите дискове;
отказoустойчивост на сървърите.
12
Заключение.
Добре защитената LAN мрежа осигурява на потребителите безпроблемно споделяне на данни и сигурност при сърфиране в интернет. За да се постигне това е необходимо правилното конфигуриране на хардуера и софтуера в мрежата. Като цяло мрежовата сигурност означава защитата на устройствата, които са в нейния обхват и защита на информацията, която предават помежду си.
13
Използвани източници.
https://msdn.microsoft.com/en-us/library/ff648651.aspx;
http://technet.microsoft.com/en-us/library/jj613767.aspx
http://193.192.57.240/po/courses/problemni/komputarni%20mrezi/start.html
http://www.softpedia.com/get/Security/Firewall/Active-Wall-Free-Edition.shtml.