|
Konfiguratsiya va risklarni tahlil qilish vositalaridan foydalanish. Firewallar va marshrutizatorlar
|
| bet | 13/17 | | Sana | 24.05.2024 | | Hajmi | 1,83 Mb. | | #252942 |
Bog'liq 14-M Kompyuter tarmoqlarida himoya tizimlari va vositlariKonfiguratsiya va risklarni tahlil qilish vositalaridan foydalanish. Firewallar va marshrutizatorlar.
Patching tizimlari ularni murosalardan himoya qilishning faqat bir qismidir. Siz ularni xavfsiz tarzda sozlashingiz kerak. Yaxshiyamki, bu vazifa uchun juda ko'p resurslar mavjud. Cisco marshrutizatorlari va xavfsizlik devorlari uchun konfiguratsiya mezonlari va konfiguratsiyani baholash vositalarini topish uchun eng yaxshi veb-saytlardan biri bu Internet xavfsizligi markazidir (CIS, www.cisecurity.org/cis-benchmarks/). Benchmark - bu Cisco routeri yoki xavfsizlik devorini qanday qilib (bosqichma-bosqich ko'rsatmalardan foydalangan holda) va nima uchun (ushbu qadamlarni bajarish sabablarini tushuntirish) eng yaxshi konfiguratsiya amaliyotlarining sanoat konsensusidir.
Cisco qurilmalari uchun MDH Cisco IOS Benchmarkidan foydalaning; eng so'nggi versiyasi hozirda 16.0. Ko'rib chiqing va ushbu ko'rsatkichlardagi barcha konfiguratsiya bosqichlari biroz vaqt talab qilishi mumkin. Shu sababli, MDH tezroq va ishlatish uchun qulayroq bo'lgan Konfiguratsiyani baholash vositasi (CAT) deb nomlangan foydali vositani taklif qiladi. CAT versiyalari ham *nix, ham Windows tizimlari uchun mavjud. Vaqtingiz va Cisco router yoki xavfsizlik devori bilan laboratoriyaga kirish imkoningiz bo'lsa, CAT vositasini yuklab oling va uni Windows yoki Kali Linux tizimingizda ishga tushiring.
Qayd etish joizki, tijorat vositasi RedSeal (redseal.net), noyob tarmoq xavfini tahlil qilish va xaritalash vositasidir. Intrusionlarni aniqlash tizimlari (IDS) tarmoq qurilmalarini kuzatib boradi, shunda xavfsizlik ma'murlari amalga oshirilayotgan hujumlarni aniqlashlari va ularni to'xtatishlari mumkin. Masalan, foydalanuvchilar veb-serverga kirish imkoniyatiga ega bo'lishlari uchun xavfsizlik devori 80- portni ochishga ruxsat berishi kerak. Afsuski, ushbu portni ochish xakerga veb-serverga hujum qilishiga ham ruxsat berishi mumkin. IDS trafikni tekshiradi MDH RAT vositasi singari, RedSeal router yoki xavfsizlik devoridagi konfiguratsiya zaifliklarini aniqlay oladi, lekin u ham kompaniya logotipi bilan moslashtirilishi mumkin bo'lgan professional ko'rinishdagi hisobotlarni yaratadi. Routerlar va xavfsizlik devorlaridan konfiguratsiya fayllarini tahlil qilishdan tashqari, RedSeal batafsil tahlil qilish va xaritalash uchun tarmoqning OS zaiflik skanerlari bilan bir qatorda IPS'larni ham tahlil qilishi mumkin. 13-4-rasmda RedSeal-da Cisco router va xavfsizlik devori konfiguratsiya fayllari va Nessus skanerlashlariga kirganingizda hosil bo'ladigan tarmoq xavfi xaritasi ko'rsatilgan. U qanday ruxsat berilganligini aniqlash uchun tarmoqdagi barcha qurilmalarning konfiguratsiyasini tahlil qiladi. Tarmoqni himoya qilish uchun ishlatiladigan arxitekturani ko'rib chiqishda kirish tarmoq yo'li bo'ylab har bir qurilmadagi qoidalar va ACLlarni birlashtirish orqali aniqlanadi. Ruxsat etilgan yo'l tafsilotlarini ko'rish uchun tegishli qatorni bosing.
5-rasm. RedSeal tarmog'i xavf xaritasi
RedSeal noyobdir, chunki u tarmoq kontekstida aniqlangan zaifliklarning grafik tasvirini ko'rsatadi. RedSeal hisoboti va xaritasi yuqori boshqaruvga ma'lumotlarni etkazishda ayniqsa foydali bo'lishi mumkin; grafik format so'zli hisobotlar sahifalaridan ko'ra tushunish osonroq. (Qadimgi iborani eslang: Rasm ming so'zga arziydi.) RedSeal tarmoqning xavfsizlik holatini ifodalash uchun qulay vositadir.
|
| |
