Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Transkript

1 Obsah Část I Základy bezpečnosti Kapitola 1 Základy obvodového zabezpečení Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26 Kapitola 2 Filtrování paketů Abeceda TCP/IP: jak funguje filtrování paketů...27 Směrovače Cisco jako paketové filtry...29 Jak účinně využívat zařízení pro filtrování paketů...32 Problémy s paketovými filtry...43 Dynamické filtrování paketů a reflexivní přístupové seznamy...50 Shrnutí...54 Odkazy...54 Kapitola 3 Stavové firewally Jak funguje stavový firewall...55 Co je to stav...56 Stavové filtrování a stavová inspekce...66 Shrnutí...78 Odkazy...79 Kapitola 4 Proxy firewally Základy...81 Typy proxy firewallů...84 Proxy neboli aplikační bránové firewally...86 Problémy s protokoly a proxy firewally...88 Nástroje pro proxy komunikaci...90 Shrnutí...94 Odkazy...94

2 4 Obsah Kapitola 5 Zásady zabezpečení Firewally tvoří zásady zabezpečení...95 Jak vytvořit zásady Otázky obvodu sítě Shrnutí Odkazy Část II Rozšíření obvodu Kapitola 6 Úloha směrovače Směrovač jako zařízení zabezpečovacího obvodu Směrovač jako bezpečnostní zařízení Zodolnění směrovače Shrnutí Odkazy Kapitola 7 Detekce síťového narušení Základní fakta o detekci sí ového narušení Úloha sí ového IDS v ochranném obvodu Umístění senzoru IDS Případové studie Shrnutí Kapitola 8 Virtuální privátní sítě Základní fakta o VPN Výhody a nevýhody tunelů VPN Základní informace o protokolu IPSec Další protokoly VPN: PPTP a L2TP Shrnutí Odkazy Kapitola 9 Zodolnění hostitelského počítače Úrovně zodolnění Úroveň 1: Zodolnění proti místním útokům Úroveň 2: Zodolnění proti sí ovým útokům Úroveň 3: Posílení proti útokům na aplikace Návod na dodatečné zodolnění Shrnutí...231

3 Obsah 5 Kapitola 10 Součásti obrany hostitelského systému Hostitelské systémy a obvod sítě Antivirový software Hostitelsky orientované firewally Hostitelská detekce vniknutí Úskalí komponent hostitelské obrany Shrnutí Odkazy Část III Návrh koncepce zabezpečení sítě Kapitola 11 Základy návrhu sítě Sběr požadavků na návrh Součásti návrhu Shrnutí Odkazy Kapitola 12 Oddělení prostředků Bezpečnostní zóny Obvyklé prvky návrhu Oddělení se sítí VLAN Shrnutí Odkazy Kapitola 13 Softwarová architektura Softwarová architektura a obrana sítě Jak softwarová architektura ovlivňuje způsob obrany sítě Umístění softwarových komponent Jak rozpoznat možné problémy softwarové architektury Testování softwaru Doporučení pro návrh obrany sítě Případová studie: systém péče o zákazníky Případová studie: webově orientovaná fakturační aplikace Shrnutí Odkazy Kapitola 14 Integrace sítí VPN Služba SSH...339

4 6 Obsah Vrstva SSL Řešení se vzdálenou plochou Protokol IPSec Ostatní úvahy k sítím VPN Případová studie návrhu VPN Shrnutí Kapitola 15 Vyladění výkonu navržené sítě Výkonnost a bezpečnost Které prvky návrhu zabezpečení sítě mají vliv na její výkonnost Dopady šifrování Zvýšení výkonu pomocí vyrovnávání zátěže Shrnutí Odkazy Kapitola 16 Ukázky návrhů Přehled kritérií bezpečnostního návrhu Případové studie Shrnutí Část IV Zhodnocení obvodu Kapitola 17 Údržba bezpečnostního obvodu Sledování systému a sítě Reakce na incidenty Jak přizpůsobit prostředí změnám Shrnutí Odkazy Kapitola 18 Analýza síťových záznamových souborů Význam záznamových souborů sítě Základy analýzy záznamových souborů Analýza záznamových souborů směrovače Analýza záznamových souborů sí ového firewallu Analýza záznamových souborů hostitelsky centralizovaného firewallu a systému IDS Shrnutí...456

5 Obsah 7 Kapitola 19 Řešení problémů s ochrannými komponentami Postup při hledání a odstraňování závady Několik postřehů pro odhalování a odstraňování závad Sada nástrojů užitečných při odhalování a odstraňování závad Shrnutí Odkazy Kapitola 20 Techniky zhodnocení návrhu Externí zhodnocení Interní zhodnocení Shrnutí Odkazy Kapitola 21 Síť pod palbou Přístup hackerů k útoku na sí Zkoumání metod narušitele GIAC GCFW praktické návrhy sítí vytvořené studenty Shrnutí Odkazy Kapitola 22 Význam hloubkové ochrany Hrady: příklad architektury s hloubkovou obranou Pohlcující bariéry Hloubková obrana aplikovaná na informace Shrnutí Část V Přílohy Příloha A Ukázkové konfigurace přístupových seznamů Cisco Úplný přístupový seznam pro čistě privátní sí Úplný přístupový seznam pro chráněnou podsí, která umožňuje přístup k veřejným serverům z Internetu...564

6 8 Obsah Příloha B Několik slov ke kryptografii Šifrovací algoritmy Shrnutí Odkazy Příloha C Systémy NAG pro fyzické oddělení Jak vypadá fyzické oddělení Co jsou to systémy NAG Fyzické oddělení NAG ve spojení s firewally Implementace zařízení NAG Shrnutí Rejstřík