Предисловие | 13 |
|
Часть I. Безопасность сети | 23 |
|
1. Зачем нужны брандмауэры Интернета? | 25 |
|
Что надо защищать? | 26 |
От чего надо защищаться? | 29 |
Кому доверять? | 38 |
Как защитить свой сайт? | 39 |
Что такое брандмауэр Интернета? | 43 |
Решающие аргументы | 51 |
|
2. Сервисы Интернета | 56 |
|
Защищённые сервисы и безопасные сервисы | 58 |
Всемирная сеть | 58 |
Электронная почта и телеконференции | 63 |
Пересылка файлов, совместное использование файлов и печать | 67 |
Удалённый доступ | 71 |
Услуги конференц-связи в реальном масштабе времени | 75 |
Службы имён и каталогов | 77 |
Службы аутентификации и аудита | 79 |
Службы администрирования | 79 |
Базы данных | 82 |
Игры | 83 |
|
3. Стратегии безопасности | 84 |
|
Минимум привилегий | 84 |
Глубина защиты | 86 |
Клапан | 87 |
Слабейшее звено | 88 |
Установка на отказоустойчивость | 89 |
Общее согласие | 91 |
Разнообразие защиты | 92 |
Простота | 95 |
Безопасность через сокрытие | 95 |
|
Часть II. Создание брандмауэров | 99 |
|
4. Пакеты и протоколы | 101 |
|
Как выглядит пакет? | 101 |
IР | 105 |
Протоколы выше IР | 111 |
Протоколы ниже IР | 119 |
Протоколы прикладного уровня | 120 |
IР версии 6 | 120 |
Протоколы не-IР | 122 |
Атаки, основанные на тонкостях протоколов нижнего уровня | 123 |
|
5. Технологии брандмауэров | 128 |
|
Терминология брандмауэров | 128 |
Фильтрация пакетов | 131 |
Прокси-сервисы | 136 |
Трансляция сетевых адресов | 141 |
Виртуальные частные сети | 145 |
|
6. Архитектуры брандмауэров | 149 |
|
Однокорпусные архитектуры | 149 |
Архитектуры с защищённым хостом | 154 |
Архитектуры с защищённой подсетью | 156 |
Архитектуры с несколькими защищёнными подсетями | 161 |
Вариации архитектур брандмауэров | 165 |
Терминальные серверы и модемные пулы | 175 |
Внутренние брандмауэры | 176 |
|
7. Проектирование брандмауэра | 184 |
|
Определение потребностей | 184 |
Оценка доступных изделий | 186 |
Сборка компонентов | 189 |
|
8. Фильтрация пакетов | 192 |
|
Что позволяет фильтрация пакетов? | 193 |
Настройка фильтрующего маршрутизатора | 198 |
Что делает с пакетами маршрутизатор? | 200 |
Советы и приёмы организации фильтрации пакетов | 205 |
Соглашения для правил фильтрации пакетов | 207 |
Фильтрация по адресам | 210 |
Фильтрация по сервисам | 212 |
Выбор фильтрующего маршрутизатора | .217 |
Реализации фильтрации пакетов для обычных компьютеров | 232 |
Где выполнять фильтрацию пакетов | 243 |
Какие правила следует использовать? | 245 |
Учёт всех аспектов | 245 |
|
9. Прокси-системы | 253 |
|
Зачем нужно использовать прокси? | 254 |
Как работает прокси | 255 |
Терминология прокси-серверов | 260 |
Реализация прокси без прокси-сервера | 262 |
Использование для прокси программы SOCKS | 263 |
Использование для прокси инструментария брандмауэров Интернета |
TIS FWTK | 266 |
Использование прокси-сервера Microsoft | 268 |
Что если прокси нельзя обеспечить? | 269 |
|
10. Хосты-бастионы | 271 |
|
Общие принципы | 272 |
Особые типы хостов-бастионов | 273 |
Выбор машины | 274 |
Выбор места размещения | 278 |
Расположение хостов-бастионов в сети | 279 |
Выбор сервисов, обеспечиваемых хостом-бастионом | 281 |
Запрет учётных записей пользователей на хостах-бастионах | 284 |
Формирование хоста-бастиона | 285 |
Защита машины | 286 |
Исключение ненужных сервисов | 290 |
Функционирование хоста-бастиона | 299 |
Защита машины и резервных копий | 301 |
|
11. Хосты-бастионы в Unix и Linux | 304 |
|
Какая версия Unix? | 304 |
Защита Unix | 306 |
Исключение ненужных сервисов | 309 |
Установка и модификация сервисов | 319 |
Реконфигурация для работы | 322 |
Выполнение проверки безопасности | 326 |
|
12. Хосты-бастионы в Windows NT и Windows 2000 | 328 |
|
Подходы к созданию хостов-бастионов в Windows NT | 328 |
Какая версия Windows NT? | 329 |
Защита Windows NT | 330 |
Исключение ненужных сервисов | 332 |
Установка и модификация сервисов | 345 |
|
Часть III. Сервисы Интернета | 347 |
|
13. Сервисы Интернета и брандмауэры | 349 |
|
Атаки против сервисов Интернета | 351 |
Оценка рисков сервиса | 359 |
Анализ других протоколов | 366 |
Какой сервис хорош для брандмауэра? | 368 |
Выбор критически важных для безопасности программ | 371 |
Контроль ненадёжных конфигураций | 379 |
|
14. Промежуточные протоколы | 381 |
|
Удалённый вызов процедур (RPC) | 381 |
Распределённая модель компонентных объектов (DCOM) | 391 |
NetBIOS поверх TCP/IP (NetBT) | 392 |
Общая файловая система Интернета (CIFS) и блок серверных сообщений |
(SMB) | 395 |
Общая архитектура брокера объектных запросов (CORBA) и протокол |
