Служба каталога Active Directory (AD)

Содержание

Слайд 2

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Модель эшелонированной обороны ACL Bitlocker Хранение Backup Mirror RAID Хранение Обработка APPs

Слайд 3

Список контроля доступа

Список контроля доступа

Слайд 4

Получение доступа

Идентификация
Аутентификация
Авторизация

Получение доступа Идентификация Аутентификация Авторизация

Слайд 5

Три кита аутентификации

«Что ты знаешь» - пароль
«Что ты имеешь» - единственный ключ
«Что

Три кита аутентификации «Что ты знаешь» - пароль «Что ты имеешь» -
ты есть» - биометрия

Но всю эту информацию надо где-то хранить и как-то проверять…

Слайд 6

Хранилище учётных данных

Учётные данные пользователя могут храниться
на локальном компьютере

Проблема: потребуется создать

Хранилище учётных данных Учётные данные пользователя могут храниться на локальном компьютере Проблема:
учётные записи на каждом компьютере, к которому подключается пользователь

Решение: централизованное хранилище учётных данных

Служба каталогов Active Directory

Слайд 7

Отношение доверия

Доверие

Отношение доверия Доверие

Слайд 8

Домен Windows NT

Требует наличия как минимум одного контроллера домена (PDC)
Граница репликации домена

Домен Windows NT Требует наличия как минимум одного контроллера домена (PDC) Граница

Доверенный источник учётных данных: любой доменный контроллер (PDC и BDC) может провести аутентификацию в домене

user1

User1

user1

user1

Слайд 9

Лес Active Directory

Состоит из одного и более доменов Active Directory
Первый домен в

Лес Active Directory Состоит из одного и более доменов Active Directory Первый
лесу становится корнем
Единая схема и конфигурация по всему лесу
Граница безопасности
Граница репликации

Слайд 10

Домен Active Directory

Требует наличия как минимум одного контроллера домена
Граница репликации доменного раздела

Домен Active Directory Требует наличия как минимум одного контроллера домена Граница репликации

Доверенный источник учётных данных: любой DC может провести аутентификацию в домене
Граница применения политик

Отношения доверия

user1

User1

user1

user1

Слайд 11

Подразделения

Объекты
Пользователи
Компьютеры
Подразделения
Контейнеры для группировки объектов в домене
Подразделения создаются:
Для делегирования разрешений
Для назначения групповых политик

Подразделения Объекты Пользователи Компьютеры Подразделения Контейнеры для группировки объектов в домене Подразделения

Слайд 12

Доверительные отношения в лесу Active Directory

Доверительные отношения в лесу Active Directory

Слайд 13

Хранилище учётных данных

Роль контроллера домена при аутентификации

Проверка учётных данных

Хранилище учётных данных Роль контроллера домена при аутентификации Проверка учётных данных

Слайд 14

Хранилище данных Active Directory

%systemroot%\NTDS\ntds.dit
Логические разделы
Домен
Схема
Конфигурация
Глобальный каталог
DNS
SYSVOL
%systemroot%\SYSVOL
Скрипты входа в систему
Политики

Хранилище данных Active Directory %systemroot%\NTDS\ntds.dit Логические разделы Домен Схема Конфигурация Глобальный каталог

Слайд 15

Сайты

Объекты Active Directory, представляющие сегменты сети с надёжным соединением
Ассоциируются с подсетями.
Внутрисайтовая и

Сайты Объекты Active Directory, представляющие сегменты сети с надёжным соединением Ассоциируются с
межсайтовая репликация
Репликация в пределах сайта очень быстрая (15–45 секунд)
Репликацией между сайтами можно управлять
Локализация служб
Вход в систему на ближайшем КД

Слайд 16

Учётные записи пользователей

Учётная запись пользователя:
Позволяет проводить аутентификацию пользователя с помощью атрибутов, например

Учётные записи пользователей Учётная запись пользователя: Позволяет проводить аутентификацию пользователя с помощью
logon name и password
Является участником безопасности с уникальным идентификатором (SID), который позволяет предоставлять пользователю доступ к ресурсам
Учётная запись пользователя может храниться:
В Active Directory, где позволяет осуществить вход в домен и получить доступ к любому ресурсу в домене
В локальной базе данных Security Account Manager, где позволяет осуществить локальный вход и получить доступ только к локальным ресурсам

