Эксоцман
на главную поиск contacts

Создание защиты в Интернете

Опубликовано на портале: 31-05-2003
Изд-во: Символ-Плюс, 2002, 928 с.
Всегда лучше с самого начала спроектировать надежную сеть, чем исправлять промахи и недостатки в уже работающей системе. Безопасности в Интернете посвящено достаточно книг, но одной из лучших считается `Создание защиты в Интернете`.

Всегда лучше с самого начала спроектировать надежную сеть, чем исправлять промахи и недостатки в уже работающей системе. Безопасности в Интернете посвящено достаточно книг, но одной из лучших считается `Создание защиты в Интернете`. Второе издание этой классической публикации, посвященной основным принципам проектирования сетей, написано с учетом возросшей роли Интернета в бизнесе и связанной с этим проблемы безопасности - захват паролей, подмена IP-адресов, искажение содержимого веб-страниц и т. д. Издание значительно расширено и охватывает не только Unix, но также Linux и Windows NT. Книга представляет собой подробное практическое руководство по проектированию и созданию брандмауэров и настройке сервисов Интернета для работы с ними: описываются технологии (фильтрация пакетов, прокси- системы, трансляция сетевых адресов, виртуальные частные сети) и архитектуры брандмауэров, а также более сотни сервисов Интернета от электронной почты и пересылки файлов до веб-сервисов, языков создания сценариев, протоколов службы имен, аутентификации и баз данных. Кроме того, в книге обсуждаются стратегии безопасности, шифрование, вопросы создания и эксплуатации наиболее оптимального брандмауэра, обнаружения атак и реагирования на них. Приводится обзор полезных инструментальных средств, ссылки на другие источники информации.

Предисловие

Эта книга - практическое руководство по созданию брандмауэров (их еще называют межсетевыми экранами, firewalls). В ней последовательно изложено, как спроектировать и установить на вашем сайте брандмауэр и как настроить для работы с ним различные сервисы Интернета: электронную почту, FTP, Всемирную сеть WWW и т. д. Создание брандмауэров - серьезный вопрос, который нельзя свести к перечню простых правил. Очень многое зависит от того, какие аппаратные средства, операционные системы и способы организации сети используются в каждом отдельном случае и какие права и ограничения предусматриваются для пользователей. Поэтому в книге приведено достаточно много рекомендаций, примеров и методик, которые можно взять за основу и добавить к ним то, что вам необходимо реализовать в конкретной ситуации.

Что такое брандмауэр и для чего он нужен? Брандмауэр - это ограничительный барьер между Интернетом и внутренними сетями. Обычно брандмауэр устанавливают в максимально уязвимой точке, там, где внутренние сети подключаются к Интернету. Наличие брандмауэра может значительно уменьшить опасность проникновения нарушителей извне во внутренние сети. Кроме того, он способен обезопасить вашу сеть от таких неосторожных действий внутренних пользователей, как передача во внешний мир конфиденциальной информации: незашифрованных паролей или персональных данных.

Наблюдаемые сейчас атаки на системы, подключенные к Интернету, более серьезны и технически изощренны, чем прежде. Необходимо приложить максимум усилий, чтобы обеспечить защищенность всех систем. Брандмауэры - очень эффективный способ защиты от разного рода атак, и поэтому они непременно должны быть включены в общую систему безопасности каждого веб-сайта. Однако брандмауэр не должен быть единственным средством защиты в этой системе. Очень важно осуществлять комплексную политику безопасности и наряду с формированием брандмауэров обеспечить высокий уровень защищенности всех хостов, а также предусмотреть средства аутентификации и шифрования. Фокусируясь главным образом на брандмауэрах, эта книга затронет и другие способы защиты сетей.

Аудитория

Для кого написана эта книга? Хотя книга предназначена, прежде всего, для тех, кому необходимо создавать брандмауэры, многое в ней пригодится всем, кого волнует проблема безопасности в Интернете. Ниже указано, кому и на какие разделы стоит обратить особое внимание.

Системным администраторам

Рекомендуется прочитать всю книгу.

Старшим администраторам

Рекомендуется прочитать, по крайней мере, часть I, в которой рассказано о разных видах угроз в Интернете и его сервисах, о стратегии и различных подходах к защите сетей. Здесь же приведены общие сведения о брандмауэрах и показано, что они могут дать для обеспечения вашей безопасности в Интернете. В главе 5, которой также стоит уделить внимание, приведен обзор технологий брандмауэров. Кроме того, в приложении А написано, где можно найти дополнительную информацию.

