- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Глубоко эшелонированная защита 199to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
резервное копирование и т.д.).Все эти элементы управления безопасностью– |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
этоуровнизащиты,атакжеуровнизащитывобластиинфраструктурыислужб. Для различных областей инфраструктур должны бытьдобавлены другие уров- ни защиты.
На той же диаграмме у вас присутствуют облачные вычисления. В данном случаеэтомодельИнфраструктура как услуга (IaaS),посколькуэтакомпания использует виртуальные машины, расположенные в облаке. Если вы уже по- строили модель угроз и внедрили средства управления безопасностьюлокаль- но, то вам необходимо пересмотреть возможность подключения к облачным вычислениям. Создав гибридную среду, вы должны будете повторно прове- рить угрозы, потенциальные точки входа и способы их эксплуатации. Резуль- татом этого упражнения обычно является вывод, что в действие должны быть введены другие элементы управления безопасностью.
Таким образом, безопасность инфраструктуры должна снизить количество и серьезность уязвимостей,сократить время обеспечениядоступа и увеличить сложность и стоимость эксплуатации. Используя многоуровневый подход, вы можете достичь этого.
Документы в процессе передачи
Хотятакая диаграмма относится к документам,это могут бытьданные любого типа, которые обычно уязвимы, когда они находятся в процессе передачи из одного меставдругое.Убедитесь,чтовы используетешифрованиедлязащиты данныхприпередаче.Крометого,недумайте,чтошифрованиеприпередаче– это нечто, что должно быть сделано только в общедоступных сетях. Это также должно быть реализовано и во внутренних сетях.
Например, все сегменты, доступные в локальной инфраструктуре, при- веденной на предыдущей диаграмме, должны использовать шифрование на уровне сети, такое как IPSec. Если вам нужно передавать документы по сети, убедитесь,что вы шифруете их на всем пути.Когда данные наконец достигнут пункта назначения, зашифруйте их, когда они будут находиться в состоянии покоя в хранилище.
Помимо шифрования, вы также должны добавить другие элементы управ- ления безопасностью для мониторинга и контроля доступа, как показано на рис. 10.2.
Обратитевнимание,чтовывосновномдобавляетеразличныеуровнизащи- ты и обнаружения,в чем и состоит вся суть подхода с использованием глубоко эшелонированной защиты.Воткак следуетрассматриватьданные,которые вы хотите защитить.
Давайте перейдем кдругому примеру,показанному на следующейдиаграм- ме. Это документ, который был зашифрован в состоянии покоя на локальном сервере. Он прошел через интернет, пользователь выполнил аутентификацию в облаке, и шифрование было сохранено в течение всего пути к мобильному устройству, которое также зашифровано в состоянии покоя в локальном хра- нилище (рис. 10.3).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
200 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Сегментация сети
Данные
Телефон на базе ОСAndroid
Локальные ресурсы
Мониторинг активности
Контроль доступа
Защита данных
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис.10.2
Брандмауэр
Рис.10.3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Сегментация физической сети 201to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Эта диаграмма показывает, что в гибридном сценарии вектор атаки изме- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
нится. Вы должны рассмотреть весь сквозной канал связи для выявления по- тенциальных угроз и способов их нейтрализации.
Конечные точки
При планировании глубоко эшелонированной защиты конечных точек нуж- но думать не только о компьютерах. В настоящее время конечная точка – это практически любое устройство, которое может потреблять данные. Приложе- ние определяет, какие устройства будут поддерживаться. Пока вы работаете синхронно с вашей командой разработчиков, то должны знать, какие устрой- ства поддерживаются. В общем, большинство приложений будет доступно для мобильных устройств, а также и для компьютеров. Ряд других приложений выходит за рамки этого и обеспечивает доступ через переносные устройства, такие как Fitbit. Невзирая на форм-фактор, вы должны выполнить моделиро- вание угроз, чтобы раскрыть все векторы атак и соответствующим образом спланировать меры по нейтрализации. Некоторые из контрмер, применимых по отношению к конечным точкам, включают в себя:
разделение корпоративных и личных данных/приложений (изоляция);использование аппаратной защиты TPM;
усиление защиты ОС;шифрование хранилища.
Защита конечных точек должна учитывать корпоративные и BYOD-устройства. Чтобы узнатьбольше о независимом от поставщика подходе к BYOD, прочтите эту статью: https://blogs.technet.microsoft.com/yuridiogenes/2014/03/11/byod-article-published- at-issa-journal/.