Слайд 17

Процесс входа пользователя в систему в домене

Логин + пароль

Логин + хэш пароля

Разрешение
на

Процесс входа пользователя в систему в домене Логин + пароль Логин +
доступ

Проверка учётных данных

Проверка разрешений

1

2

3

4

5

Рабочая станция доверяет контроллеру домена

Слайд 18

Пользователь обращается к ресурсу \\file1.study.example.com

Процесс доступа к сетевым ресурсам в домене

Запрос доступа

Разрешение

Пользователь обращается к ресурсу \\file1.study.example.com Процесс доступа к сетевым ресурсам в домене
на доступ

Доступ к ресурсу

1

2

3

4

Слайд 19

Использование групп для контроля доступа на основе ролей

Пользователь

Группа роли

Группа доступа

Ресурсы

Иван Иванов

Пётр Петров

Василий

Использование групп для контроля доступа на основе ролей Пользователь Группа роли Группа
Васильев

Sales

Auditors

ACL_Sales_read

SalesDocs

SalesShare

Слайд 20

Диапазоны применения групп

U Пользователь DLG Локальная группа в домене C Компьютер UG Универсальная группа GG Глобальная группа

Диапазоны применения групп U Пользователь DLG Локальная группа в домене C Компьютер

Слайд 21

Вложение групп

Пользователь

Пользователь

Аудиторы (глобальная группа)

Маркетинг (глобальная группа)

ACL_Sales_Read (локальная в домене)

Identities (пользователи и компьютеры)

Вложение групп Пользователь Пользователь Аудиторы (глобальная группа) Маркетинг (глобальная группа) ACL_Sales_Read (локальная
входят в:
Global groups (глобальные группы – группы ролей) входят в:
Domain Local groups (локальные в домене группы)
предоставляют:
Access (доступ к ресурсам)
Мультидоменный лес: IGUDLA

Слайд 22

Типы групп

Группы распространения

Группы безопасности

Используются приложениями электронной почты
Не имеют идентификатора безопасности

Имеют идентификатор безопасности,

Типы групп Группы распространения Группы безопасности Используются приложениями электронной почты Не имеют
могут быть использованы для контроля доступа
Также могут использоваться приложениями электронной почты

Слайд 23

Учётные записи компьютеров

Компьютер является участником безопасности как и пользователь
Учётная запись компьютера необходима

Учётные записи компьютеров Компьютер является участником безопасности как и пользователь Учётная запись
для доверительных отношений

Слайд 24

Доверительные отношения между лесами

Доверительные отношения между лесами

Слайд 25

Взаимодействие с Интернет. Firewall (брандмауэр, межсетевой экран)

Взаимодействие с Интернет. Firewall (брандмауэр, межсетевой экран)

Слайд 26

Модель эшелонированной обороны

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

Модель эшелонированной обороны ACL EFS Bitlocker Хранение Backup Mirror RAID Хранение Обработка

Слайд 27

Набор технологий

Proxy
VPN
Контентная фильтрация
Аутентификация
Трансляция сетевых адресов
Пакетные фильтры

Набор технологий Proxy VPN Контентная фильтрация Аутентификация Трансляция сетевых адресов Пакетные фильтры

Слайд 28

Простые конфигурации

Простые конфигурации

Слайд 29

Демилиторизованная зона (сеть периметра)

Демилиторизованная зона (сеть периметра)

Слайд 30

Windows Firewall?

Windows Firewall?

Слайд 31

Персональный брандмауэр

Персональный брандмауэр

Слайд 32

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 33

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 34

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 35

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 36

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 37

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 38

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 39

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 40

Windows Firewall с расширенными возможностями

Windows Firewall с расширенными возможностями

Слайд 43

Конфиденциальность

EF

SK

F

PK

SK

OK

ESK

OK

Конфиденциальность EF SK F PK SK OK ESK OK

Слайд 44

Целостность и аутентификация

F

H

F

PK

OK

EH

OK

HF

H

H’

HF

Целостность и аутентификация F H F PK OK EH OK HF H H’ HF

Слайд 45

Списки управления доступом

Горячев Александр Вадимович
Доцент кафедры ИБ
[email protected]

Списки управления доступом Горячев Александр Вадимович Доцент кафедры ИБ avgoriachev@etu.ru

Слайд 46

Модель эшелонированной обороны

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

Хранение

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

SC

Модель эшелонированной обороны Хранение Обработка APPs OS/.NET редача Передача Intranet Internet Antivirus