Руководителям отделов информационных технологий и рядовым пользователям

Рекомендуется прочитать все главы, предназначенные для старших администраторов. Кроме того, полезно ознакомиться с частью III, где обсуждены некоторые аспекты, которые могут со временем понадобиться, например, как развивать политику безопасности, как поддерживать ее на современном уровне и как действовать в случае угрозы атаки на ваш сайт.

Хотя эта книга предлагает общую концепцию брандмауэров, подходящую для систем любого масштаба, все же она сфокусирована на так называемые "средние" коммерческие или образовательные сайты. При установке персонального брандмауэра можно ограничиться чтением только части I, главы 5 и глав, посвященных используемым Интернет-сервисам. При создании брандмауэра на очень крупном сайте стоит не только прочитать всю книгу, но и найти сведения о дополнительных методах защиты.

Платформы

Эта книга подходит для любых платформ, поскольку здесь приведена информация, главным образом, общего характера, которая может быть применена независимо от используемого оборудования, программного обеспечения и организации сети. Наиболее платформо-зависимый аспект - какую операционную систему лучше использовать при создании хостов-бастионов. Есть примеры успешного создания хостов-бастионов (которые описаны в главе 10) на всех типах компьютеров, включая Unix-системы, машины Windows NT, Macintosh, VMS VAX и другие.

При этом следует признать, что книга в первую очередь ориентирована на Unix (включая Linux); второй крупный ориентир - Windows NT. Такая направленность обусловлена несколькими причинами. Во-первых, эти операционные системы доминируют в Интернете: Unix - все еще преобладающая операционная система для серверов Интернета, хотя Windows NT тоже достаточно часто встречается. Во-вторых, немаловажную роль сыграл первоначальный опыт авторов в отношении Unix; мы вошли в мир Windows NT лишь сравнительно недавно, когда он начал врастать в Интернет. Поэтому хотя мы и "говорим" на Windows NT, но все же с сильным Unix-акцентом.

Хотя, строго говоря, Linux - это не Unix, но все же он является достаточно близким родственником Unix, с которым авторы работают постоянно. Во многих аспектах Linux даже более соответствует традициям Unix, чем коммерческие операционные системы, которым дано право использовать торговую марку Unix. Хотя в некоторых местах книги Linux упоминается сам по себе, следует иметь в виду, что все рекомендации в отношении Unix распространяются и на Linux, кроме особо оговоренных случаев.

Точно так же, когда речь идет о "Windows NT" без явного указания версии, все сказанное относится как к Windows NT 4, так и к Windows 2000. Windows 2000 - прямой потомок Windows NT 4 и поэтому ведет себя в наиболее важных аспектах аналогично. Там, где это необходимо, различия между версиями подчеркиваются (хотя следует учесть, что Windows 2000 была выпущена, когда эта книга уже пошла в печать, а к тому моменту, когда она попадет к читателям, и сама операционная система, и накопленный опыт работы с ней наверняка изменятся).

Программные продукты

Авторы не сочли возможным привести полный список коммерческих и открыто распространяемых программ, так как постоянно появляются новые, а к уже существующим добавляются новые возможности. Вместо этого здесь обсуждаются их основные функции и возможности, а также уточняется наличие или отсутствие специфических особенностей с тем, чтобы можно было оценить доступные в настоящее время программные продукты. Периодически в книге упоминаются конкретные программы, иногда коммерческие, иногда открыто распространяемые, особенно, когда речь идет о широко известных программных продуктах. Однако это вовсе не означает превосходства названных программ над остальными.

Примеры

Написание книги такого рода требует значительного количества примеров с именами хостов и их адресами. Чтобы не обидеть кого-нибудь и не причинить лишнего беспокойства людям, в книге используются только незадействованные имена и адреса. В большинстве случаев приводятся зарезервированные имена и адреса, которые не могут быть открыто зарегистрированы. В частности поэтому большинство хостов в примерах этой книги находится в специальном домене ".example", зарезервированном для такого использования в RFC 2606. В ряде случаев, где требовалось много имен хостов и чувствовалось, что использование зарезервированного пространства имен будет запутанным, используются имена, которые с некоторой долей вероятности могут оказаться зарегистрированными; хотя авторы и старались использовать только незарегистрированные в настоящее время имена или те, которые с очень малой вероятностью могли оказаться используемыми. Приносим извинения всем, кому случайно причинили беспокойство использованием какого-либо из этих имен.

