Сергей Петренко - Политики безопасности компании при работе в Интернет
Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Год:неизвестен
- ISBN:нет данных
- Рейтинг книги:3 / 5. Голосов: 1
-
Избранное:Добавить в избранное
- Отзывы:
-
Ваша оценка:
Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация
Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок
Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.
Интервал:
Закладка:
ip route 0.0.0.0 0.0.0.0 null 0 255
interface NullO
no icmp unreachables
Конфигурирование списков контроля доступа. На пограничных маршрутизаторах очень хорошо фильтровать ненужный входящий трафик, уменьшая, таким образом, нагрузку на внешние межсетевые экраны и уменьшая размеры журналов на внутренних устройствах. Пограничные маршрутизаторы также защищают внешние межсетевые экраны.
Для ограничения трафика используются расширенные списки контроля доступа. Используется новая возможность компилирования списков контроля доступа Turbo ACL, которая существенно увеличивает производительность обработки списков контроля доступа. К сожалению, эта функция не работает с рефлексивными списками контроля доступа и с СВАС (Context-Based Access Control). Для включения этой функциональности требуется всего одна команда:
access-list compiled
Сконфигурированы два списка контроля доступа – для входящего и исходящего трафика.
Список контроля доступа для входящего трафика. Блокируется трафик с недействительными адресами, без исходного адреса, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, направленный в сеть между внешними маршрутизаторами и внешними межсетевыми экранами, направленный на диапазон адресов, используемых для multicast:
no ip extended Ingress
ip access-list extended Ingress
deny ip host any 255.255.255.255
deny ip host 0.0.0.0 any
Сети 70.0.0.0/8 и 90.0.0.0/8 также зарезервированы I ANA, но не включены сюда из-за нашего первоначального предположения:
Блокирование опасного трафика:
deny udp any any range 161 162
deny udp any any eq 69
deny tcp any any range 135 139
deny udp any any range 135 139
deny tcp any any eq 445
deny udp any any eq 514
permit tcp host 70.70.1.2 host 70.70.1.1 eq 79
permit tcp host 90.90.1.2 host 90.90.1.1 eq 79
deny ip any 70.70.70.16 0.0.0.15
permit tcp any 70.70.70.0 0.0.0.255 established
permit udp any 70.70.70.0 0.0.0.255
permit icmp any 70.70.70.0 0.0.0.255 source-quench
deny ip any any
Список контроля доступа для исходящего трафика. Для предупреждения организации атак типа «отказ в обслуживании» с подменой адресов разрешен доступ в Интернет только с IP-адресов компании. Весь трафик, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, тоже удаляется:
no ip access-list extended Egress
ip access-list extended Egress
deny udp any any range 161 162
deny udp any any eq 69
deny tcp any any range 135 139
deny udp any any range 135 139
deny tcp any any eq 445
deny udp any any eq 514
permit tcp 70.70.70.0 0.0.255 any
permit udp 70.70.70.0 0.0.255 any
permit icmp any 70.70.70.0 0.0.0.255 source-quench
deny ip any any
Применение списков контроля доступа:
interface hssi2/0
ip access-group Ingress in
no ip proxy-arp
ip accounting access-violations
interface Fa0/0
ip access-group Egress in
no cdp enable
no ip proxy-arp
ip accounting access-violations
4.3.3. Настройки внешних межсетевых экранов
Внешние межсетевые экраны позволяют построить эффективный периметр защиты компании от угроз из Интернета. Политика безопасности внешних межсетевых экранов основана на бизнес-требованиях и согласована с общей политикой информационной безопасности компании. В качестве внешнего межсетевого экрана выбран Check Point Firewall-1 NG FP3, выполняющийся на аппаратной платформе Nokia IP530 с операционной системой IPSO v.3.6. В табл. 4.2 описаны все важные компоненты сети компании, подлежащие защите с помощью указанного межсетевого экрана.
Таблица 4.2. Компоненты сети, подлежащие защите
Продолжение табл. 4.2
Окончание табл. 4.2
Очень важно корректно определить все интерфейсы на межсетевом экране и установки anti-spoofing в свойствах объектов. Если это будет неправильно сконфигурировано, то межсетевой экран может заблокировать некоторый трафик, который должен быть разрешен, или может неправильно отработать функция anti-spoofing, которая вызовет появление новых рисков. Табл. 4.3 используется для конфигурирования интерфейсов. Таблица 4.3. Пример интерфейса межсетевого экрана
Сервисы. В табл. 4.4 представлен список сервисов, которые необходимы для работы политики безопасности межсетевого экрана, некоторые из них были предустановлены, а некоторые пришлось создать.
Читать дальшеИнтервал:
Закладка:
Похожие книги на «Политики безопасности компании при работе в Интернет»
Представляем Вашему вниманию похожие книги на «Политики безопасности компании при работе в Интернет» списком для выбора. Мы отобрали схожую по названию и смыслу литературу в надежде предоставить читателям больше вариантов отыскать новые, интересные, ещё непрочитанные произведения.
![Сергей Петренко - Снимите розовые очки [litres]](/books/391741/sergej-petrenko-snimite-rozovye-ochki-litres-thumb.webp)
Обсуждение, отзывы о книге «Политики безопасности компании при работе в Интернет» и просто собственные мнения читателей. Оставьте ваши комментарии, напишите, что Вы думаете о произведении, его смысле или главных героях. Укажите что конкретно понравилось, а что нет, и почему Вы так считаете.