Слайд 47

Список контроля доступа

Список контроля доступа

Слайд 48

Список контроля доступа (ACL)

Список контроля доступа (ACL)

Слайд 49

Маркер доступа (AT)

Маркер доступа (AT)

Слайд 50

Обеспечение доступности информации при хранении

Горячев Александр Вадимович
Доцент кафедры Информационной безопасности
[email protected]

Обеспечение доступности информации при хранении Горячев Александр Вадимович Доцент кафедры Информационной безопасности avgoriachev@etu.ru

Слайд 51

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Модель эшелонированной обороны ACL Bitlocker Хранение Backup Mirror RAID Хранение Обработка APPs

Слайд 52

Резервное копирование. Настройка

Резервное копирование. Настройка

Слайд 53

Резервное копирование. Схемы

Полная копирование
Инкрементальное копирование
Дифференциальное копирование
Копирование на конкретную дату

Резервное копирование. Схемы Полная копирование Инкрементальное копирование Дифференциальное копирование Копирование на конкретную дату

Слайд 54

Резервное копирование. Правила

ТРИ экземпляра копии, один – «OffSite»
Регулярная проверка целостности копии
Резервная копия

Резервное копирование. Правила ТРИ экземпляра копии, один – «OffSite» Регулярная проверка целостности
– находка для злодея

Слайд 55

Дисковые массивы. Зеркало

Дисковые массивы. Зеркало

Слайд 56

Дисковые массивы. RAID 5

Дисковые массивы. RAID 5

Слайд 57

Дисковые массивы. Hot Spare

Дисковые массивы. Hot Spare

Слайд 58

Shadow Copy

Shadow Copy

Слайд 59

Кластер надежности

Кластер надежности

Слайд 60

Групповые политики службы каталога Active Directory

Горячев Александр Вадимович
Доцент кафедры Информационной безопасности

Групповые политики службы каталога Active Directory Горячев Александр Вадимович Доцент кафедры Информационной безопасности avgoriachev@etu.ru

Слайд 61

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Модель эшелонированной обороны ACL Bitlocker Хранение Backup Mirror RAID Хранение Обработка APPs

Слайд 62

Локальная политика безопасности

Локальная политика безопасности

Слайд 63

Шаблоны безопасности

Шаблоны безопасности

Слайд 64

Анализ и конфигурация безопасности

Анализ и конфигурация безопасности

Слайд 65

Домен Windows NT

Требует наличия как минимум одного контроллера домена (PDC)
Граница репликации домена

Домен Windows NT Требует наличия как минимум одного контроллера домена (PDC) Граница

Доверенный источник учётных данных: любой доменный контроллер (PDC и BDC) может провести аутентификацию в домене
Security Account Manager

user1

User1

user1

user1

Слайд 66

Подразделения (организационные единицы)

Объекты
Пользователи
Компьютеры
Подразделения
Контейнеры для группировки объектов в домене
Подразделения создаются:
Для делегирования разрешений
Для назначения

Подразделения (организационные единицы) Объекты Пользователи Компьютеры Подразделения Контейнеры для группировки объектов в
групповых политик

Слайд 67

Хранилище данных Active Directory

%systemroot%\NTDS\ntds.dit
Логические разделы
Домен
Схема
Конфигурация
Глобальный каталог
DNS
SYSVOL
%systemroot%\SYSVOL
Скрипты входа в систему
Политики

Хранилище данных Active Directory %systemroot%\NTDS\ntds.dit Логические разделы Домен Схема Конфигурация Глобальный каталог

Слайд 68

Учётные записи компьютеров

Компьютер является участником безопасности как и пользователь
Учётная запись компьютера необходима

Учётные записи компьютеров Компьютер является участником безопасности как и пользователь Учётная запись
для доверительных отношений

Слайд 69

Параметры групповой политики

Детальное определение изменений в конфигурации
Предотвратить доступ к реестру
Назначить установку приложения
Выполнить

Параметры групповой политики Детальное определение изменений в конфигурации Предотвратить доступ к реестру
скрипт при включении компьютера
Подразделяются на
Конфигурацию пользователя
Конфигурацию компьютера
Могут быть
Не настроены (Not configured)
Включены (Enabled)
Выключены (Disabled)

Слайд 70

Объекты групповой политики

Контейнер для параметров групповой политики
Применяется на определённом уровне иерархии Active

