Обзор технологий удаленного доступа и VPN

Технологии удаленного доступа (remote access) применяются для подключения удаленной сети или индивидуального удаленного клиента к сети организации.
Основными типами удаленного доступа (remote access types) являются доступ по коммутируемым каналам (dial-up) и виртуальные частные сети (Virtual Private Networks — VPN).

Доступ по коммутируемым каналам

Доступ по коммутируемым каналам (dial-up) — тип удаленного доступа, подразумевающий установление физического соединения между клиентским компьютером и портом сервера удаленного доступа. Для этого используются коммутируемые каналы связи — аналоговые, требующие применения модемов, или цифровые ISDN-линии, также требующие применения соответствующего оборудования. Главными недостатками этого метода являются медленная скорость передачи (до 56 Кбит по аналоговым линиям, 128 Кбит по цифровым ISDN-линиям) и высокая стоимость при междугородних соединениях.

Виртуальные частные сети

Виртуальные частные сети (Virtual Private Networks —VPN) позволяют создать защищенные соединения с использованием сетей общего доступа. Сети VPN называются виртуальными, поскольку не образованы физическими каналами связи, а используют для передачи существующие IP-сети, например Internet. При использовании VPN, внутренний (защищаемый)

Защищенность передаваемой информации обеспечивается за счет шифрования инкапсулированного пакета. Таким образом, при использовании VPN между устройствами, подключенными к общедоступной IP-сети, устанавливается шифрованный туннель. Преимущества этого метода доступа — более высокая скорость и низкая стоимость при реализации междугородних соединений.

Основные угрозы для удаленного доступа

• War dialing. Специальные программы-прозвонщики перебирают диапазон телефонных номеров, принадлежащих организации, с целью найти открытый или слабо защищенный сервер удаленного доступа.
• Подбор паролей для VPN-сервера. Злоумышленник может использовать программу, которая будет пытаться автоматически установить VPN-соединение, перебирая имена пользователей и пароли по словарю.
• Угроза утечки конфиденциальной информации при использовании слабых криптоалгоритмов VPN.
• При использовании сотрудниками домашних компьютеров для удаленного доступа к корпоративной сети, атака на эту сеть может быть произведена через домашний компьютер, поскольку он часто слабо защищен.
• Возможное  наличие  на общедоступных компьютерах,  которые  могут  использоваться  для удаленного доступа, программ-регистраторов нажатий клавиатуры (keyloggers).
• DoS-атаки на серверы удаленного доступа,
• Угрозы, связанные с уязвимостями ПО сервера удаленного доступа (например, атаки переполнения буфера)

Дизайн сетевого периметра

Типы межсетевых экранов

Защита периметра в сетях Microsoft

Настройка защиты периметра с помощью Basic Firewall

Настройка защиты периметра с помощью ISA Server 2004

защиты сетевого периметра

Под защитой сетевого периметра (network perimeter) подразумевается комплексное обеспечение безопасности всех точек соединения внутренней сети с внешними сетями (например, Internet).
Основные угрозы, исходящие из внешних сетей:

• Сканирование портов и сбор сведений о работающих сервисах, в том числе через сбор «баннеров» (service banners) — приглашений, выдаваемых службой при соединении с ней.
• Атаки переполнения буфера с целью получения контроля над системой.
• DoS-атаки.
• Проникновение вирусов и червей.

Основным методом защиты периметра является применение межсетевых фильтров (firewall), также называемых брандмауэрами. Межсетевой экран (firewall) — программа или аппаратно-программный комплекс, который располагается между сетями с различными уровнями доверия и фильтрует (блокирует или разрешает) пакеты согласно правилам фильтрации, заложенным администратором.

Спецификации стандарта 802.11

WEP

WEP + 802.1x

802.1И (WPA2)

Обзор безопасности беспроводных сетей Стандарты в беспроводных сетях

Беспроводные технологии активно используются в современных сетях для повышения мобильности пользователей. Наиболее популярны беспроводные сети, построенные на основе стандарта IEEE 802.11. 802.11 — семейство спецификаций построения беспроводных сетей (wireless LANs) с использованием радиосигналов. В этом семействе можно выделить следующие спецификации

Спецификации стандарта 802.11

Беспроводные сети могут работать в одном из двух режимов — Ad hoc и Infrastructure.
Инфраструктурный режим (infrastructure mode) применяется для подключения беспроводных клиентов к существующей проводной сети с помощью специального устройства, называемого беспроводной точкой доступа (wireless access point). Одноранговый режим (Ad hoc mode) применяется для построения одноранговых беспроводных сетей без применения точки доступа. Одноранговая беспроводная сеть может содержать до 9 компьютеров, каждый из которых непосредственно связывается с остальными компьютерами.

Независимо от режима работы для идентификации конкретной беспроводной сети используется параметр Service Set Identifier (SSID), часто называемый именем сети. Для инфраструктурного режима этот параметр задается на беспроводной точке доступа и доступен для просмотра на всех беспроводных клиентах (беспроводной клиент «слушает» анонсы сетей, и может выбрать, к какой беспроводной сети он будет присоединяться). При создании новой беспроводной сети следует задать уникальное значение SSID.