Также приносим извинения тем читателям, которые запомнили все зарезервированное пространство IP-адресов и были разочарованы тем, что в большинстве иллюстраций эти зарезервированные IP-адреса используются. Конечно, вряд ли кто-то обиделся, но мы специально использовали эти адреса, чтобы избежать привлечения нежелательного внимания к адресам, которые могут быть доступны в Интернете.

Предисловие

Рассматриваемые вопросы
Аудитория
Платформы
Программные продукты
Примеры
Условные обозначения, используемые в книге
Комментарии и вопросы
Благодарности

Часть I. Безопасность сетей

Глава 1. Зачем нужны брандмауэры Интернета?
Что надо защищать?
От чего надо защищаться?
Кому доверять?
Как защитить свой сайт?
Что такое брандмауэр Интернета?
Решающие аргументы

Глава 2. Сервисы Интернета
Защищенные сервисы и безопасные сервисы
Всемирная Сеть
Электронная почта и телеконференции
Пересылка файлов, совместное использование файлов и печать
Удаленный доступ
Услуги конференц-связи в реальном времени
Службы имен и каталогов
Cлужбы аутентификации и аудита
Службы администрирования
Базы данных
Игры

Глава 3. Стратегии безопасности
Минимум привилегий
Глубина защиты
Клапан
Слабейшее звено
Установка на отказоустойчивость
Общее согласие
Разнообразие защиты
Простота
Безопасность через сокрытие

Часть II. Создание брандмауэров

Глава 4. Пакеты и протоколы
Как выглядит пакет?
IP
Протоколы выше IP
Протоколы ниже IP
Протоколы прикладного уровня
IP версии 6
Протоколы не-IP
Атаки, основанные на тонкостях протоколов нижнего уровня

Глава 5. Технологии брандмауэров
Терминология брандмауэров
Фильтрация пакетов
Прокси-сервисы
Трансляция сетевых адресов
Виртуальные частные сети

Глава 6. Архитектуры брандмауэров
Однокорпусные архитектуры
Архитектуры с защищенным хостом
Архитектуры с защищенной подсетью
Архитектуры с несколькимими защищенными подсетями
Вариации архитектур брандмауэров
Терминальные серверы и модемные пулы
Внутренние брандмауэры

Глава 7. Проектирование брандмауэра
Определение потребностей
Оценка доступных изделий
Сборка компонентов

Глава 8. Фильтрация пакетов
Что позволяет фильтрация пакетов?
Настройка фильтрующего маршрутизатора
Что делает с пакетами маршрутизатор?
Советы и приемы фильтрации пакетов
Соглашения для правил фильтрации пакетов
Фильтрация по адресам
Фильтрация по сервисам
Выбор фильтрующего маршрутизатора
Варианты фильтрации пакетов для универсальных компьютеров
Где выполнять фильтрацию пакетов
Какие правила следует использовать?
Учет всех аспектов

Глава 9. Прокси-системы
Зачем нужно проксирование?
Как работает проксирование
Терминология прокси-серверов
Проксирование без прокси-сервера
Использование SOCKS-прокси
Использование для проксирования инструментария
брандмауэров Интернета TIS FWTK
Использование прокси-сервера Microsoft
Что, если прокси нельзя обеспечить?

Глава 10. Хосты-бастионы
Общие принципы
Особые типы хостов-бастионов
Выбор машины
Выбор места размещения
Расположение хостов-бастионов в сети
Выбор сервисов, обеспечиваемых хостом-бастионом
Запрет учетных записей пользователей на хостах-бастионах
Формирование хоста-бастиона
Защита машины
Исключение ненужных сервисов
Работа хоста-бастиона
Защита машины и резервных копий

Глава 11. Хосты-бастионы в Unix и Linux
Какая версия Unix?
Защита Unix
Исключение ненужных сервисов
Установка и модификация сервисов
Реконфигурация для работы
Выполнение проверки безопасности

Глава 12. Хосты-бастионы в Windows NT и Windows 2000
Подходы к созданию хостов-бастионов в Windows NT
Какая версия Windows NT?
Защита Windows NT
Исключение ненужных сервисов
Установка и модификация сервисов

Часть III. Сервисы Интернета

Глава 13. Сервисы Интернета и брандмауэры
Атаки против сервисов Интернета
Оценка рисков сервиса
Анализ других протоколов
Какой сервис хорош для брандмауэра?
Выбор критически важных для безопасности программ
Контроль ненадежных конфигураций