Объекты групповой политики Контейнер для параметров групповой политики Применяется на определённом уровне иерархии Active Directory
Directory

Слайд 71

Административные шаблоны

Параметры политик из Административных Шаблонов производят изменения в реестре
HKCU\Software\Microsoft\ Windows\CurrentVersion\ Policies\System
DisableRegeditMode
1 – Отключить

Административные шаблоны Параметры политик из Административных Шаблонов производят изменения в реестре HKCU\Software\Microsoft\
только UI
2 – Также отключить regedit /s

Слайд 72

Клиент групповой политики и Client-side extensions

Клиент групповой политики получает список GPO с порядком

Клиент групповой политики и Client-side extensions Клиент групповой политики получает список GPO
применения
GPO загружаются и кэшируются
CSEs обрабатывают настройки для применения изменений
Отдельный CSE для каждой крупной категории параметров: Security, registry, script, software installation, mapped drive preferences.
Большинство CSEs применяют изменения только если GPO изменился
Security CSE применяет настройки каждые 16 часов
Применение GPO инициируется клиентом

Слайд 73

Применение политик разными операционными системами

Минимальный поддерживаемый уровень
Client Side Extensions
Синхронное и асинхронное применение

Применение политик разными операционными системами Минимальный поддерживаемый уровень Client Side Extensions Синхронное и асинхронное применение политик
политик

Слайд 74

Расширение функционала с помощью административных шаблонов

Административные шаблоны позволяют централизованно управлять программным обеспечением:
Microsoft

Расширение функционала с помощью административных шаблонов Административные шаблоны позволяют централизованно управлять программным
Office, Google Chrome, etc
ADM
ADMX/ADML

Слайд 75

Порядок применения GPO

OU

OU

GPO5

GPO1

Локальная группа

Порядок применения GPO OU OU GPO5 GPO1 Локальная группа

Слайд 76

Блокирование наследования

OU

OU

GPO5

GPO1

Локальная группа

Блокирование наследования OU OU GPO5 GPO1 Локальная группа

Слайд 77

Фильтрация по безопасности

Фильтрация по безопасности

Слайд 78

Фильтрация WMI

Фильтрация WMI

Слайд 79

Область применения

Область применения
Определение объектов (пользователей и компьютеров) к которым применяется GPO
Связи GPO
GPO

Область применения Область применения Определение объектов (пользователей и компьютеров) к которым применяется
может быть привязан к нескольким доменам, сайтам, подразделениям (OU)
Связь GPO определяет максимальную область применения GPO
Фильтрация безопасности
Разрешает или запрещает применение GPO членами глобальной группы безопасности
Позволяет фильтровать применение GPO в рамках связи
WMI Фильтрация
Позволяет изменять область применения на основе WMI запроса

Слайд 80

Обновление групповых политик

Когда применяются параметры GPO
Конфигурация компьютера
Включение
Каждые 90-120 минут
GPUpdate
Конфигурация пользователя
Вход в систему
Каждые

Обновление групповых политик Когда применяются параметры GPO Конфигурация компьютера Включение Каждые 90-120
90-120 минут
GPUpdate

Слайд 81

Предпочтения групповой политики

Предпочтения групповых политик расширяют диапазон настраиваемых параметров GPO и:
Способы применения

Предпочтения групповой политики Предпочтения групповых политик расширяют диапазон настраиваемых параметров GPO и:
предпочтений групповой политики:

Не блокируют настройки от изменения пользователем
Позволяют настраивать параметры операционной системы и ПО
иначе управляемые загрузочными скриптами (создавать ярлыки,
подключать сетевые диски и т.д.

Create: Создать новый объект на целевом компьютере
Delete: Удалить существующий объект с целевого компьютера
Replace: Удалить и создать заново объект на целевом компьютере
Update: Модифицировать объект на целевом компьютере

Слайд 82

Нацеливание предпочтений групповой политики

Нацеливание на уровень элемента
В одном GPO может быть

Нацеливание предпочтений групповой политики Нацеливание на уровень элемента В одном GPO может
несколько настроек для разных пользователей и компьютеров
Доступно только для предпочтений
Множество готовых WMI фильтров

Слайд 83

Loopback policy processing

При входе пользователя в систему применяются пользовательские параметры GPO нацеленные

Loopback policy processing При входе пользователя в систему применяются пользовательские параметры GPO
на компьютер
Позволяет обеспечить единообразную среду на компьютере, независимо от вошедшего в систему пользователя.
Подходит для переговорных, публичных компьютеров, VDI, RDS, и т.д.
Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика
Режим обработки замыкания пользовательской групповой политики
Режим замещения
Применяются только пользовательские настройки нацеленные на компьютер
Режим слияния
Сначала применяются пользовательские настройки нацеленные на пользователя, затем настройки нацеленные на компьютер.