Сегментация физической сети
Одна из самых больших проблем, с которой может столкнуться Синяя команда при работе с сегментацией сети,–это получение точного представления отом, как в настоящее время устроена сеть. Это происходит из-за того, что большую частьвременисетьбудетрастивсоответствиисоспросом,аеефункциибезопас ности не пересматриваются по мере ее расширения. Для крупных корпораций это означает переосмысление всей сети и,возможно,ее реорганизацию с нуля.
Первым шагом к созданию соответствующей физической сегментации сети является пониманиелогического распределения ресурсов в соответствии с по- требностями вашей компании. Это развенчивает миф о том, что один размер подходит всем, ведь на самом деле это не так. Вы должны проанализировать каждую сеть в каждом конкретном случае и спланировать сегментацию сети в соответствии с потребностями в ресурсах и логическим доступом. Для ма- лых и средних организаций может быть проще агрегировать ресурсы в соот- ветствии с их отделами (например, ресурсы, принадлежащие финансовому отделу, отделу кадров, операционному отделу и т. д.). Если это тот случай, вы
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
202 |
Сегментация сети |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
можете создать виртуальную локальную сеть (VLAN) для каждого отдела |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
и изолировать ресурсы для каждого отдела. Такая изоляция улучшит произво- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
дительность и общую безопасность. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Проблема тут состоит в отношениях между пользователями/группами и ре- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
сурсами.Давайте используем в качестве примера файловый сервер.Большин- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ствуотделоввкакой-томоментпонадобитсядоступкфайловомусерверу,аэто |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
означает,что им придется пересекать виртуальные локальные сети,чтобы по- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
лучить доступ к ресурсу. Для такого доступа потребуются правила, различные |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
условия доступа и дополнительное обслуживание. По этой причине крупные |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
сети обычно избегаюттакого подхода, но если он соответствует потребностям |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
вашей организации,вы можете использовать его.Другие способы агрегирова- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ния ресурсов могут основываться на следующих аспектах: |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
бизнес-цели – используя этот подход, вы можете создавать виртуаль- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
ные локальные сети с ресурсами на основе общих бизнес-целей; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
уровеньчувствительности при угрозе–предполагая,чтоувасестьак- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
туальная оценка риска ваших ресурсов, вы можете создавать виртуаль- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ныелокальные сетинаоснове уровняриска(высокий,низкий,средний); |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
расположение – для крупных организаций иногда лучше организовать |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
ресурсы в зависимости от местоположения; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зоны безопасности – обычно этот тип сегментации комбинирует- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
ся с другими типами для определенных целей (например, одна зона |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
безопасности |
для всех серверов, к которым обращаются партнеры). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Хотя это распространенные методы агрегации ресурсов, которые могут |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
привести к сегментации сети на основеVLAN,вы можете использовать все это |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
вместе. Приведенная ниже диаграмма показывает пример такого смешанного |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
подхода (рис. 10.4). |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
В этом случае у нас есть коммутаторы рабочей группы (например, Cisco Ca |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
talyst 4500) с возможностью настройки VLAN. Они подключены к центрально- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
му маршрутизатору, который будет выполнять управление маршрутизацией |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
для этих виртуальных сетей.В идеале этоткоммутатордолжен иметьфункции |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
безопасности, ограничивающие IP-трафик из ненадежных портов канально- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
го уровня. Эта функция известна как безопасность портов. Данный маршру- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
тизатор включает в себя контрольный список доступа, чтобы убедиться, что |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
через эти виртуальные локальные сети может проходить только авторизован- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ный трафик. Если вашей организации требуется более глубокая проверка че- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
рез VLAN, вы также можете использовать межсетевой экран для выполнения |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
данной маршрутизации и проверки. Обратите внимание, что сегментация по |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
VLAN выполняется с использованием разных подходов, что вполне нормаль- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
но, если вы планируете текущее состояние и то, что будет в дальнейшем. |
|
|
|
|
|
|
|
|
|
|
|
|
Если вы используете Catalyst 4500,убедитесь,что у вас включена функция dynamic ARP inspection. Эта функция защищает сеть от некоторых атак типа «человек посередине». Для получения дополнительной информации об этой функции перейдите по ссылке https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configu-
ration/guide/conf/dynarp.html.