Глава 14. Промежуточные протоколы
Удаленный вызов процедуры (RPC)
Распределенная модель компонентных объектов (DCOM)
NetBIOS по TCP/IP (NetBT)
Общая файловая система Интернета (CIFS) и блок серверных сообщений (SMB)
Общая архитектура брокера объектных запросов (CORBA) и протокол Интернета Inter-Orb (IIOP)
ToolTalk
Защита транспортного уровня (TLS) и протокол защищенных сокетов (SSL)
Универсальные службы защиты API (GSSAPI)
IPsec
Служба удаленного доступа (RAS)
Двухточечный туннельный протокол (PPTP)
Туннельный протокол второго уровня (L2TP)

Глава 15. Всемирная Сеть
Защита HTTP-серверов
Защита HTTP-клиентов
HTTP
Переносимый код и языки для Сети
Кэш-протоколы связи
Технологии "накачки" информации
RealAudio и RealVideo
Gopher и WAIS

Глава 16. Электронная почта и новости
Электронная почта
Простой протокол электронной почты (SMTP)
Другие протоколы передачи почты
Microsoft Exchange
Lotus Notes и Domino
Почтовый протокол (POP)
Протокол доступа к сообщениям в Интернете (IMAP)
Microsoft Messaging API (MAPI)
Сетевой протокол передачи новостей (NNTP)
Глава 17. Пересылка файлов, совместное использование файлов и печать
Протокол передачи файлов (FTP)
Простейший протокол передачи файлов (TFTP)
Сетевая файловая система (NFS)
Совместное использование файлов в сетях Microsoft
Протоколы печати
Родственные протоколы

Глава 18. Удаленный доступ к хостам
Доступ с терминала (Telnet)
Удаленное выполнение команд
Удаленные графические интерфейсы

Глава 19. Услуги конференц-связи в реальном масштабе времени
Интернет-клуб (IRC)
ICQ
talk
Мультимедийные протоколы
NetMeeting
Мультивещание и широковещательная магистраль (MBONE)

Глава 20. Службы имен и каталогов
Система имен доменов (DNS)
Сетевая информационная служба (NIS)
NetBIOS для службы имен TCP/IP и службы имен Интернета для Windows
Windows Browser
Облегченный протокол службы каталогов (LDAP)
Active Directory

Глава 21. Службы аутентификации и аудита
Что такое аутентификация?
Пароли
Механизмы аутентификации
Модульная аутентификация в Unix
Керберос
Домены NTLM
Служба аутентификации удаленных пользователей, входящих через модем (RADIUS)
TACACS и "друзья"
Auth и identd

Глава 22. Cлужбы администрирования
Протоколы управления системой
Протоколы маршрутизации
Протоколы загрузки и ее конфигурирования
ICMP и сетевая диагностика
Синхронизирующий сетевой протокол (NTP)
Синхронизация файлов
Вполне безобидные протоколы

Глава 23. Базы данных и игры
Базы данных
Игры

Глава 24. Два типовых брандмауэра
Архитектура с защищенными подсетями
Объединенные маршрутизаторы и хост-бастион на базе универсальной аппаратуры

Часть IV. Поддержание безопасности сайта

Глава 25. Политики безопасности
Политика безопасности сайта
Формирование политики безопасности
Реализация стратегических и политических решений
Что, если не удается сформировать политику безопасности?

Глава 26. Эксплуатация брандмауэров
Обслуживание
Текущий контроль системы
Соответствие современному уровню
Сколько времени это займет?
Когда нужно начать заново?

Глава 27. Реакция на нарушение режима безопасности
Действия при инциденте
Что делать после инцидента
Отслеживание и выявление нарушителя
Планирование реакции на нарушение
Быть подготовленными

Часть V. Приложения

Приложение A. Ссылки
Веб-страницы
FTP-сайты
Почтовые рассылки
Группы новостей
Группы реагирования
Другие организации
Конференции
Статьи
Книги

Приложение B. Инструментальные средства
Средства аутентификации
Инструментальные средства для анализа
Инструментальные средства для фильтрации пакетов
Инструментальные средства проксирования
Демоны
Утилиты

Приложение C. Криптография
Что нужно предохранять и почему?
Ключевые компоненты криптографических систем
Комбинированная криптография
Что делает протокол безопасным?
Сведения об алгоритмах

Ключевые слова

См. также:
Директор школы. 2010.  № 2 (145). С. 102-104. 
[Статья]