Слайд 84

Обработка групповых политик при медленном соединении

Клиент групповой политики определяет, находится ли контроллер

Обработка групповых политик при медленном соединении Клиент групповой политики определяет, находится ли
домена, предоставляющий GPO за медленным соединением
По умолчанию медленным считается соединение менее 500 kbps
Каждый CSE использует определение медленного соединения
По умолчанию при медленном соединении не производится установка ПО
Можно изменить поведение каждого CSE при обнаружении медленного соединения
Computer Configuration\Policies\Administrative Templates\ System\Group Policy
Можно изменить пороговое значение медленного соединения
Computer [or User] Configuration\Policies\Administrative Templates\System\Group Policy

Слайд 85

Подводя итог

Групповые политики АД – мощный инструмент управления конфигурацией компьютера
Применение требует тщательного

Подводя итог Групповые политики АД – мощный инструмент управления конфигурацией компьютера Применение
проектирования и контроля

Слайд 86

Шифрованная файловая система (EFS)

Горячев Александр Вадимович
Доцент кафедры Информационной безопасности
[email protected]

Шифрованная файловая система (EFS) Горячев Александр Вадимович Доцент кафедры Информационной безопасности avgoriachev@etu.ru

Слайд 87

Модель эшелонированной обороны

EFS

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

Модель эшелонированной обороны EFS ACL Bitlocker Хранение Backup Mirror RAID Хранение Обработка

Слайд 88

Список контроля доступа

Список контроля доступа

Слайд 89

Список контроля доступа

Список контроля доступа

Слайд 90

Список контроля доступа

ACL

Список контроля доступа ACL

Слайд 91

Шифрование с симметричным ключом

T(a,x) = e
T-1(e,x) = a

Шифрование с симметричным ключом T(a,x) = e T-1(e,x) = a

Слайд 92

Простейший вариант

F

EF

F

SK

?

Простейший вариант F EF F SK ?

Слайд 93

Шифрование с асимметричным ключом (открытым и закрытым ключами)

G->(o,p)
T(a,o) = e
T-1(e,p) = a

G->(o,p)
T(a,p)

Шифрование с асимметричным ключом (открытым и закрытым ключами) G->(o,p) T(a,o) = e
= e
T-1(e,o) = a

Слайд 94

А можно так?

F

EF

F

PK

OK

?

?

А можно так? F EF F PK OK ? ?

Слайд 95

Уже правильнее

Уже правильнее

Слайд 96

EFS

RK

OK

ESK

ESK

SK

EFS RK OK ESK ESK SK

Слайд 97

Формирование сертификата

ОК

Кто?

Зачем?

?

Заявка на сертификат

СА

СА

Инфо

S

Формирование сертификата ОК Кто? Зачем? ? Заявка на сертификат СА СА Инфо S

Слайд 98

Сертификат

Сертификат

Слайд 99

Сертификат

Сертификат

Слайд 100

Интерфейс управления EFS

Интерфейс управления EFS

Слайд 101

Взаимодействие внутри корпоративной сети. IPsecurity. SSL.

Взаимодействие внутри корпоративной сети. IPsecurity. SSL.

Слайд 102

Модель эшелонированной обороны

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

Firewall

RMS

IPSec

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

SSL

Модель эшелонированной обороны ACL EFS Bitlocker Хранение Backup Mirror RAID Хранение Обработка

Слайд 103

Конфиденциальность

EF

SK

F

PK

SK

OK

ESK

OK

Конфиденциальность EF SK F PK SK OK ESK OK

Слайд 104

Целостность и аутентификация

F

H

F

PK

OK

EH

OK

HF

H

H’

HF

Целостность и аутентификация F H F PK OK EH OK HF H H’ HF

Слайд 105

Настройка IP Security

Настройка IP Security

Слайд 106

Настройка политики IP Security

Настройка политики IP Security

Слайд 107

Настройка правил IP Security

Настройка правил IP Security

Слайд 108

Настройка правил IP Security

Настройка правил IP Security

Слайд 109

Настройка аутентификации IP Security

Настройка аутентификации IP Security

Слайд 110

Мониторинг IPSecurity

Мониторинг IPSecurity

Слайд 111

Secure Socket Layers (SSL)