Интернета Inter-Orb (IIOP) | 399 |
ToolTalk | 401 |
Протокол защиты транспортного уровня (TLS) и протокол защищённых |
сокетов (SSL) | 402 |
Универсальные API служб безопасности (GSSAPI) | 406 |
IPsec | 407 |
Служба удалённого доступа (RAS) | 412 |
Двухточечный туннельный протокол (PPTP) | 412 |
Транспортный протокол второго уровня (L2TP) | 416 |
|
15. Всемирная сеть | 418 |
|
Защита HTTP-серверов | 419 |
Безопасность HTTP-клиента | 424 |
HTTP | 431 |
Мобильный код и языки для Сети | 439 |
Протоколы взаимодействия кэш-серверов | 445 |
Технологии проталкивания информации | 449 |
RealAudio и RealVideo | 451 |
Gopher и WAIS | 453 |
|
16. Электронная почта и новости | 457 |
|
Электронная почта | 457 |
Простой протокол пересылки электронной почты (SMTP) | 464 |
Другие протоколы передачи почты | 476 |
Microsoft Exchange | 477 |
Lotus Notes и Domino | 478 |
Почтовый протокол (POP) | 480 |
Протокол доступа к сообщениям в Интернете (IMAP) | 484 |
Microsoft Messaging API (MAPI) | 485 |
Сетевой протокол передачи новостей (NNTP) | 486 |
|
17. Пересылка файлов, совместное использование файлов и печать | 489 |
|
Протокол передачи файлов (FTP) | 490 |
Простейший протокол передачи файлов (TFTP) | 504 |
Сетевая файловая система (NFS) | 506 |
Совместное использование файлов в сетях Microsoft | 516 |
Протоколы печати | 519 |
Родственные протоколы | 524 |
|
18. Удалённый доступ к хостам | 525 |
|
Доступ в режиме удаленного терминала (Telnet) | 526 |
Удалённое выполнение команд | 529 |
Удалённые графические интерфейсы | 545 |
|
19. Услуги конференц-связи в реальном масштабе времени | 559 |
|
Интернет-клуб (IRC) | 559 |
ICQ | 563 |
talk | 565 |
Мультимедийные протоколы | 568 |
NetMeeting | 575 |
Мультивещание и его опорная сеть (MBONE) | 577 |
|
20. Службы имён и каталогов | 581 |
|
Доменная система имён (DNS) | 581 |
Сетевая информационная служба (NIS) | 606 |
NetBIOS для службы имён TCP/IP и службы имён Интернета для Windows | 608 |
Windows Browser | 620 |
Облегчённый протокол службы каталогов (LDAP) | 627 |
Active Directory | 629 |
Службы поиска информации | 630 |
|
21. Службы аутентификации и аудита | 634 |
|
Что такое аутентификация? | 635 |
Пароли | 640 |
Механизмы аутентификации | 643 |
Модульная аутентификация в Unix | 648 |
Керберос | 653 |
NTLM-домены | 659 |
Служба аутентификации удалённых пользователей по коммутируемым |
линиям (RADIUS) | 667 |
TACACS и его потомки | 670 |
Auth и identd | 672 |
|
22. Службы администрирования | 675 |
|
Протоколы управления системой | 675 |
Протоколы маршрутизации | 682 |
Протоколы для начальной загрузки и загрузочцой конфигурации | 691 |
ICMP и сетевая диагностика | 694 |
Сетевой протокол службы времени (NTP) | 702 |
Синхронизация файлов | 706 |
Вполне безобидные протоколы | 709 |
|
23. Базы данных и игры | 712 |
|
Базы данных | 712 |
Игры | 727 |
|
24. Два типовых брандмауэра | 730 |
|
Архитектура с защищёнными подсетями | 730 |
Объединённые маршрутизаторы и хост-бастион на базе универсальных |
компьютеров | 755 |
|
Часть IV. Поддержание безопасности сайта | 773 |
|
25. Политики безопасности | 775 |
|
Политика безопасности сайта | 776 |
Формирование политики безопасности | 783 |
Реализация стратегических и политических решений | 786 |
Что если не удаётся сформировать политику безопасности? | 792 |
|
26. Поддержание брандмауэров | 793 |
|
Обслуживание | 793 |
Текущий контроль системы | 798 |
Соответствие современному уровню | 809 |
Сколько времени это займёт? | 813 |
Когда следует начать заново? | 813 |
|
27. Действия при инцидентах безопасности | 815 |
|
Действия при инциденте | 815 |
Что делать после инцидента | 825 |
Отслеживание и выявление нарушителя | 825 |
План реагирования на инциденты | 828 |
Быть подготовленными | 837 |
|
Часть V. Приложения | 845 |
|
А. Ссылки | 847 |
|
Веб-страницы | 847 |
FTP-сайты | 849 |
Почтовые рассылки | 849 |
Группы новостей | 851 |
Группы реагирования | 852 |
Другие организации | 854 |
Конференции | 856 |
Статьи | 858 |
Книги | 860 |
|
В. Инструментальные средства | 863 |
|
Средства аутентификации | 864 |
Инструментальные средства для анализа | 865 |
Инструментальные средства для фильтрации пакетов | 866 |
Инструментальные средства прокси | 867 |
Демоны | 867 |
Утилиты | 870 |
|
С. Криптография | 873 |
|
Что нужно предохранять и почему? | 873 |
Ключевые компоненты криптографических систем | 875 |
Комбинированная криптография | 882 |
Что делает протокол безопасным? | 889 |
Сведения об алгоритмах | 891 |
|
Алфавитный указатель | 900 |