EF

SK

F

PK

SK

OK

ESK

OK

Клиент

Сервер

Secure Socket Layers (SSL) EF SK F PK SK OK ESK OK Клиент Сервер

Слайд 112

Установка соединения SSL

Установка соединения SSL

Слайд 113

Суртификаты SSL

Суртификаты SSL

Слайд 114

Сертификаты SSL

Сертификаты SSL

Слайд 115

Работа с SSL

Работа с SSL

Слайд 116

VPN

Горячев Александр Вадимович
Доцент кафедры ИБ
[email protected]

VPN Горячев Александр Вадимович Доцент кафедры ИБ avgoriachev@etu.ru

Слайд 117

Модель эшелонированной обороны

ACL

EFS

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

Firewall

RMS

IPSec

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

SSL

Модель эшелонированной обороны ACL EFS Bitlocker Хранение Backup Mirror RAID Хранение Обработка

Слайд 118

Технологии выхода в Интернет из корпоративной сети

Маршрутизация
Статическая трансляция адресов (публикация ресурсов)
Динамическая трансляция

Технологии выхода в Интернет из корпоративной сети Маршрутизация Статическая трансляция адресов (публикация
адресов
Прокси (Proxy)

Слайд 119

Маршрутизация

195.131.5.235

131.13.15.35

131.15.98.1

131.15.98.34

Маршрутизация 195.131.5.235 131.13.15.35 131.15.98.1 131.15.98.34

Слайд 120

Статическая трансляция адресов (статический NAT)

195.131.5.235

131.13.15.35
131.13.15.36

192.168.2.1

192.168.2.15

192.168.2.37

Статический
NAT

Статическая трансляция адресов (статический NAT) 195.131.5.235 131.13.15.35 131.13.15.36 192.168.2.1 192.168.2.15 192.168.2.37 Статический NAT

Слайд 121

Статический NAT – как выглядит снаружи

195.131.5.235

131.13.15.1

131.13.15.35

131.13.15.35

Статический NAT – как выглядит снаружи 195.131.5.235 131.13.15.1 131.13.15.35 131.13.15.35

Слайд 122

Динамическая трансляция адресов (динамический NAT)

195.131.5.23

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Динамический
NAT

198.13.44.12

Пакет прямой:
Отправитель:131.13.15.35:34555
Получатель: 198.13.44.12:80

Пакет ответный:
Отправитель: 198.13.44.12:80
Получатель: 131.13.15.35:34555

Динамическая трансляция адресов (динамический NAT) 195.131.5.23 131.13.15.35 192.168.2.1 192.168.2.15 192.168.2.37 Динамический NAT

Слайд 123

Прокси (Proxy)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Proxy Server

HTTPS

HTTP

Прокси (Proxy) 195.131.5.235 131.13.15.35 192.168.2.1 192.168.2.15 192.168.2.37 Proxy Server HTTPS HTTP

Слайд 124

Технологии доступа из Интернет к ресурсам корпоративной сети
Статическая трансляция адресов (публикация)
Обратный прокси

Технологии доступа из Интернет к ресурсам корпоративной сети Статическая трансляция адресов (публикация)
(Application Proxy)
VPN (Виртуальные частные сети)
Терминальный доступ

Слайд 125

Web Application Proxy (Обратный прокси)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Web Application Proxy

HTTPS

HTTP

Web Application Proxy (Обратный прокси) 195.131.5.235 131.13.15.35 192.168.2.1 192.168.2.15 192.168.2.37 Web Application Proxy HTTPS HTTP

Слайд 126

Виртуальные частные сети (VPN)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

13.3.44.2

VPN сервер

10.0.0.134

10.0.0.1

Виртуальные частные сети (VPN) 195.131.5.235 131.13.15.35 192.168.2.1 192.168.2.15 192.168.2.37 13.3.44.2 VPN сервер 10.0.0.134 10.0.0.1

Слайд 127

Виртуальные частные сети (VPN)

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Сервер доступа

13.3.44.2

VPN сервер

Виртуальные частные сети (VPN) 195.131.5.235 131.13.15.35 192.168.2.1 192.168.2.15 192.168.2.37 Сервер доступа 13.3.44.2 VPN сервер

Слайд 128

Настройка VPN в RRAS

Настройка VPN в RRAS

Слайд 129

Настройка параметров подключения

Настройка параметров подключения

Слайд 130

Терминальный доступ

195.131.5.235

131.13.15.35

192.168.2.1

192.168.2.15

192.168.2.37

Сервер Терминального
Доступа

RDP

Терминальный доступ 195.131.5.235 131.13.15.35 192.168.2.1 192.168.2.15 192.168.2.37 Сервер Терминального Доступа RDP

Слайд 131

Терминальный доступ

Терминальный доступ

Слайд 132

Терминальный доступ

Терминальный доступ

Слайд 133

Терминальный доступ

Терминальный доступ

Слайд 134

Терминальный доступ

Терминальный доступ

Слайд 135

Спасибо за внимание!

Спасибо за внимание!

Слайд 136

Сертификаты. Инфраструктура шифрования с открытым ключом (PKI)

Горячев Александр Вадимович
Доцент кафедры ИБ
[email protected]

Сертификаты. Инфраструктура шифрования с открытым ключом (PKI) Горячев Александр Вадимович Доцент кафедры ИБ avgoriachev@etu.ru

Слайд 137

Хранение

Модель эшелонированной обороны

ACL

Bitlocker

Хранение

Backup

Mirror

RAID

Хранение

Обработка

APPs

OS/.NET

редача

Передача

Intranet

Internet

Antivirus

Updates

Antispyware

Autentification

HIDS-HIPS

Routing

IPSec

RMS

Firewall

VPN

NAP

Физический доступ

Политики, процедуры, осведомленность

NIDS-NIPS

PKI

AD

SC

EFS

Хранение Модель эшелонированной обороны ACL Bitlocker Хранение Backup Mirror RAID Хранение Обработка

Слайд 138

Список контроля доступа

Список контроля доступа

Слайд 139

Список контроля доступа

Список контроля доступа

Слайд 140

Список контроля доступа

ACL

Список контроля доступа ACL

Слайд 141

Шифрование с симметричным ключом

T(a,x) = e
T-1(e,x) = a

Шифрование с симметричным ключом T(a,x) = e T-1(e,x) = a

Слайд 142

Простейший вариант

F

EF

F

SK

?

Простейший вариант F EF F SK ?

Слайд 143

Шифрование с асимметричным ключом (открытым и закрытым ключами)

G->(o,p)
T(a,o) = e
T-1(e,p) = a

G->(o,p)
T(a,p)

Шифрование с асимметричным ключом (открытым и закрытым ключами) G->(o,p) T(a,o) = e
= e
T-1(e,o) = a

Слайд 144

А можно так?

F

EF

F

PK

OK

?

?

А можно так? F EF F PK OK ? ?

Слайд 145

Уже правильнее

Уже правильнее

Слайд 146

Передача - Конфиденциальность

EF

SK

F

PK

SK

OK

ESK

OK

Передача - Конфиденциальность EF SK F PK SK OK ESK OK

Слайд 147

Целостность и аутентификация

F

H

F

PK

OK

EH

OK

HF

H

H’

HF

Целостность и аутентификация F H F PK OK EH OK HF H H’ HF

Слайд 148

Формирование сертификата

ОК


Кто?

Зачем?

?

Заявка на сертификат

СА

СА

Инфо

S

Формирование сертификата ОК PК Кто? Зачем? ? Заявка на сертификат СА СА Инфо S

Слайд 149

Сертификат

Сертификат

Слайд 150

Сертификат

Сертификат

Слайд 151

Типы СА

Типы СА

Слайд 152

Имя и сертификат

Имя и сертификат

Слайд 153

Консоль центра сертификатов

Консоль центра сертификатов

Слайд 154

Выданные сертификаты

Выданные сертификаты

Слайд 155

Шаблоны сертификатов

Шаблоны сертификатов

Слайд 156

Заголовок файла

Заголовок файла

Слайд 157

Отзыв сертификата

Отзыв сертификата

Слайд 158

Отзыв сертификата - причина

Отзыв сертификата - причина

Слайд 159

Отмена отзыва сертификата

Отмена отзыва сертификата

Слайд 160

Запрос сертификата через Web

Запрос сертификата через Web

Слайд 161

Детали запроса

Детали запроса

Слайд 162

Установка готового сертификата

Установка готового сертификата

Слайд 163

Личные сертификаты

Личные сертификаты

Слайд 164

Полученный сертификат

Полученный сертификат

Слайд 165

Доверенные сертификаты

Доверенные сертификаты

Слайд 166

Защита компьютерной информации. Защита информации на уровне кода

Горячев Александр Вадимович
Доцент кафедры Информационной

Защита компьютерной информации. Защита информации на уровне кода Горячев Александр Вадимович Доцент кафедры Информационной безопасности Avgoriachev@etu.ru
безопасности
[email protected]

Слайд 167

Хранение

Модель эшелонированной обороны

Хранение

Хранение

Обработка

Приложения

OS/.NET

редача

Передача

Intranet

Internet

Физический доступ

Политики, процедуры, осведомленность

PKI

AD

Хранилища

Обновления

Обновления

Аутентификация

Антивирус

Контроль доступа

Хранение Модель эшелонированной обороны Хранение Хранение Обработка Приложения OS/.NET редача Передача Intranet

Слайд 168

Обновления – какие проблемы?

Ошибки изначального кода
Уязвимости

Как бороться?

«Заплатки» (Patch)
Замена кода

Start

Bad code

Finish

Good

Обновления – какие проблемы? Ошибки изначального кода Уязвимости Как бороться? «Заплатки» (Patch)
code

Слайд 169

Все ли изменения нужны?

Security – ДА!!!

Feature-pack – Нет!

Все ли изменения нужны? Security – ДА!!! … Feature-pack – Нет!

Слайд 170

Центр обновлений Windows

Центр обновлений Windows

Слайд 171

Типы атак

Типы атак

Слайд 172

Phishing

Получение паролей, PIN-кодов и пр.

Пассивное наблюдение
Спровоцировать передачу неавторизованному участнику
Проникновение с кражей

Phishing Получение паролей, PIN-кодов и пр. Пассивное наблюдение Спровоцировать передачу неавторизованному участнику Проникновение с кражей

Слайд 173

USB-флэш атака

Из 30 разбросанных по территории предприятия флэшек 20 «откликнулись» в течении

USB-флэш атака Из 30 разбросанных по территории предприятия флэшек 20 «откликнулись» в течении часа
часа

Слайд 174

Вирус

Репликатор
Маскировщик (полиморфизм)
Тело вируса

Файлы
Система
Загрузочная зона
Макровирусы

Программа-акцептор

Программа-донор

Вирус Репликатор Маскировщик (полиморфизм) Тело вируса Файлы Система Загрузочная зона Макровирусы Программа-акцептор Программа-донор

Слайд 175

Черви

Средство проникновения
Инсталлятор
Средство поиска
Сканнер
Тело червя

Червь

Тело

Поиск

Интрудер

Инст

Черви Средство проникновения Инсталлятор Средство поиска Сканнер Тело червя Червь Тело Поиск Интрудер Инст

Слайд 176

Троян

Контейнер – полезная программа
Тело трояна

Программа-контейнер

Вирус

Тело

Логическая бомба

Троян Контейнер – полезная программа Тело трояна Программа-контейнер Вирус Тело Логическая бомба

Слайд 177

Root Kit

Встраивается на уровне драйверов операционной системы
Очень сложно обнаружить

Root Kit Встраивается на уровне драйверов операционной системы Очень сложно обнаружить

Слайд 178

Методы обнаружения угроз ПО

Обнаружение по маске – сканирование
Анализ логов
Обнаружение по маске при

Методы обнаружения угроз ПО Обнаружение по маске – сканирование Анализ логов Обнаружение
запуске ПО
Поведенческий анализ «на лету»
Принцип минимальных привилегий

Слайд 179

Защита от вирусов и…

Защита от вирусов и…

Слайд 180

Контроль доступа (UAC)

Контроль доступа (UAC)

Слайд 181

Обеспечение качества кода в ходе разработки

Обеспечение качества кода в ходе разработки

Слайд 182

Модель угроз STRIDE

Модель угроз STRIDE

Слайд 183

Анатомия атаки

Замести следы

Анализ и планирование

Проникновение

Выполнить задачу

Повышение привилегий

1

2

3

4

5

Анатомия атаки Замести следы Анализ и планирование Проникновение Выполнить задачу Повышение привилегий

Слайд 184

Борьба…

Борьба…
Имя файла: Служба-каталога-Active-Directory-(AD).pptx
Количество просмотров: 44
Количество скачиваний: 0